(0) exportieren Drucken
Alle erweitern

BitLocker-Laufwerkverschlüsselung

Letzte Aktualisierung: August 2010

Betrifft: Windows Server 2008

Die Windows BitLocker™-Laufwerkverschlüsselung (BitLocker) ist ein Sicherheitsfeature der Betriebssysteme Windows Vista® und Windows Server® 2008, mit dem Sie das Betriebssystem auf dem Computer sowie die auf dem Betriebssystemvolume gespeicherten Daten schützen können. In Windows Server 2008 kann der BitLocker-Schutz außerdem auf für die Datenspeicherung verwendete Volumes erweitert werden.

Wozu dient die Windows BitLocker-Laufwerkverschlüsselung?

BitLocker hat zwei Funktionen:

  • Mit BitLocker werden alle auf dem Windows-Betriebssystemvolume (und den konfigurierten Datenvolumes) gespeicherten Daten verschlüsselt. Dazu gehören das Windows-Betriebssystem, Ruhezustand- und Auslagerungsdateien, Anwendungen und von Anwendungen verwendete Daten.

  • BitLocker ist standardmäßig für die Verwendung eines TPM (Trusted Platform Module) konfiguriert, um die Integrität vorrangiger Startkomponenten (Komponenten, die in den früheren Phasen des Startprozesses verwendet werden) sicherzustellen. Alle mit BitLocker geschützten Volumes werden gesperrt, sodass sie auch dann geschützt sind, wenn der Computer bei nicht ausgeführtem Betriebssystem manipuliert wird.

In Windows Server 2008 ist BitLocker eine optionale Komponente, die installiert werden muss, bevor sie verwendet werden kann. Zum Installieren von BitLocker wählen Sie die Komponente im Server-Manager aus, oder geben Sie an einer Eingabeaufforderung Folgendes ein:

ServerManagerCmd -install BitLocker -restart

Für wen ist dieses Feature von Interesse?

BitLocker könnte für folgende Personenkreise von Interesse sein:

  • Administratoren, IT-Sicherheits-Professionals und Compliance Officers, die sicherstellen müssen, dass vertrauliche Daten nicht ohne Autorisierung offengelegt werden

  • Administratoren, die für das Schützen von Computern in Remotebüros oder Zweigstellen zuständig sind

  • Administratoren, die für mobile Server oder Windows Vista-Clientcomputer zuständig sind

  • Administratoren, die für die Außerbetriebsetzung von Servern, auf denen vertrauliche Daten gespeichert sind, zuständig sind

Gibt es spezielle Überlegungen?

Damit die vollständige Funktionalität von BitLocker genutzt werden kann, ist ein System mit einem kompatiblen TPM-Mikrochip und BIOS erforderlich. Ein kompatibles TPM ist definiert als ein TPM der Version 1.2. Ein kompatibles BIOS muss das TPM und Static Root of Trust Measurement gemäß der Definition durch die Trusted Computing Group unterstützen. Weitere Informationen zu TPM-Spezifikationen finden Sie im Abschnitt zu TPM-Spezifikationen auf der Website der Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=72757, möglicherweise in englischer Sprache).

Für BitLocker ist eine unverschlüsselte Partition als aktive Partition (wird manchmal als Systempartition bezeichnet) erforderlich. Das Windows-Betriebssystem wird auf einer zweiten mit BitLocker verschlüsselten Partition installiert.

Sie müssen beim Umgang mit der Verschlüsselung von Daten, insbesondere in einer Unternehmensumgebung, immer berücksichtigen, wie die Daten im Fall eines Hardwarefehlers, bei Personaländerungen oder in anderen Situationen, in denen Verschlüsselungsschlüssel verloren gehen, wiederhergestellt werden können. BitLocker unterstützt ein robustes Wiederherstellungsszenario, das weiter unten in diesem Artikel beschrieben wird.

Welche neue Funktionalität wird mit diesem Feature bereitgestellt?

