(0) exportieren Drucken
Alle erweitern

Schrittweise Anleitung zur BitLocker-Laufwerkverschlüsselung für Windows Server 2008

Letzte Aktualisierung: November 2009

Betrifft: Windows Server 2008, Windows Vista

Diese schrittweise Anleitung enthält Anweisungen zum Einrichten der Windows® BitLocker™-Laufwerkverschlüsselung in einer Testumgebung. Es empfiehlt sich nicht, diese Anleitung in einer Produktionsumgebung zu verwenden. Schrittweise Anleitungen sind nicht unbedingt dafür vorgesehen, ohne zusätzliche Dokumentation (im Abschnitt Weitere Ressourcen aufgeführt) für die Bereitstellung von Betriebssystemfunktionen von Windows Server® 2008 herangezogen zu werden, und sollten nur bedingt als Einzeldokumente verwendet werden.

Was ist BitLocker-Laufwerkverschlüsselung?

BitLocker ist ein Datenschutzfeature, das in den Betriebssystemen Windows Vista® Enterprise und Windows Vista® Ultimate für Clientcomputer sowie im Betriebssystem Windows Server 2008 verfügbar ist. BitLocker bietet einen verbesserten Schutz vor Diebstahl oder Offenlegung von Daten auf Computern, die abhanden kommen oder gestohlen werden, sowie ein sichereres Löschen von Daten bei der Außerbetriebnahme von durch BitLocker geschützten Computern.

Daten auf einem verloren gegangenen oder gestohlenen Computer sind durch das Ausführen von Softwareangriffstools oder das Einbauen der Festplatte in einen anderen Computer nicht autorisierten Zugriffen schutzlos ausgesetzt. Mit BitLocker wird der nicht autorisierte Datenzugriff auf verloren gegangenen oder gestohlenen Computern durch die Kombination von zwei wichtigen Datenschutzverfahren erschwert:

  • Verschlüsseln des gesamten Windows-Betriebssystemvolumes und der Datenvolumes auf der Festplatte BitLocker verschlüsselt alle auf dem Betriebssystemvolume vorhandenen Benutzer- und Systemdateien, einschließlich der Auslagerungs- und Ruhezustandsdateien. BitLocker kann außerdem Datenvolumes verschlüsseln.

  • Überprüfen der Integrität von vorrangigen Startkomponenten und der Startkonfigurationsdaten Auf Computern mit einem TPM (Trusted Platform Module), Version 1.2, verwendet BitLocker die verbesserten Sicherheitsfunktionen des TPM, um sicherzustellen, dass der Zugriff auf Ihre Daten nur dann möglich ist, wenn die Startkomponenten des Computers unverändert sind und wenn sich der verschlüsselte Datenträger auf dem Originalcomputer befindet.

BitLocker ist eng in Windows Vista und Windows Server 2008 integriert und bietet Unternehmen einen verbesserten Datenschutz, der einfach verwaltet und konfiguriert werden kann. BitLocker kann beispielsweise die vorhandene Active Directory-Domänendienste-Infrastruktur (AD DS, Active Directory Domain Services) verwenden, um von einem Remotestandort aus Wiederherstellungsschlüssel zu speichern. BitLocker bietet außerdem eine Wiederherstellungskonsole, über die für Computer, die kein Mitglied einer Domäne sind, oder Computer, die keine Verbindung zur Domäne herstellen können (die beispielsweise außer Haus eingesetzt werden), das Abrufen von Daten ermöglicht wird.

Wer sollte die BitLocker-Laufwerkverschlüsselung verwenden?

Diese Anleitung ist für die folgenden Zielgruppen vorgesehen:

  • Mitarbeiter der IT-Planung und -Analyse, die das Produkt prüfen

  • Sicherheitsarchitekten

Inhalt dieser Anleitung

Diese Anleitung unterstützt Administratoren bei der Einarbeitung in das Feature BitLocker-Laufwerkverschlüsselung von Windows Server 2008. Die folgenden Abschnitte enthalten grundlegende Informationen und Verfahren, die ein Administrator kennen muss, um BitLocker in Netzwerken konfigurieren und bereitstellen zu können.

Szenario 1 enthält eine Anleitung zum Erstellen der beiden für die BitLocker-Laufwerkverschlüsselung benötigten Partitionen. Szenario 2 beschreibt die Installation von BitLocker auf einem Server. In Szenario 3 wird erläutert, wie eine Festplatte mithilfe von BitLocker und einem TPM verschlüsselt wird. In Szenario 4 wird beschrieben, wie mit BitLocker Datenvolumes auf einem Server verschlüsselt werden. In Szenario 5 wird die Verwendung von BitLocker auf einem Computer ohne TPM beschrieben. In Szenario 6 wird beschrieben, wie nach einer Sperrung auf verschlüsselte Daten zugegriffen und wie BitLocker durch Generieren einer Sperrung getestet werden kann. In Szenario 7 wird die Deaktivierung von BitLocker beschrieben.

