Bitlocker unter Windows 8 und Windows Server 2012

Wie vielen schon von Windows 7 und Windows 2008R2 bekannt sein dürfte, ermöglicht Bitlocker die Verschlüsselung von Festplatten. Dadurch werden das Betriebssystem und die Benutzerdaten auch bei Verlust oder Diebstahl vor Manipulationen und nicht autorisierten Zugriffen geschützt. Jedoch ist die Wiederherstellung gelöschter Daten, welche verschlüsselt waren, viel schwieriger im Vergleich zu nichtverschlüsselten Daten.Zusammenwirkend mit einem Trusted Platform Module (TPM) kann Bitlocker sogar einen physischen Angriff auf Festplatten verhindern, wie z.B. den Einbau der betroffenen Festplatten in ein neues Hardwaresystem. Durch die erweiterten Sicherheitsressourcen des TPM-Chips, kann Bitlocker die Bootkomponenten des Computers erfassen und ermöglicht dadurch nur dem Originalcomputer den Zugriff.

Auch für externe Datenträger bietet Bitlocker verschiedene Sicherheitslösungen. Die einfachste Methode ist das Setzen eines Passwortes. Dieses muss beim Öffnen des betroffenen Datenträgers eingegeben werden. Eine speziellere Variante des Passwortes ist die Smart Card. Die Smart Card muss für den Zugriff auf den Datenträger eingelesen werden.

Mit der Einführung von Windows 8 und Windows 2012 hat Microsoft Bitlocker mit vielen Neuheiten aufgebessert. Während unter Windows Vista und Windows 7 Bitlocker erst nach der Installation des Betriebssystems bereitgestellt wird, kann diese nun schon vor der Installation (Windows Preinstallation Environment WinPE) des Betriebssystems unter Windows 8 und Windows 2012 aktiviert werden. Dadurch wird das zu formatierende Volumen schon vor der Installation von Windows selbst verschlüsselt. Hier kann man nun auswählen, ob die ganze Festplatte verschlüsselt werden soll, oder nur der benötigte Festplattenspeicher zur Windows Installation.

In älteren Bitlockerversionen war die Verschlüsselungszeit von größeren Festplatten sehr langwierig. Wenn man sich dafür entscheidet, eine Festplatte durch Bitlocker zu verschlüsseln, war die Verschlüsslung des Gesamten Datenspeichers unumgänglich. Mit diesem Update können Administratoren nun entscheiden, welches Volumen verschlüsselt werden soll. Auch wenn es nur zwei Auswahlmöglichkeiten gibt (Komplettverschlüsselung / verwendeten Festplattenspeicherplatz verschlüsseln), spart die zweite Methode massiv Zeit ein, da bei einer leeren oder kaum belegten Festplatte nur der belegte Teil der Festplatte verschlüsselt wird.

Durch den neu eingeführten Verschlüsselungstyp wurde auch eine neue Gruppenrichtlinieneinstellung zur deren Verwaltung eingeführt. Somit kann man beim Aktivieren des Bitlockers auf einem Laufwerk eine vollständige Verschlüsselung erzwingen oder nur den verwendeten Festplattenspeicher verschlüsseln lassen. Die zugehörigen Gruppenrichtlinieneinstellungen findet man unter dem Pfad „Computer ConfigurationAdministrative TemplatesWindows ComponentsBitlocker Drive Encryption“.