Zu den wichtigsten Features von BitLocker gehören die Verschlüsselung ganzer Volumes, die Überprüfung der Integrität vorrangiger Startkomponenten, ein robuster Wiederherstellungsmechanismus und die Unterstützung eines sicheren Außerbetriebsetzungsprozesses.

Verschlüsselung ganzer Volumes

Alle Daten, die auf ein mit BitLocker geschütztes Volume geschrieben werden, werden verschlüsselt. Dazu gehört das Betriebssystem selbst sowie alle Anwendungen und Daten.

Wieso ist diese Funktionalität wichtig?

Sie trägt zum Schutz der Daten vor nicht autorisiertem Zugriff bei. Obwohl die physische Sicherheit der Server wichtig bleibt, kann BitLocker zum Schutz von Daten beitragen, wenn ein Computer gestohlen wird, von einem Standort an einen anderen transportiert wird oder anderweitig außerhalb Ihrer physischen Kontrolle ist.

Das Verschlüsseln des Datenträgers trägt dazu bei, Offlineangriffe zu verhindern, beispielsweise den Versuch durch Entfernen eines Laufwerks aus einem Computer und Installation in einem anderen Computer die Sicherheitsvorkehrungen von Windows zu umgehen, beispielsweise die durch NTFS-Zugriffssteuerungslisten (Access Control Lists, ACLs) erzwungenen Berechtigungen.

Inwiefern unterscheidet sich die Funktionsweise?

BitLocker ist im Code der vorrangigen Startkomponenten (Master Boot Record (MBR), Startsektor, Start-Manager, Windows-Ladeprogramm) und als Filtertreiber, der elementarer Bestandteil des Betriebssystem ist, implementiert.

Beim ersten Aktivieren von BitLocker müssen vorhandene Daten auf dem Volume verschlüsselt werden. Sie können den Computer während dieses Vorgangs verwenden, aber Sie werden möglicherweise während dieser ersten Verschlüsselung eine reduzierte Leistung feststellen.

Nach Abschluss der ersten Verschlüsselung verursacht das Verwenden des verschlüsselten Volumes eine geringfügige Leistungsbeeinträchtigung beim Datenträgerzugriff. Obwohl dies stark von der jeweiligen Hardware und den Verwendungsmustern abhängig ist, ist eine Schätzung von 3 bis 5 Prozent angemessen. Auf Clientsystemen ist dies für die Benutzer normalerweise nicht bemerkbar. Auf Servern mit hoher Auslastung sollten Sie die Leistung des Datenträgersubsystems auswerten.

Die Verwendung eines BitLocker-aktivierten Datenträgers ist für das Betriebssystem und alle Anwendungen transparent.

Weitere Informationen zu den Einzelheiten des BitLocker-Verschlüsselungsalgorithmus finden Sie im Artikel zu AES-CBC und Elephant Diffuser (http://go.microsoft.com/fwlink/?LinkId=82824, möglicherweise in englischer Sprache).

Wie sollte diese Änderung vorbereitet werden?

Weitere Informationen zur Planung finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Integritätsprüfung

In Verbindung mit dem TPM überprüft BitLocker die Integrität der vorrangigen Startkomponenten und trägt dadurch dazu bei, zusätzliche Offlineangriffe zu verhindern, beispielsweise Versuche, bösartigen Code in diese Komponenten einzufügen.

Wieso ist diese Funktionalität wichtig?

Da die Komponenten in der frühesten Phase des Startprozesses unverschlüsselt verfügbar sein müssen, damit der Computer gestartet werden kann, könnte ein Angreifer den Code in diesen vorrangigen Startkomponenten ändern und dann Zugriff auf den Computer erhalten, obwohl die Daten auf dem Datenträger verschlüsselt wurden. Wenn dann der Angreifer Zugriff auf vertrauliche Informationen wie die BitLocker-Schlüssel oder Benutzerkennwörter erhält, könnten BitLocker und andere Windows-Sicherheitsmaßnahmen umgangen werden.

Inwiefern unterscheidet sich die Funktionsweise?

