sheng
Lt. Commander
- Registriert
- Apr. 2010
- Beiträge
- 1.235
[gelöst] eDrive Hardware-Verschlüsselung mit BitLocker, aber wie?
Ich konnte mein Problem lösen und mache hier nun aus der Frage einen kurzen Guide.
Q: Was bringt mir dieser Guide?
A: Eine Anleitung zur Verschlüsselung für Laptops und PCs mit einer eDrive-Kompatiblen SSD, um die Daten bei Verlust oder Diebstahl zu schützen.
Q: Meine SSD kann kein eDrive. Kann ich trotzdem Bitlocker verwenden?
A: Ja, aber dann ohne Hardware-Verschlüsselung und somit mit Leistungs-Einbußen. Sollte die SSD kein eDrive unterstützen ist zudem der ganze Guide obsolet. Einfach BitLocker aktivieren, fertig.
Q: Ich habe kein Windows 7,8,8.1 in der Edition "PRO oder Enterprise". Kann ich trotzdem Bitlocker verwenden?
A: Nein
Q: Mein Rechner kann kein UEFI. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Nein
Q: Mein Rechner hat kein Trusted Platform Module. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Ja
Ich habe die folgende Anleitung verwendet, jedoch mit ein paar Abweichungen.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
Benötigte Utensilien:
Ausgangssituation:
Vorgehensweise:
An dieser Stelle vielen Dank an Steffen von www.ckode.dk.
Grüße
sheng
Ursprünglicher Post:
Ich scheitere leider gerade daran, eine Hardwareseitige Verschlüsselung einzurichten.
Folgendes Scenario:
Es soll Bitlocker "hardwareseitig" verwendet werden. Ich möchte nicht zwangsweise Behörden ausschließen, nur meine Daten sichern für den Fall von Diebstahl oder Verlust. Aber ich möchte keinen Performanceverlust durch die Verschlüsselung.
Hardware:
- Laptop
- KEIN TPM
- UEFI aktiv
- SSD Samsung 850 PRO
- Windows 8.1 PRO
Problem 1 habe ich gelöst, über eine Änderung an einer administrativen group policy kann man BitLocker auch ohne TPM nutzen. (http://www.eightforums.com/tutorials...ndows-8-a.html)
Ich habe mal Bitlocker nach der Installation aktiviert, jedoch läuft die Verschlüsselung aktuell "softwareseitig", sehe ich beispielsweise daran, dass die Schreibgeschwindigkeit anstatt bei 500 MB/s nur noch bei 180-200 MB/s liegt.
Kann mir jemand sagen, was noch passieren muss, dass BitLocker, das ja OPAL2/eDrive kompatible Laufwerke laut Spezifikation hardwareseitig verschlüsseln kann, funktioniert?
Danke und Grüße
Ich konnte mein Problem lösen und mache hier nun aus der Frage einen kurzen Guide.
Q: Was bringt mir dieser Guide?
A: Eine Anleitung zur Verschlüsselung für Laptops und PCs mit einer eDrive-Kompatiblen SSD, um die Daten bei Verlust oder Diebstahl zu schützen.
Q: Meine SSD kann kein eDrive. Kann ich trotzdem Bitlocker verwenden?
A: Ja, aber dann ohne Hardware-Verschlüsselung und somit mit Leistungs-Einbußen. Sollte die SSD kein eDrive unterstützen ist zudem der ganze Guide obsolet. Einfach BitLocker aktivieren, fertig.
Q: Ich habe kein Windows 7,8,8.1 in der Edition "PRO oder Enterprise". Kann ich trotzdem Bitlocker verwenden?
A: Nein
Q: Mein Rechner kann kein UEFI. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Nein
Q: Mein Rechner hat kein Trusted Platform Module. Kann ich trotzdem Bitlocker mit eDrive verwenden?
