BitLocker

Windows-Home-Editionen

¯??? Kann ich BitLocker-verschlüsselte Medien mit Windows 10 Home nutzen?

¯!!! Jein: Das Einrichten solcher Medien klappt zwar nicht, die Benutzung aber schon. Sinnvoll ist es nur für USB-Medien, die Sie dafür zuvor an einem PC mit Windows 10 Pro oder höher verschlüsseln müssen. In den Heimausgaben von Windows unterstützt das Kommandozeilentool manage-bde.exe zwar ein paar Verwaltungsbefehle, der zum Einrichten essenzielle Schalter -on funktioniert aber nicht.

Welche Editionen BitLocker-Laufwerke nur öffnen, lesen und beschreiben können und welche auch die Einrichtung und Verwaltung beherrschen, haben wir in der Tabelle unten zusammengetragen.

Kein TPM

¯??? Gibt es eine Möglichkeit, mein Systemlaufwerk mit BitLocker zu verschlüsseln, obwohl kein Trusted Platform Module (TPM) in meinem Rechner steckt?

¯!!! Ja, Sie können die Notwendigkeit für ein TPM per Gruppenrichtlinie abschalten. Öffnen Sie dazu den Editor für lokale Gruppenrichtlinien per Windows-Taste, „gpedit.msc“ und Eingabetaste und navigieren Sie zum Ordner „Richtlinien für Lokaler Computer/Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke“. Doppelklicken Sie auf die Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ und setzten Sie sie auf „Aktiviert“. Stellen Sie sicher, dass ein Häkchen von „BitLocker ohne kompatibles TPM zulassen“ gesetzt ist und bestätigen Sie mit OK.

Unter Windows 7 brauchen Sie dann allerdings ein USB-Laufwerk mit einer Schlüsseldatei, das zur Authentifizierung beim Systemstart am PC hängen muss. Das Entriegeln des Systemlaufwerks per Kennwort unterstützt Windows 7 nicht (siehe Tabelle unten).

Automatisch entsperren

¯??? Lässt sich BitLocker so einstellen, dass ein verschlüsselter USB-Stick beim Anstecken an meinen PC automatisch entsperrt wird, an anderen Rechnern aber ein Kennwort verlangt wird?

¯!!! Ja, in Windows 8.1 und 10 hat Microsoft die Option bloß versteckt. Klicken Sie im Kennwort-Dialog auf „Weitere Optionen“ und setzen Sie das Häkchen vor „Auf diesem PC automatisch entsperren“. Bei Windows 7 heißt die Option „Auf diesem Computer ab jetzt automatisch entsperren“ und ist direkt bei der Kennwortabfrage sichtbar, lässt sich aber nur in den Editionen setzen, die BitLocker auch verwalten können. Windows merkt sich die Einstellung für jeden Stick einzeln – bei anderen Sticks mit dem gleichen Laufwerksbuchstaben wird das Kennwort weiterhin abgefragt.

BitLocker auf Windows 10 Home erzwingen?

¯??? Kann ich mein Systemlaufwerk mit Windows 10 Home nicht einfach verschlüsseln, indem ich die Festplatte ausbaue und an einen PC mit Windows 10 Pro anklemme, dort Laufwerk C: verschlüssele und die Platte wieder zurückbaue?

¯!!! Nach unseren Erfahrungen klappt das bei Windows 8.1 und 10 tatsächlich, wenngleich das von Microsoft nicht unterstützt wird – bei Problemen stehen Sie im Regen. Zudem ist nicht ausgeschlossen, dass Sie Probleme mit dem Einspielen künftiger Updates bekommen. Bei Windows 10 Home etwa scheitern die halbjährlichen Feature-Updates, mit denen Microsoft Ihnen eine neue Windows-10-Ausgabe aufs Auge drückt. Das Setup-Programm führt dabei eine Kompatibilitätsprüfung durch. Findet es eine Home-Edition auf einem BitLocker-verschlüsselten Systemlaufwerk, bricht die Installation mit dem Hinweis ab, dass Edition und Features nicht zusammenpassen.

Da solche Risiken die Vorteile meist überwiegen dürften, raten wir dazu, BitLocker nur in solchen Konfigurationen zu verwenden, die von Microsoft auch offiziell unterstützt werden. Verwenden Sie auf einem Home-System statt schmutziger Tricks lieber eine Alternative wie VeraCrypt (siehe c’t 14/2016, S. 140). (jss@ct.de)