Die Festplattenverschlüsselung von BitLocker erfordert normalerweise einen Computer mit einem Trusted Platform Module (TPM). Versuchen Sie, BitLocker auf einem PC ohne TPM zu aktivieren, und Ihnen wird mitgeteilt, dass Ihr Administrator eine Systemrichtlinienoption festlegen muss.
BitLocker ist nur in den Editionen Professional, Enterprise und Education von Windows verfügbar. Es ist auch in Windows 7 Ultimate enthalten, aber nicht in allen Home-Editionen von Windows verfügbar.
Warum erfordert BitLocker ein TPM?
BitLocker erfordert normalerweise ein Trusted Platform Module oder TPM auf dem Motherboard Ihres Computers. Dieser Chip generiert und speichert die eigentlichen Verschlüsselungsschlüssel. Es kann das Laufwerk Ihres PCs beim Booten automatisch entsperren, sodass Sie sich anmelden können, indem Sie einfach Ihr Windows-Anmeldekennwort eingeben. Es ist einfach, aber das TPM leistet die harte Arbeit unter der Haube.
Wenn jemand den PC manipuliert oder das Laufwerk vom Computer entfernt und versucht, es zu entschlüsseln, kann ohne den im TPM gespeicherten Schlüssel nicht darauf zugegriffen werden. Das TPM funktioniert auch nicht, wenn es auf das Motherboard eines anderen PCs verschoben wird.
Sie können einigen Motherboards einen TPM-Chip kaufen und hinzufügen, aber wenn Ihr Motherboard (oder Ihr Laptop) dies nicht unterstützt, möchten Sie möglicherweise BitLocker ohne TPM verwenden. Es ist weniger sicher, aber besser als nichts.
So verwenden Sie BitLocker ohne TPM
Sie können diese Einschränkung durch eine Gruppenrichtlinienänderung umgehen. Wenn Ihr PC einer Unternehmens- oder Schuldomäne angehört, können Sie die Gruppenrichtlinieneinstellung nicht selbst ändern. Die Gruppenrichtlinie wird zentral von Ihrem Netzwerkadministrator konfiguriert.
Wenn Sie dies nur auf Ihrem eigenen PC tun und dieser nicht mit einer Domäne verbunden ist, können Sie den lokalen Gruppenrichtlinien-Editor verwenden, um die Einstellung für Ihren eigenen PC zu ändern.
Um den Editor für lokale Gruppenrichtlinien zu öffnen, drücken Sie Windows+R auf Ihrer Tastatur, geben Sie „gpedit.msc“ in das Dialogfeld Ausführen ein und drücken Sie die Eingabetaste.
Navigieren Sie im linken Bereich zu Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke.
Doppelklicken Sie im rechten Bereich auf die Option «Zusätzliche Authentifizierung beim Start erforderlich».
Wählen Sie oben im Fenster „Aktiviert“ und stellen Sie sicher, dass das Kontrollkästchen „BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Flash-Laufwerk)“ hier aktiviert ist.
Klicken Sie auf „OK“, um Ihre Änderungen zu speichern. Sie können jetzt das Fenster des Gruppenrichtlinien-Editors schließen. Ihre Änderung wird sofort wirksam – Sie müssen nicht einmal neu starten.
So richten Sie BitLocker ein
Sie können BitLocker jetzt normal aktivieren, konfigurieren und verwenden. Gehen Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung und klicken Sie auf «BitLocker aktivieren», um es für ein Laufwerk zu aktivieren.
Beim Hochfahren Ihres PCs werden Sie zunächst gefragt, wie Sie Ihr Laufwerk entsperren möchten. Wenn Ihr PC über ein TPM verfügt, können Sie das Laufwerk automatisch vom Computer entsperren lassen oder eine kurze PIN verwenden, die das Vorhandensein des TPM erfordert.
Da Sie kein TPM haben, müssen Sie bei jedem PC-Start entweder ein Kennwort eingeben oder ein USB-Flash-Laufwerk bereitstellen. Wenn Sie hier ein USB-Flash-Laufwerk bereitstellen, müssen Sie dieses Flash-Laufwerk jedes Mal, wenn Sie Ihren PC starten, an Ihren PC anschließen, um auf die Dateien zuzugreifen.
Fahren Sie mit dem BitLocker-Setup-Prozess fort, um die BitLocker-Laufwerkverschlüsselung zu aktivieren, einen Wiederherstellungsschlüssel zu speichern und Ihr Laufwerk zu verschlüsseln. Der Rest des Prozesses ist der gleiche wie der normale BitLocker-Setup-Prozess.
Wenn Ihr PC hochfährt, müssen Sie entweder das Passwort eingeben oder das von Ihnen bereitgestellte USB-Flash-Laufwerk einstecken. Wenn Sie das Kennwort oder das USB-Laufwerk nicht angeben können, kann BitLocker Ihr Laufwerk nicht entschlüsseln und Sie können nicht in Ihr Windows-System booten und auf Ihre Dateien zugreifen.