Privatsphäre und Sicherheit

So verwenden Sie einen USB-Schlüssel zum Entsperren eines mit BitLocker verschlüsselten PCs


Aktivieren Sie die BitLocker-Verschlüsselung, und Windows entsperrt Ihr Laufwerk automatisch jedes Mal, wenn Sie Ihren Computer mit dem in den meisten modernen Computern integrierten TPM starten. Sie können jedoch jedes USB-Flash-Laufwerk als „Startschlüssel“ einrichten, der beim Booten vorhanden sein muss, bevor Ihr Computer sein Laufwerk entschlüsseln und Windows starten kann.

Dies fügt der BitLocker-Verschlüsselung effektiv eine Zwei-Faktor-Authentifizierung hinzu. Wenn Sie Ihren Computer starten, müssen Sie den USB-Schlüssel bereitstellen, bevor er entschlüsselt wird. Dies wäre besonders nützlich bei einem kleinen USB-Stick, den Sie an einem Schlüsselbund bei sich tragen.

VERBUNDEN: So richten Sie die BitLocker-Verschlüsselung unter Windows ein

Schritt 1: Aktivieren von BitLocker (falls noch nicht geschehen)

So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Dies erfordert natürlich die BitLocker-Laufwerkverschlüsselung, was bedeutet, dass es nur auf Professional- und Enterprise-Editionen von Windows funktioniert. Bevor Sie einen der folgenden Schritte ausführen können, müssen Sie die BitLocker-Verschlüsselung auf Ihrem Systemlaufwerk über die Systemsteuerung aktivieren.

Wenn Sie BitLocker auf einem PC ohne TPM aktivieren möchten, können Sie im Rahmen des Setupvorgangs einen USB-Startschlüssel erstellen. Dies wird anstelle des TPM verwendet. Die folgenden Schritte sind nur erforderlich, wenn BitLocker auf Computern mit TPMs aktiviert wird, über die die meisten modernen Computer verfügen.

Wenn Sie eine Home-Version von Windows haben, können Sie BitLocker nicht verwenden. Möglicherweise verfügen Sie stattdessen über die Geräteverschlüsselungsfunktion, die jedoch anders als BitLocker funktioniert und Ihnen nicht die Bereitstellung eines Startschlüssels ermöglicht.

Schritt 2: Aktivieren Sie den Startschlüssel im Gruppenrichtlinien-Editor

Nachdem Sie BitLocker aktiviert haben, müssen Sie die Systemstartschlüsselanforderung in der Windows-Gruppenrichtlinie aktivieren. Um den Gruppenrichtlinien-Editor zu öffnen, drücken Sie Windows+R auf Ihrer Tastatur, geben Sie „gpedit.msc“ in das Dialogfeld Ausführen ein und drücken Sie die Eingabetaste.

Gehen Sie im Gruppenrichtlinienfenster zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung> Betriebssystemlaufwerke.

Doppelklicken Sie im rechten Bereich auf die Option „Zusätzliche Authentifizierung beim Start erforderlich“.

1622860239 27 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Wählen Sie hier oben im Fenster „Aktiviert“. Klicken Sie dann auf das Kästchen unter „Configure TPM Startup Key“ und wählen Sie die Option „Require Startup Key With TPM“. Klicken Sie auf „OK“, um Ihre Änderungen zu speichern.

1622860239 894 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Schritt 3: Konfigurieren Sie einen Startschlüssel für Ihr Laufwerk

Sie können jetzt die manage-bde Befehl zum Konfigurieren eines USB-Laufwerks für Ihr mit BitLocker verschlüsseltes Laufwerk.

Stecken Sie zuerst ein USB-Laufwerk in Ihren Computer. Notieren Sie den Laufwerksbuchstaben des USB-Laufwerks – D: im Screenshot unten. Windows speichert eine kleine .bek-Datei auf dem Laufwerk, und so wird sie zu Ihrem Startschlüssel.