Auf mit einem TPM ausgestatteten Computern wird bei jedem Starten des Computers der auszuführende Code von jeder der vorrangigen Startkomponenten (beispielsweise BIOS, MBR, Startsektor und Code des Start-Managers) überprüft. Außerdem wird ein Hashwert berechnet, der im TPM gespeichert wird. Wenn der Wert im TPM gespeichert ist, kann er erst beim Neustart des Systems ersetzt werden. Eine Kombination dieser Werte wird aufgezeichnet.

Diese aufgezeichneten Werte können auch zum Schützen von Daten verwendet werden, indem mithilfe des TPM ein Schlüssel erstellt wird, der an diese Werte gebunden ist. Wenn dieser Schlüsseltyp erstellt wird, wird er vom TPM verschlüsselt und kann nur von genau diesem TPM entschlüsselt werden. Bei jedem Starten des Computers werden die während des aktuellen Starts generierten Werte vom TPM mit den Werten verglichen, die beim Erstellen des Schlüssels vorhanden waren. Der Schlüssel wird nur entschlüsselt, wenn diese Werte übereinstimmen. Dieser Prozess wird als "Versiegeln" und "Aufheben der Versiegelung" des Schlüssels bezeichnet.

Standardmäßig werden mit BitLocker Schlüssel für CRTM (Core Root of Trust of Measurements), für das BIOS und beliebige Plattformerweiterungen, für die Option für Code für den schreibgeschützten Speicher (Read-only Memory, ROM), für MBR-Code, für den NTFS-Startsektor und für den Start-Manager überprüft und versiegelt. Das bedeutet, dass bei unerwarteten Änderungen eines dieser Elemente das Laufwerk von BitLocker gesperrt wird, sodass der Zugriff oder die Entschlüsselung nicht möglich ist.

BitLocker ist standardmäßig so konfiguriert, dass ein TPM gesucht und verwendet wird. Sie können Gruppenrichtlinien verwenden, um die Ausführung von BitLocker ohne TPM zuzulassen, und Schlüssel auf einem externen USB-Flashlaufwerk speichern; dann können jedoch die vorrangigen Startkomponenten von BitLocker nicht überprüft werden.

Wie können diese Probleme gelöst werden?

Berücksichtigen Sie bei der Kaufentscheidung für Hardware die Verfügbarkeit eines TPM. Wenn kein TPM vorhanden ist, wird die physische Sicherheit des Servers noch wichtiger.

BitLocker sollte während geplanter Wartungen, bei denen erfasste vorrangige Startkomponenten geändert werden, deaktiviert werden. BitLocker kann nach Abschluss der Wartung erneut aktiviert werden, und die neuen Plattformwerte werden für die Schlüssel verwendet. Beim Deaktivieren und erneuten Aktivieren ist keine Entschlüsselung und erneute Verschlüsselung des Datenträgers erforderlich.

Wie sollte diese Änderung vorbereitet werden?

Weitere Informationen zur Planung finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Wiederherstellungsoptionen

BitLocker unterstützt eine Reihe robuster Wiederherstellungsoptionen, mit denen die Verfügbarkeit der Daten für berechtigte Benutzer sichergestellt werden kann.

Wieso ist diese Funktionalität wichtig?

Es ist unerlässlich, dass die Daten einer Organisation entschlüsselt werden können, auch wenn die am häufigsten verwendeten Verschlüsselungsschlüssel nicht verfügbar sind. Die Wiederherstellungsmöglichkeit ist im Design von BitLocker ohne "Hintertüren" enthalten, Unternehmen können jedoch problemlos sicherstellen, dass die Daten sowohl geschützt als auch verfügbar sind.

Inwiefern unterscheidet sich die Funktionsweise?

Wenn BitLocker aktiviert ist, werden die Benutzer aufgefordert, ein "Wiederherstellungskennwort" zu speichern, mit dem die Sperre eines gesperrten BitLocker-Volumes aufgehoben werden kann. Für den Setup-Assistenten der BitLocker-Laufwerkverschlüsselung muss mindestens eine Kopie des Wiederherstellungskennworts gespeichert werden.

