BitLocker Systemlaufwerksverschlüsselung aktivieren

Für die unbeaufsichtigte Konfiguration von BitLocker z.B. bei Installationen per SCCM bietet Windows Tools und/oder PowerShell Cmdlets, um dies durchzuführen, falls BitLocker nicht GPO-konfiguriert ausgerollt und genutzt wird.

System Managed Partition

Die Erstellung der System Managed Partition ist bei Standardinstallationen des Betriebssystems von CD/DVD nicht notwendig, weil sie bereits beim Setup erstellt wird. Bei Installation über z.B. SCCM wird oftmals die ganze Festplatte vor der Installation partitioniert und formatiert, sodass diese fehlt. Die Partition kann in solchen Fällen mit dem Tool BdeHDCfg.exe nachträglich angelegt werden.

Der folgende Befehl erstellt die System Managed Partition, indem die System Partition verkleinert wird und der freie Speicher zur Nutzung der System Managed Partition verwendet wird. Der Prozess verläuft im Hintergrund und startet nach Abschluss den Computer neu.

BdeHDCfg -target default -quiet -restart
BitLocker Aktivierung mit PowerShell

BitLocker lässt sich über die PowerShell aktivieren und konfigurieren. Mit dem folgenden einfachsten Befehl wird BitLocker aktiviert und das Laufwerk mit Standardeinstellungen verschlüsselt.

Enable-BitLocker <Laufwerksbuchstabe>:

Über die PowerShell gibt es mehrere Parameter, um die BitLocker Implementierung anzupassen. Wichtig sind die optionalen Preboot Security Methoden, falls dies genutzt werden soll, sowie die Verschlüsselungsmethoden:

-TpmProtector | -StartupKeyProtector | -TpmAndPinProtector | -TpmAndStartupKeyProtector | -TpmAndPinAndStartupKeyProtector

-TpmProtector erfordert nur ein TPM zum Booten (keine Pre-Boot Authentication), -StartupKeyProtector erfordert einen Hardware-Key (z.B. einen registrierten USB Stick), -TpmAndPinProtector erfordert ein TPM und die Eingabe einer PIN, -TpmAndStartupKeyProtector erfordert ein TPM und einen Hardware-Key und -TpmAndPinAndStartupKeyProtector erfordert ein TPM, die Eingabe einer PIN und einen Hardware-Key.

-EncryptionMethod {XtsAes256 | XtsAes128 | Aes256 | Aes128}  # ab Windows 10 Version 1511
-EncryptionMethod {Aes256 | Aes128 | Aes256Diffuser | Aes128Diffuser}  # bis Windows 10 Version 1511

Alle Parameter, Optionen und Abkürzungen können mit Get-Help Enable-BitLocker in der PowerShell angezeigt werden.

Beispiele:

Enable-BitLocker C: -EncryptionMethod XtsAes256 -TpmProtector -UsedSpaceOnly -SkipHardwareTest
Enable-BitLocker C: -EncryptionMethod Aes256 -TpmAndPinProtector -HardwareEncryption

Im ersten Beispiel wird der verwendete Speicher von Systemlaufwerk C:\ verschlüsselt (keine Vollverschlüsselung) mit XTS-AES256 Methode (ab Windows 10 v1511), Software-Verschlüsselung und nur mit TPM Protector (keine Preboot Security). Im zweiten Beispiel wird das Systemlaufwerk C:\ vollverschlüsselt. Es wird Hardware-Verschlüsselung verwendet, Preboot Security mit PIN wird aktiviert und die Hardware-Tests werden durchgeführt.

BitLocker Aktivierung mit manage-bde.exe

Für die Aktivierung von BitLocker kann alternativ das Tool manage-bde.exe verwendet werden. Im einfachsten Fall wird mit dem folgenden Beispiel BitLocker aktiviert und das Laufwerk mit Standardeinstellungen verschlüsselt.

manage-bde -on <Laufwerksbuchstabe>:

Darüber hinaus gibt es auch hier mehrere Parameter, um die BitLocker Implementierung anzupassen.  Z.B. die optionalen Preboot Security Methoden, sowie die Verschlüsselungsmethoden:

-StartupKey | -TPMandPIN | -TPMandStartupKey | -TPMandPINandStartupKey

-StartupKey erfordert zum Booten einen Hardware-Key (z.B. einen registrierten USB Stick), -TPMandPIN erfordert ein TPM und die Eingabe einer PIN, -TPMandStartupKey erfordert ein TPM und einen Hardware-Key und -TPMandPINandStartupKey erfordert ein TPM, die Eingabe einer PIN und einen Hardware-Key.

-EncryptionMethod {xts_aes256 | xts_aes128 | aes256 | aes128} # ab Windows 10 Version 1511
-EncryptionMethod {aes256 | aes128 | aes256_diffuser | aes128_diffuser}  # bis Windows 10 Version 1511

Alle Parameter, Optionen und Abkürzungen können mit manage-bde -on /? in der CLI angezeigt werden.

Beispiel:

manage-bde -on C: -EncryptionMethod aes256 -TPMandPIN -RecoveryPassword $gKi0+?3 -UsedSpaceOnly -SkipHardwareTest
manage-bde -on C: -em aes256 -tp -rp $gKi0+?3 -used -s

In diesem Beispiel wird der verwendete Speicher von Systemlaufwerk C:\ verschlüsselt (keine Vollverschlüsselung) mit AES256 Methode. Als Recovery Passwort wird der String $gKi0+?3 verwendet und die Hardware-Tests werden übersprungen. Preboot Security mit TPM und PIN wird aktiviert.
Beide Befehlszeilen erzielen dabei das gleiche Ergebnis. In der ersten Zeile werden die ausgeschriebenen Werte für die Parameter verwendet, in der zweiten Zeile die dazugehörigen Abkürzungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.