Manchmal möchte man ja seine eigenen Dateien vor unberechtigtem Zugriff schützten. Softwareseitig gibt es dort eine Menge Möglichkeiten mit Firewalls, zusätzlichen Routern etc. Doch wenn ein Dieb ins Haus kommt und gleich den ganzen Homeserver mitnimmt, so hat dieser auch Zugriff auf unverschlüsselte Daten, also allen Fotos, Videos, und Dateien, unabhängig davon, ob der Dieb auch die Clients mitgenommen hat oder nicht. Mit dem Homeserver bekommt ein Dieb auch Zugriff hat auf die Backupdatenbank und somit auf alle Dateien die auf den Client gesichert wurden. Dazu gehören Private, wie auch geschäftliche Briefe, eventuell gespeicherte Passwörter und andere sensible Daten.

Das setzten eines Passwortes für den Administrator schützt die gespeicherten Daten nicht. Diese sind jederzeit zum Beispiel mit einem zweiten PC lesbar. Die Verschlüsselung der Daten reicht aus, solange der Dieb die geheimen Schlüssel nicht kennt. Bekannte Vertreter sind Bitlocker von Microsoft und die Open-Source Variante Truecrypt. Auf einem Client funktionieren beide Variante, doch Bitlocker ist nur in Windows 7 Ultimate enthalten. Beim WHS sieht das anders aus. Mit Truecrypt kann die Bootpartition verschlüsselt werden, jedoch nicht die Datenpartitionen. Werden die Datenpartitionen mit Truecrypt verschlüsselt, so hat der WHS keinen Zugriff mehr auf diese und sieht die Partitionen als nicht Formatiert an. Dies ist ein Problem von Truecrypt, welches keine Schreibvorgänge auf das verschlüsselte Laufwerk zulässt, sondern nur auf eingebundene Volumes. Der WHS kann mit den eingehängten Volumes leider nicht umgehen. Kurz gesagt bleibt für die Verschlüsselung vom WHS 2011 nur die Möglichkeit Bitlocker. Mit Bitlocker wird jede Partition einzeln verschlüsselt. Dazu generiert der zu verschlüsselnde Computer für jede zu verschlüsselnde Partition zwei Keys, welche auf einem USB Stick gesichert werden müssen. Wie das alles geht zeige ich in einem Bilder-Album am Ende des Artikel und beschreibe es hier.

Was man braucht ist: einen WHS 2011 und einen USB Stick.

Zunächst installiert man die Bitlocker Laufwerksverschlüsselung. Das geht unter Server Manager/Features/Features hinzufügen. (Bild 1)

Daraufhin öffnet sich ein Fenster, bei dem man die Bitlocker-Laufwerksverschlüsselung auswählen kann. (Bild 2)

Nach einem Klick auf Weiter kommt man zu einer Übersicht, in der man noch einmal bestätigen muss, dass man die gewünschten Features, also nur die Bitlocker Verschlüsselung aktivieren möchte. (Bild 3)

Mit einem Klick auf Installieren beginnt die Installation. (Bild 4) Nach der Installation muss der WHS2011 neugestartet werden. (Bild 5&6)

Nach dem Neustart ist die Installation beendet und man kann das Installationsergebnis und den Servermanager wieder schließen. (Bild 7)

In den Systemsteuerungen ist nun der Button Bitlocker-Laufwerksverschlüsselung erschienen. (Bild 8 )

Damit öffnet sich ein Fenster, wo man die Verschlüsselung für jedes Laufwerk aktivieren kann. Damit weiter Partitionen, wie D: oder E: auch automatisch beim Systemstart entschlüsselt werden können, muss die Partition C verschlüsselt sein. (Bild 9)

Vor der Verschlüsselung wird noch einmal nachgefragt, ob die Verschlüsselung wirklich genutzt werden soll. Mit einer Bestätigung auf Ja geht’s weiter. (Bild 10)

Hat der PC ein TPM (Wikipedia), dann wird die Verschlüsselung fortgesetzt. Viele der heutigen PCs besitzen jedoch kein TPM, wodurch eine Fehlermeldung ausgegeben wird, dass kein TPM vorhanden ist. (Bild 11)

Man kann Bitlocker jedoch so konfigurieren, dass es auch ohne Bitlocker funktioniert. Dazu wird zunächst der Editor für lokale Gruppenrichtlinien aufgerufen. Dies klappt am besten, wenn man im Startmenü in die Suche gpedit.msc eingibt und mit Enter bestätigt. Im sich öffnenden Fenster hangelt man sich nun zu Richtlinien für lokale Computer/Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laifwerksverschlüsselung/Betreibssystemlaufwerke und öffnet mit einem Klick auf Zusätzliche Authentifizierung beim Start anfordern ein weiteres Fenster. (Bild 12)

