Hardwarebeschleunigte Verschlüsselung mit BitLocker, eDrive und Crucial M500

Dieser Artikel beschreibt wie man mit Windows 8.1 und Bitlocker die Hardwareverschlüsselung einer Crucial M500 nutzen kann. Verschlüsselung von 0 – 100 % in 2 Sekunden!

Hintergrund

Gerade die mobilen Benutzer kennen das sicherlich. Laptop hier, vertrauliche Daten dort. Wie sind diese im Verlust geschützt? Das größte Risiko und meine größte Angst ist immer vor Diebstahl. Ein Notebook zu verlieren wäre wohl eher ungewöhnlich, das passiert eher bei USB-Sticks, oder man vergisst sie… Das Thema Verschlüsselung, und damit Festplattenverschlüsselung ist ja nicht neu. Ich habe lange Zeit für die Firma CenterTools gearbeitet, die eine klassische Full Disk Encryption Software (DriveLock) anbieten. Auch Microsoft bietet seit Windows Vista eine eigene Festplattenverschlüsselung “BitLocker” an.
Alle haben eines gemeinsam, nach der Aktivierung erfolgt die zeitintensive Verschlüsselung. Dabei liest ein Verschlüsselungstreiber Sektor für Sektor, verschlüsselt diesen nach einen Algorithmus, und schreibt diesen Sektor neu. Dieser Vorgang dauert schnell mehrere Stunden, bei 500 GB ca. 6-8 Stunden.

Vorteile der Hardwarebeschleunigung

Ich habe vor ein paar Tagen eine brandneue SSD Crucial M500 bekommen. Auf der Verpackung stand schon “Hardwarebeschleunigte Verschlüsselung”… Hardwarebeschleunigung als solches gibt es schon seit ca. 3 Jahren, d.h. die Festplatte verschlüsselt selbstständig jeden Sektor. Dies geschieht transparent und ohne Zutun des Betriebssystem. Geht diese kaputt, kann also die Magnetscheibe (klassische Festplatte) oder die Speicherchips (SSD) nicht wiederhergestellt werden. Mir hat bis dato also die Möglichkeit gefehlt, die Hardwarebeschleunigung bereits im Betriebssystem oder in der Software zu nutzen. Mittlerweile ist aber die nötige Zeit vergangen und ich habe mich wieder mit dem Thema beschäftigt.
Kurz:

  • Komplette Festplattenverschlüsselung von 0 – 100% binnen weniger Sekunden?! Ja, endlich!!!!
  • Keine Performance Overhead mehr von rund 10%?! Ja, endlich!!!

Wie geht das?

In Verbindung mit moderner Soft- und Hardware, wie z.B.:

  • Microsoft Windows 8 oder höher (BitLocker ist nur in den Editionen Pro und Enterprise enthalten)
  • TCG Opal 2.0 kompatibles Gerät
  • IEEE-1667 kompatibles Gerät
  • UEFI 2.3.1 oder höher (anstatt dem “alten” BIOS)
    • CSM disabled (Compatibility Support Module)
  • Korrekte UEFI Partitionierung
  • Von Vorteil, TPM Chip (Voraussetzung BitLocker), geht alternativ aber auch ohne

Ist ein Speichermedium TCG Opal 2.0 und IEEE-1667 kompatibel, sprich man bei Microsoft von einem eDrive. Die Crucial M500 ist das erste eDrive. Nur ein eDrive wird im Folgenden Artikel in Verbindung mit BitLocker unterstützt. Natürlich lassen sich auch alle anderen nicht-eDrive Laufwerke per BitLocker verschlüsseln, allerdings auf die klassische Art und Weise wie zu Anfang beschrieben.

Umzug Windows Installation

Denken Sie sich auch gerade, super, ja all diese Voraussetzungen habe ich, aaaber: UEFI…. Ja, wer hat sein Notebook schon über UEFI am starten, anstatt über BIOS. Das Problem, ich kann es nicht im Betrieb umstellen, d.h. ich komme nicht an einer Windows Neuinstallation vorbei. Vor diesem Problem stand ich auch, und passenderweise lag am gleichen Tag die c’t im Briefkasten, mit einer Beschreibung wie ich mithilfe von dism.exe ein Imageabbild erzeuge und damit den Umzug auf eine SSD beginnen kann.
Perfekt! dism.exe kenne ich aus dem Deploymentbereich und ist das boardeigene Imageing-Tool, was für angepasste oder Masseninstallationen verwendet wird. Der Charme, volle Microsoft Kompatiblität!

Quelle entschlüsseln (optional)

Wenn die Quelle, wie in meinem Fall, bereits mit BitLocker verschlüsselt ist, muss diese zuerst entschlüsselt werden. Das ist notwendig, da wir später bei der Image-Erstellung nur verschlüsselte Inhalte sehen.
Das geht in der Systemsteuerung – BitLocker Laufwerksverschlüsselung

Vorbereitung

USB-Stick / CD mit Notfallwindows erzeugen

Bevor wir loslegen, müssen wir ein Windows RE System erzeugen, vorzugsweise auf einen USB-Stick (ca. 512 MB). Von diesem werden wir später starten, um das Image zu erstellen und zurück zu spielen: Hierzu in der Systemsteuerung – Wiederherstellung – Wiederherstellungslaufwerk erstellen wählen: image Anschließend muss ein leerer USB-Stick angesteckt sein. Dieser wird formatiert und bootfähig gemacht. Es enthält eine Kommandozeile, dism.exe und diskpart.exe.

reagentc.exe (Windows PE / Rescue Image sichern)

Microsoft Windows bringt standardmäßig ein eigenes Recovery System mit “Windows Recovery Environment (Windows RE)”. Damit diese Dateien, die auf der Startpartition installiert sind, nicht verloren gehen, muss in Vorbereitung das Rettungssystem deaktiviert werden. Damit kopiert Windows die nötigen Dateien nach C:Windows, welche damit Bestandteil des Images später sein werden: reagentc.exe /disable Den aktuellen Status kann man sich wie folgt anzeigen lassen: reagentc.exe /Info image

Image der Quelle erzeugen

Mithilfe des Notfallwindows per USB-Stick / CD starten. Anschließend auf Problembehandlung – Erweiterte Optionen – Eingabeaufforderung gehen. Zuerst diskpart.exe starten, damit verschaffen wir uns als Erstes einen Überblick über die Laufwerksbuchtaben, per: list volume Anschließend beenden wir diskpart per exit Nun geht es wirklich an die Imageerstellung (f: = Externe USB-Festplatte; C: = Systemlaufwerk): dism /capture-image /imagefile:f:MeinWindows.wim /caputredir:c: /scratchdir:f: /Name:”Quell Windows”

BIOS auf UEFI umstellen

Beim Start des Gerätes per F1, F10, ENTF (die Tastenkombination ist oft unterschiedlich) drücken. Anschließend kommt man in das BIOS/UEFI. Bei meinem Lenovo T430 ging dies folgendermaßen

  • Beim Einschalten des Systems über F1 das BIOS starten
  • Startup – UEFI/Legacy Boot = UEFI
  • Startup – CSM Support = Disabled

Partitionierung

Die nachfolgenden Schritte  werden in dem Kommandozeilentool diskpart.exe gestartet: diskpart.exe image Im folgenden werden die Partitionen eingerichtet.

  1. Partition für die Bootdateien “Recovery”
  2. Partition für UEFI “System Reserved”
  3. Partition für Windows / Daten “Windows”

Bitte unbedingt sicherstellen dass “select disk 0” die neue SSD auswählt, denn diese wird per nachfolgenden “clean” in den Auslieferungszustand gesetzt und damit ungefragt alle Daten gelöscht! select disk 0
clean
convert gpt
create partition primary size=350
format quick fs=ntfs label=“Recovery“
set id=“de94bba4-06d1-4d40-a16a-bfd50179d6ac”
create partition efi size=100
format quick fs=fat32 label=“System Reserved“
assign
create partition msr size=128
create partition primary
format quick fs=ntfs label=“Windows“
assign
Als nächstes müssen wir uns die Laufwerksbuchstaben anzeigen lassen – für die spätere Verwendung: list volume

Image auf Ziel spielen

Im nächsten Schritt spielen wir das zuvor erstellte Image auf die SSD. Der Laufwerksbuchstabe E: = SSD, F: = USB-Festplatte mit dem Image (F: = USB-Festplatte; E: = gerade erstelltes Windows Laufwerk): dism.exe /apply-image /applydir:e: /imagefile:f:MeinWindows.wim /scratchdir:f: /index:1

Ziel bootfähig machen

Nun müssen wir Windows noch Startfähig machen, dafür gibt es ein eigenes Tool. Der Laufwerksbuchstabe E: = SSD, D: = “System Reserved”, d.h. Bootvolume, ggf. ist /l durch de-de anzupassen, je nach Systemsprache.: bcdboot.exe e:windows /s d: /f all /l en-us

Der erste Start und Nachbearbeitung

Startet das System das erste Mal, sollte zum Einen natürlich alles einwandfrei klappen und man wie gewohnt den Login-Screen erhalten. Der Umstieg auf die SSD bringt schon mal einen wahnsinnigen Performance Boost.
Nun muss noch das Windows RE wieder aktiviert werden, über: reagentc.exe /enable Wenn auf dem Windows System Hyper-V verwendet wird, muss der Hypervisor erst wieder aktiviert bzw. auf automatisch gesetzt werden: bcdedit /set {current} hypervisorlaunchtype auto Nun zur Sicherheit einen Neustart durchführen – damit haben wir den Umzug abgeschlossen. Als nächstes geht es an die Einrichtung von BitLocker.

Einrichtung BitLocker

Startet Microsoft Windows erstmal mit der SSD, sind alle weiteren Schritte ein Kinderspiel – sofern auch UEFI aktiviert wurde! In der Systemsteuerung – BitLocker Laufwerksverschlüsselung kann man die Verschlüsselung in wenigen Schritten aktivieren:

  1. Das System wird vorbereitet, d.h. Voraussetzungen wie TPM, Hardware, Software, Richtlinien (GPO’s) werden geprüft:image
  2. Windows RE wird auf ein Recovery Laufwerk verschoben (unverschlüsseltes Boot Volume)Smiley mit geöffnetem Mund:image
  3. Vorbereitungen für BitLocker abschließen, Windows RE wird dann nur noch manuell zur Verfügung stehen, z.B. über zuvor erstellten USB-Stick:image
  4. BitLocker PIN eingeben (nur in Verbindung mit TPM). Dieser PIN muss bei jedem Start von Windows eingegeben werden, noch bevor sich der Benutzer anmelden kann:image
  5. Anschließend wird ein System Check vorgenommen, d.h. es wird geprüft ob die Wiederherstellungsdateien für eine Notfall-Entschlüsselung erzeugt und gespeichert wurden (z.B. im Active Directory Computerkonto):image
  6. Zu guter Letzt erfolgt ein Neustart und die Verschlüsselung ist sofort aktiv und abgeschlossen! Dies geht, da BitLocker eigentlich nur den Austausch des Verschlüsselungskeys mit der SSD absichert und austauscht. Die Inhalte sind bereits alle von der SSD verschlüsselt:image

So macht Verschlüsselung Spaß! Ein angenehmer Nebeneffekt, die Faustformel wegen dem Wear-Leveling ca. 10 % Speicherplatz unpartitioniert zu lassen, trifft auf dieses Szenario nicht zu! Die SSD verschlüsselt, die SSD kenn damit selbst die freien Blocks und es kommt zu keinen Performance-Einbußen bei Wear-Leveling. Man kann also ruhig die komplette SSD partitionieren. Zum Nachahmen empfohlen!

Referenz

Teilen

Autor: Dennis Hobmaier

Dennis Hobmaier ist Consultant - Digital Workspace bei Insight Technology Solutions GmbH. Er hat über 15 Jahre Erfahrung in IT-Enterprise Umgebung aller Größenordnungen und bedient Kunden aus den unterschiedlichsten Branchen. Als MCSE SharePoint hat er tiefgreifende Kenntnisse in den Bereichen Microsoft Active Directory, Windows, Azure, SharePoint und Office 365. Gerne teilt er seine Projekterfahrung mit Ihnen.

11 Gedanken zu „Hardwarebeschleunigte Verschlüsselung mit BitLocker, eDrive und Crucial M500“

  1. Hallo Dennis, vielen Dank für den tollen Beitrag.
    Ich stehe aktuell vor einem ähnlichen Problem. Ich möchte gerne Windows 8.1 x64 mit der "eDrive" Funktionalität "imagen" und "deployen". Leider ist jedesmal, wenn ich das wim Image mit dism zurückgespielt habe, die "eDrive" Funktionalität verschwunden. Ich prüfe das mit einem Tool von "someotherguy" https://dl.dropboxusercontent.com/u/62276273/eDrive/check_eDrive_x64.exe. Auch BitLocker selber bestätigt mir, dass nach einem "deploy" die Hardwareverschlüsselung nicht zur Verfügung steht. Gibt es da noch einen Trick oder Tipp von deiner Seite?
    Wenn ich die beiden Disk mit hdparm vergleiche sehe ich, dass bei der Source Disk (eDrive enabled) das "Security mode feature set" fehlt und nach einem restore auf eine neue Disk das "Security mode feature set" zur Verfügung steht und das dann "eDrive disabled" ist.

    Ich währe wirklich froh über einen kleinen Hinweis, denn ich bin schon seit ca. 1 Woche mit diesem Problem beschäftigt und mir gehen langsam aber sicher die Ideen aus.

    Besten Dank

    Freundliche Grüsse
    Remo Inderbitzin

    1. Hallo Remo,
      ist das Problem noch aktuell bzw. konntest du es lösen? Meine Vermutung wäre noch Richtung Partitionierung gegangen, da ein mit GPT partitionierte Festplatte eine weitere Partition einrichtet.
      Viele Grüße
      Dennis

    2. Hallo,

      ich klinke mich mal hier mit ein…
      Stehe genau vor dem gleichen Problem wie Remo und konnte noch bisher keine Lösung finden.
      Image erstellen und zurückspielen klappt wunderbar, aber Bitlocker fragt dann schon bei der Einrichtung ob die ganze Partition verschlüsselt werden soll oder nur ein Teil…

      Viele Grüße

      Martin

    3. Hallo Martin,
      ich könnte das Problem lösen. Dazu musste ich jedoch zuerst die Samsung 850 Pro in einen bestehenden Computer einbauen und mit Hilfe des Samsung Magician Tool die Möglichkeit für Hardware Verschlüsselung aktivieren (https://helgeklein.com/wp-content/uploads/2014/12/Samsung-SSD-Magician-ready-Encrypted-Drive-status.png)

      Danach wurde mittels Microsoft Deployment Server das Windows PE Image erstellt. Dabei ist unbedingt darauf zu achten, dass bei der Erstellung des Images das Feature "WinPE-EnhancedStorage" aktiviert wird. Danach könnte ich das Image problemlos auf die Maschine aufspielen und anschliessend BitLocker mit Hardware Encryption aktivieren.

      Grüsse
      Remo

    4. Hallo Remo,

      vielen Dank für die rasche Antwort! Die Idee kam mir jetzt auch nochmal und eben als ich hier nochmal die Seite aktualisierte und Deinen Beitrag las, wurde die Option aktiviert;)

      Ich habe aber wie im Originalbeitrag nur das "MeinWindows.wim" Image, nun sollte ich doch gemäß der Anleitung fortfahren können oder?

      Wie hast du das Problem mit Schritt:

      format quick fs=fat32 label="System Reserved"

      umgangen? Die Bezeichnung ist ja nicht zulässig…aber die Bezeichnung sollte ja keine Rolle spielen oder?

      Restliche Partitionierung kann so bestehen bleiben?

      Vielen Dank im Voraus

      Gruß

      Martin

  2. I have a Samsung 850 EVO SSD. So it supports everything. Is it possible to just activate the encryption in win 8.1 without reinstalling?
    My drive information says GPT.
    Should be ok??

    Can I combine Bios/Startup PW with encrypted drive?
    BR,
    Tom

    1. Hi Tom,
      if all requirements are met, such as
      – GPT
      – eDrive
      – UEFI Bios enabled
      than it should be okay. Between enabling encryption until 100% progress – it's just seconds as only the encryption key between the HDD and Windows are exchanged.
      Hope this helps.
      Regards,
      Dennis

  3. Hallo Zusammen.

    vielen Dank für die Infos. Hier aber noch eine kleine Frage:

    [Hallo Martin,
    ich könnte das Problem lösen. Dazu musste ich jedoch zuerst die Samsung 850 Pro in einen bestehenden Computer einbauen und mit Hilfe des Samsung Magician Tool die Möglichkeit für Hardware Verschlüsselung aktivieren (https://helgeklein.com/wp-content/uploads/2014/12/Samsung-SSD-Magician-ready-Encrypted-Drive-status.png)

    Danach wurde mittels Microsoft Deployment Server das Windows PE Image erstellt. Dabei ist unbedingt darauf zu achten, dass bei der Erstellung des Images das Feature "WinPE-EnhancedStorage" aktiviert wird. Danach könnte ich das Image problemlos auf die Maschine aufspielen und anschliessend BitLocker mit Hardware Encryption aktivieren.

    Grüsse
    Remo]

    Wie genau kann ich bei der Erstellung des Images das Feature "WinPE-EnhancedStorage" aktivieren?

    Herbert

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .