Komplette Verschlüsselung mit Bitlocker und ohne TPM
Tief verborgen im System hat Microsoft noch eine Möglichkeit vorgesehen, die es dem Anwender ermöglicht, ein komplettes System mittels Bitlocker zu schützen, ohne dass ihr Rechner dazu ein integriertes TPM benötigt. Auf den Windows-7-Systemen steht eine entsprechende Gruppenrichtlinie bereit, mit deren Hilfe diese Beschränkung umgangen werden kann. Dazu muss diese Gruppenrichtlinie zunächst einmal aktiviert werden:
Das erfordert als ersten Schritt den Aufruf des "Editors für lokale Gruppenrichtlinien" durch Eingabe von "gpedit.msc" unter Start/Ausführen.
Dann muss der Anwender im linken Konsolenfenster (siehe auch Bild 9) den folgenden Pfad auswählen: "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke".
Dort findet sich dann die Richtlinie mit der Bezeichnung "Zusätzliche Authentifizierung beim Start anfordern".
Hat der Anwender diese Richtlinie durch Auswahl von "Aktiviert" in Gang gesetzt, kann er nun auch das Kästchen "Bitlocker ohne kompatibles TPM zulassen" auswählen (Bild 9).
Danach steht auch der Verschlüsselung des Systemlaufwerks nichts mehr im Wege. Diese Verschlüsselung kann dann je nach Größe der Partition und der Rechengeschwindigkeit der CPU mehrere Minuten oder auch bis zu einige Stunden dauern.
Ganz wichtig hierbei sind weitere Voraussetzungen: Wer sein Betriebssystem-Laufwerk mit Bitlocker auch ohne ein TPM schützen will braucht dazu ein USB-Laufwerk oder einen USB-Stick sowie ein Notebook, dessen BIOS die Möglichkeit anbietet, von einem solchen USB-Gerät zu booten. Zugleich muss das BIOS dazu in der Lage sein, bereits während des Systemstarts lesend auf das USB-Gerät zuzugreifen.
Das Medium mit dem Bitlocker-Schlüssel (dem sogenannten Systemstartschlüssel) muss während des Startvorgangs mit dem System verbunden sein. Nach dem Booten kann der Anwender dieses Medium dann wieder entfernen und ganz normal mit seinem Rechner arbeiten. Ein Start des Rechners ohne dieses Medium ist danach nicht mehr möglich!