In vielen Umgebungen können Sie sich jedoch möglicherweise nicht darauf verlassen, dass die Benutzer Wiederherstellungskennwörter aufbewahren und schützen. Daher können Sie BitLocker so konfigurieren, dass Wiederherstellungsinformationen in Active Directory oder in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert werden.

Es wird empfohlen, Wiederherstellungskennwörter in Unternehmensumgebungen in Active Directory zu speichern.

Wie können diese Probleme gelöst werden?

BitLocker kann mithilfe von Gruppenrichtlinieneinstellungen so konfiguriert werden, dass verschiedene Arten der Speicherung von Wiederherstellungskennwörtern erforderlich sind, verhindert werden oder optional sind.

Mithilfe von Gruppenrichtlinieneinstellungen können Sie auch verhindern, dass BitLocker aktiviert wird, wenn die Schlüssel nicht in Active Directory gesichert werden können.

Weitere Informationen zum Konfigurieren von Active Directory für die Unterstützung von Wiederherstellungsoptionen finden Sie im Artikel zum Konfigurieren von Active Directory zum Sichern von Informationen für die Windows BitLocker-Laufwerkverschlüsselung und die TMP-Wiederherstellung (http://go.microsoft.com/fwlink/?LinkId=82827, möglicherweise in englischer Sprache).

Wie sollte diese Änderung vorbereitet werden?

Weitere Informationen zur Planung finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Remoteverwaltung

BitLocker kann mithilfe der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) oder einer Befehlszeilenschnittstelle remote verwaltet werden.

Wieso ist diese Funktionalität wichtig?

In einer Umgebung mit zahlreichen Computern oder Computern in Remotebüros oder Zweigstellen ist es schwierig oder unmöglich, Features und Einstellungen individuell zu verwalten.

Inwiefern unterscheidet sich die Funktionsweise?

BitLocker-Features werden über das WMI-Subsystem verfügbar gemacht. WMI ist eine Implementierung der WBEM-Strukturen und -Funktionen (Web-Based Enterprise Management). Entsprechend können Administratoren jede WMI-kompatible WBEM-Software zum Verwalten von BitLocker auf lokalen oder Remotecomputern verwenden.

Weitere Informationen zu BitLocker und WMI finden Sie im Artikel zum BitLocker-Laufwerkverschlüsselungsanbieter (http://go.microsoft.com/fwlink/?LinkId=82828, möglicherweise in englischer Sprache).

Windows beinhaltet auch eine Befehlszeilenschnittstelle zu BitLocker, die als Skript manage-bde.wsf implementiert wird. Sie können manage-bde.wsf zum Steuern aller Aspekte von BitLocker auf einem lokalen Computer oder einem Remotecomputer verwenden. Die vollständige Liste der Befehle und die Syntax für manage-bde erhalten Sie, wenn Sie an einer Eingabeaufforderung Folgendes eingeben:

manage-bde.wsf /?

Die Remoteverwaltung von BitLocker ist eine optionale Komponente, die unter Windows Server 2008 installiert werden kann, damit Sie andere Computer verwalten können, ohne BitLocker auf dem verwendeten Server zu aktivieren.

Wie können diese Probleme gelöst werden?

Die optionale Komponente für die Remoteverwaltung von BitLocker heißt BitLocker-RemoteAdminTool. Dieses optionale Komponentenpaket enthält manage-bde.wsf und die zugeordnete INI-Datei. Wenn Sie nur die Remoteverwaltungskomponente installieren möchten, müssen Sie an einer Eingabeaufforderung Folgendes eingeben:

ServerManagerCmd -install RSAT-BitLocker

Wie sollte diese Änderung vorbereitet werden?

Weitere Informationen zur Planung finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Sichere Außerbetriebsetzung

BitLocker kann als kostengünstige und schnelle Möglichkeit verwendet werden, wenn Sie verhindern möchten, dass vertrauliche Daten auf außer Betrieb gesetzten oder neu zugewiesenen Geräten gefunden werden.

