Windows 10 - Daten verschlüsseln: Datei, Ordner, Festplatte
Wer daran interessiert ist, Daten in Windows 10 besser zu schützen, kann dies durch das Verschlüsseln wichtiger Dateien und Ordner.
Warum sollten Daten verschlüsselt werden?
Ziel einer Datenverschlüsselung ist der Schutz wichtiger Dokumente vor dem Zugriff anderer. Sollte ein unverschlüsselter Laptop oder ein mobiles Gerät in falsche Hände geraten, schützt die Verschlüsselung vor dem Zugriff auf die gespeicherten Daten.
Dazu muss nicht unbedingt der gesamte Computer verschlüsselt werden, oft reicht es, sensible Dokumente zu verschlüsseln. Zum Beispiel können einzelne Dokumente in Windows ganz einfach verschlüsselt werden.
Wer im Besitz einer Windows Professional, Education oder Enterprise Version ist, kann mit der Microsoftverschlüsselung BitLocker den gesamten PC, bestimmte Wechseldatenträger (USB-Sticks) oder einzelne Laufwerke verschlüsseln. In der Windows 10 Home Edition ist BitLocker nicht vorhanden und die Dateiverschlüsselung EFS nur teilweise.
Besitzer der Windows Home Version können den PC oder bestimmte Dateien mit Hilfe von Drittherstellertools, wie Veracrypt (vormals Truecrypt), verschlüsseln.
BitLocker VHD Container
Mit Hilfe von VHD Dateien (virtuelle Festplatten) kann ein Verschlüsselungscontainer erstellt werden. Das Prinzip ist ähnlich Veracrypt (Truecrypt). Der Verschlüsselungscontainer ist eine einzige Datei, die nach Eingabe eines Passwortes als zusätzliches Laufwerk eingebunden werden kann. Ich verwende dazu die Möglichkeit, eine virtuelle Festplatte in der Datenträgerverwaltung zu erstellen.
"Datenträgerverwaltung",
"Virtuelle Festplatte erstellen und anfügen"
neues einfaches Volume
Das virtuelle Laufwerk wurde erstellt, jetzt fehlt nur noch die Verschlüsselung:
Dazu ein Rechtsklick auf das Laufwerk und "BitLocker aktivieren"
Als Entsperrmethode kann ein Passwort oder eine Smartcard verwendet werden:
Zur Sicherheit muss ein Wiederherstellungsschlüssel abgelegt werden. Der Wiederherstellungsschlüssel kann alternativ zum öffnen des Laufwerkes verwendet werden.
Ein Doppelklick auf die Conainterdatei verbindet das virtuelle Laufwerk,
mit Laufwerk entsperren, kann auf die Daten zugegriffen werden.
BitLocker To Go
BitLocker To Go ist speziell für Wechseldatenträger. Ich verwende hier einen USB-Stick: Laufwerk E:
Für das Entsperren verwende ich ein Passwort:
Auch hier muss, zusätzlich zum Kennwort, ein Wiederherstellungsschlüssel abgelegt werden:
den kompletten PC verschlüsseln
Mit BitLocker kann natürlich auch der komplette PC verschlüsselt werden. Der Verschlüsselungsschlüssel wird dazu standardmäßig auf dem TPM Chip des Computers gespeichert. TPM (Trusted Platform Module) ist ein integrierter Mikrochip der in den meisten modernen Computern verbaut ist. Alternativ kann aber auch ein Kennwort oder ein USB-Stick verwendet werden.
Wird der TPM Chip verwendet, können die Daten der Festplatte einschließlich des Betriebsystemes von keinem anderen Gerät gelesen werden. Als zusätzliche Sicherheit kann eine Pin Nummer oder ein Startschlüssel auf einem USB-Stick verwendet werden.
Der PC kann folgendermaßen verschlüsselt werden:
"BitLocker verwalten"
"BitLocker aktivieren"
Sollte kein TPM Chip vorhanden sein, kommt folgender Fehler:
Um das Laufwerk dennoch verschlüsseln zu können, muss folgende Einstellung gesetzt werden:
mittels Gruppenrichtlinieneinstellung Befehl, Befehl: "gpedit.msc"
"Computerkonfiguration" , "Administrative Vorlagen", "Windows-Komponenten", "BitLocker Laufwerksverschlüsselung", "Betriebssystemlaufwerke", "Zusätzliche Authentifizierung beim Start anfordern"
Mit dieser Einstellung gehts auch ohne TPM weiter. Ohne TPM ist an dieser Stelle ein Kennwort oder USB-Stick erforderlich:
Auch hier muss zusätzlich ein Wiederherstellungsschlüssel abgelegt werden:
Da ich die Verschlüsselung ohne TPM-Chip durchgeführt habe und für das Starten ein Kennwort verwende, kann der PC jetzt nur nach Eingabe des zuvor verwendeten Passwortes gestartet werden:
Sollte das Passwort verloren gehen, kann der Computer mittels des Wiederherstellungsschlüssel gestartet werden. Der Wiederherstellungsschlüssel befindet sich in der zuvor gespeicherten Wiederherstellungsdatei.
Ein Blick in die Systemsteuerung zeigt uns den Status der Verschlüsselung:
Der genaue Status kann in der Eingabeaufforderung, mit dem Befehl: manage-bde -status
angezeigt werden:
(Die Eingabeaufforderung muss dazu als Administrator gestartet werden)
einzelne Dateien oder Ordner
Windows Explorer: verschlüsseln (EFS)
Beim erstmaligen Verschlüsseln eines Ordners oder einer Datei startet ein Wizard für die Sicherung des Datenverschlüsselungszertifikat, dies sollte an einer sicheren Stelle aufbewahrt werden.
n:
Im Nachhinein kann das Zertifikat über "Dateiverschlüsselungs- zertifikate verwalten" exportiert werden:
http://windows.microsoft.com/en-us/windows/back-up-efs-certificate#1TC=windows-7
{{percentage}} % positiv
DANKE für deine Bewertung!
Fragen / Kommentare
(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]
User: Armin Eisner, Dr. med. Eine gute Übersicht und dank der Schritt für Schritt Anleitungen wohl auch für den unprofessionellen User anwendbar! Für mich wären noch ein paar Worte zum Aufwand oder Umstand im alltäglichen Gebrauch interessant: Wie lange bleiben die Dokumente oder Datenträger offen oder schließen sich die Verschlüsselungen nicht automatisch? Was bedeutet jedes der verschiedenen Verfahren für den Workflow?