====== Verschlüsselte Datenträger in Windows ====== Datenträgerverschlüsselung (auch: Full Disk Encryption: FDE) genannt bezeichnet die Verschlüsselung eines kompletten Datenträgers (bzw. einer oder mehrere Partitionen) noch unterhalb des Dateisystems und ist damit für Anwendungen transparent (d.h. unsichtbar). Meist wird es sich um Festplattenverschlüsselung handeln, einige Hersteller bieten dies auch in Hardware. Bei den **Windowsversionen XP und 2000** ist mit Bordmitteln lediglich eine transparente Verschlüsselung von einzelnen Dateien und Ordnern möglich. Die Stichwörter dazu sind EFS (seit Win2000) für einzelne Dateien und Ordner und Bitlocker (ab Vista) für ganze Datenträger. Das Verschlüsseln des kompletten Startdatenträgers ist nicht möglich, da die Verschlüsselung beim Windowsstart noch nicht aktiviert ist. Dafür wird zur sicheren Abspeicherung des Schlüssels ein TPM-Chip auf dem Mainboard benutzt oder alternativ eine Schlüsselablage auf einem USB-Datenträger (der dann beim booten bereits angesteckt sein muss). Die Option, das Kennwort im Active Directory abzulegen, ist ab Windows Server 2003 SP1 oder Windows Server 2008 möglich. Bitlocker ist ohne TPM ebenfalls möglich, dazu muss aber eine Gruppenrichtlinie angepasst werden. Wenn nicht ein Passwort-Stick oder der "BitLocker Recovery Key" benutzt werden soll, sondern ein eigenes Passwort dann ist eine Version ab Windows 8 nötig. :!: Die Software [[software:Truecrypt]] bietet ab der Version 5 die Möglichkeit auch schon beim Systemstart aktiv zu sein. [[http://www.truecrypt.org/docs/?s=system-encryption|(pre-boot authentication)]]. Wenn allerdings Sicherheitslücken in Windowsprogrammen bzw. Windowsbestandteilen ausgenutzt werden, nützt die Verschlüsselung nichts, da laufende Programme oder Dienste transparent auf die Daten zugreifen können. Und das Ausnutzen von Sicherheitslücken ist bei Windows schließlich der kein seltener Weg um ins System bzw. an Daten zu kommen. Außerdem kann man auch bei Nutzung von Verschlüsselung nur hoffen, das Microsoft keine Fehler bei der Implementierung gemacht hat bzw. keine Hintertüren für Geheimdienste eingebaut haben. Überprüfen kann man naturgemäß nicht (eben closed-source). Für Windows Benutzer kann auch folgender Artikel interessant sein: [[http://www.heise.de/newsticker/meldung/88970|Verschlüsseltes Netzlaufwerk für Arbeitsgruppen]]. ===== Alternativen ===== - Mit [[http://www.freeotfe.org/|FreeOTFE]] lassen sich verschlüsselte dm-crypt/LUKS-Datenträger auch unter Windows erzeugen und lesen. Es ist keine Installation nötig. - [[software:Truecrypt]] - [[http://diskcryptor.net/wiki/Main_Page/de|DiskCryptor]] (Keine Container-Funktion, aber für Datenträger) ===== Links ===== ==== EFS ==== * [[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/900765e1-8255-45ef-ae70-546f9bde69de.mspx?mfr=true|Verschlüsselndes Dateisystem (Encrypting File System, EFS) (Übersicht)]] * [[http://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/artikel/schuetzen-von-daten-mit-efs.mspx|Schützen von Daten durch Festplattenverschlüsselung mit EFS]] * [[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/28423d3a-b32c-44c9-8cc3-ee8ad3e01f47.mspx?mfr=true|Empfehlungen zum verschlüsselnden Dateisystem (Encrypting File System, EFS)]] * [[http://technet2.microsoft.com/WindowsServer/de/Library/a3aa1b1f-98c9-41b3-ba05-9424e316a0781031.mspx?mfr=true|Verschlüsselndes Dateisystem: So wird es gemacht]] * [[http://support.microsoft.com/kb/223316/DE/|Vorgehensweisen bei Verwendung des Verschlüsselnden Dateisystems]] * [[http://technet2.microsoft.com/WindowsServer/de/Library/b2485418-2b3b-483e-8f70-34c3c2b9d8021031.mspx?mfr=true|Problembehandlung beim verschlüsselnden Dateisystem (Encrypting File System, EFS)]] * [[http://search.microsoft.com/results.aspx?mkt=de-de&mkt=de-de&q=efs&x=0&y=0|Microsoft-Dokumentensuche zu EFS]] * [[http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx|The Encrypting File System]] * [[http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c18621675.mspx|Using Encrypting File System (Windows XP Professional Resource Kit)]] * [[http://www.microsoft.com/technet/security/prodtech/windows2000/w2kccadm/dataprot/w2kadm21.mspx|Data Protection: Implementing the Encrypting File System in Windows 2000]] * [[http://www.microsoft.com/technet/community/columns/secmvp/sv1206.mspx|Data Recovery and Encrypting File System (EFS)]] ==== Bitlocker (ab Vista) in Ultimate und Enterprise ==== * [[http://www.tecchannel.de/server/windows/481635/|Bitlocker konfigurieren]] * [[http://testlab.sit.fraunhofer.de/content/output/project_results/bitlocker/|BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz (BSI-Dokument)]]