Wieso ist diese Funktionalität wichtig?

Irgendwann müssen alle Computer außer Betrieb genommen werden, und viele werden während ihrer Nutzungsdauer zu anderen Zwecken neu zugewiesen. Unternehmen haben möglicherweise Pläne für das Recycling, Spenden oder Verkaufen von Geräten oder für die Rückgabe nach Ablauf der Mietdauer, aber jedes Unternehmen muss auch sicherstellen, dass es nicht möglich ist, vertrauliche Daten von außer Betrieb gesetzten oder neu zugewiesenen Geräten abzurufen. Die meisten Prozesse zum Entfernen vertraulicher Daten von Laufwerken sind Zeit raubend, kostspielig oder führen zur dauerhaften Zerstörung der Hardware. Mit BitLocker werden andere, kostengünstige Optionen bereitgestellt.

Inwiefern unterscheidet sich die Funktionsweise?

Mit BitLocker kann sichergestellt werden, dass Daten nie so auf dem Laufwerk wiederhergestellt werden können, dass sie einem Angreifer, Dieb oder neuen Besitzer der Hardware nützlich sind. Da alle auf den Datenträger geschriebenen Daten verschlüsselt sind, können Sie die Daten dauerhaft und vollständig unzugänglich machen, indem Sie alle Kopien der Verschlüsselungsschlüssel zerstören. Der Datenträger selbst wird nicht beschädigt und kann zu anderen Zwecken wiederverwendet werden.

Sie haben die Wahl zwischen einer Reihe von Ansätzen für die Außerbetriebsetzung von Volumes, die durch BitLocker geschützt sind:

  • Sie können alle Schlüsselkopien aus den Volumemetadaten löschen und sie gleichzeitig an einem sicheren zentralen Standort archivieren. Auf diese Weise können Systeme sicher transportiert oder vorübergehend außer Betrieb gesetzt werden, wenn sie über längere Zeiträume unbeaufsichtigt bleiben. Dadurch wird sichergestellt, dass autorisierte Benutzer weiter auf die Daten zugreifen können, nicht autorisierte Benutzer, wie beispielsweise neue Besitzer der Geräte, jedoch nicht.

  • Sie können alle Schlüsselkopien aus den Volumemetadaten und aus allen Archiven löschen, beispielsweise aus Active Directory (möglicherweise durch Erstellen neuer Schlüssel, die nicht gespeichert werden). Da dann keine Entschlüsselungsschlüssel vorhanden sind, ist es niemandem möglich, die Daten wiederherzustellen oder abzurufen.

In allen diesen Fällen werden die in den Volumemetadaten enthaltenen Schlüssel praktisch sofort entfernt und zerstört, und dieser Vorgang kann von einem Administrator für mehrere Systeme ausgeführt werden. Der erforderliche Zeit- und Arbeitsaufwand ist minimal, führt jedoch zu einem sehr hohen Maß an dauerhaftem Schutz.

Das Formatierungstool in Windows Server 2008 wurde aktualisiert, sodass mit einem Formatierungsbefehl die Volumemetadaten gelöscht und alle Sektoren, die möglicherweise zum Abrufen von BitLocker-Schlüsseln verwendet werden könnten, mit von der Sicherheitscommunity akzeptierten Methoden gelöscht und überschreiben werden.

Wie können diese Probleme gelöst werden?

Beim Auswerten der Bereitstellung von BitLocker sollten Sie berücksichtigen, welcher Außerbetriebsetzungsprozess verwendet wird, wenn das Ende der Nutzungsdauer der Server erreicht ist. Bestimmen Sie im Voraus, welche Wiederherstellungsschlüssel zerstört werden sollen und welche gegebenenfalls archiviert werden sollen.

Wie sollte diese Änderung vorbereitet werden?

Weitere Informationen zur Planung finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Welche Einstellungen wurden hinzugefügt oder geändert?