Anforderungen für die BitLocker-Laufwerkverschlüsselung

Diese Schritte dienen ausschließlich zu Testzwecken. Verwenden Sie für die Bereitstellung von Features von Windows Server 2008 oder Windows Vista nicht ausschließlich diese Anleitung, sondern auch andere Ressourcen.

Hardware- und Softwareanforderungen

  • Ein Computer, der die Mindestanforderungen für Windows Server 2008 erfüllt

  • Ein TPM, Version 1.2, ist aktiviert (Szenarien 3 und 4).

  • Ein TCG-kompatibles (Trusted Computing Group) BIOS (Szenarien 3 und 4)

  • Zwei NTFS-Datenträgerpartitionen – eine für das Systemvolume und eine für das Betriebssystemvolume. Die Systemvolumepartition muss mindestens 1,5 Gigabyte (GB) groß und als aktive Partition festgelegt sein (Szenario 1).

  • Eine BIOS-Einstellung, mit der der Computer zuerst vom Festplattenlaufwerk gestartet wird und nicht vom USB- oder CD-Laufwerk.

noteHinweis
Ihr BIOS muss das Lesen von USB-Flashlaufwerken beim Systemstart unterstützen, damit die Verwendung eines USB-Flashlaufwerks getestet werden kann.

  • Es wird dringend empfohlen, keinen Kerneldebugger auszuführen, während BitLocker aktiviert ist, da mit dem Debugger ein Zugriff auf Verschlüsselungsschlüssel und andere sensible Daten möglich ist. Sie können das Kerneldebugging jedoch aktivieren, bevor Sie BitLocker aktivieren. Wenn Sie das Kerneldebugging aktivieren, nachdem Sie BitLocker aktiviert haben, startet das System bei jedem Neustart des Computers automatisch den Wiederherstellungsprozess. Wenn Sie den Startdebugger aktivieren (Kerneldebugging mit der Option "-bootdebug"), startet das System bei jedem Neustart des Computers automatisch den Wiederherstellungsprozess.

Szenario 1: Partitionieren einer Festplatte für die BitLocker-Laufwerkverschlüsselung

Sie benötigen auf Ihrer Festplatte mindestens zwei Partitionen, um BitLocker zu verwenden. In der ersten Partition befindet sich das Systemvolume, das in diesem Dokument als "S" bezeichnet wird. Dieses Volume enthält in einem nicht verschlüsselten Bereich die Startinformationen. In der zweiten Partition befindet sich das Betriebssystemvolume, das in diesem Dokument als "C" bezeichnet wird. Dieses Volume ist verschlüsselt und enthält das Betriebssystem und die Benutzerdaten.

Die Partitionen müssen vor der Installation von Windows Server 2008 erstellt werden.

noteHinweis
In einigen Situationen kann ein Volume mehrere Partitionen betreffen. In diesem Dokument wird lediglich auf einfache Volumes eingegangen, bei denen ein Volume und eine Partition funktional übereinstimmen. BitLocker verwendet Volumes, eine logische Struktur. Viele Datenträgertools verwenden jedoch physische Datenträgerpartitionen.

In Szenario 1 wird beschrieben, wie die beiden für BitLocker benötigten Partitionen erstellt werden. Dieses Verfahren setzt voraus, dass alle auf dem Datenträger vorhandenen Daten gesichert wurden.

Wenn ein Datenträger keine Daten enthält und nur eine Partition besitzt, folgen Sie der Anleitung unter Partitionieren eines Datenträgers ohne Betriebssystem für BitLocker.

noteHinweis
Sichern Sie unbedingt alle Daten, und stellen Sie sicher, dass Sie den Produktschlüssel für Windows Vista besitzen.

noteHinweis
Wenn Sie Windows Vista bereits installiert haben, können Sie die für BitLocker benötigten Volumes mit dem BitLocker-Laufwerkvorbereitungstool konfigurieren, ohne das Betriebssystem neu zu installieren. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkID=83261 (möglicherweise in englischer Sprache).

Partitionieren eines Datenträgers ohne Betriebssystem für BitLocker

Bei diesem Verfahren starten Sie den Computer von der Produkt-DVD und geben anschließend mehrere Befehle ein, mit denen folgende Aktionen ausgeführt werden:

  • Erstellen einer neuen 1,5 GB großen primären Partition

  • Festlegen dieser Partition als aktive Partition

  • Erstellen einer zweiten primären Partition, die den verbleibenden Speicherplatz auf dem Datenträger verwendet

  • Formatieren der beiden neuen Partitionen, damit sie als Windows-Volumes verwendet werden können

  • Installieren von Windows Server 2008 auf dem größeren Volume (Laufwerk C)

noteHinweis
Die oben beschriebene aktive Partition wird benötigt, damit BitLocker ordnungsgemäß verwendet werden kann.

