Hardwareverschlüsselung auf Crucial^® SEDs über Bitlocker einrichten

Die Versionen Windows® 8.1 und 10 Professional/Enterprise unterstützen automatisch die Codierungs schlüsselverwaltung von SEDs durch eine Anwendung namens BitLocker®. Bevor Sie die BitLocker-Hardwareverschlüsselung aktivieren, müssen folgende Voraussetzungen erfüllt sein (andere Verschlüsselungssoftware als BitLocker kann weitere oder abweichende Anforderungen haben).

• TPM Modul: BitLocker unterstützt nur TPM Version 1.2 und 2.0 (oder neuer). Zusätzlich müssen Sie einen von Microsoft® bereitgestellten TPM-Treiber verwenden. (Bitte beachten Sie, dass BitLocker auch ohne TPM funktioniert, aber stattdessen einen USB-Stick benötigt, um das Passwort festzulegen.) Bitte wenden Sie sich an Ihren Systemhersteller, wenn Sie Hilfe bei der Bestimmung der TPM-Verfügbarkeit benötigen.
• UEFI 2.3.1 oder höher: Der Host-Computer sollte mindestens UEFI 2.3.1 aufweisen und das EFI_STORAGE_SECURITY_COMMAND_PROTOCOL definiert haben. Dadurch können Sicherheitsprotokollbefehle an und von der SED gesendet werden. Bitte wenden Sie sich an den Hersteller Ihres Host-Computers, wenn Sie nicht sicher sind, ob diese Anforderung erfüllt ist.
  
• Secure Boot: In der System-BIOS-Einstellung muss Secure Boot aktiviert sein. Die meisten Systeme mit Windows 8.1 und höher sind automatisch so konfiguriert. Bitte wenden Sie sich an Ihren Systemhersteller, um diesbezüglich Hilfe zu erhalten.
  
• Unterstützung von Opal 2.0: Das System muss die Sicherheitsstandards von Opal 2.0 unterstützen. Der Opal 2.0 Standard ist nicht rückwärtskompatibel; Crucial SEDs sind mit Opal 1.0 nicht kompatibel. Wenden Sie sich ggf. an Ihren Systemhersteller, um die Konformität Ihres Systems mit Opal zu überprüfen.
  
• UEFI-Modus: Der Host-Computer muss immer über das UEFI booten. Ein „Kompatibilitäts-“ oder „Legacy“-Bootmodus muss deaktiviert werden. Wir empfehlen, das System vor der Installation der Crucial SED in den reinen UEFI-Modus zu versetzen. CSM (Kompatibilitätssupportmodus) muss ebenfalls deaktiviert werden. Wenden Sie sich an Ihren Systemhersteller, um Hilfe bei diesen Einstellungen zu erhalten. 
  
• Zwei Partitionen (eine davon unverschlüsselt): Die SSD muss zwei Partitionen aufweisen (im Allgemeinen ist dies bei Laufwerken, auf denen Windows installiert ist, der Fall) und die zu verschlüsselnde Hauptpartition muss im Format NTFS sein. Diese sekundäre unverschlüsselte Partition muss mindestens 1,5 GB groß sein. Die Partition wird für Authentifizierungszwecke verwendet und ist für die Funktionsfähigkeit der Verschlüsselung erforderlich.
  
• Basis-Datenträger: Dynamische Datenträger werden von BitLocker nicht unterstützt. Laufwerke mit Windows 8 und Windows 10 werden als Basis-Datenträger mit GPT-Partitionslayout konfiguriert, das für die Verwendung der Hardwareverschlüsselung erforderlich ist.     
  

Es wird empfohlen, das Hostsystem UEFI so zu konfigurieren, dass es die SED ordnungsgemäß akzeptiert, bevor Sie sie physisch installieren, wie im folgenden Beispiel beschrieben. Die Systemeinrichtung kann von System zu System bei Einzelheiten variieren, ebenso wie die Namen der verschiedenen Funktionen. Sie sind sich jedoch ähnlich genug, dass ein einziges Beispiel ausreichen sollte. Weitere Informationen zu bestimmten UEFI-Setups erhalten Sie beim Hersteller Ihres Computers.

1. Aktivieren Sie Secure Boot. Microsoft Secure Boot ist eine Voraussetzung für die Ausführung eines beliebigen Windows 8.1 oder 10 Systems. Jeder Computer, der werkseitig für Windows 8.1/10 konfiguriert wurde (wie auf dem Windows 8/10-Aufkleber ausgewiesen), ist bereits mit Secure Boot ausgestattet. Wenn das Hostsystem ursprünglich für Windows 7 oder ein früheres Betriebssystem konfiguriert war, überprüfen Sie, ob Secure Boot aktiviert ist, wie unten gezeigt.

2. UEFI Bootmodus/CSM-Unterstützung. Das Hostrechnersystem muss sich im UEFI-Modus befinden, wie unten gezeigt. Normalerweise wird der CSM automatisch im reinen UEFI-Modus deaktiviert. Dies sollte jedoch überprüft und der CSM ggf. deaktiviert werden.

3. Installieren Sie Windows 8.1/10. Die einfachste Methode zur Implementierung der Hardwareverschlüsselung besteht darin, eine saubere Neuinstallation des Betriebssystems durchzuführen. BitLocker-Versionen in den Editionen Windows 8.x und 10 Enterprise und Professional unterstützen die Hardwareverschlüsselung auf SEDs. Für diese Funktion sind keine besonderen Schritte erforderlich: Folgen Sie dem von Microsoft beschriebenen normalen Installationsprozess des Betriebssystems.  Nachdem das Betriebssystem installiert wurde, fahren Sie mit dem Abschnitt BitLocker aktivieren fort. 
   Hinweis: In den BIOS-Startprioritätseinstellungen muss das System so eingestellt sein, dass es zuerst auf Ihre SSD startet. Es dürfen keine USB- oder CD-Optionen davor eingestellt sein.
4. Klonen des Systems.  Da Crucial SEDs eDrive unterstützen, erstellt die Aktivierung von BitLocker spezielle Partitionen, die erforderlich sind, um die eDrive-Funktionen zu realisieren. Wenn eine eDrive-aktivierte SSD geklont wird, werden diese speziellen Partitionen möglicherweise nicht ordnungsgemäß auf das Ziellaufwerk kopiert. Das Ziellaufwerk funktioniert zwar möglicherweise, aber dies gilt nicht als gültiger Prozess und kann zu latenten Performance-Problemen führen. Wenn das Quelllaufwerk mit der Software- Verschlüsselung in BitLocker verschlüsselt wurde, stellen Sie zunächst sicher, dass BitLocker ausgeschaltet ist, bevor Sie den Image-Klon auf eine Crucial SED starten. Wenn Sie BitLocker im Software verschlüsselungs modus auf dem Quellsystem verwenden, ist ein Entschlüsselungsvorgang erforderlich, um BitLocker auszuschalten. Dies kann mehrere Stunden dauern und hängt von der Menge der Benutzer- und Betriebssystem-Daten auf dem Laufwerk ab.

1. Drücken Sie die Windows -Taste (normalerweise zwischen <Ctrl> und <Alt>), geben Sie dann Dieser PC ein und drücken Sie die Eingabetaste.
2. Klicken Sie mit der rechten Maustaste auf das Symbol für das Systemlaufwerk und wählen Sie BitLocker einschalten aus dem Popup-Menü.

3. Als Nächstes wird neben einer Statusleiste ein Statusfeld angezeigt, das bestätigt, dass BitLocker konfiguriert wird. In Kürze ist alles abgeschlossen.
4. Wählen Sie eine der von Microsoft beschriebenen Optionen zum Speichern Ihres Wiederherstellungsschlüssels. Auch wenn Crucial hier keine bevorzugte Option angibt, sollten Sie diesen Schritt nicht unterschätzen. Unter bestimmten Umständen kann dies die einzige Möglichkeit sein, Daten von Ihrer SSD wiederherzustellen. Crucial verfügt über keine werkseitigen „Hintertürchen“, mit denen Daten wiederhergestellt werden können, wenn ein Authentifizierungsschlüssel oder ein Passwort verloren geht. Nachdem der Schlüssel gespeichert wurde, wählen Sie Weiter, um fortzufahren.
   

5. BitLocker fragt: Sind Sie bereit, dieses Laufwerk zu verschlüsseln? Nachdem Sie auf Weiter geklickt haben, ist ein Systemneustart erforderlich, um den Prozess abzuschließen.

6. Nachdem der Neustart erfolgt ist, sehen Sie am BitLocker-Vorhängeschloss-Symbol auf Ihrem Systemlaufwerk, dass BitLocker aktiviert ist.

Das folgende Video veranschaulicht den ganzen Vorgang.