A: Ja
Ich habe die folgende Anleitung verwendet, jedoch mit ein paar Abweichungen.
http://www.ckode.dk/desktop-machines/how-to-enable-windows-edrive-encryption-for-ssds/
Benötigte Utensilien:
- 2 USB-Sticks
- Rufus 2.2 http://rufus.akeo.ie/?locale
- Parted Magic (kostenlose Variante - http://www.chip.de/downloads/Parted-Magic_32391033.html
- Windows 8.1 (OEM) als ISO oder auf DVD (meine Anleitung bezieht sich auf USB-Stick, jedoch kann auch eine DVD genutzt werden)
Ausgangssituation:
- Laptop ohne TPM
- CSM nicht verfügbar (wenn verfügbar muss es ausgeschaltet sein)
- Vorinstalliertes Windows. unverschlüsselt
- Samsung 850 PRO, 840 EVO oder 850 EVO - Diese Anleitung verwendet eine Funktion des Samsung Magician zur Vorbereitung auf die Verschlüsselung. Solltet ihr eine andere SSD z.B. Crucial M500/550 haben, müsst ihr googeln, wie ihr die SSD für die Verschlüsselung vorbereitet. Wenn jemand weiß wie es geht, füge ich die Info gerne hier ein.
- Achtung: Laut meiner Info funktioniert das Verfahren NICHT mit Intels RST AHCI Treibern. Habe es aber noch nicht getestet. Diese Info habe ich aus dem Lenovo Support Forum, aber auch noch nicht weiter verfolgt.
Vorgehensweise:
- Samsung Magician herunterladen und installieren (http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/support/downloads.html)
- Im Bereich "Data Security" bei "Encrypted Drive" auf "Anleitung zum Aktivieren", dann auf "Zur Aktivierung bereit" klicken. Das ist die Vorbereitung. Sollen mehrere Laufwerke verschlüsselt werden, muss dieser Schritt für alle Laufwerke ausgeführt werden. Die Auswahl des Laufwerks erfolgt auch im "Data Security" bereich.
- Nun kommt die Weitere Vorbereitung. Rufus Installieren, ISOs bereitstellen.
- USB-Stick 1 anschließen, Rufus starten, Einstellungen für MBR - BIOS und UEFI setzen. Parted Magic auf USB- stick aufspielen.
- USB-Stick 2 anschließen, Rufus starten, Einstellungen für GPT - UEFI setzen. Windows Image auf USB- stick aufspielen.
- USB-Stick mit Parted Magic einstecken, PC herunterfahren.
- Ins BIOS/UEFI booten. Um Parted Magic zu starten werdet ihr folgende Optionen wählen müssen: Secure Boot aus, Leagacy bott anstatt UEFI boot einschalten, Evlt. das Compatibility Support Module aktivieren (CSM) sofern überhaupt vorhanden. Mein Notebook hat das nicht. Einstellungen speichern.
- Reboot - Boot Medium Auswahl aufrufen, z.B: mit F12 bei DELL Notebooks.unter Legacy Boot den USB-Stick mit Parted Magic auswählen. Booten. (32bit runs from RAM, erste Bootoption wählen).
- In Parted Magic dann "Erase Disk" starten. Secure Erase auswählen, ca. 4 mal mit "OK" bestätigen. Passwort kann auf "NULL" stehen bleiben - Es wird mit ATA command ein SE ausgeführt, das dauert im besten Fall nicht mal eine Sekunde. Sollte eure SSD im sog. "frozen state" sein, dann schlägt Parted Magic ein "Standby" vor, anschließend wieder starten. Hat bei mir immer geklappt.
- Hat der Secure Erase geklappt einfach den PC herunterfahren.
- USB-Sticks wechseln, Parted Magic raus, Windows Boot Medium rein.
- In BIOS/UEFI booten. Einstellungen machen: Legacy Boot aus, UEFI an, CSM deaktivieren, Secure Boot einschalten.