In der nun geöffneten Einstellung aktiviert man Zusätzliche Authentifizierung beim Start anfordern. In den Optionen setzt man das Kästchen bei Bitlocker ohne kompatibles TPM zulassen. (Bild 13)

Wenn man nun wieder in den Systemsteuerungen die Bitlocker Verschlüsselung aktivieren will (Bilder 9/10), so wird keine Fehlermeldung mehr angezeigt und man gelangt zu einem Fenster, in dem man zum sichern des Startschlüssels aufgefordert wird. Der Startschlüssel wird später benötigt um den WHS normal zu starten. (Bild 14)

Nach einem Klick auf Bei jedem Start Systemschlüssel anfordern gelangt man zur Auswahl, auf welchem Wechseldatenträger der Startschlüssel gespeichert werden kann. Ich empfehle, dass der USB Stick komplett leer ist und vollständig formatiert ist. Beim Klick auf Speichern wird eine versteckte Datei auf den USB-Stick geschrieben mit der Endung .bek.

Danach muss man den Wiederherstellungsschlüssel sichern. Dies kann man auf demselben USB Stick machen, auf dem man auch schon den Startschlüssel gespeichert hat. Man kann ihn jedoch auch ausdrucken oder in einem Beliebigen Ordner sichern. Wichtig ist nur, dass man später an diesen Schlüssel herankommt und ihn nicht verliert. Also sichert am besten beide Schlüssel extern. Sollte die Installation, bzw. die Festplatte einmal einen Schaden erleiden, so kann man den WHS eventuell nicht mehr mit dem Startschlüssel starten, mit dem Wiederherstellungsschlüssel kann man jedoch alle nicht beschädigten Daten entschlüsseln. (Bild 16 und 17)

Am Schluss wird man aufgefordert die Bitlocker Verschlüsselung zu testen, indem der WHS nun neugestartet wird. (Bild 18 und 19)

Zum Starten wird nur der Startschlüssel auf einem USB Stick benötigt. Der Stick muss solange eingesteckt sein, damit der WHS den Schlüssel davon herunterlesen kann und dann starten kann. Ist der WHS an, so kann der USB stick auch entfernt werden. Der USB-Stick wird somit nur bei Startvorgängen gebraucht, sprich, ist der PC Heruntergefahren oder im Ruhezustand wird der USB-Stick zum Starten gebraucht, ist er im Standby wird er nicht gebraucht.

Auf dem Bild 20 sieht man, wie der Startschlüssel und der Wiederherstellungsschlüssel auf dem Laufwerk aussehen. Der Startschlüssel hat dabei einen zufälliger kryptischer Namen mit der Endung .bek. Der Widerherstellungsschlüssel ist ein Normales Textdokument, welches auch später noch ausgedruckt werden kann. (Bild 20)

Nach dem Neustart meldet sich die Bitlocker Laufwerks Verschlüsselung, dass die Partition C verschlüsselt wird. Dies kann je nach Hardware mehrere Stunden dauern. (Bild 21 und 22)

Danach geht es für die anderen Partitionen, welche auch entsperrt werden sollen, wieder in den Systemsteuerungen weiter. Wählt man nun z.B. das Laufwerk D: zum Verschlüsseln aus, so wird man aufgefordert einen Entsperrungsschlüssel bzw. Wiederherstellungsschlüssel zu speichern. Dabei werden zwei Schlüssel auf einem USB Stick gespeichert. Eine Datei mit der Endung .bek und eine mit .txt. Beide Dateien sollten für die Wiederherstellung sicher gespeichert werden.

Update: Anmerkung für Benutzer von Lights-Out. Wird der WHS in den Standbymodus versetzt, wird die Systemfestplatte nicht gesperrt. Das heißt das der WHS ohne die Abfrage des Startkeys zum Normalzustand zurückkehrt. Wird der WHS in den Ruhezustand versetzt oder heruntergefahren, wird der Startkey abgefragt. Ich habe somit aus Sicherheitsgründen den Standbymodus deaktiviert und Lights-Out so eingestellt, dass es den WHS in den Ruhezustand versetzt.

Dazu setzt in lokalen Gruppenrichtlienie (gpedit.msc) unter Richtlinien für Lokalen Computer/Computekonfiguration/Administrative Vorlagen/system/Energieverwaltung/Energiesparmoduseinstellungen die Richtlinien Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb) und Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb) auf deaktiviert.