Dieser Artikel beschreibt wie man mit Windows 8.1 und Bitlocker die Hardwareverschlüsselung einer Crucial M500 nutzen kann. Verschlüsselung von 0 – 100 % in 2 Sekunden!

Hintergrund

Gerade die mobilen Benutzer kennen das sicherlich. Laptop hier, vertrauliche Daten dort. Wie sind diese im Verlust geschützt? Das größte Risiko und meine größte Angst ist immer vor Diebstahl. Ein Notebook zu verlieren wäre wohl eher ungewöhnlich, das passiert eher bei USB-Sticks, oder man vergisst sie… Das Thema Verschlüsselung, und damit Festplattenverschlüsselung ist ja nicht neu. Ich habe lange Zeit für die Firma CenterTools gearbeitet, die eine klassische Full Disk Encryption Software (DriveLock) anbieten. Auch Microsoft bietet seit Windows Vista eine eigene Festplattenverschlüsselung “BitLocker” an.
Alle haben eines gemeinsam, nach der Aktivierung erfolgt die zeitintensive Verschlüsselung. Dabei liest ein Verschlüsselungstreiber Sektor für Sektor, verschlüsselt diesen nach einen Algorithmus, und schreibt diesen Sektor neu. Dieser Vorgang dauert schnell mehrere Stunden, bei 500 GB ca. 6-8 Stunden.

Vorteile der Hardwarebeschleunigung

Ich habe vor ein paar Tagen eine brandneue SSD Crucial M500 bekommen. Auf der Verpackung stand schon “Hardwarebeschleunigte Verschlüsselung”… Hardwarebeschleunigung als solches gibt es schon seit ca. 3 Jahren, d.h. die Festplatte verschlüsselt selbstständig jeden Sektor. Dies geschieht transparent und ohne Zutun des Betriebssystem. Geht diese kaputt, kann also die Magnetscheibe (klassische Festplatte) oder die Speicherchips (SSD) nicht wiederhergestellt werden. Mir hat bis dato also die Möglichkeit gefehlt, die Hardwarebeschleunigung bereits im Betriebssystem oder in der Software zu nutzen. Mittlerweile ist aber die nötige Zeit vergangen und ich habe mich wieder mit dem Thema beschäftigt.
Kurz:

• Komplette Festplattenverschlüsselung von 0 – 100% binnen weniger Sekunden?! Ja, endlich!!!!
• Keine Performance Overhead mehr von rund 10%?! Ja, endlich!!!

Wie geht das?

In Verbindung mit moderner Soft- und Hardware, wie z.B.:

• Microsoft Windows 8 oder höher (BitLocker ist nur in den Editionen Pro und Enterprise enthalten)
• TCG Opal 2.0 kompatibles Gerät
• IEEE-1667 kompatibles Gerät
• UEFI 2.3.1 oder höher (anstatt dem “alten” BIOS)
  • CSM disabled (Compatibility Support Module)
• Korrekte UEFI Partitionierung
• Von Vorteil, TPM Chip (Voraussetzung BitLocker), geht alternativ aber auch ohne

Ist ein Speichermedium TCG Opal 2.0 und IEEE-1667 kompatibel, sprich man bei Microsoft von einem eDrive. Die Crucial M500 ist das erste eDrive. Nur ein eDrive wird im Folgenden Artikel in Verbindung mit BitLocker unterstützt. Natürlich lassen sich auch alle anderen nicht-eDrive Laufwerke per BitLocker verschlüsseln, allerdings auf die klassische Art und Weise wie zu Anfang beschrieben.

Umzug Windows Installation

Denken Sie sich auch gerade, super, ja all diese Voraussetzungen habe ich, aaaber: UEFI…. Ja, wer hat sein Notebook schon über UEFI am starten, anstatt über BIOS. Das Problem, ich kann es nicht im Betrieb umstellen, d.h. ich komme nicht an einer Windows Neuinstallation vorbei. Vor diesem Problem stand ich auch, und passenderweise lag am gleichen Tag die c’t im Briefkasten, mit einer Beschreibung wie ich mithilfe von dism.exe ein Imageabbild erzeuge und damit den Umzug auf eine SSD beginnen kann.
Perfekt! dism.exe kenne ich aus dem Deploymentbereich und ist das boardeigene Imageing-Tool, was für angepasste oder Masseninstallationen verwendet wird. Der Charme, volle Microsoft Kompatiblität!

Quelle entschlüsseln (optional)

Wenn die Quelle, wie in meinem Fall, bereits mit BitLocker verschlüsselt ist, muss diese zuerst entschlüsselt werden. Das ist notwendig, da wir später bei der Image-Erstellung nur verschlüsselte Inhalte sehen.
Das geht in der Systemsteuerung – BitLocker Laufwerksverschlüsselung

Vorbereitung

USB-Stick / CD mit Notfallwindows erzeugen

Bevor wir loslegen, müssen wir ein Windows RE System erzeugen, vorzugsweise auf einen USB-Stick (ca. 512 MB). Von diesem werden wir später starten, um das Image zu erstellen und zurück zu spielen: Hierzu in der Systemsteuerung – Wiederherstellung – Wiederherstellungslaufwerk erstellen wählen: Anschließend muss ein leerer USB-Stick angesteckt sein. Dieser wird formatiert und bootfähig gemacht. Es enthält eine Kommandozeile, dism.exe und diskpart.exe.

reagentc.exe (Windows PE / Rescue Image sichern)

Microsoft Windows bringt standardmäßig ein eigenes Recovery System mit “Windows Recovery Environment (Windows RE)”. Damit diese Dateien, die auf der Startpartition installiert sind, nicht verloren gehen, muss in Vorbereitung das Rettungssystem deaktiviert werden. Damit kopiert Windows die nötigen Dateien nach C:Windows, welche damit Bestandteil des Images später sein werden: reagentc.exe /disable Den aktuellen Status kann man sich wie folgt anzeigen lassen: reagentc.exe /Info

Image der Quelle erzeugen

Mithilfe des Notfallwindows per USB-Stick / CD starten. Anschließend auf Problembehandlung – Erweiterte Optionen – Eingabeaufforderung gehen. Zuerst diskpart.exe starten, damit verschaffen wir uns als Erstes einen Überblick über die Laufwerksbuchtaben, per: list volume Anschließend beenden wir diskpart per exit Nun geht es wirklich an die Imageerstellung (f: = Externe USB-Festplatte; C: = Systemlaufwerk): dism /capture-image /imagefile:f:MeinWindows.wim /caputredir:c: /scratchdir:f: /Name:”Quell Windows”

BIOS auf UEFI umstellen

Beim Start des Gerätes per F1, F10, ENTF (die Tastenkombination ist oft unterschiedlich) drücken. Anschließend kommt man in das BIOS/UEFI. Bei meinem Lenovo T430 ging dies folgendermaßen

• Beim Einschalten des Systems über F1 das BIOS starten
• Startup – UEFI/Legacy Boot = UEFI
• Startup – CSM Support = Disabled

Partitionierung

Die nachfolgenden Schritte  werden in dem Kommandozeilentool diskpart.exe gestartet: diskpart.exe Im folgenden werden die Partitionen eingerichtet.

1. Partition für die Bootdateien “Recovery”
2. Partition für UEFI “System Reserved”
3. Partition für Windows / Daten “Windows”

Bitte unbedingt sicherstellen dass “select disk 0” die neue SSD auswählt, denn diese wird per nachfolgenden “clean” in den Auslieferungszustand gesetzt und damit ungefragt alle Daten gelöscht! select disk 0
clean
convert gpt
create partition primary size=350
format quick fs=ntfs label=“Recovery“
set id=“de94bba4-06d1-4d40-a16a-bfd50179d6ac”
create partition efi size=100
format quick fs=fat32 label=“System Reserved“
assign
create partition msr size=128
create partition primary
format quick fs=ntfs label=“Windows“
assign
Als nächstes müssen wir uns die Laufwerksbuchstaben anzeigen lassen – für die spätere Verwendung: list volume

Image auf Ziel spielen

Im nächsten Schritt spielen wir das zuvor erstellte Image auf die SSD. Der Laufwerksbuchstabe E: = SSD, F: = USB-Festplatte mit dem Image (F: = USB-Festplatte; E: = gerade erstelltes Windows Laufwerk): dism.exe /apply-image /applydir:e: /imagefile:f:MeinWindows.wim /scratchdir:f: /index:1

Ziel bootfähig machen

Nun müssen wir Windows noch Startfähig machen, dafür gibt es ein eigenes Tool. Der Laufwerksbuchstabe E: = SSD, D: = “System Reserved”, d.h. Bootvolume, ggf. ist /l durch de-de anzupassen, je nach Systemsprache.: bcdboot.exe e:windows /s d: /f all /l en-us

Der erste Start und Nachbearbeitung

Startet das System das erste Mal, sollte zum Einen natürlich alles einwandfrei klappen und man wie gewohnt den Login-Screen erhalten. Der Umstieg auf die SSD bringt schon mal einen wahnsinnigen Performance Boost.
Nun muss noch das Windows RE wieder aktiviert werden, über: reagentc.exe /enable Wenn auf dem Windows System Hyper-V verwendet wird, muss der Hypervisor erst wieder aktiviert bzw. auf automatisch gesetzt werden: bcdedit /set {current} hypervisorlaunchtype auto Nun zur Sicherheit einen Neustart durchführen – damit haben wir den Umzug abgeschlossen. Als nächstes geht es an die Einrichtung von BitLocker.

Einrichtung BitLocker

Startet Microsoft Windows erstmal mit der SSD, sind alle weiteren Schritte ein Kinderspiel – sofern auch UEFI aktiviert wurde! In der Systemsteuerung – BitLocker Laufwerksverschlüsselung kann man die Verschlüsselung in wenigen Schritten aktivieren:

1. Das System wird vorbereitet, d.h. Voraussetzungen wie TPM, Hardware, Software, Richtlinien (GPO’s) werden geprüft:
2. Windows RE wird auf ein Recovery Laufwerk verschoben (unverschlüsseltes Boot Volume):
3. Vorbereitungen für BitLocker abschließen, Windows RE wird dann nur noch manuell zur Verfügung stehen, z.B. über zuvor erstellten USB-Stick:
4. BitLocker PIN eingeben (nur in Verbindung mit TPM). Dieser PIN muss bei jedem Start von Windows eingegeben werden, noch bevor sich der Benutzer anmelden kann:
5. Anschließend wird ein System Check vorgenommen, d.h. es wird geprüft ob die Wiederherstellungsdateien für eine Notfall-Entschlüsselung erzeugt und gespeichert wurden (z.B. im Active Directory Computerkonto):
6. Zu guter Letzt erfolgt ein Neustart und die Verschlüsselung ist sofort aktiv und abgeschlossen! Dies geht, da BitLocker eigentlich nur den Austausch des Verschlüsselungskeys mit der SSD absichert und austauscht. Die Inhalte sind bereits alle von der SSD verschlüsselt:

So macht Verschlüsselung Spaß! Ein angenehmer Nebeneffekt, die Faustformel wegen dem Wear-Leveling ca. 10 % Speicherplatz unpartitioniert zu lassen, trifft auf dieses Szenario nicht zu! Die SSD verschlüsselt, die SSD kenn damit selbst die freien Blocks und es kommt zu keinen Performance-Einbußen bei Wear-Leveling. Man kann also ruhig die komplette SSD partitionieren. Zum Nachahmen empfohlen!

Referenz

• Performance Test: http://www.anandtech.com/show/6891/hardware-accelerated-bitlocker-encryption-microsoft-windows-8-edrive-investigated-with-crucial-m500
• TechNet Systemvoraussetzungen: http://technet.microsoft.com/en-us/library/hh831627.aspx
• c’t Artikel Windows auf SSD umziehen: http://www.heise.de/ct/heft/2014-17-Windows-lauffaehig-auf-eine-SSD-verpflanzen-2266497.html
• TechNet Type ID: http://technet.microsoft.com/en-us/library/ff715563.aspx

Autor: Dennis Hobmaier

Dennis Hobmaier ist Strategic Consultant bei AvePoint Deutschland GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen. Alle Beiträge von Dennis Hobmaier anzeigen