1622860240 223 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Starten Sie als Nächstes ein Eingabeaufforderungsfenster als Administrator. Klicken Sie unter Windows 10 oder 8 mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie „Eingabeaufforderung (Admin)“. Suchen Sie unter Windows 7 die Verknüpfung „Eingabeaufforderung“ im Startmenü, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Als Administrator ausführen“.

Führen Sie den folgenden Befehl aus. Der folgende Befehl funktioniert auf Ihrem Laufwerk C:. Wenn Sie also einen Systemstartschlüssel für ein anderes Laufwerk benötigen, geben Sie seinen Laufwerksbuchstaben anstelle von ein c: . Sie müssen auch den Laufwerksbuchstaben des angeschlossenen USB-Laufwerks eingeben, das Sie anstelle von als Startschlüssel verwenden möchten x: .

manage-bde -protectors -add c: -TPMAndStartupKey x:

1622860240 317 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Der Schlüssel wird als versteckte Datei mit der Dateierweiterung .bek auf dem USB-Laufwerk gespeichert. Sie können es sehen, wenn Sie versteckte Dateien anzeigen.

1622860240 217 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Wenn Sie Ihren Computer das nächste Mal starten, werden Sie aufgefordert, das USB-Laufwerk einzustecken. Seien Sie vorsichtig mit dem Schlüssel – jemand, der den Schlüssel von Ihrem USB-Laufwerk kopiert, kann diese Kopie verwenden, um Ihr mit BitLocker verschlüsseltes Laufwerk zu entsperren.

1622860240 594 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Um zu überprüfen, ob der TPMAndStartupKey-Schutz ordnungsgemäß hinzugefügt wurde, können Sie den folgenden Befehl ausführen:

manage-bde -status

(Der hier angezeigte Schlüsselschutz „Numerical Password“ ist Ihr Wiederherstellungsschlüssel.)

1622860241 894 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

So entfernen Sie die Systemstartschlüsselanforderung

Wenn Sie Ihre Meinung ändern und den Systemstartschlüssel später nicht mehr benötigen, können Sie diese Änderung rückgängig machen. Kehren Sie zunächst zum Gruppenrichtlinien-Editor zurück und ändern Sie die Option wieder auf „Startschlüssel mit TPM zulassen“. Sie können die Option nicht auf „Require Startup Key With TPM“ (Startschlüssel mit TPM erforderlich) gesetzt lassen, oder Windows lässt Ihnen nicht zu, die Systemstartschlüsselanforderung vom Laufwerk zu entfernen.

1622860241 936 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Öffnen Sie als Nächstes ein Eingabeaufforderungsfenster als Administrator und führen Sie den folgenden Befehl aus (ersetzen Sie erneut c: wenn Sie ein anderes Laufwerk verwenden):

manage-bde -protectors -add c: -TPM

Dadurch wird die Anforderung „TPMandStartupKey“ durch eine Anforderung „TPM“ ersetzt, wodurch die PIN gelöscht wird. Ihr BitLocker-Laufwerk wird beim Booten automatisch über das TPM Ihres Computers entsperrt.

1622860241 724 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Um zu überprüfen, ob dies erfolgreich abgeschlossen wurde, führen Sie den Statusbefehl erneut aus:

manage-bde -status c:

1622860241 643 So verwenden Sie einen USB Schluessel zum Entsperren eines mit BitLocker

Versuchen Sie zuerst, Ihren Computer neu zu starten. Wenn alles ordnungsgemäß funktioniert und Ihr Computer das USB-Laufwerk zum Booten nicht benötigt, können Sie das Laufwerk formatieren oder einfach die BEK-Datei löschen. Sie können sie auch einfach auf Ihrem Laufwerk belassen – diese Datei wird eigentlich nichts mehr tun.


Wenn Sie den Systemstartschlüssel verlieren oder die .bek-Datei vom Laufwerk löschen, müssen Sie den BitLocker-Wiederherstellungscode für Ihr Systemlaufwerk angeben. Sie sollten an einem sicheren Ort gespeichert haben, als Sie BitLocker für Ihr Systemlaufwerk aktiviert haben.

Bildnachweis: Tony Austin/Flickr



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"