Ihre Laufwerksbuchstaben lauten möglicherweise anders als in diesem Beispiel. In diesem Beispiel hat das Betriebssystemvolume den Buchstaben C und das Systemvolume den Buchstaben S (für Systemvolume). In diesem Beispiel wird außerdem davon ausgegangen, dass sich nur eine physische Festplatte im System befindet.

So partitionieren Sie einen Datenträger ohne Betriebssystem für BitLocker

  1. Starten Sie den Computer über die Produkt-DVD für Windows Server 2008.

  2. Wählen Sie auf dem ersten Bildschirm Windows installieren einen Wert für Installationssprache, Uhrzeit und Währungsformat und Tastaturlayout aus, und klicken Sie anschließend auf Weiter.

  3. Klicken Sie auf dem nächsten Bildschirm Windows installieren links unten auf Computerreparaturoptionen.

  4. Stellen Sie im Dialogfeld Systemwiederherstellungsoptionen sicher, dass kein Betriebssystem ausgewählt ist. Klicken Sie hierzu in der Liste Betriebssystem auf den leeren Bereich, der sich am Ende der Liste befindet. Klicken Sie dann auf Weiter.

  5. Klicken Sie im nächsten Dialogfeld der Systemwiederherstellungsoptionen auf Eingabeaufforderung.

  6. Verwenden Sie den Befehl Diskpart, um die Partition für das Betriebssystemvolume zu erstellen. Geben Sie diskpart an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

  7. Geben Sie select disk 0 ein.

  8. Geben Sie clean ein, damit die vorhandene Partitionstabelle gelöscht wird.

  9. Geben Sie create partition primary size=1500 ein, um die zu erstellende Partition als primäre Partition festzulegen.

  10. Geben Sie assign letter=S ein, um dieser Partition den Buchstaben "S" zuzuweisen.

  11. Geben Sie active ein, um die neue Partition als aktive Partition festzulegen.

  12. Geben Sie create partition primary ein, um eine weitere primäre Partition zu erstellen. Auf dieser größeren Partition installieren Sie anschließend Windows.

  13. Geben Sie assign letter=C ein, um dieser Partition den Buchstaben "C" zuzuweisen.

  14. Geben Sie list volume ein, damit alle auf dem Datenträger vorhandenen Volumes angezeigt werden. Alle Volumes, Volumenummern, Buchstaben, Bezeichnungen, Dateisysteme, Typen, Größen, Statusangaben und Informationen werden aufgelistet. Prüfen Sie, ob ein DVD-Installationsvolume und zwei Festplattenvolumes vorhanden sind und welche Bezeichnungen für die Volumes verwendet werden.

  15. Geben Sie exit ein, um die Datenträgerpartionierungsanwendung zu schließen.

  16. Geben Sie format c: /y /q /fs:NTFS ein, damit Volume C richtig formatiert wird.

  17. Geben Sie format s: /y /q /fs:NTFS ein, damit Volume S richtig formatiert wird.

  18. Geben Sie exit ein, um die Eingabeaufforderung zu schließen.

  19. Verwenden Sie im Fenster Systemwiederherstellungsoptionen oben rechts das Symbol zum Schließen des Fensters (oder drücken Sie STRG+ALT+F4), um das Fenster zu schließen und zum Hauptinstallationsfenster zurückzukehren. (Klicken Sie nicht auf Herunterfahren oder Neu starten.)

  20. Klicken Sie auf Jetzt installieren, und beginnen Sie den Installationsvorgang von Windows Server 2008. Installieren Sie Windows Server 2008 auf dem größeren Volume C (auf dem Betriebssystemvolume).

Szenario 2: Installieren der BitLocker-Laufwerkverschlüsselung

In Szenario 2 wird die Installation der BitLocker-Laufwerkverschlüsselung auf einem Server beschrieben. Bei einer Serverinstallation müssen Sie das BitLocker-Feature installieren.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

noteHinweis
Bei der Installation von BitLocker muss der Server neu gestartet werden.

So installieren Sie BitLocker im Verlauf der Erstkonfiguration

  1. Wenn Sie Windows Server 2008 installieren, wird das Fenster Aufgaben zur Erstkonfiguration angezeigt.

  2. Wählen Sie die Option Features hinzufügen aus, und installieren Sie die BitLocker-Laufwerkverschlüsselung.

  3. Starten Sie den Server neu.

Sie können BitLocker auch mit dem Server-Manager installieren.

So installieren Sie BitLocker nach der Installation über die Windows-Benutzeroberfläche

  1. Klicken Sie auf Start, klicken Sie auf Server-Manager, auf Features hinzufügen und dann auf BitLocker-Laufwerkverschlüsselung.

  2. Starten Sie den Server neu.

Sie können BitLocker auch an der Eingabeaufforderung installieren.

So installieren Sie BitLocker nach der Installation über die Eingabeaufforderung

  1. Öffnen Sie ein Eingabeaufforderungsfenster als Administrator. Klicken Sie hierzu auf die Schaltfläche Start, dann auf Alle Programme und anschließend auf Zubehör.

  2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  4. Geben Sie an der Eingabeaufforderung Folgendes ein:

    ServerManagerCmd -install BitLocker -restart

    Hiermit wird BitLocker installiert, sofern Sie es nicht bereits installiert haben.

  5. Starten Sie den Server neu.

Szenario 3: Aktivieren der grundlegenden BitLocker-Laufwerkverschlüsselung

In Szenario 3 werden die Verfahren zur Aktivierung der BitLocker-Laufwerkverschlüsselung auf einem System mit einem TPM dargestellt. Nachdem das Volume verschlüsselt ist, kann sich der Benutzer ganz normal am Computer anmelden.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • BitLocker muss auf dem Server installiert sein.

  • Sie können einen Drucker konfigurieren, um Wiederherstellungskennwörter zu drucken.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung

  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung für das Betriebssystemvolume auf BitLocker aktivieren. Eine Meldung wird angezeigt, die Sie warnt, dass sich die BitLocker-Verschlüsselung auf die Leistung Ihres Servers auswirken kann.

    Wenn das TPM nicht initialisiert ist, wird der Assistent zum Initialisieren der TPM-Sicherheitshardware angezeigt. Folgen Sie den Anweisungen, um das TPM zu initialisieren, oder fahren Sie Ihren Computer herunter, bzw. starten Sie ihn neu.

  4. Auf der Seite Wiederherstellungskennwort speichern werden folgende Optionen angezeigt:

    • Kennwort auf einem USB-Laufwerk speichern: Speichert das Kennwort auf einem USB-Flashlaufwerk.

    • Kennwort in einem Ordner speichern: Speichert das Kennwort in einem Ordner auf einem Netzwerklaufwerk oder an einem anderen Speicherort.

    • Kennwort drucken: Druckt das Kennwort.

    Aktivieren Sie eine oder mehrere dieser Optionen, um das Wiederherstellungskennwort aufzubewahren. Für jede ausgewählte Option fordert Sie der Assistent auf, festzulegen, an welchem Ort das Wiederherstellungskennwort gespeichert oder gedruckt werden soll.

    Klicken Sie auf Weiter, wenn Sie das Speichern des Wiederherstellungskennworts abgeschlossen haben.

    ImportantWichtig
    Das Systemwiederherstellungskennwort wird benötigt, wenn der verschlüsselte Datenträger in einen anderen Computer eingebaut werden muss oder wenn Änderungen an den Systemstartinformationen vorgenommen werden. Dieses Kennwort ist so wichtig, dass es sich empfiehlt, zusätzliche Kopien des Kennworts zu erstellen, die an sicheren Stellen aufbewahrt werden und Ihren Zugriff auf die Daten sicherstellen. Das Wiederherstellungskennwort benötigen Sie, um die verschlüsselten Daten auf dem Volume zu entsperren, wenn BitLocker in den gesperrten Zustand wechselt (siehe Szenario 5: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden). Dieses Wiederherstellungskennwort ist für diese bestimmte BitLocker-Verschlüsselung eindeutig. Sie können damit keine verschlüsselten Daten wiederherstellen, die aus einer anderen BitLocker-Verschlüsselungssitzung stammen.

    ImportantWichtig
    Für eine maximale Sicherheit sollten Sie Wiederherstellungskennwörter nicht auf dem Computer speichern.

  5. Prüfen Sie auf der Seite Ausgewähltes Festplattenvolume verschlüsseln, ob das Kontrollkästchen Bitlocker-Systemüberprüfung ausführen aktiviert ist, und klicken Sie dann auf Weiter.

    Bestätigen Sie, dass Sie den Computer neu starten möchten, indem Sie auf Jetzt neu starten klicken. Der Computer wird neu gestartet, und BitLocker prüft, ob der Computer mit BitLocker kompatibel und für die Verschlüsselung bereit ist. Wenn dies nicht der Fall ist, wird eine Fehlermeldung angezeigt, die Sie über das Problem informiert.

  6. Wenn der Computer für die Verschlüsselung bereit ist, wird die Statusleiste Verschlüsselung wird durchgeführt angezeigt. Der Fortschritt der Verschlüsselung des Datenträgervolumes wird angezeigt, wenn Sie den Mauszeiger unten auf dem Bildschirm im Infobereich über das Symbol der BitLocker-Laufwerkverschlüsselung bewegen.

    Wenn dieser Vorgang abgeschlossen ist, haben Sie das Betriebssystemvolume verschlüsselt und ein für dieses Volume eindeutiges Wiederherstellungskennwort erstellt. Wenn Sie sich das nächste Mal anmelden, werden Sie keinerlei Veränderung feststellen. Falls das TPM je geändert wird oder darauf kein Zugriff möglich ist, wenn Änderungen an den Schlüsselsystemdateien ausgeführt werden oder wenn jemand versucht, den Computer von einer Produkt-CD oder -DVD zu starten, um das Betriebssystem zu umgehen, dann wechselt der Computer in den Wiederherstellungsmodus, der nur mit dem Wiederherstellungskennwort beendet werden kann.