Zur Unterstützung von BitLocker und zur Verwaltung des TPM wurden zwei neue Sätze mit Gruppenrichtlinieneinstellungen eingeführt. Alle Richtlinieneinstellungen werden im Editor für lokale Gruppenrichtlinien und in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) erläutert. Zum Anzeigen ausführlicherer Erläuterungen öffnen Sie den Editor für lokale Gruppenrichtlinien, indem Sie gpedit.msc an einer Eingabeaufforderung mit erhöhten Rechten oder in das Textfeld Suche starten eingeben, und überprüfen Sie dann die Beschreibungen der einzelnen Einstellungen in der folgenden Tabelle.

Gruppenrichtlinieneinstellungen, die sich auf BitLocker auswirken, befinden sich in Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung. In der folgenden Tabelle werden diese Einstellungen zusammengefasst.

 

Einstellungsname Standard Beschreibung

BitLocker-Sicherung in Active Directory-Domänendienste aktivieren

Deaktiviert

Diese Richtlinieneinstellung steuert, ob BitLocker-Wiederherstellungsinformationen in AD DS gesichert werden. Wenn die Einstellung aktiviert ist, sie auch steuern, ob eine Sicherung erforderlich oder optional ist und ob nur ein Wiederherstellungskennwort oder ein vollständiges Wiederherstellungspaket gespeichert wird.

Systemsteuerungssetup: Wiederherstellungsordner konfigurieren

Keine (vom Benutzer ausgewählt)

Diese Richtlinieneinstellung gibt einen Standardspeicherort an, der dem Benutzer zum Speichern von Wiederherstellungsschlüsseln angezeigt wird. Kann ein lokaler Speicherort oder ein Netzwerkpfad sein. Der Benutzer kann andere Speicherorte auswählen.

Systemsteuerungssetup: Wiederherstellungsoptionen konfigurieren

Keine (vom Benutzer ausgewählt)

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob der Setup-Assistent der BitLocker-Laufwerkverschlüsselung den Benutzer zum Speichern der BitLocker-Wiederherstellungsoptionen auffordert.

Die Zugriffsperre auf durch BitLocker verschlüsselte Daten kann mit zwei Wiederherstellungsoptionen aufgehoben werden. Der Benutzer kann ein zufälliges 48-stelliges numerisches Wiederherstellungskennwort eingeben. Der Benutzer kann auch ein USB-Flashlaufwerk einlegen, das einen zufälligen 256-Bit-Wiederherstellungsschlüssel enthält.

Jede dieser Optionen kann erforderlich oder nicht zulässig sein. Wenn Sie beide Optionen nicht zulassen, muss die Sicherung in AD DS aktiviert sein.

Systemsteuerungssetup: Erweiterte Startoptionen aktivieren

Deaktiviert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker auf Computern ohne TPM aktiviert werden kann und ob auf Computern mit TPM Authentifizierung mit mehreren Faktoren verwendet werden kann.

Verschlüsselungsmethode konfigurieren

AES 128 Bit mit Diffuser

Mit dieser Richtlinieneinstellung können Sie die Länge des AES-Verschlüsselungsschlüssels konfigurieren und angeben, ob der Diffuser verwendet wird.

Überschreiben des Arbeitsspeichers beim Neustart verhindern

Deaktiviert (Arbeitsspeicher wird überschrieben)

BitLocker-Schlüssel können zwischen Neustarts dauerhaft im Arbeitsspeicher verbleiben, wenn der Computer nicht ausgeschaltet wird. Daher wird das BIOS von BitLocker angewiesen, bei Warmstarts den gesamten Arbeitsspeicher zu löschen. Dies kann auf Systemen mit großem Arbeitsspeicher zu einer spürbaren Verzögerung führen. Durch Aktivieren dieser Einstellung kann die Neustartleistung verbessert werden, jedoch wird dadurch das Sicherheitsrisiko erhöht.

