Compartilhar via

[Win8] Windows RT + SD Karte und Bitlocker To Go

  • Artigo

Update Windows RT 8.1: Mit Windows RT 8.1 wurde das Autounlock für Removable Drives möglich (vgl. Kommentare). Kurz: "manage-bde -autounlock -enable d:" oder über das UI beim ersten Einlegen.

 

Jetzt, wo zunehmend Windows RT Geräte auf den Markt kommen und diese oftmals auch Slots für z.B. SD Karten bieten, stellt sich (hoffentlich) die Frage, wie denn die Inhalte von solchen Karten grade im Business Umfeld geschützt werden können.

Als Beispiel habe ich in mein 32GB Surface eine 64GB microSD Karte eingelegt um den verfügbaren Speicherplatz zu erweitern. Sprich ich habe nicht vor, diese Karte (öfter) herauszunehmen, sondern möchte insb. Bilder, Musik und Dokumente lieber auf der Karte speichern um den knappen eingebauten Speicher nicht zu verschwenden.

Schaut man sich den File Explorer an, so wird man feststellen, dass das interne Laufwerk ein geöffnetes Schloss-Symbol anzeigt, welches bedeutet, dass das Laufwerk per Bitlocker verschlüsselt ist:

image
Bitlocker Symbol im File Explorer bei Windows RT

Wenn man nun die SD Karte einfügt, so hat man keine Möglichkeit diese Karte ebenfalls zu verschlüsseln, da Bitlocker To Go ein Pro/Enterprise Feature darstellt und daher natürlich nicht (direkt) für die Consumer Variante “Windows RT” zur Verfügung steht.

Sofern man über ein Windows 8 Pro/Enterprise Gerät (und die dazu gehörige Lizenz) verfügt, so kann man die Karte dort mit Bitlocker To Go verschlüsseln.

image
Bitlocker To Go auf Windows 8 Enterprise

 

Wird nun die mit Bitlocker To Go verschlüsselte Karte in das Gerät eingesteckt, so kann über das UI ganz normal das Laufwerk freigeschaltet werden. Jedoch wird dem geneigten Betrachter auffallen, dass es auf Windows RT keine Möglichkeit über das UI gibt, das Laufwerk automatisch freizuschalten.

Auch wer auf die Idee kommt, dies über die elevated (also als Admin ausgeführte) Kommandozeile mittels

manage-bde -autounlock -enable D:

zu versuchen, der wird mit der Meldung beglückt “Die Version von Windows bietet keine Unterstützung für dieses Feature der Bitlocker-Laufwerksverschlüsselung”.

Allerdings funktioniert die Kommandozeile zum manuellen Unlocken:

manage-bde –unlock d: –RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456

(Den Recovery Key einfach aus der bei der Erstellung abgespeicherten Datei herauskopieren!)

Jetzt muss nur noch sichergestellt werden, dass dies gescriptet auch bei jedem System Start ausgeführt wird. Hierzu gibt es mehrere aus anderen Windows Versionen bekannte Möglichkeiten:

  1. Per Group Policy Startup Script
    => Ich rate von dieser Methode ab, da der “Gruppenrichtlinienclient” Dienst auf Windows RT per Default disabled ist und ein enablen sich negativ auf die Batterieleistung auswirken würde.
  2. Per Group Policy Logon Script
    => siehe 1.
  3. Per “Run” in der Registry
    => Prinzipiell Möglich, aber “fummelig”
  4. Per Scheduled Task (->"taskschd.msc") über ein Batch File
    => Meine empfohlene Methode, da einfach über UI zu konfigurieren

imageimage
Geplante Aufgabe “Bitlocker To Go Unlock”

 

Mittels des Scheduled Tasks/Geplanter Aufgabe wird die SD Karte automatisch bei jedem Systemstart freigeschaltet und ich kann bedenkenlos meine Bilder, Musik und Dokumente zugreifen.

Tipp:

Wenn man nun noch seine virtuellen Ordner und die Inhalte der Bibliotheken auf die SD Karte verlagern möchte, so sollte man wissen, dass Dateien auf Wechseldatenträgern nicht indiziert werden.

Dies kann man wie folgt lösen:

  1. Man erstelle einen symbolischen Link (aka Junction) auf der lokalen Festplatte auf die SD, bzw. einen Ordner darauf, z.B.:
    mklink /j c:\sdcard d:\
  2. Dann ändert man den Pfad der virtuellen Ordner wie Dokumente, Bilder, Desktop, etc , ohne dabei manuell eine Junction o.ä. an zu legen:

image

In den Eigenschaften der virtuellen Ordner auf “Location” bzw. “Pfad” klicken und diesen dort ändern

Durch diese simple Einstellung werden die Dokumente auch in den Index mit aufgenommen, obwohl diese auf einem Wechseldatenträger liegen, und können ganz normal ge-/durchsucht werden.

 

Update 21.10.13: Die Scheduled Tasks werden unter Windows RT genauso gemanaged wie unter jedem anderen Windows auch, z.B. einfach "taskschd.msc" aufrufen. Ich werde dazu später (vermutlich erst in den nächsten Tagen) noch Screenshots nachliefern.

 

Bis zum nächsten Post!

 

-Stephanus

Comments

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    October 21, 2013
    Hallo Stephanus, danke für die Anleitung. Man sollte noch bermerken, dass man die CMD als Admin ausführen muss damit manage-bde funktioniert. Was mich noch interessieren würde: Wei erstellt man einen scheduled task unter Windows 8.1? EInen Taskplaner finde ich nirgends.

  • Anonymous
    October 21, 2013
    The comment has been removed

  • Anonymous
    November 01, 2013
    The comment has been removed

  • Anonymous
    November 24, 2013
    The comment has been removed

  • Anonymous
    November 25, 2013
    Danke euch beiden für den Hinweis, diese Möglichkeit ist neu mit Windows 8.1 und war unter Windows RT 8.0 noch nicht implementiert. VG Stephanus

  • Anonymous
    February 27, 2015
    The comment has been removed

  • Anonymous
    March 12, 2016
    Hallo, da ich aus Sicherheitsgründen auf dem Surface-2 mit RT 8.1 gerne von einem lokalen Standardnutzer- Account (d.h. ohne Admin-Recht) aus arbeite: Ist eine Entsperrung bzw. die automatische Entsperrung der SD-Karte auch von einem solchen Konto aus möglich?

  • Anonymous
    March 18, 2016
    Sollte funktionieren. manage-bde bedarf nicht per default Admin Rechte - habe ich allerdings nicht getestet, von daher nur eine Vermutung!