Hardwareverschlüsselung auf Crucial ^® SEDs über Bitlocker einrichten

Windows® 8.1 und neuer unterstützen automatisch die Codierungsschlüsselverwaltung von SEDs über eine Anwendung namens BitLocker®. Bevor Sie die BitLocker-Hardwareverschlüsselung aktivieren, müssen folgende Voraussetzungen erfüllt sein (andere Verschlüsselungssoftware als BitLocker kann weitere oder abweichende Anforderungen haben).

Bitte beachten Sie: Mit den folgenden Schritten können Sie die Hardware-Verschlüsselung mit BitLocker auf Crucial SEDs aktivieren, die Microsoft® eDrive unterstützen. Nicht alle Crucial SEDs unterstützen Microsoft eDrive. Daher ist es wichtig, sich zu vergewissern, ob Ihr Laufwerk diese Spezifikation unterstützt, bevor Sie die Schritte in dieser Anleitung ausführen. Wenn Sie diese Schritte auf einem Laufwerk ausführen, das Microsoft eDrive nicht unterstützt, können Sie zwar die Softwareverschlüsselung mit Bitlocker, nicht aber die Hardwareverschlüsselung aktivieren. Wenn Sie eine Crucial MX500 oder eine ältere SED besitzen, können Sie mit den folgenden Schritten fortfahren. Wenn Sie eine Crucial M.2 NVMe SED haben, müssen Sie die Informationen befolgen, die wir im Artikel Aktivieren der Hardware-Verschlüsselung für Crucial NVMe® SSDsbereitgestellt haben.

• TPM-Modul: BitLocker unterstützt nur TPM-Version 1.2 und 2.0 (oder neuer). Zusätzlich müssen Sie einen von Microsoft bereitgestellten TPM-Treiber verwenden. (Bitte beachten Sie, dass BitLocker auch ohne TPM funktioniert, aber stattdessen einen USB-Stick benötigt, um das Passwort festzulegen.) Bitte wenden Sie sich an Ihren Systemhersteller, wenn Sie Hilfe bei der Bestimmung der TPM-Verfügbarkeit benötigen.
• UEFI 2.3.1 oder höher: Der Host-Computer sollte mindestens UEFI 2.3.1 aufweisen und das EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definiert haben. Dadurch können Sicherheitsprotokollbefehle an und von der SED gesendet werden. Bitte wenden Sie sich an den Hersteller Ihres Host-Computers, wenn Sie nicht sicher sind, ob diese Anforderung erfüllt ist.
  
• Secure Boot: In den System-BIOS-Einstellungen muss Secure Boot aktiviert sein. Die meisten Systeme mit Windows 8.1 und höher sind automatisch entsprechend konfiguriert. Bitte wenden Sie sich an Ihren Systemhersteller, um diesbezüglich Hilfe zu erhalten.
  
• Unterstützung von Opal 2.0: Das System muss die Sicherheitsstandards von Opal 2.0 unterstützen. Der Opal 2.0 Standard ist nicht rückwärtskompatibel; Crucial SEDs sind mit Opal 1.0 nicht kompatibel. Wenden Sie sich bei Bedarf an Ihren Systemhersteller, um die Konformität Ihres Systems mit Opal zu überprüfen.
  
• Microsoft eDrive: Eine Sicherheitsspezifikation, die von Microsoft zur Aktivierung der Hardwareverschlüsselung auf SEDs unter Verwendung von BitLocker oder Gruppenrichtlinien verwendet wird, basierend auf den Standards TCG OPAL und IEEE 1667. Sie ist nur erforderlich, wenn auf einer SED die Hardwareverschlüsselung mit BitLocker oder Gruppenrichtlinien innerhalb des Betriebssystems aktiviert werden soll. Lösungen von Drittanbietern benötigen diese Funktion nicht unbedingt, um die Hardware-Verschlüsselung zu aktivieren.
• UEFI-Modus: Der Host-Computer muss immer über das UEFI booten. Ein „Kompatibilitäts-“ oder „Legacy“-Bootmodus muss deaktiviert werden. Wir empfehlen, das System vor der Installation der Crucial SED in den reinen UEFI-Modus zu versetzen. CSM (Kompatibilitätssupportmodus) muss ebenfalls deaktiviert werden. Wenden Sie sich an Ihren Systemhersteller, um Hilfe bei diesen Einstellungen zu erhalten. 
  
• Zwei Partitionen (eine davon unverschlüsselt): Die SSD muss zwei Partitionen aufweisen (im Allgemeinen ist dies bei Laufwerken, auf denen Windows installiert ist, der Fall). Die zu verschlüsselnde Hauptpartition muss im NTFS-Dateiformat formatiert sein. Diese sekundäre unverschlüsselte Partition muss mindestens 1,5 GB groß sein. Die Partition wird für Authentifizierungszwecke verwendet und ist für die Funktionsfähigkeit der Verschlüsselung erforderlich.
  
• Basis-Datenträger: Dynamische Datenträger werden von BitLocker nicht unterstützt. Laufwerke mit Windows 8 und Windows 10 werden als Basis-Datenträger mit GPT-Partitionslayout konfiguriert, das für die Verwendung der Hardwareverschlüsselung erforderlich ist.     
  

Es wird empfohlen, das Hostsystem UEFI so zu konfigurieren, dass es die SED ordnungsgemäß akzeptiert, bevor Sie sie physisch installieren, wie im folgenden Beispiel beschrieben. Die Systemeinrichtung kann von System zu System bei Einzelheiten variieren, ebenso wie die Namen der verschiedenen Funktionen. Sie sind sich jedoch ähnlich genug, dass ein einziges Beispiel ausreichen sollte. Weitere Informationen zu bestimmten UEFI-Setups erhalten Sie beim Hersteller Ihres Computers.

1. Aktivieren Sie Secure Boot. Microsoft Secure Boot ist eine Grundvoraussetzung für die Ausführung von Windows ab Version 8.1. Jeder Computer, der werkseitig für Windows 8.1/10/11 konfiguriert wurde (wie auf dem Windows 8/10/11-Aufkleber angegeben), ist bereits mit Secure Boot ausgestattet. Wenn das Hostsystem ursprünglich für Windows 7 oder ein früheres Betriebssystem konfiguriert war, überprüfen Sie, ob Secure Boot aktiviert ist, wie unten gezeigt.

2. UEFI Bootmodus/CSM-Unterstützung. Das Hostrechnersystem muss sich im UEFI-Modus befinden, wie unten gezeigt. Normalerweise wird das CSM automatisch im reinen UEFI-Modus deaktiviert. Dies sollte jedoch überprüft und das CSM deaktiviert werden, soweit erforderlich.

3. Installieren unter Windows 8.1/10/11. Die einfachste Methode zur Implementierung der Hardwareverschlüsselung besteht darin, eine saubere Neuinstallation des Betriebssystems durchzuführen. Die BitLocker-Versionen der Windows-Editionen 8.x, 10 und 11 (Enterprise und Professional) unterstützen die Hardwareverschlüsselung auf SEDs. Für diese Funktion sind keine besonderen Schritte erforderlich: Folgen Sie dem von Microsoft beschriebenen normalen Installationsprozess des Betriebssystems.  Nachdem das Betriebssystem installiert wurde, fahren Sie mit dem Abschnitt BitLocker aktivieren fort. 
   Hinweis: In den BIOS-Startprioritätseinstellungen muss das System so eingestellt sein, dass es zuerst auf Ihre SSD startet. Es dürfen keine USB- oder CD-Optionen davor eingestellt sein.
4. Klonen des Systems.  Da Crucial SEDs eDrive unterstützen, erstellt die Aktivierung von BitLocker spezielle Partitionen, die erforderlich sind, um die eDrive-Funktionen zu realisieren. Wenn eine eDrive-aktivierte SSD geklont wird, werden diese speziellen Partitionen möglicherweise nicht ordnungsgemäß auf das Ziellaufwerk kopiert. Das Ziellaufwerk funktioniert zwar möglicherweise, aber dies gilt nicht als gültiger Prozess und kann zu latenten Performance-Problemen führen. Wenn das Quelllaufwerk mit der Softwareverschlüsselung von Bitlocker verschlüsselt wurde, stellen Sie zunächst sicher, dass BitLocker deaktiviert ist, bevor Sie den Image-Klon auf eine Crucial SED starten. Wenn Sie BitLocker im Softwareverschlüsselungsmodus auf dem Quellsystem verwenden, ist ein Entschlüsselungsvorgang erforderlich, um BitLocker auszuschalten. Dies kann mehrere Stunden dauern und hängt von der Menge der Benutzer- und Betriebssystem-Daten auf dem Laufwerk ab.

1. Drücken Sie die Windows-Taste (normalerweise zwischen <Ctrl> und <Alt> angeordnet), geben Sie dann Dieser PC ein und drücken Sie die Eingabetaste.
2. Klicken Sie mit der rechten Maustaste auf das Symbol für das Systemlaufwerk und wählen Sie BitLocker aktivieren im Popup-Menü.

3. Als Nächstes wird neben einer Statusleiste ein Statusfeld angezeigt, das bestätigt, dass BitLocker konfiguriert wird. In Kürze ist alles abgeschlossen.
4. Wählen Sie eine der von Microsoft beschriebenen Optionen zum Speichern Ihres Wiederherstellungsschlüssels. Auch wenn Crucial hier keine bevorzugte Option angibt, sollten Sie diesen Schritt nicht unterschätzen. Unter bestimmten Umständen kann dies die einzige Möglichkeit sein, Daten von Ihrer SSD wiederherzustellen. Crucial verfügt über keine werkseitigen „Hintertürchen“, mit denen Daten wiederhergestellt werden können, wenn ein Authentifizierungsschlüssel oder ein Passwort verloren geht. Nachdem der Schlüssel gespeichert wurde, wählen Sie Weiter, um fortzufahren.
   

5. BitLocker fragt: Sind Sie bereit, dieses Laufwerk zu verschlüsseln? Nachdem Sie auf Weiter geklickt haben, ist ein Systemneustart erforderlich, um den Prozess abzuschließen.

6. Nachdem der Neustart erfolgt ist, sehen Sie am BitLocker-Vorhängeschloss-Symbol auf Ihrem Systemlaufwerk, dass BitLocker aktiviert ist.

Das folgende Video veranschaulicht den ganzen Vorgang.