TPM-Plattformvalidierungsprofil konfigurieren

PCRs 0, 2, 4, 8, 9, 11

Konfiguriert, welche der in Plattformkonfigurationsregistern (Platform Configuration Registers, PCRs) gespeicherten TPM-Plattformwerte zum Versiegeln der BitLocker-Schlüssel verwendet werden.

Gruppenrichtlinieneinstellungen zum Steuern des TPM-Verhaltens befinden sich in Computerkonfiguration/Administrative Vorlagen/System/Trusted Platform Module-Dienste. In der folgenden Tabelle werden diese Einstellungen zusammengefasst.

 

Einstellungsname Standard Beschreibung

TPM-Sicherung in Active Directory-Domänendienste aktivieren

Deaktiviert

Diese Richtlinieneinstellung steuert, ob Kennwortinformationen des TPM-Besitzers in AD DS gesichert werden. Wenn die Einstellung aktiviert ist, kann damit auch gesteuert werden, ob eine Sicherung erforderlich oder optional ist.

Liste der blockierten TPM-Befehle konfigurieren

Keine

Mit dieser Richtlinie können bestimmte TPM-Funktionen deaktiviert oder aktiviert werden, aber mit den nächsten beiden Einstellungen können Sie einschränken, welche Befehle verfügbar sind. Auf Gruppenrichtlinien basierende Listen setzen lokale Listen außer Kraft. Lokale Listen können in der TPM-Verwaltungskonsole konfiguriert werden.

Standardliste der blockierten TPM-Befehle ignorieren

Deaktiviert

Standardmäßig sind bestimmte TPM-Befehle blockiert. Zum Aktivieren dieser Befehle muss diese Richtlinieneinstellung aktiviert werden.

Lokale Liste der blockierten TPM-Befehle ignorieren

Deaktiviert

Standardmäßig kann ein lokaler Administrator Befehle in der TPM-Verwaltungskonsole blockieren. Mit dieser Einstellung kann dieses Verhalten verhindert werden.

Weitere Informationen zum Arbeiten mit dem TPM und zum Verwenden der TPM-Verwaltungskonsole finden Sie in der schrittweisen Anleitung zur Windows Trusted Platform Module-Verwaltung (http://go.microsoft.com/fwlink/?LinkId=82830, möglicherweise in englischer Sprache).

Muss vorhandener Code geändert werden?

Änderungen an vorhandenem Code sind für BitLocker nicht erforderlich.

Wie sollte die Bereitstellung dieses Features vorbereitet werden?

Berücksichtigen Sie vor dem Aktivieren von BitLocker Folgendes:

  • Hardwareanforderungen. Wenn die vorhandene Hardware für die Behandlung der Verschlüsselung nicht leistungsfähig genug ist, ziehen Sie eine Aktualisierung in Betracht. Zum Verwenden der Systemintegritätsfeatures muss die Hardwareplattform mit einem TPM der Version 1.2 ausgestattet sein.

  • Unternehmensrichtlinien. Werten Sie die aktuellen Richtlinien zur Datenbeibehaltung, Verschlüsselung und Kompatibilität aus. Stellen Sie sicher, dass ein Plan für die Datenwiederherstellung vorhanden ist.

  • Speicherung der Wiederherstellungsinformationen. Es wird empfohlen, die Active Directory-Domänendienste für Sicherungen von Wiederherstellungsinformationen in Unternehmensumgebungen zu verwenden.

Ist dieses Feature in allen Editionen von Windows Server 2008 verfügbar?

BitLocker ist eine optionale Komponente in allen Editionen von Windows Server 2008. Die Funktionalität unterscheidet sich in den einzelnen Editionen nicht. BitLocker ist auf 32-Bit- und 64-Bit-Plattformen verfügbar.

BitLocker ist verfügbar in Windows Vista Enterprise und Windows Vista Ultimate und kann einen wichtigen Beitrag zum Schutz der auf Clientcomputern, insbesondere auf mobilen Computern, gespeicherten Daten leisten.

Weitere Verweise

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft