Connect with us

Wie man

Verwendung eines USB-Sticks zum Entsperren eines mit BitLocker verschlüsselten PCs

Verwendung eines USB-Sticks zum Entsperren eines mit BitLocker verschlüsselten PCs

Wenn Sie die BitLocker-Verschlüsselung aktivieren, entsperrt Windows Ihr Laufwerk automatisch, wenn Sie Ihren Computer mit dem in den meisten modernen Computern integrierten TPM starten. Sie können jedoch jedes USB-Flash-Laufwerk als „Startschlüssel“ einrichten, der beim Booten vorhanden sein muss, bevor Ihr Computer das Laufwerk entschlüsseln und Windows starten kann.

Dies fügt der BitLocker-Verschlüsselung effektiv eine Zwei-Faktor-Authentifizierung hinzu. Wenn Sie Ihren Computer starten, müssen Sie den USB-Stick bereitstellen, bevor er entschlüsselt wird. Dies ist besonders nützlich bei einem kleinen USB-Laufwerk, das Sie an einem Schlüsselbund mit sich führen.

Erster Schritt: Aktivieren Sie BitLocker (falls Sie dies noch nicht getan haben)

Dies erfordert natürlich eine BitLocker-Laufwerkverschlüsselung, was bedeutet, dass es nur unter Professional- und Enterprise-Editionen von Windows funktioniert. Bevor Sie einen der folgenden Schritte ausführen können, müssen Sie die BitLocker-Verschlüsselung auf Ihrem Systemlaufwerk über die Systemsteuerung aktivieren.

Wenn Sie sich die Mühe machen, BitLocker auf einem PC ohne TPM zu aktivieren, können Sie im Rahmen des Setup-Vorgangs einen USB-Startschlüssel erstellen. Dies wird anstelle des TPM verwendet. Die folgenden Schritte sind nur erforderlich, wenn Sie BitLocker auf Computern mit TPMs aktivieren, über die die meisten modernen Computer verfügen.

Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise haben Sie stattdessen die Geräteverschlüsselungsfunktion, diese funktioniert jedoch anders als BitLocker und ermöglicht Ihnen nicht, einen Startschlüssel anzugeben.

Schritt 2: Aktivieren Sie den Startschlüssel im Gruppenrichtlinien-Editor

Sobald Sie BitLocker aktiviert haben, müssen Sie die Startschlüsselanforderung in der Gruppenrichtlinie von Windows aktivieren. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows + R auf Ihrer Tastatur, geben Sie «gpedit.msc» in das Dialogfeld «Ausführen» ein und drücken Sie die Eingabetaste.

Gehen Sie im Gruppenrichtlinienfenster zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung> Betriebssystemlaufwerke.

Doppelklicken Sie im rechten Bereich auf die Option «Zusätzliche Authentifizierung beim Start erforderlich».

Wählen Sie hier oben im Fenster «Aktiviert». Klicken Sie dann auf das Feld unter «TPM-Startschlüssel konfigurieren» und wählen Sie die Option «Startschlüssel mit TPM erforderlich». Klicken Sie auf «OK», um Ihre Änderungen zu speichern.

Schritt 3: Konfigurieren Sie einen Startschlüssel für Ihr Laufwerk

Sie können jetzt die verwenden manage-bde Befehl zum Konfigurieren eines USB-Laufwerks für Ihr BitLocker-verschlüsseltes Laufwerk.

Schließen Sie zuerst ein USB-Laufwerk an Ihren Computer an. Beachten Sie den Laufwerksbuchstaben des USB-Laufwerks – D: im folgenden Screenshot. Windows speichert eine kleine .bek-Datei auf dem Laufwerk und wird so zu Ihrem Startschlüssel.

Starten Sie als Nächstes ein Eingabeaufforderungsfenster als Administrator. Klicken Sie unter Windows 10 oder 8 mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie «Eingabeaufforderung (Admin)». Suchen Sie unter Windows 7 die Verknüpfung «Eingabeaufforderung» im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie «Als Administrator ausführen».

Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Ihrem Laufwerk C: Wenn Sie also einen Startschlüssel für ein anderes Laufwerk benötigen, geben Sie stattdessen dessen Laufwerksbuchstaben ein c: . Sie müssen auch den Laufwerksbuchstaben des angeschlossenen USB-Laufwerks eingeben, das Sie anstelle von als Startschlüssel verwenden möchten x: .

manage-bde -protectors -add c: -TPMAndStartupKey x:

Der Schlüssel wird als versteckte Datei mit der Dateierweiterung .bek auf dem USB-Laufwerk gespeichert. Sie können es sehen, wenn Sie versteckte Dateien anzeigen.

Sie werden beim nächsten Start Ihres Computers aufgefordert, das USB-Laufwerk einzustecken. Seien Sie vorsichtig mit dem Schlüssel – jemand, der den Schlüssel von Ihrem USB-Laufwerk kopiert, kann diese Kopie verwenden, um Ihr BitLocker-verschlüsseltes Laufwerk zu entsperren.

Um zu überprüfen, ob der TPMAndStartupKey-Protector ordnungsgemäß hinzugefügt wurde, können Sie den folgenden Befehl ausführen:

manage-bde -status

(Der hier angezeigte Schlüsselschutz für das numerische Kennwort ist Ihr Wiederherstellungsschlüssel.)

So entfernen Sie die Startschlüsselanforderung

Wenn Sie Ihre Meinung ändern und später den Startschlüssel nicht mehr benötigen möchten, können Sie diese Änderung rückgängig machen. Kehren Sie zunächst zum Gruppenrichtlinien-Editor zurück und ändern Sie die Option wieder in «Startschlüssel mit TPM zulassen». Sie können die Option nicht auf «Startschlüssel mit TPM erforderlich» setzen, oder Windows erlaubt Ihnen nicht, die Startschlüsselanforderung vom Laufwerk zu entfernen.

Öffnen Sie als Nächstes ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus (erneut ersetzen c: wenn Sie ein anderes Laufwerk verwenden):

manage-bde -protectors -add c: -TPM

Dadurch wird die Anforderung «TPMandStartupKey» durch eine Anforderung «TPM» ersetzt und die PIN gelöscht. Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.

Führen Sie den Statusbefehl erneut aus, um zu überprüfen, ob dies erfolgreich abgeschlossen wurde:

manage-bde -status c:

Versuchen Sie zuerst, Ihren Computer neu zu starten. Wenn alles ordnungsgemäß funktioniert und Ihr Computer zum Booten kein USB-Laufwerk benötigt, können Sie das Laufwerk formatieren oder einfach die BEK-Datei löschen. Sie können es auch einfach auf Ihrem Laufwerk belassen – diese Datei macht eigentlich nichts mehr.

Wenn Sie den Startschlüssel verlieren oder die .bek-Datei vom Laufwerk löschen, müssen Sie den BitLocker-Wiederherstellungscode für Ihr Systemlaufwerk angeben. Sie sollten an einem sicheren Ort gespeichert haben, als Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.

Bildnachweis: Tony Austin/ Flickr

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia