Die Herausforderung, die mit BitLocker adressiert wird, ist einfach: Die Verschlüsselung von lokalen Festplatten, um den Verlust sensitiver Informationen zu verhindern. Bei Microsoft hatte man dabei vor allem Situationen im Auge, bei denen beispielsweise ein Notebook abhanden kommt. In solchen Fällen hilft nur die Verschlüsselung, weil man beispielsweise einen Rechner mit einem anderen Betriebssystem booten und damit die Schutzmechanismen auf Betriebssystemebene umgehen könnte.
Die grundlegende Herausforderung bei der Festplattenverschlüsselung ist folgende: Wenn man nur ein-zelne Dateien oder Verzeichnisse schützt, gibt es immer noch genug Systembereiche, die angreifbar sind. So zum Beispiel die Aus-lagerungsdatei, in der sich unter Umständen noch sensible Daten finden. BitLocker versucht, alle wichtigen Systembereiche zu schützen; dazu gehört das Be-triebssystem selbst, die Registry, temporäre Files oder die Datei, die für den Ruhezustand verwendet wird. Das macht die tiefe Integra-tion in das Betriebssystem erford-erlich.
Die Konfiguration von BitLocker zählt leider zu den Themen, die Administratoren wenig Freude machen dürften. Denn um BitLokker zu nutzen, benötigt man eine speziell angepasste Partitionierung der Festplatte. Das bedeutet, dass weder vom Hersteller standardmässig vorkonfigurierte Systeme noch bestehende Systeme ohne grössere Anpassungen genutzt werden können. BitLocker ist damit zunächst einerseits für die Nutzung auf ausgewählten Notebooks – beispielsweise der Geschäftsführung – mit manueller Konfiguration oder im Rahmen von selbstgesteuerten Vista-Deployments, bei denen die Partitionierung entsprechend geplant wird, interessant. Die neuen Funktionen für das Deployment von Windows Vista bieten eine entsprechende Unterstützung, setzen aber – wie alle Ansätze für die automatisierte Installation von Betriebssystemen –auch eine entsprechende Planung voraus.
Für die spezielle Partitionierung muss bei der manuellen Installation von Windows Vista auf die Systemwiederherstellungsoptionen zugegriffen werden. Dort kann an der Befehlszeile mit dem Befehl diskpart gearbeitet werden, über den die Partitionierung durchgeführt werden kann. Folgende Befehle sind dabei bei einem neuen System ohne vorhandenes Betriebssystem erforderlich:
- select disk 0 wählt die erste physische Festplatte im System aus.
Im folgenden Schritt muss ein TPM – soweit auf dem System vorhanden – eingeschaltet und konfiguriert werden. Dafür wird das Verwaltungsprogramm tpm.msc verwendet, also ein spezielles Snap-in für die Microsoft Management Console (MMC). Dieses Snap-in ist auch hilfreich, um zu analysieren, ob es überhaupt einen kompatiblen TPM-Chip gibt. Falls keiner vorhanden ist, wird eine entsprechende Meldung angezeigt.
Allerdings ist es in diesem Fall immer noch möglich, dass dieser im BIOS nicht aktiviert ist. Gegebenenfalls sind dann ein Neustart und die Überprüfung des BIOS erforderlich.
Anschliessend kann die Aktivierung von Bitlocker in der Systemsteuerung im Bereich BitLocker-Laufwerksverschlüsselung erfolgen. Im ersten Schritt kann festgelegt werden, ob mit einem zusätzlichen Systemstartschlüssel oder einer PIN gearbeitet werden soll oder nicht. Falls ein solcher Schlüssel verwendet wird, ist ein USB-Laufwerk erforderlich, um diesen abzuspeichern.
Falls ohne TPM gearbeitet wird, wird nur dieser Ansatz unterstützt, also die Konfiguration von BitLokker mit einem Systemstartschlüssel, der auf einem USB-Laufwerk gespeichert wird. Dieses USB-Laufwerk muss beim Systemstart bereits eingesteckt sein. Ausserdem muss das System so konfiguriert sein, dass es nicht von dem USB-Laufwerk, sondern von der aktiven Partition der Festplatte startet, aber auf das USB-Laufwerk zugreifen kann.
Nachdem die Sicherheitseinstellungen konfiguriert wurden, kann die Verschlüsselung des oder der Laufwerke erfolgen. Diese dauert eine gewisse Zeit, abhängig auch von der Prozessorgeschwindigkeit und Performance des Laufwerks. Ein Richtwert für aktuelle Hardware ist eine Minute pro GB – also rund 4 Stunden für eine typische 250-GB-Festplatte.
Die Steuerung wichtiger Parameter von BitLocker kann über die Gruppenrichtlinien erfolgen. Dazu gehören beispielsweise die Wiederherstellungsoptionen, aber auch Festlegungen zu den Startoptionen, die bei Verwendung von BitLocker zur Verfügung stehen. Die entsprechenden Einstellungen in den Gruppenrichtlinien finden sich unter Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – BitLocker-Laufwerksverschlüsselung.
Neben den Gruppenrichtlinien lassen sich auch Scripts einsetzen, um die wesentlichen Funktionen von BitLocker zu steuern. Schon wegen der nachfolgend erläuterten Wiederherstellungsoptionen ist die Integration mit dem Active Directory und damit auch die Nutzung von Gruppenrichtlinien für die Konfiguration empfehlenswert.
Eine Herausforderung bei jeder Form der Verschlüsselung ist die Wiederherstellung. Bei der BitLocker-Verschlüsselung wird ein Wiederherstellungsschlüssel verwendet. Dabei handelt es sich um einen Schlüssel aus 48 Ziffern. Dieser muss sicher aufbewahrt werden. Er lässt sich aber auch auf einem USB-Laufwerk speichern.
Interessant ist auch die Option, das Kennwort im Active Directory abzulegen. Dazu wird der Windows Server 2003 mit Service Pack 1 und höher oder der Windows Server 2008 benötigt. Im Active Directory kann nach einer Schema-Erweiterung ein spezielles BitLocker-Objekt genutzt werden. Zu beachten ist, dass wichtige Informationen wie das Recovery-Kennwort im Active Directory nicht verschlüsselt gespeichert werden. Allerdings werden sie verschlüsselt zum Server übertragen. Der Schutz erfolgt nur über entsprechende Zugriffsberechtigungen im Active Directory.
Die BitLocker-Laufwerksverschlüsselung zählt zu den interessantesten neuen Funktionen von Windows Vista. Durch den Aufwand für Deployment und Konfiguration setzt ihre Nutzung aber eine genaue Planung und umfassende Tests – insbesondere auch für die Wiederherstellung – voraus.
Das Trusted Platform Module (TPM) ist ein spezieller Chip, der Sicherheitsfunktionen bereitstellt. Dazu gehört in erster Linie die Speicherung von Schlüsseln. Der Chip wird typischerweise auf dem Motherboard installiert und vom Hersteller bereits mit ausgeliefert.
TPM-Systeme können Schlüssel erzeugen und sie so verschlüsseln, dass sie nur von der Hardwarekomponente wieder entschlüsselt werden können. Der Schlüssel wird sozusagen an dieses Modul gebunden. Wichtig dabei ist, dass die privaten Komponenten von Schlüsseln, also die wirklich sensiblen Teile bei der Verschlüsselung, grundsätzlich nicht an andere Komponenten gegeben werden. Der TPM schützt diese vielmehr und bietet keine entsprechenden Schnittstellen an.
Über diesen Schutz von Schlüsseln innerhalb des TPM können die Komponenten Schlüssel auch noch an vordefinierte Hard- und Softwarezustände binden. Wenn bestimmte Einstellungen geändert werden, werden die Schlüssel nicht freigegeben. Bitlocker nutzt diese Funktionen beispielsweise, um Veränderungen im Betriebssystem zu erkennen. Solche Schlüssel werden auch als versiegelte Schlüssel bezeichnet.
Wichtig ist auch, dass das Trusted Platform Module mit eigener Firmware und eigenen Prozessorfunktionen arbeitet, so dass die Technologie komplett betriebssystemunabhängig ist. Damit können private Teile von Schlüsseln auch geschützt vom normalen Speicher eines Betriebssystems im TPM-Speicher abgelegt und verwaltet werden.
