BitLocker unter Windows 7 mit TPM und PIN

BitLocker unter Windows 7 mit TPM und PIN

In Windows 7 ist wie schon in Vista eine Unterstützung der BitLocker Drive Encryption integriert. So lässt sich die Festeplatte “mit Hausmitteln” verschlüsseln, was insbesondere bei mobilen Notebooks relevant ist. Durch eine Kombination eines im PC integrierten TPM-Chips mit einem weiteren Authentifizierungsmechanismus lässt sich ein rechner hervoragend absichern. Standardmässig unterstützt Windows 7 hier die zusätzliche Authentifizierung über einen External Key, der auf einem Speichermedium, typischerweise einem USB-Stick, gespeichert wird. In der Praxis ist hier aber oftmals der Einsatz einer PIN sinnvoll. Bei der Konfiguration der Kombination aus TPM und PIN gibt das Befehlszeilentool manage-bde.exe folgende Fehlermeldung zurück:

ERROR: An error occurred (code 0x80310060):
Group Policy settings do not permit the use of a PIN at startup. Please choose a different BitLocker startup option.

Daher müssen in der lokalen Group Policy (erreichbar über gpedit.msc) im folgenden Pfad Einstellungen verändert werden:

> Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives

Require Additional Authentication at Startup > Enable

Gruppenrichtlinien-Einstellungen für BitLocker mit TPM und PIN

Diese Einstellung ermöglicht die maximale Flexibilität bei der BitLocker Konfiguration. Nach dem Setzen dieser Einstellung ist eine Konfiguration der Protectors über Manage-BDE problemlos möglich. Die Hilfe des Tools gibt alle weiteren Informationen.

In Unternehmensumgebungen ist ein zentrales Management der Gruppenrichtlinien und der BitLocker-Konfiguration über das Active Directory zu empfehlen. Der Einsatz von BitLocker auf Desktop-PCs und Serversystemen ist in sicherheitskritischen Umgebungen durchaus zu überlegen, denn nicht selten wird ein ganzer Rechner oder gar ein Standortserver entwendet.