Jeder Administrator hat bereits einmal eine Festplatte verschlüsselt, sei dies bei einem Notebook oder Computer. Doch wie sieht das in einer virtuellen Umgebung aus? Wir zeigen dir anhand von Bitlocker Schritt für Schritt, wie die Festplattenverschlüsselung in der Cloud funktioniert und welche Vorteile sie hat.
Bei Windows-Betriebssystemen wird Bitlocker oft verwendet, da Bitlocker sehr einfach einzusetzen ist. Auch bei Windows-Server-Betriebssystemen ist Bitlocker vorhanden und kann somit eingesetzt werden. Auf einem Root-Server ist es wie bei einem Notebook oder Computer, die Authentizität wird mittels TPM Modul geprüft. Der Vorteil dabei ist, dass kein Passwort beim Start des Systems benötigt wird.
Bei virtuellen Systemen steht jedoch kein TPM Modul zur Verfügung, so beispielsweise bei unseren Cloud-Servern und unserem Virtual Datacenter dem Xelon HQ. Doch es gibt trotzdem einen Weg, bei Windows Servern, Bitlocker zu verwenden.
Bitlocker Festplattenverschlüsselung in der Cloud
Sie können auf Windows Servern Bitlocker verwenden, nach der Installation des Windows Features Bitlocker Drive Encryption über den Server Manager.
Nach der Installation und einem Neustart des Betriebssystems steht nun ‘BitLocker Drive Encryption’ in der Systemsteuerung zur Auswahl. Sie können jetzt das Systemlaufwerk verschlüsseln, erhält man nur den Hinweis, dass kein kompatibles TPM Modul gefunden wurde. Im lokalen Gruppenrichtlinien-Editor muss nun noch konfiguriert werden, dass ein Passwort für den Start verwendet werden darf.
Aktivieren sie die Einstellung unter: Computer Configuration –> Policies –> Administrative Templates –> Windows Components –> BitLocker Drive Encryption –> Operating System Drives –> Require additional authentication at startup.
Nach dem Aktualisieren der lokalen GPOs oder einem erneuten Neustart des Systems, kann nun das Systemlaufwerk mit einem Passwort verschlüsselt werden.
Recovery Key immer ablegen
Es ist zwingend notwendig den Recovery Key abzulegen, ansonsten lässt sich der Vorgang der Laufwerkverschlüsselung nicht starten. Bitlocker erlaubt es nicht, den Schlüssel auf die zu verschlüsselnde Festplatte zu speichern. Dies ergibt durchaus Sinn und es empfiehlt sich den Recovery Key zu ‘drucken’. Als Drucker kann man dann den ‘Microsoft Print to PDF’ Drucker verwenden, danach speichert man sich das generierte PDF und hat den Key bei Bedarf.
Dann solltest du den “Boot Check” durchführen. So bist du sicher, dass das vergebene Passwort auch eingegeben werden kann über die Konsole (beim VDC wird hierfür die HTML5 Konsole verwendet). Nach einem Reboot wird dann die Verschlüsselung gestartet. Diese ist, je nach Laufwerksgrösse, in einigen Minuten abgeschlossen.
Bei jedem Boot muss nun das Kennwort über die Konsole eingegeben werden, damit das System gestartet werden kann. Verliert man das Passwort, so kann das System mithilfe des vorher als PDF abgespeicherten Recovery Keys entsperrt werden. Sollten beide Komponenten verloren sein, gibt es keine Möglichkeit mehr an die Daten zu kommen.
Natürlich können auch Drittanbieter-Tools wie VeraCrypt für Linux/Windows verwendet werden oder aber auch das Standardtool LUKS für Linux.
Alles klar? Falls nicht, kannst du uns gerne deine Frage per Mail senden, wir helfen gerne weiter.
Matias Meier
.svg){kind=small}
Xelon AG Poststrasse 15, 6300 Zug Switzerland
