Windows 10

Speichern auf nicht verschlüsselten externen Medien verhindern

20.12.2019
Von 
Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Wer seine Festplattendaten schützen will, greift unter Windows in den Pro- oder Enterprise-Editionen zu BitLocker. Zugriff auf die Daten erhält man dann nur noch per Passwort. Damit keine Informationen gestohlen werden, lässt sich in Windows 10 zusätzlich die Speicherung von geschützten Dateien etwa auf USB-Sticks verhindern.

Bitlocker aktivieren

Das Ganze ist natürlich nur sinnvoll und funktioniert erst dann, wenn Sie Ihren Rechner mit BitLocker schützen. Die Option erreichen Sie zum Beispiel über die Systemsteuerung. Von der Startseite aus navigieren Sie zu System und Sicherheit / BitLocker-Laufwerkverschlüsselung. In der Übersicht werden alle aktuell mit dem Computer verbundenen Laufwerke aufgeführt. Klicken Sie neben dem Laufwerk, auf dem Windows installiert ist (C:), auf BitLocker aktivieren.

Nun startet ein Assistent, der Sie durch alle notwendigen Schritte führt. Sie können im Allgemeinen die Defaults bestätigen. Bei der Frage, wo Sie den Recovery-Schlüssel speichern wollen, sollten Sie sich aber für eine andere Möglichkeit als das Microsoft-Konto entscheiden. Nur so ist sichergestellt, dass Sie die alleinige Kontrolle darüber haben. Am Ende des Vorgangs finden Sie auf der BitLocker-Verwaltungsseite den Hinweis, dass die Verschlüsselung für Ihr Betriebssystem-Laufwerk aktiviert ist.

Gruppenrichtlinien-Editor öffnen

Im Folgenden legen Sie fest, dass Daten von Ihrem mit BitLocker geschützten Rechner nicht auf unverschlüsselten externen Datenträgern landen, etwa USB-Sticks. In früheren Versionen von Windows 10 ließ sich die Option über die Einstellungen unter Update und Sicherheit / Wechseldatenträger vornehmen. Diese Möglichkeit hat Microsoft offenbar zwischenzeitlich entfernt.

Stattdessen starten Sie nun den Gruppenrichtlinien-Editor über gpedit.msc im Ausführen-Dialog. Wechseln Sie zu Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerkverschlüsselung / Wechseldatenträger.

Schreibzugriff auf Wechseldatenträger verweigern

Auf der rechten Seite öffnen Sie die Richtlinie Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind. Standardmäßig ist diese Einstellung nicht konfiguriert, sodass Windows alle auf dem Computer entfernbaren Laufwerke mit Lese- und Schreibzugriff bereitstellt. Klicken Sie auf den Options-Button Aktiviert, können Sie auf einen solchen Datenträger, der nicht mit BitLocker verschlüsselt ist, nicht mehr schreibend zugreifen.

Ein zusätzlicher Schutz ergibt sich, wenn Sie die Checkbox Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert sind aktivieren. In dem Fall erhalten nur Laufwerke mit spezifischen IDs Schreibzugriff. Zuständig dafür ist die Richtlinie Eindeutige IDs für Ihre Organisation bereitstellen. Sie finden die Einstellung ebenfalls in der Computerkonfiguration unter Administrative Vorlagen / Windows-Komponenten / BitLocker-Laufwerkverschlüsselung. (ad)