- Reboot in Windows Boot Medium, Windows installieren: Option "Erweitert", bei Partitionsauwahl muss ein leerer Bereich stehen. Diesen auswählen und auf "Weiter" klicken. Ob eine manuelle Partitionierung geht, kann ich nicht sagen, ich Partitioniere meine SSDs eigentlich nie, schon gar nicht beim Setup (wegen Alignment, wobei das seit Win8 auch gehen sollte).
- Nachdem Windows installiert wurde, startet ihr msinfo32. (Windows-Taste, Eingabe: "msinfo32", Enter. Steht bei Systemübersicht - BIOS-Modus: UEFI, dann ist alles OK.
- Wenn ihr wie ich klein Trusted Platform Module (TPM) habt, müsst ihr noch was einstellen. Dazu Windows-Taste+R, "gpedit.msc" eingeben, Enter. Dann "Asministrative Vorlagen" - "Windows-Komponenten" - "BitLocker - Laufwerksverschlüsselung", anschließend rechts auf "Zusätzliche Authentifizierung beim Start anfordern" doppelklicken. Im Fenster "Aktiviert" klicken, mit OK bestätigen. Wenn Windows rebooten möchte, dann rebooten.
- Dann geht ihr im Explorer/Arbeitsplatz zu eurer Systemplatte (C) und aktiviert über Rechtsklick den BitLocker.
- BitLocker fragt nach der Verschlüsselungsmethode, dort gebt ihr "Passwort" an. Passwort eingeben, anschließend am besten den Wiederherstellungsschlüssel auf ein USB-Drive speichern. Das ist wichtig, verliert ihr das und vergesst das Passwort, kommt ihr nicht mehr an die Daten auf der SSD ran.
- Nun fragt BitLocker nach einer Systemprüfung, dann weiter klicker, dann müsste Windows nach einem Neustart verlangen. Den führt ihr aus. Beim Starten muss dann das BitLocker Passwort eingegeben werden.
- Wenn nach dem Neustart keine weitere Fragen von Bitlocker kommen ist es aktiv und verschlüsselt alle Daten auf Hardware-Ebene und somit quasi ohne Leistungsverlust.
- Achtung: Wenn BitLocker nach dem Neustart fragt, welche teile der Festplatte es verschlüsseln soll oder ein langwieriger Fortschrittsbalken kommt, hat es nicht geklappt.
An dieser Stelle vielen Dank an Steffen von www.ckode.dk.
Grüße
sheng
Ursprünglicher Post:
Ich scheitere leider gerade daran, eine Hardwareseitige Verschlüsselung einzurichten.
Folgendes Scenario:
Es soll Bitlocker "hardwareseitig" verwendet werden. Ich möchte nicht zwangsweise Behörden ausschließen, nur meine Daten sichern für den Fall von Diebstahl oder Verlust. Aber ich möchte keinen Performanceverlust durch die Verschlüsselung.
Hardware:
- Laptop
- KEIN TPM
- UEFI aktiv
- SSD Samsung 850 PRO
- Windows 8.1 PRO
Problem 1 habe ich gelöst, über eine Änderung an einer administrativen group policy kann man BitLocker auch ohne TPM nutzen. (http://www.eightforums.com/tutorials...ndows-8-a.html)
Ich habe mal Bitlocker nach der Installation aktiviert, jedoch läuft die Verschlüsselung aktuell "softwareseitig", sehe ich beispielsweise daran, dass die Schreibgeschwindigkeit anstatt bei 500 MB/s nur noch bei 180-200 MB/s liegt.
Kann mir jemand sagen, was noch passieren muss, dass BitLocker, das ja OPAL2/eDrive kompatible Laufwerke laut Spezifikation hardwareseitig verschlüsseln kann, funktioniert?
Danke und Grüße
Zuletzt bearbeitet:
(Korrekturen)
Sobald ich Win10 habe (entweder heute nachmittag oder nach Wacken) werd ich mal schauen, ob es da dann Unterschiede zu 8.1 Pro gibt, die diesen Guide hier betreffen 
