Video Tipp: Festplattenverschlüsselung

Bitlocker-Verschlüsselung in Windows Server 2012 R2

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man Bitlocker auf einem Server mit Windows Server 2012 R2 einrichtet und welche Einstellungen für die Verwendung der Verschlüsselung notwendig sind, zeigt unser Video-Tipp.
Wie man Bitlocker auf einem Server mit Windows Server 2012 R2 einrichtet und welche Einstellungen für die Verwendung der Verschlüsselung notwendig sind, zeigt unser Video-Tipp. (Bild: VIT)

Lokale Festplatten verschlüsseln kann man bei Windows Server 2012 R2 mit Bordmitteln. Sinnvoll ist das vor allem für Server in Niederlassungen, die an weniger gesicherten Orten stehen. Aber auch Server, auf denen heikle Daten gespeichert sind, sollten mit Bitlocker gesichert werden. Wie man das macht zeigt unser Video-Tipp.

Im Idealfall ist im Server, dessen Festplatten verschlüsselt werden sollen, ein Chip mit der Bezeichnung TPM 1.2 oder 2.0 (Trusted Platform Module) eingebaut. Dieser überwacht die integrierte Hardware im Computer und verweigert den Start, wenn die Festplatte in einen anderen Computer eingebaut wird, ohne die PIN zu kennen. Zur Aktivierung von Bitlocker ist ein solches TPM-Modul zwar optimal, aber nicht zwingend vorgeschrieben. Die meisten aktuellen Serversysteme verfügen mittlerweile über ein TPM-Modul Häufig muss das aber optional erworben werden.

Wenn nicht sicher ist, ob im Server ein TPM-Chip verbaut ist, kann die TPM-Verwaltungskonsole durch Eintippen von tpm.msc in der Startseite aufgerufen werden. Die Konsole zeigt an, ob der Chip verfügbar ist. Allerdings muss der TPM-Chip im BIOS aktiviert sein.

TPM-Chip auf Windows Server 2012 R2 einrichten

Die Konfiguration von Bitlocker findet über Systemsteuerung / System und Sicherheit / Bitlocker-Laufwerkverschlüsselung statt. In Windows Server 2012 R2 muss dazu aber Bitlocker erst als Feature über den Server-Manager installiert werden. Verfügt der Computer über einen TPM-Chip und ist dieser im BIOS aktiviert, muss der Chip nach der Installation von Bitlocker zunächst initialisiert werden:

  • 1. Durch Eintippen von tpm.msc auf der Startseite wird die TPM-Verwaltungskonsole geöffnet.
  • 2. Im Bereich Aktionen startet über TPM initialisieren der TPM-Initialisierungs-Assistent. Diese Option erscheint nur, wenn ein TPM-Chip im Server verbaut, und der Chip im BIOS/UEFI auch aktiviert ist.
  • 3. Nach der Initialisierung muss der Server neu gestartet werden.
  • 4. Nach dem Neustart erscheint eine Bestätigungsaufforderung, um sicherzustellen, dass keine bösartige Software versucht, das TPM einzuschalten.
  • 5. Bevor das TPM zum Schützen Ihres Computers nutzbar ist, muss es einem Besitzer zugeordnet sein. Beim Festlegen des TPM-Besitzers wird ein Kennwort zugewiesen, sodass nur der autorisierte TPM-Besitzer auf das TPM zugreifen und es verwalten kann.

Bitlocker können Administratoren auch dann für Server nutzen, wenn kein TPM-Chip verbaut ist. Dazu ist es notwendig, in die lokale Sicherheitsrichtlinie des Computers zu wechseln oder die Einstellungen über Gruppenrichtlinien festzulegen. Generell ist es aber empfehlenswert möglichst auf Server mit integriertem TPM zu setzen. Zur Konfiguration von Bitlocker ohne TPM wird folgendermaßen vorgegangen:

  • 1. Durch Eingabe von gpedit.msc auf der Startseite wird der Editor für lokale Gruppenrichtlinien geöffnet. Alternativ muss eine Gruppenrichtlinie in Active Directory erstellt werden, wenn die Konfiguration an mehrere Server verteilt werden soll.
  • 2. Im Navigationsbereich muss zum Eintrag Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Bitlocker-Laufwerkverschlüsselung / Betriebssystemlaufwerke gewechselt werden.
  • 3. Im rechten Bereich des Fensters muss auf die Richtlinie Zusätzliche Authentifizierung beim Start anfordern geklickt werden.
  • 4. Im neuen Fenster muss die Option Aktiviert gesetzt sein.
  • 5. Wenn im Server kein TPM verbaut ist, muss sichergestellt sein, dass das Kontrollkästchen Bitlocker ohne kompatibles TPM zulassen aktiviert ist.
  • 6. Mit OK speichert der Editor die Einstellung als Richtlinie.
  • 7. Die Richtlinie erhält darauf in der Statusspalte den Status Aktiviert.

Alle Schritte sind im Video zu diesem Beitrag in der Praxis zu sehen.

Verwenden von Bitlocker ohne TPM als Richtlinie freischalten

Nachdem diese Aufgaben durchgeführt sind, lässt sich Bitlocker aktivieren. Die Konfigurationsoberfläche von Bitlocker ist über Systemsteuerung / System und Sicherheit / Bitlocker-Laufwerkverschlüsselung zu finden.

Die Aktivierung erfolgt über den Link Bitlocker aktivieren. Anschließend überprüft Windows den Rechner. Im nächsten Dialogfeld erscheinen verschiedene Optionen, um den Server zu starten. Der Startschlüssel kann entweder auf einem USB-Stick gespeichert, oder muss beim Neustart des Servers an der Konsole angegeben werden. Dieses Kennwort hat nichts mit der Benutzeranmeldung zu tun, sondern startet den Server und gibt die Festplatte frei. Das Fenster ist im Video zu diesem Beitrag zu sehen.

Am sichersten ist die Verwendung eines Kennworts, welches beim Starten eingegeben werden muss. Wurde das Kennwort eingegeben, wird bei der Einrichtung auf der nächsten Seite der Wiederherstellungsschlüssel festgelegt. Diesen benötigen Administratoren, wenn sie mit dem Kennwort den Computer nicht mehr entsperren können. An dieser Stelle stehen verschiedene Möglichkeiten zur Verfügung den Wiederherstellungsschlüssel zu speichern.

Windows Server 2012 R2 aktiviert Bitlocker bei Neustart

Anschließend muss der der Server neu starten, damit der Assistent prüfen kann, ob eine Verschlüsselung möglich ist. Beim ersten Start muss auch gleich das festgelegte Kennwort für den PC-Start eingegeben werden. Alternativ muss der USB-Stick mit dem Rechner verbunden sein, abhängig von der Option, die bei der Einrichtung gewählt wurde.

Wenn das Kennwort nicht mehr bekannt ist, können Administratoren an dieser Stelle auch die Wiederherstellung mit dem Wiederherstellungsschlüssel starten. Beim ersten Start und der erfolgreichen Authentifizierung beginnt der Assistent anschließend mit der Verschlüsselung.

Wichtig ist, dass ein vorhandener USB-Stick keinesfalls in fremde Hände gelangen darf, da sonst der komplette Schutz des Servers ausgehebelt ist. Nach der Speicherung des Schlüssels auf dem Stick kann zusätzlich die Speicherung auf einem anderen Laufwerk oder das Ausdrucken verwendet werden, um das Kennwort zu sichern.

Nach der Bitlocker-Aktivierung erreichen Administratoren das Fenster für die Verwaltung des Kennworts jederzeit über die Systemsteuerung. So lässt sich der Schlüssel auch nachträglich ausdrucken oder speichern. Nach der Einrichtung von Bitlocker können auch weitere Festplatten auf dem Server verschlüsselt werden. Auch wenn nachträglich Festplatten eingebaut werden, können diese über die Bitlocker-Verwaltungsoberfläche nachträglich geschützt werden.

Im Video zu diesem Beitrag zeigen wir die Einrichtung von Bitlocker auf einem Server mit Windows Server 2012 R2 Schritt für Schritt. Wir zeigen im Video auch die Eingabe des Kennwortes beim Start des Servers, und welche Einstellungen für die Verwendung von Bitlocker notwendig sind.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44029719 / Verschlüsselung)