Durch die Aktivierung von BitLocker wird ein Hintergrundprozess gestartet, der alle vorhandenen Daten verschlüsselt. (Bei HDDs ist dies traditionell ein langer Prozess, da jeder Partitionssektor gelesen und neu geschrieben werden muss - bei selbstverschlüsselnden Festplatten kann es sofort sein.) Wenn also gesagt wird, dass nur neu geschriebene Daten verschlüsselt werden, bezieht sich dies sofort auf den Zustand nach der BitLocker-Aktivierung und ist nach Abschluss der Hintergrundverschlüsselungsaufgabe nicht mehr gültig. Der Status dieses Prozesses kann im selben Fenster des BitLocker-Steuerungsfensters angezeigt und bei Bedarf angehalten werden.
Der Microsoft-Artikel muss sorgfältig gelesen werden. In diesem Artikel werden nur die verwendeten Bereiche der Festplatte verschlüsselt. Sie werben nur dies als auf frische Systemen den größten Einfluss hat, in dem Sie keine Daten haben noch neben dem Basis - Betriebssystem (und damit alle Daten werden „neu geschrieben“). Das heißt, 10 Fenster werden alle vorhandenen Dateien nach der Aktivierung verschlüsseln - es wird einfach nicht die Zeit zu verschlüsseln Plattensektoren verschwenden, die alles enthalten noch nicht. (Sie können diese Optimierung über die Gruppenrichtlinie deaktivieren.)
(Der Artikel weist auch auf einen Nachteil hin: Bereiche, in denen zuvor gelöschte Dateien gespeichert waren, werden ebenfalls als "nicht verwendet" übersprungen. Wenn Sie also ein gut verwendetes System verschlüsseln, löschen Sie den Speicherplatz mit einem freien Speicherplatz und lassen Sie Windows dann TRIM ausführen, wenn dies der Fall ist Sie verfügen über eine SSD, bevor Sie BitLocker aktivieren, oder deaktivieren Sie dieses Verhalten mithilfe der Gruppenrichtlinie.)
In demselben Artikel wird auch auf neuere Windows-Versionen hingewiesen, die selbstverschlüsselnde SSDs mit dem OPAL-Standard unterstützen. Der Grund dafür, dass Sie keine Hintergrund-E / A sehen, ist möglicherweise darauf zurückzuführen, dass die SSD vom ersten Tag an intern verschlüsselt wurde und BitLocker dies erkannte und nur die Schlüsselverwaltung auf SSD-Ebene übernahm, anstatt die Verschlüsselung auf Betriebssystemebene zu duplizieren. Das bedeutet, dass sich die SSD beim Einschalten nicht mehr selbst entriegelt, sondern Windows erfordert. Dies kann über die Gruppenrichtlinie deaktiviert werden, wenn das Betriebssystem die Verschlüsselung trotzdem bevorzugen soll.
Durch das Anhalten von BitLocker wird eine Klartextkopie des 'master'-Schlüssels direkt auf die Festplatte geschrieben. (Normalerweise wird dieser Hauptschlüssel zuerst mit Ihrem Kennwort oder mit einem TPM verschlüsselt.) Im Suspend-Modus kann die Festplatte eigenständig entsperrt werden. Dies ist eindeutig ein unsicherer Status. Windows Update kann jedoch das TPM entsprechend dem aktualisierten Betriebssystem neu programmieren, zum Beispiel. Die Wiederaufnahme von BitLocker löscht diesen einfachen Schlüssel einfach von der Festplatte.
BitLocker hat nichts mit EFS zu tun. Letzteres arbeitet auf Dateiebene und ordnet Schlüsseln Windows-Benutzerkonten zu (wodurch eine feinkörnige Konfiguration möglich ist, die eigenen Dateien des Betriebssystems jedoch nicht verschlüsselt werden können), während ersteres auf der Ebene der gesamten Festplatte arbeitet. Sie können zusammen verwendet werden, obwohl BitLocker EFS meistens überflüssig macht.
(Beachten Sie, dass sowohl BitLocker als auch EFS über Mechanismen verfügen, mit denen Active Directory-Administratoren des Unternehmens die verschlüsselten Daten wiederherstellen können - entweder durch Sicherung des BitLocker-Hauptschlüssels in AD oder durch Hinzufügen eines EFS -Datenwiederherstellungs-Agenten zu allen Dateien.)