Verwendung von BitLocker ohne ein Trusted Platform Module (TPM)

Für die Vollplattenverschlüsselung von BitLocker ist normalerweise ein Computer mit einem Trusted Platform Module (TPM) erforderlich. Wenn Sie versuchen, BitLocker auf einem PC ohne TPM zu aktivieren, wird Ihrem Administrator mitgeteilt, dass er eine Systemrichtlinienoption festlegen muss.

BitLocker ist nur in den Editionen Professional, Enterprise und Education von Windows verfügbar. Es ist auch in Windows 7 Ultimate enthalten, ist jedoch in keiner Home-Edition von Windows verfügbar.

Warum benötigt BitLocker ein TPM?

VERBINDUNG: Was ist ein TPM und warum benötigt Windows eines für die Festplattenverschlüsselung?

Für BitLocker ist normalerweise ein Trusted Platform Module (TPM) auf dem Motherboard Ihres Computers erforderlich. Dieser Chip generiert und speichert die eigentlichen Verschlüsselungsschlüssel. Es kann das Laufwerk Ihres PCs beim Booten automatisch entsperren, sodass Sie sich anmelden können, indem Sie einfach Ihr Windows-Anmeldekennwort eingeben. Es ist einfach, aber das TPM erledigt die harte Arbeit unter der Haube.

Wenn jemand den PC manipuliert oder das Laufwerk vom Computer entfernt und versucht, es zu entschlüsseln, kann ohne den im TPM gespeicherten Schlüssel nicht darauf zugegriffen werden. Das TPM funktioniert auch nicht, wenn es auf das Motherboard eines anderen PCs verschoben wird.

Sie können einige Motherboards kaufen und einen TPM-Chip hinzufügen. Wenn Ihr Motherboard (oder Laptop) dies jedoch nicht unterstützt, möchten Sie BitLocker möglicherweise ohne TPM verwenden. Es ist weniger sicher, aber besser als nichts.

Verwendung von BitLocker ohne TPM

Sie können diese Einschränkung durch eine Änderung der Gruppenrichtlinie umgehen. Wenn Ihr PC einer Geschäfts- oder Schuldomäne angeschlossen ist, können Sie die Gruppenrichtlinieneinstellung nicht selbst ändern. Gruppenrichtlinien werden zentral von Ihrem Netzwerkadministrator konfiguriert.

Wenn Sie dies nur auf Ihrem eigenen PC tun und dieser nicht zu einer Domäne gehört, können Sie mit dem lokalen Gruppenrichtlinien-Editor die Einstellungen für Ihren eigenen PC ändern.

Um den lokalen Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows + R auf Ihrer Tastatur, geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" ein und drücken Sie die Eingabetaste.

Navigieren Sie im linken Bereich zu Lokale Computerrichtlinie> Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung> Betriebssystemlaufwerke.

Doppelklicken Sie im rechten Bereich auf die Option "Zusätzliche Authentifizierung beim Start erforderlich".

Wählen Sie oben im Fenster "Aktiviert" und stellen Sie sicher, dass das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Flash-Laufwerk)" hier aktiviert ist.

Klicken Sie auf "OK", um Ihre Änderungen zu speichern. Sie können jetzt das Fenster Gruppenrichtlinien-Editor schließen. Ihre Änderung wird sofort wirksam - Sie müssen nicht einmal neu starten.

So richten Sie BitLocker ein

Sie können BitLocker jetzt normal aktivieren, konfigurieren und verwenden. Gehen Sie zu Systemsteuerung> System und Sicherheit> BitLocker-Laufwerkverschlüsselung und klicken Sie auf "BitLocker aktivieren", um es für ein Laufwerk zu aktivieren.

Sie werden zuerst gefragt, wie Sie Ihr Laufwerk entsperren möchten, wenn Ihr PC hochfährt. Wenn Ihr PC über ein TPM verfügt, kann der Computer das Laufwerk automatisch entsperren oder eine kurze PIN verwenden, für die das TPM erforderlich ist.

Da Sie kein TPM haben, müssen Sie entweder bei jedem Start Ihres PCs ein Kennwort eingeben oder ein USB-Flash-Laufwerk bereitstellen. Wenn Sie hier ein USB-Flash-Laufwerk bereitstellen, muss dieses Flash-Laufwerk bei jedem Start Ihres PCs an Ihren PC angeschlossen sein, um auf die Dateien zugreifen zu können.

VERBINDUNG: Einrichten der BitLocker-Verschlüsselung unter Windows

Fahren Sie mit dem BitLocker-Setup fort, um die BitLocker-Laufwerkverschlüsselung zu aktivieren, einen Wiederherstellungsschlüssel zu speichern und Ihr Laufwerk zu verschlüsseln. Der Rest des Prozesses ist der gleiche wie beim normalen BitLocker-Setup.

Wenn Ihr PC startet, müssen Sie entweder das Kennwort eingeben oder das von Ihnen bereitgestellte USB-Flash-Laufwerk einstecken. Wenn Sie das Kennwort oder das USB-Laufwerk nicht angeben können, kann BitLocker Ihr Laufwerk nicht entschlüsseln und Sie können Ihr Windows-System nicht starten und auf Ihre Dateien zugreifen.