Das Maximum aus BitLocker herausholen und Windows Hardening

Das Maximum aus BitLocker herausholen und Windows Hardening

BitLocker ist das Onboard-Tool, um deine Windows-Daten mit AES-Verschlüsselung zu schützen. Doch mit den Standard-Einstellungen nutzt du nicht mal ansatzweise das volle Potenzial. Hier zeige ich dir Schritt für Schritt, wie du mit der Gruppenrichtlinienverwaltung (gpedit.msc) und per PowerShell das Maximum herausholst. Denn mit diesen Einstellungen hebst du BitLocker von „Standard-Schutz“ auf „Enterprise-Level Security“. TPM + PIN kombiniert, XTS-AES-256, Schutz vor DMA-Angriffen und sinnvolle Systemoptimierungen bieten dir einen soliden Rundumschutz.

Wichtig: Auf keinen Fall den Wiederherstellungsschlüssel auf einem unverschlüsselten USB-Stick oder einem anderen normalen Datenträger als txt-Datei speichern, denn hier besteht die Gefahr, dass der Schlüssel selbst nach einem Löschen – aufgrund der kleinen Größe der Datei – im Dateisystem verbleibt.

Es empfiehlt sich hier z. B. das Anlegen eines kleinen verschlüsselten Containers mit VeraCrypt (https://www.veracrypt.fr/), um dann in diesem verschlüsselten Container den Wiederherstellungsschlüssel abzuspeichern.

1. Gruppenrichtlinien anpassen (gpedit.msc)

1.1 Zusätzliche Authentifizierung beim Start erzwingen

Pfad:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke

  • Option: „Zusätzliche Authentifizierung beim Start anfordern“
  • Status: Aktivieren
  • Einstellungen:
    • BitLocker ohne TPM zulassen
    • TPM zulassen
    • Systemstart-PIN bei TPM zulassen
    • Systemstartschlüssel bei TPM zulassen
    • Systemstartschlüssel und PIN bei TPM zulassen

Warum?
Dadurch sicherst du den Bootvorgang mit einer zusätzlichen PIN oder Schlüssel ab. Selbst bei physischem Zugriff ist der Zugriff nur mit korrekter PIN möglich.

1.2 Erweiterte PINs erlauben

Pfad:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke

  • Option: „Erweiterte PINs für Systemlaufwerke zulassen“
  • Status: Aktivieren

Warum?
Längere und komplexere PINs erhöhen die Sicherheit enorm. Nutze Buchstaben, Zahlen und Sonderzeichen.

1.3 Laufwerksverschlüsselung erzwingen

Pfad:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke

  • Option: „Laufwerksverschlüsselung auf Betriebssystemlaufwerken erzwingen“
  • Status: Aktivieren
  • Verschlüsselungstyp: Vollständige Verschlüsselung (nicht nur Dateiverschlüsselung)

Warum?
Verhindert, dass der Nutzer BitLocker nur teilweise aktiviert und somit Schutzlücken entstehen.

1.4 Verschlüsselungsmethode und Stärke

Pfad:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung

  • Option: „Verschlüsselungsmethode und Verschlüsselungsstärke festlegen“
  • Status: Aktivieren
  • Methode für Betriebssystem/Laufwerke: XTS-AES-256 Bit (stärkste derzeit verfügbare Methode)
  • Methode für Wechsellaufwerke: AES-CBC-256 Bit (stärkste derzeit verfügbare Methode)

Warum?
AES-256 ist aktuell die beste Verschlüsselungsmethode für maximale Datensicherheit. Standardmäßig werden nur 128 Bit verwendet und nicht die verfügbaren 256 Bit.

1.5 Schutz gegen neue DMA-Geräte aktivieren

Pfad:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung

  • Option: „Neue DMA-Geräte deaktivieren, wenn dieser Computer gesperrt ist“
  • Status: Aktivieren

Warum?
Schützt vor Angriffen über externe DMA-Geräte (z.B. Thunderbolt) im gesperrten Zustand.

1.6 Arbeitsspeicher überschreiben beim Neustart

  • Option: „Überschreiben des Arbeitsspeichers beim Neustart verhindern“
  • Status: Deaktivieren

Warum?

Mit dieser Richtlinieneinstellung werden BitLocker-Schlüssel beim Neustart des Computers aus dem Arbeitsspeicher entfernt.

2. PowerShell-Befehle für Kontrolle und Feineinstellungen

Führe die PowerShell als Administrator aus:

# TPM Status anzeigen
get-tpm

# BitLocker Status für Laufwerk C:
Get-BitLockerVolume -MountPoint "C:"

# Schlüsselprotektoren anzeigen
Get-BitLockerVolume -MountPoint "C:" | Select-Object -ExpandProperty KeyProtector

# Device Guard Infos anzeigen
Get-ComputerInfo | Select-Object DeviceGuard* | Format-List

# SMB1 ggf. deaktivieren (Sicherheitsrisiko)
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

3. Wichtige System-Optimierungen

  • Kernisolierung aktivieren:
    Windows-Sicherheit > Gerätesicherheit > Kernisolierung aktivieren
    Erhöht Schutz vor Angriffen auf Kernel-Ebene.
  • Schnellstart deaktivieren:
    Systemsteuerung > Energieoptionen > Auswählen, was beim Drücken von Netzschaltern passiert > Schnellstart deaktivieren
    Verhindert potenzielle Sicherheitslücken beim Hochfahren.
  • Ruhezustand aktivieren:
    Energiespareinstellungen > Erweiterte Einstellungen
    Ruhezustand statt „Energie sparen“ verwenden.

4. Kontosperrungsrichtlinie anpassen für Passwort-Sicherheit

Pfad:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinie

  • Empfehlung:
    Setze angemessene Schwellenwerte für Sperrzeiten und Anzahl der Fehlversuche, um Brute-Force-Angriffe zu erschweren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert