[Win8] Windows RT + SD Karte und Bitlocker To Go

  • Article

Update Windows RT 8.1: Mit Windows RT 8.1 wurde das Autounlock für Removable Drives möglich (vgl. Kommentare). Kurz: "manage-bde -autounlock -enable d:" oder über das UI beim ersten Einlegen.

 

Jetzt, wo zunehmend Windows RT Geräte auf den Markt kommen und diese oftmals auch Slots für z.B. SD Karten bieten, stellt sich (hoffentlich) die Frage, wie denn die Inhalte von solchen Karten grade im Business Umfeld geschützt werden können.

Als Beispiel habe ich in mein 32GB Surface eine 64GB microSD Karte eingelegt um den verfügbaren Speicherplatz zu erweitern. Sprich ich habe nicht vor, diese Karte (öfter) herauszunehmen, sondern möchte insb. Bilder, Musik und Dokumente lieber auf der Karte speichern um den knappen eingebauten Speicher nicht zu verschwenden.

Schaut man sich den File Explorer an, so wird man feststellen, dass das interne Laufwerk ein geöffnetes Schloss-Symbol anzeigt, welches bedeutet, dass das Laufwerk per Bitlocker verschlüsselt ist:

image
Bitlocker Symbol im File Explorer bei Windows RT

Wenn man nun die SD Karte einfügt, so hat man keine Möglichkeit diese Karte ebenfalls zu verschlüsseln, da Bitlocker To Go ein Pro/Enterprise Feature darstellt und daher natürlich nicht (direkt) für die Consumer Variante “Windows RT” zur Verfügung steht.

Sofern man über ein Windows 8 Pro/Enterprise Gerät (und die dazu gehörige Lizenz) verfügt, so kann man die Karte dort mit Bitlocker To Go verschlüsseln.

image
Bitlocker To Go auf Windows 8 Enterprise

 

Wird nun die mit Bitlocker To Go verschlüsselte Karte in das Gerät eingesteckt, so kann über das UI ganz normal das Laufwerk freigeschaltet werden. Jedoch wird dem geneigten Betrachter auffallen, dass es auf Windows RT keine Möglichkeit über das UI gibt, das Laufwerk automatisch freizuschalten.

Auch wer auf die Idee kommt, dies über die elevated (also als Admin ausgeführte) Kommandozeile mittels

manage-bde -autounlock -enable D:

zu versuchen, der wird mit der Meldung beglückt “Die Version von Windows bietet keine Unterstützung für dieses Feature der Bitlocker-Laufwerksverschlüsselung”.

Allerdings funktioniert die Kommandozeile zum manuellen Unlocken:

manage-bde –unlock d: –RecoveryPassword 123456-123456-123456-123456-123456-123456-123456-123456

(Den Recovery Key einfach aus der bei der Erstellung abgespeicherten Datei herauskopieren!)

Jetzt muss nur noch sichergestellt werden, dass dies gescriptet auch bei jedem System Start ausgeführt wird. Hierzu gibt es mehrere aus anderen Windows Versionen bekannte Möglichkeiten:

  1. Per Group Policy Startup Script
    => Ich rate von dieser Methode ab, da der “Gruppenrichtlinienclient” Dienst auf Windows RT per Default disabled ist und ein enablen sich negativ auf die Batterieleistung auswirken würde.
  2. Per Group Policy Logon Script
    => siehe 1.
  3. Per “Run” in der Registry
    => Prinzipiell Möglich, aber “fummelig”
  4. Per Scheduled Task (->"taskschd.msc") über ein Batch File
    => Meine empfohlene Methode, da einfach über UI zu konfigurieren

imageimage
Geplante Aufgabe “Bitlocker To Go Unlock”

 

Mittels des Scheduled Tasks/Geplanter Aufgabe wird die SD Karte automatisch bei jedem Systemstart freigeschaltet und ich kann bedenkenlos meine Bilder, Musik und Dokumente zugreifen.

Tipp:

Wenn man nun noch seine virtuellen Ordner und die Inhalte der Bibliotheken auf die SD Karte verlagern möchte, so sollte man wissen, dass Dateien auf Wechseldatenträgern nicht indiziert werden.

Dies kann man wie folgt lösen:

  1. Man erstelle einen symbolischen Link (aka Junction) auf der lokalen Festplatte auf die SD, bzw. einen Ordner darauf, z.B.:
    mklink /j c:\sdcard d:\
  2. Dann ändert man den Pfad der virtuellen Ordner wie Dokumente, Bilder, Desktop, etc , ohne dabei manuell eine Junction o.ä. an zu legen:

image

In den Eigenschaften der virtuellen Ordner auf “Location” bzw. “Pfad” klicken und diesen dort ändern

Durch diese simple Einstellung werden die Dokumente auch in den Index mit aufgenommen, obwohl diese auf einem Wechseldatenträger liegen, und können ganz normal ge-/durchsucht werden.

 

Update 21.10.13: Die Scheduled Tasks werden unter Windows RT genauso gemanaged wie unter jedem anderen Windows auch, z.B. einfach "taskschd.msc" aufrufen. Ich werde dazu später (vermutlich erst in den nächsten Tagen) noch Screenshots nachliefern.

 

Bis zum nächsten Post!

 

-Stephanus