Szenario 4: Aktivieren der BitLocker-Laufwerkverschlüsselung für Serverdatenvolumes

Für Server, die sich in einer freigegebenen oder nicht sicheren Umgebung, beispielsweise in einer Zweigstelle befinden, kann BitLocker dieselbe Datenschutzstufe sicherstellen wie für Clientcomputer, indem die Datenvolumes und das Betriebssystemvolume verschlüsselt werden.

Ein mit BitLocker geschütztes Datenvolume wird vom Betriebssystem auf ganz normale Weise bereitgestellt.

Die Schlüssel für den Schutz eines Datenvolumes sind nicht von den Schlüsseln für den Schutz des Betriebssystemvolumes abhängig. Damit das System diese Volumes automatisch bereitstellen kann, wird auch der Schlüssel, der das Datenvolume schützt, auf dem aktuell gestarteten Volume verschlüsselt gespeichert. Wenn das Betriebssystem in den Wiederherstellungsmodus wechselt, werden die Datenvolumes erst dann wieder entsperrt, wenn das Betriebssystem den Wiederherstellungsmodus wieder verlassen hat.

Das Wiederherstellen eines Datenvolumes ähnelt dem Wiederherstellen eines Betriebssystemvolumes. Wenn das Datenvolume beschädigt oder auf eine neue Plattform verschoben wird oder wenn das Betriebssystemvolume den Schlüssel für das Datenvolume nicht abrufen kann, um die Sperre des Datenvolumes automatisch aufzuheben, muss der Benutzer das Medium einlegen, auf dem sich eine Kopie des Wiederherstellungsschlüssels des Datenvolumes befindet.

ImportantWichtig
Ihre Laufwerksbuchstaben lauten möglicherweise anders als in diesem Beispiel. In diesem Beispiel hat das Betriebssystemvolume den Buchstaben C und das Systemvolume den Buchstaben S (für Systemvolume). In diesem Beispiel wird außerdem davon ausgegangen, dass sich nur eine physische Festplatte im System befindet.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • BitLocker muss auf dem Server installiert sein.

  • Sie benötigen ein USB-Flashlaufwerk, um das Wiederherstellungskennwort für die Datenvolumes zu speichern.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung für Serverdatenvolumes

  1. Öffnen Sie ein Eingabeaufforderungsfenster als Administrator. Klicken Sie hierzu auf die Schaltfläche Start, dann auf Alle Programme und anschließend auf Zubehör.

  2. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  3. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  4. Geben Sie an der Eingabeaufforderung Folgendes ein:

    start /w pkgmgr /iu:BitLocker

    Hiermit wird BitLocker installiert, sofern Sie es nicht bereits installiert haben.

  5. Starten Sie den Server neu. BitLocker ist jetzt installiert, aber noch nicht aktiviert.

  6. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:

    manage-bde –on <volume>: -rp –rk U:\

  7. Dieser Befehl verschlüsselt das angegebene Volume, generiert ein Wiederherstellungskennwort und speichert einen Wiederherstellungsschlüssel unter U:\ (z. B. auf dem USB-Laufwerk). Notieren Sie sich das Wiederherstellungskennwort und den Namen der Wiederherstellungsdatei, die an der Konsole angezeigt werden. Das Datenvolume muss nach jedem Neustart entweder mit dem Wiederherstellungskennwort oder mit dem Wiederherstellungsschlüssel wie folgt entsperrt werden:

    • manage-bde –unlock <volume>: -rp <recovery password>

    • manage-bde –unlock <volume>: -rk U:\<recovery-key-file name>

  8. Geben Sie den folgenden Befehl ein, um das Datenvolume automatisch zu entsperren:

    manage-bde –autounlock –enable <volume>:

  9. Dieser Befehl generiert einen Wiederherstellungsschlüssel und speichert ihn auf dem Betriebssystemvolume. Bevor dieser Befehl ausgeführt wird, muss das Betriebssystemvolume vollständig verschlüsselt sein. Sobald das automatische Entsperren aktiviert ist, wird das Datenvolume bei jedem Neustart automatisch entsperrt.

Szenario 5: Aktivieren der BitLocker-Laufwerkverschlüsselung auf einem Computer ohne kompatibles TPM

Mit dem folgenden Verfahren können Sie die Gruppenrichtlinieneinstellungen Ihres Computers so anpassen, dass die BitLocker-Laufwerkverschlüsselung ohne TPM aktiviert werden kann. Statt über ein TPM authentifizieren Sie sich mit einem Systemstartschlüssel. Der Systemstartschlüssel befindet sich auf einem USB-Flashlaufwerk, das vor dem Einschalten des Computers am Computer angeschlossen sein muss. In diesem Szenario muss Ihr BIOS das Lesen von USB-Flashlaufwerken vor dem Betriebssystemstart (beim Hochfahren) unterstützen. Ihr BIOS können Sie mit der Systemprüfung im letzten Schritt des BitLocker-Assistenten prüfen.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • BitLocker muss auf dem Server installiert sein.

  • Sie benötigen ein USB-Flashlaufwerk, um das Wiederherstellungskennwort zu speichern.

  • Es empfiehlt sich, hierfür ein zweites USB-Flashlaufwerk zu verwenden, um den Systemstartschlüssel und das Wiederherstellungskennwort separat zu speichern.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Computer ohne kompatibles TPM

  1. Klicken Sie auf Start, geben Sie gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Klicken Sie in der Konsolenstruktur auf Editor für lokale Gruppenrichtlinien, klicken Sie auf Richtlinie für "Lokaler Computer", klicken Sie auf Administrative Vorlagen, dann auf Windows-Komponenten, und doppelklicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

  4. Doppelklicken Sie auf die Einstellung Systemsteuerungssetup: Erweiterte Startoptionen aktivieren.

  5. Wählen Sie die Option Aktiviert aus, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.

    Sie haben die Richtlinieneinstellung dahingehend geändert, dass Sie anstelle eines TPM einen Systemstartschlüssel verwenden können.

  6. Schließen Sie den Editor für lokale Gruppenrichtlinien.

  7. Um die sofortige Übernahme der Gruppenrichtlinie zu erzwingen, klicken Sie auf Start, geben Sie in das Feld Suche starten den Text gpupdate.exe /force ein, und drücken Sie dann die EINGABETASTE.

  8. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  9. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  10. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren. Diese Option wird nur für das Betriebssystemvolume angezeigt.

  11. Aktivieren Sie auf der Seite BitLocker-Systemstarteinstellungen festlegen die Option Systemstart-USB-Schlüssel ist bei jedem Systemstart erforderlich. Bei Konfigurationen ohne TPM ist dies die einzige verfügbare Option. Dieser Schlüssel muss jedes Mal angeschlossen werden, bevor Sie den Computer starten.

  12. Schließen Sie Ihr USB-Flashlaufwerk an den Computer an, sofern es noch nicht angeschlossen ist.

  13. Wählen Sie auf der Seite Systemstartschlüssel speichern als Speicherort Ihr USB-Flashlaufwerk aus, und klicken Sie dann auf Speichern.

  14. Auf der Seite Wiederherstellungskennwort speichern werden folgende Optionen angezeigt:

    • Kennwort auf einem USB-Laufwerk speichern: Speichert das Kennwort auf einem USB-Flashlaufwerk.

    • Kennwort in einem Ordner speichern: Speichert das Kennwort in einem Ordner auf einem Netzwerklaufwerk oder an einem anderen Speicherort.

    • Kennwort drucken: Druckt das Kennwort.

    Aktivieren Sie eine oder mehrere dieser Optionen, um das Wiederherstellungskennwort aufzubewahren. Für jede ausgewählte Option fordert Sie der Assistent auf, festzulegen, an welchem Ort das Wiederherstellungskennwort gespeichert oder gedruckt werden soll. Speichern Sie das Wiederherstellungskennwort und den Systemstartschlüssel nicht auf demselben Medium.

    Klicken Sie auf Weiter, wenn Sie das Speichern des Wiederherstellungskennworts abgeschlossen haben.

    ImportantWichtig
    Das Systemwiederherstellungskennwort wird benötigt, wenn der verschlüsselte Datenträger in einen anderen Computer eingebaut werden muss oder wenn Änderungen an den Systemstartinformationen vorgenommen werden. Dieses Kennwort ist so wichtig, dass es sich empfiehlt, zusätzliche Kopien des Kennworts zu erstellen, die an sicheren Stellen aufbewahrt werden und Ihren Zugriff auf die Daten sicherstellen. Das Wiederherstellungskennwort benötigen Sie, um die verschlüsselten Daten auf dem Volume zu entsperren, wenn BitLocker in den gesperrten Zustand wechselt (siehe Szenario 5: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden). Dieses Wiederherstellungskennwort ist für diese bestimmte BitLocker-Verschlüsselung eindeutig. Sie können damit keine verschlüsselten Daten wiederherstellen, die aus einer anderen BitLocker-Verschlüsselungssitzung stammen.

    ImportantWichtig
    Für eine maximale Sicherheit sollten Sie Wiederherstellungskennwörter nicht auf dem Computer speichern.

  15. Prüfen Sie auf der Seite Ausgewähltes Festplattenvolume verschlüsseln, ob das Kontrollkästchen Bitlocker-Systemüberprüfung ausführen aktiviert ist, und klicken Sie dann auf Weiter.

