IT-Professional

Bitlockerverschlüsselung auf AES256 umstellen

Grundsätzliches

In Zeiten von Viren, Würmern und Trojanern- selbstverständlich auch die neuartigen “Biester” an Ransomware nicht zu vergessen –  gerät leider häufig die Möglichkeit der Schaffung erweiterter Sicherheit auf lokalen sowie auch Serversystemen in Vergessenheit.

Über die ab Windows Vista eingeführte Bitlocker Verschlüsselung steht hier eine erweiterte Sicherheitstechnologie zur Verfügung. Bitlocker steht in den Windows Betriebssystemen serverseitig ab der Version Server 2008 (hier allerdings standardmässig nicht installiert) und bei den Desktopbetriebssystemen Windows Vista und Windows 7 in den Enterprise- und Ultimateversionen zur Verfügung.

In den Enterprise und Pro Versionen von Windows 8, Windows 8.1 und Windows 10 ist Bitlocker bereits enthalten.
Unter Einbeziehung des TPM Moduls (Trusted Plattform Modul) , welches in höherwertigen Systemen vorhanden ist, wird die Integrität der Hardware sichergestellt. Dieses stellt im Falle eines Diebstahls und dem anschliessendem Einbau der Festplatte in ein “fremdes” System sicher, dass die Daten weiterhin vor neugierigen Blicken geschützt sind.

Weitere Informationen zur Bitlocker Grundfunktionalität kann man in etwaigen Foren, bei Microsoft oder aber auch bei Wikipedia nachlesen.

Bitlocker umstellen
Standardmässig verschlüsselt Bitlocker basierend auf der AES 128 bit Verschlüsselungstechnologie. Auch wenn diese mehr als ausreichend ist, so kann man Windows dazu bewegen, AES in der 265 bit Variante einzusetzen.
Um dieses zu erreichen, ist eine entsprechende Anpassung in der lokalen Sicherheitsrichtlinie von Nöten. In zentralverwalteten Installationen (AD basiert), erfolgt die Konfiguration entsprechend über die Gruppenrichtlinienverwaltung der Domäne.

Um nun die Verschlüsselungsstufe anzuheben, geht man wie folgt vor:

Zunächst startet man die lokale Gruppenrichtlinienberwaltung durch Eingabe von “gpedit.msc” über Start/Ausführen.


Hier angekommen wechselt man in den jeweiligen Konfigurationsbereich. Als Beispiel dient hier Windows 10.

Nun wählen wir die gewünschte Verschlüsselungsmethode. Hier bitte entsprechend die Informationen im rechten Bereich, sowie die Auswahlmöglichkeiten bei den jeweiligen Laufwerkstypen beachten.

Hinweis: Sollte Bitlocker schon aktiviert sein, so gilt die neu gesetzte Einstellung erst bei neu erstellen Volumes. Bereits verschlüsselte Laufwerke verbleiben in der bisherigen Verschlüsselungsmethode.
Um nun schon verschlüsselte Laufwerke auf die neue Methode anzuheben o. downzugraden, ist es erforderlich, Bitlocker zunächst zu stopppen und die Entschlüssleung durchlaufen zu lassen. Anschliessend kann Bitlocker wieder aktiviert werden. Dan ngreifen auch dort die neuen Einstellungen.

Alternativen
Neben dem Bitlocker gibt es noch weitere Möglichkeiten, seine Daten zu schützen und zu verschlüsseln. Beispielsweise sei hier TrueCrypt o. VeraCrypt genannt. TrueCrypt als solches ist in der Vergangenheit ein wenig in Verrucg geraten, da die tatsächliche Sicherheit in Frage gestellt wurde. Ob man TrueCrypt dennoch einsetzen möchte muss letzten Endes jeder für sich selbst entscheiden.

Im PhotecBlog stelle ich in regelmässigen Abständen interessanten Informationen rund um das Thema IT zur Verfügung. Einen Schwerpunkt lege ich hierbei auf den Bereich der IT Security.