Mit Bitlocker bietet Microsoft für das Windows-Betriebssystem eine integrierte Lösung, um Festplatten, Wechseldatenträger und Systemlaufwerke sicher zu verschlüsseln. Das Ziel von Bitlocker ist es, Computersysteme und Laufwerke vor fremden Zugriffen zu schützen und Eindringlingen das Lesen der Daten mithilfe von Verschlüsslungen zu erschweren. Wird der Datenträger physisch aus dem PC-System entfernt, bleiben die Daten auf der Festplatte vor Fremdzugriff vollständig geschützt.
Dafür sorgt eine Ver- und Entschlüsselung mit einem 128- oder 256-Bit langen AES-Schlüssel. Unterstützt werden aktuell die Dateisysteme NTFS, FAT32, FAT13 und exFAT. Microsoft setzt für Bitlocker eine Windows Pro- oder Enterprise-Version voraus. Es ist zu beachten, dass BitLocker in Windows 10 und 11 Home Editionen nicht verfügbar ist.
BitLocker-Verschlüsselung auf einem Windows-Gerät aktivieren:
Um die Verschlüsselung von Datenträger mit BitLocker zu aktivieren, verwende das Suchfeld auf der Windows-Taskleiste und gebe den Begriff „BitLocker verwalten“ ein. Es öffnet sich ein neues Fenster mit dem Namen: BitLocker-Laufwerkverschlüsselung. Wähle zwischen Betriebssystemlaufwerk, Festplattenlaufwerke und Wechseldatenträger, die mit BitLocker verschlüsselt werden sollen aus. Die Schaltfläche: BitLocker aktivieren, wird jeweils hinter den Datenträgern angezeigt.
Aktiviere BitLocker mit einem Klick auf diesem Element und folge der Anweisung von Microsoft Windows. Der Vorgang kann je nach Festplattengröße einige Zeit in Anspruch nehmen. Erheblich schneller bei dem Verschlüsselungsprozess sind Prozessoren mit einer AES-Beschleunigung. Moderne Chips von AMD und Intel verfügen in der Regel immer über dieses Feature.
Kommandozeilenbefehle für BitLocker: Alle CMD bde Commands, um BitLocker über die Konsole (PowerShell) zu Verwalten
Es folgt eine Liste mit den wichtigsten Kommandozeilenbefehlen (BitLocker manage-bde-Commands) für die Steuerung von BitLocker über die Windows-PowerShell:
BitLocker Verschlüsselung aktivieren (C steht für ein beliebiges Laufwerk):
manage-bde -on C:
BitLocker deaktivieren:
manage-bde -off C:
manage-bde.exe –protectors –disable C:
Aktiviere BitLocker und Recovery-Key erstellen (D steht für ein beliebiges Laufwerk:
manage-bde -on C: -RecoveryKey D: -RecoveryPassword
BitLocker-Status abfragen:
manage-bde -status
BitLocker-Methoden abfragen:
manage-bde -protectors -get c:
BitLocker-Schlüssel entfernen:
manage-bde -protectors -delete c: -id {XXX}
TPM und Start-Up-Key (Passwort) aktivieren:
manage-bde -protectors -add c: -TPMAndStartupKey
TPM und PIN-Eingabe aktivieren:
manage-bde -protectors -add c: -TPMAndPIN
TPM entfernen (löschen):
manage-bde -protectors -delete c: -type tpm
TPM PIN und USB (Laufwerkbuchstabe G:) aktivieren:
manage-bde -protectors -add C: -TPMandPINandStartupKey -tp “Kennwort” -tsk G:
PreBoot-PIN deaktivieren:
manage-bde -protectors -add c: -TPM
Laufwerk C: mit Recovery Key entsperren:
manage-bde -unlock C: -RecoveryKey “Dateipfad Keyfile.bek”
Laufwerk C mit Passwort entsperren:
manage-bde -unlock D: -Passwordeingabe
BitLocker auf C aktivieren und den RecoveryKey auf ein anderes Laufwerk speichern:
cscript C:\Windows\System32\manage-bde.wsf -on C: -rp -sk C:
Nützliche Links zu BitLocker von Microsoft:
Offiziell von Microsoft: Aktivieren der Geräteverschlüsselung
Offiziell von Microsoft: Manage-bde Commands für BitLocker