    Bestätigen Sie, dass Sie den Computer neu starten möchten, indem Sie auf Jetzt neu starten klicken. Der Computer wird neu gestartet, und BitLocker prüft, ob der Computer mit BitLocker kompatibel und für die Verschlüsselung bereit ist. Wenn dies nicht der Fall ist, wird vor dem Start der Verschlüsselung eine Fehlermeldung angezeigt, die Sie über das Problem informiert.

  16. Wenn der Computer für die Verschlüsselung bereit ist, wird die Statusleiste Verschlüsselung wird durchgeführt angezeigt. Der Fortschritt der Verschlüsselung des Datenträgervolumes wird angezeigt, wenn Sie den Mauszeiger unten auf dem Bildschirm im Infobereich über das Symbol der BitLocker-Laufwerkverschlüsselung bewegen oder indem Sie auf das Symbol für die Verschlüsselung klicken.

    Wenn dieser Vorgang abgeschlossen ist, haben Sie das Betriebssystemvolume verschlüsselt und ein für dieses Volume eindeutiges Wiederherstellungskennwort erstellt. Wenn Sie den Computer das nächste Mal einschalten, muss das USB-Flashlaufwerk mit dem Systemstartschlüssel an einem USB-Anschluss des Computers angeschlossen sein. Wenn dies nicht der Fall ist, können Sie nicht auf die Daten Ihres verschlüsselten Volumes zugreifen.

    Wenn das USB-Flashlaufwerk mit dem Systemstartschlüssel nicht verfügbar ist, müssen Sie im Wiederherstellungsmodus das Wiederherstellungskennwort eingeben, um auf die Daten zuzugreifen.

Szenario 6: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden

In Szenario 6 wird der Prozess der Wiederherstellung Ihrer Daten beschrieben, nachdem BitLocker in den Wiederherstellungsmodus gewechselt hat. BitLocker sperrt den Computer, wenn kein Datenträgerverschlüsselungsschlüssel verfügbar ist. Die folgende Aufstellung enthält häufige Ursachen:

  • Im Zusammenhang mit dem TPM tritt ein Fehler auf.

  • Eine der vorrangigen Startdateien wurde geändert.

  • Das TPM wurde versehentlich deaktiviert, und der Computer ist ausgeschaltet.

  • Das TPM wurde versehentlich gelöscht, und der Computer ist ausgeschaltet.

Wenn ein Computer gesperrt ist, wird der Startvorgang sehr früh unterbrochen, noch bevor das Betriebssystem gestartet wird. Sie müssen das Wiederherstellungskennwort über ein USB-Flashlaufwerk bereitstellen oder mithilfe der Funktionstasten eingeben. F1 bis F9 stehen für die Zahlen 1 bis 9, und F10 für 0.

Da die Wiederherstellung so früh während des Startvorgangs stattfindet, sind die Eingabehilfen von Windows nicht verfügbar. Falls Sie Eingabehilfen benötigen, müssen Sie für den Wiederherstellungsfall ein geeignetes Verfahren festlegen.

Dieses Szenario verläuft in zwei Schritten:

  • Testen der Datenwiederherstellung

  • Wiederherstellen der Daten

So testen Sie die Datenwiederherstellung

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Ausführen.

  2. Geben Sie im Textfeld Öffnen die Zeichenfolge tpm.msc ein, und klicken Sie dann auf OK. Die TPM-Verwaltungskonsole wird angezeigt.

  3. Klicken Sie unter Aktionen auf TPM deaktivieren.

  4. Geben Sie das TPM-Besitzerkennwort ein, falls erforderlich.

  5. Wenn im Bereich Status des Aufgabenbereichs TPM-Management auf dem lokalen Computer eine Meldung mit der Information angezeigt wird, dass Ihr TPM deaktiviert ist und der Besitz des TPM übernommen wurde, schließen Sie den Aufgabenbereich.

  6. Schließen Sie alle geöffneten Fenster.

  7. Wenn das USB-Flashlaufwerk, auf dem sich Ihr Wiederherstellungskennwort befindet, an das System angeschlossen ist, entfernen Sie es mithilfe des Infobereichsymbols Hardware sicher entfernen vom System.

  8. Klicken Sie auf die Schaltfläche Start und anschließend auf Herunterfahren, um Ihren Computer neu zu starten. Wenn Sie den Computer neu starten, werden Sie aufgefordert, das Wiederherstellungskennwort einzugeben, da die Startkonfiguration seit der Verschlüsselung des Volumes geändert wurde.

So stellen Sie den Zugriff auf Daten wieder her, die mit BitLocker verschlüsselt sind

  1. Schalten Sie den Computer ein.

  2. Wenn der Computer gesperrt ist, wird die Wiederherstellungskonsole der BitLocker-Laufwerkverschlüsselung angezeigt.

  3. Sie werden aufgefordert, das USB-Flashlaufwerk anzuschließen, auf dem sich das Wiederherstellungskennwort befindet.

    • Wenn das USB-Flashlaufwerk mit dem Wiederherstellungskennwort verfügbar ist, schließen Sie es an, und drücken Sie anschließend die ESC-Taste. Ihr Computer wird automatisch neu gestartet. Sie brauchen das Wiederherstellungskennwort nicht manuell einzugeben.

    • Wenn das USB-Flashlaufwerk mit dem Wiederherstellungskennwort nicht verfügbar ist, drücken Sie die EINGABETASTE. Sie werden aufgefordert, das Wiederherstellungskennwort einzugeben.

      Wenn Sie das Wiederherstellungskennwort kennen, geben Sie es ein, und drücken Sie dann die EINGABETASTE.

      Wenn Sie das Wiederherstellungskennwort nicht kennen, drücken Sie zweimal die EINGABETASTE, und schalten Sie Ihren Computer aus.

      noteHinweis
      Wenn Sie das Wiederherstellungskennwort in einer Datei in einem Ordner außerhalb dieses Computers oder auf einem Wechselmedium gespeichert haben, können Sie die Datei mit dem Kennwort auf einem anderen Computer öffnen. Die richtige Datei finden Sie, indem Sie auf der Anzeige der Wiederherstellungskonsole des gesperrten Computers nach Kennwort-ID suchen und die angezeigte Nummer notieren. Die Datei, in der das Wiederherstellungskennwort gespeichert ist, verwendet diese Kennwort-ID als Dateinamen. Öffnen Sie die Datei, und suchen Sie darin nach dem Wiederherstellungskennwort.

Szenario 7: Deaktivieren der BitLocker-Laufwerkverschlüsselung

In Szenario 7 wird beschrieben, wie die BitLocker-Laufwerkverschlüsselung deaktiviert und das Volume entschlüsselt wird. Dieses Verfahren ist für alle Konfigurationen der BitLocker-Laufwerkverschlüsselung identisch – sowohl auf Computern mit TPM als auch auf Computern ohne kompatibles TPM. Datenvolumes können lediglich entschlüsselt, nicht aber deaktiviert werden.

Wenn Sie BitLocker deaktivieren, können Sie dies entweder temporär vornehmen oder das Volume entschlüsseln. Wenn BitLocker deaktiviert ist, können TPM-Änderungen und kleinere Systemänderungen ausgeführt werden. Wenn das Volume entschlüsselt wird, bedeutet dies, dass es vollständig entschlüsselt wird und dass alle Schlüssel verworfen werden. Bevor Sie auf einem Computer ein Betriebssystemupgrade ausführen können, müssen Sie ihn entschlüsseln. Wenn Sie BitLocker nach dem Entschlüsseln eines Volumes erneut aktivieren möchten, müssen Sie den Verschlüsselungsvorgang erneut durchlaufen und dabei neue Schlüssel generieren.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • Das Volume muss verschlüsselt sein.

So deaktivieren Sie die BitLocker-Laufwerkverschlüsselung

  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  2. Suchen Sie auf der Seite BitLocker-Laufwerkverschlüsselung das Volume, für das Sie die BitLocker-Laufwerkverschlüsselung deaktivieren möchten, und klicken Sie auf BitLocker-Laufwerkverschlüsselung deaktivieren.

  3. Klicken Sie im Dialogfeld Welche Entschlüsselungsstufe wird gewünscht entweder auf BitLocker-Laufwerkverschlüsselung deaktivieren oder auf Volume entschlüsseln.

    Wenn Sie diesen Vorgang abschließen, wird entweder BitLocker deaktiviert, oder das Betriebssystemvolume wird entschlüsselt.

Weitere Ressourcen

Die folgenden Ressourcen enthalten zusätzliche Informationen zur BitLocker-Laufwerkverschlüsselung:

  • Da es sich bei BitLocker um eine neue Featuregruppe unter Windows Server 2008 und Windows Vista handelt, sind wir sehr an Ihren Kommentaren zu Ihren Erfahrungen mit BitLocker, eventuellen Problemen sowie zur Brauchbarkeit der Dokumentation interessiert. Allgemeine Kommentare können Sie an bdeinfo@microsoft.com senden. Es können jedoch keine Antworten für Einzelfälle gesendet werden.

    Hilfe zur BitLocker-Laufwerkverschlüsselung sowie zu anderen Microsoft Windows-Komponenten erhalten Sie über eine der auf der Microsoft Hilfe- und Supportwebsite (http://go.microsoft.com/fwlink/?LinkId=76619, möglicherweise in englischer Sprache) aufgeführten Optionen.

  • Zusätzliche Dokumentation zu BitLocker ist unter Windows Server 2008 und Windows Vista verfügbar. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=76553 (möglicherweise in englischer Sprache).

Weitere Informationen zur Benutzerkontensteuerung finden Sie unter "Benutzerkontensteuerung" (http://go.microsoft.com/fwlink/?LinkId=66018, möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft