Bitlocker lokal in Konsole einrichten
Die meisten Menschen werden Bitlocker wohl bereits über ihren Microsoft-Account aktiviert haben. Wir müssen uns zuvor also einen lokalen Account erstellen und das Microsoft-Konto anschließend von unserem Gerät löschen. Ein neuer Account wird etwa über den Reiter Konten angelegt. Anschließend kann über die zuvor erwähnte Methode der Bitlocker-Key vom Microsoft-Account entfernt werden.
Das sollte in Windows 11 Pro ohne Probleme funktionieren, da hier Bitlocker für jedes Laufwerk einzeln verwaltet werden kann. Wohl gemerkt funktioniert unsere Geräteverschlüsselung weiterhin, wenn wir Bitlocker-Schlüssel von unserer Microsoft-Account-Webseite löschen. Die Schlüssel werden lokal auf dem TPM unserer CPU oder auf einem separaten TPM-Chip auf dem Mainboard abgelegt.
In Windows 11 Home sind die Optionen beschränkt. Standardmäßig bietet Microsoft die Geräteverschlüsselung nur in Verbindung mit einem Microsoft-Account an. Sind wir mit einem lokalen Konto angemeldet und haben uns noch nicht mit einem Microsoft-Account auf dem Gerät authentifiziert, wird die Verschlüsselung zwar weiterhin durchgeführt, allerdings wird der Key in Klartext neben den verschlüsselten Daten abgelegt, da keine Verbindung zur Cloud konfiguriert wurde.
Unser Freund manage-bde
Über das Terminal kann dies aber geändert werden – auch komplett ohne Internetverbindung. Dazu öffnen wir zunächst die Kommandozeile mit Adminrechten und tippen anschließend den Befehl:
manage-bde -statusManage-bde greift auf Funktionen von Bitlocker zu, die in Windows 11 Home eigentlich eingeschränkt sind. Wir konnten aber auf einem Home-Gerät mit lokalem Account und deaktiviertem Netzwerkcontroller bereits verifizieren, dass diese Methode funktioniert.
Nach der Eingabe sollten wir Informationen angezeigt bekommen. Das Feld "Key Protectors" zeigt keine Verschlüsselungsmethoden an, das Laufwerk ist entsprechend unsicher. Diese Methoden müssen wir nun manuell einrichten. Wichtig dabei ist, dass wir Secure Boot auf unserem System verwenden. Ansonsten lässt sich diese Methode nicht nutzen.
Mit dem Kommando
manage-bde C: -protectors -add -tpmfügen wir das Trusted Platform Module hinzu. C: steht dabei für das Laufwerk, das wir verschlüsseln wollen. Den Buchstaben müssen wir also bei Bedarf anpassen.
Außerdem sollten wir einen Wiederherstellungsschlüssel erstellen. Das wird durch die folgende Zeile erreicht:
manage-bde C: -protectors -add -recoverypasswordBitlocker erstellt anschließend einen zufällig generierten Schlüssel nach dem bekannten Muster mit acht sechstelligen Zahlen. Diese Zahl speichern wir auf einem Wechseldatenträger ab oder schreiben sie uns auf.
Zum Schluss müssen wir die Verschlüsselung noch ausführen. Das ist über den Befehl
manage-bde -on C:möglich, wobei C: wieder für das zu verschlüsselnde Laufwerk steht. Nun sollten wir einige Zeit abwarten, da Windows etwas braucht, um alle Daten zu verschlüsseln. Die Übersicht mit "manage-bde -status" sollte dann anzeigen, dass der Schutz aktiviert und auf "Protection on" gestellt ist.
Ob dieser Umweg den Aufwand wert ist, muss jeder selbst entscheiden. Vorfälle wie die vor Kurzem ans Licht gekommene Herausgabe von Bitlocker-Schlüsseln lassen uns zumindest gründlich darüber nachdenken, ob und welche Daten wir auf Microsoft-Servern hinterlegen wollen.
Bevor Oliver Nickel bei Golem als Redakteur für Hard- und Software anfing, arbeitete er viele Jahre als Administrator und PC-Spezialist – größtenteils für Windows-Systeme. Bei Golem beschäftigt er sich Jahr für Jahr mit Dutzenden verschiedenen Windows-Geräten und berichtet über Neuigkeiten und Kniffe, um das Beste aus dem Betriebssystem herauszuholen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.