(0) exportieren Drucken
Alle erweitern

BitLocker-Laufwerkverschlüsselung (technische Übersicht)

Letzte Aktualisierung: Juli 2009

Betrifft: Windows Server 2008, Windows Vista

Windows® BitLocker™-Laufwerkverschlüsselung (BitLocker) ist ein Datenschutzfeature, das unter Windows Vista® Enterprise und Windows Vista® Ultimate für Clientcomputer sowie unter Windows Server® 2008 zur Verfügung steht. BitLocker ist auf die Bedrohungen des Datendiebstahls oder die Folgen bei verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Computern ausgerichtet, indem es eine eng integrierte Lösung unter Windows Vista bietet.

Daten auf einem verlorenen gegangenen oder gestohlenen Computer sind nicht autorisierten Zugriffen durch die Ausführung von Softwareangriffstools oder das Kopieren der Festplatte auf einen anderen Computer schutzlos ausgesetzt. Mit BitLocker können Sie das Risiko von nicht autorisiertem Datenzugriff durch die Verbesserung des Datei- und Computerschutzes unter Windows Vista verringern. BitLocker kann auch verwendet werden, um Daten unzugänglich zu machen, wenn mit BitLocker geschützte Computer außer Betrieb gesetzt oder wiederverwendet werden.

In diesem Dokument wird BitLocker, einschließlich seines Lebenszyklus auf einem Unternehmenscomputer, beschrieben. Die Informationen in diesem Dokument gelten für Windows-Versionen mit BitLocker. Serverspezifische Informationen finden Sie unter Implementieren von BitLocker auf Servern.

Themen dieser technischen Übersicht

In dieser technischen Übersicht werden folgende Themen behandelt:

BitLocker-Konzepte

Mit BitLocker können Sie den nicht autorisierten Zugriff auf Daten von verlorenen gegangenen oder gestohlenen Computern durch Kombinieren von zwei wesentlichen Datenschutzverfahren verhindern:

  • Verschlüsseln des gesamten Windows-Betriebssystemvolumes auf der Festplatte

  • Überprüfen der Integrität von Komponenten für einen frühen Start und der Startkonfigurationsdaten

Die sicherste Implementierung von BitLocker unterstützt die erweiterten Sicherheitsfunktionen eines TPM (Trusted Platform Module), Version 1.2. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer unter Windows Vista nicht manipuliert wurde, während das System offline geschaltet wurde.

Darüber hinaus kann mit BitLocker der normale Systemstart solange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein USB-Gerät (z. B. ein USB-Flashlaufwerk mit einem Systemstartschlüssel) anschließt. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.

Auf Computern, die nicht über das TPM (Version 1.2) verfügen, können Sie dennoch BitLocker verwenden, um das Windows-Betriebssystemvolume zu verschlüsseln. Diese Implementierung erfordert jedoch den Anschluss eines USB-Geräts mit Systemstartschlüssel, damit der Computer gestartet wird bzw. seinen Betrieb aus dem Ruhezustand aufnimmt. Die Systemintegritätsprüfung vor dem Start, die BitLocker bei der Verwendung mit einem TPM bietet, steht in diesem Fall nicht zur Verfügung.

Erweiterungen für Offlinedaten

Mit den folgenden Verfahren schützt BitLocker Daten, während das System offline geschaltet ist:

  • Verschlüsseln des gesamten Windows-Betriebssystemvolumes, einschließlich der Benutzerdaten und Systemdateien, der Ruhezustanddatei, der Auslagerungsdatei und der temporären Dateien

  • Umfassender Schutz für Anwendungen von Drittanbietern, von dem diese automatisch nach erfolgreicher Installation auf dem verschlüsselten Volume profitieren

Systemintegritätsprüfung

BitLocker verwendet das TPM, um die Integrität von Komponenten für den frühen Start und Startkonfigurationsdaten zu überprüfen. Dadurch wird sichergestellt, dass BitLocker nur dann den Zugriff auf das verschlüsselte Volume zulässt, wenn diese Komponenten nicht manipuliert wurden und sich das verschlüsselte Laufwerk im ursprünglichen Computer befindet.

Mit den folgenden Verfahren wird die Integrität des Startprozesses von BitLocker sichergestellt:

  • BitLocker bietet eine Methode zum Überprüfen, ob die Integrität von Dateien für den frühen Start bewahrt wird, und zum Sicherstellen, dass diese Dateien nicht manipuliert wurden (z. B. mit Startsektorviren oder Rootkits).

  • BitLocker bietet einen verbesserten Schutz, um das Risiko softwarebasierter Angriffe im Offlinemodus zu verringern. Jeglicher alternativer Software, mit der das System gestartet werden könnte, wird der Zugriff auf die Entschlüsselungsschlüssel für das Windows-Betriebssystemvolume verweigert.

  • BitLocker sperrt das System bei Manipulation. Wenn überwachte Dateien manipuliert wurden, wird das System nicht gestartet. Dadurch wird der Benutzer auf die Manipulation aufmerksam gemacht, da das System nicht normal gestartet werden kann. Im Fall einer Systemsperrung bietet BitLocker ein einfaches Wiederherstellungsverfahren.

Vorteile von BitLocker

Zu den Vorteilen von BitLocker gehören die Benutzerfreundlichkeit, die Unternehmensimplementierung und die Außerbetriebsetzung bzw. Wiederverwendung von Computern.

Benutzerfreundlichkeit

Bei der alltäglichen Arbeit ist der Schutz mit BitLocker für den Benutzer nahezu transparent. Im Falle einer Systemsperrung (z. B. aufgrund eines Hardwarefehlers, einer Hardwareänderung oder einer versuchten Sicherheitsverletzung) bietet BitLocker ein einfaches und effizientes Wiederherstellungsverfahren.

Unternehmensimplementierung

BitLocker ist eng in Windows Vista integriert und bietet Unternehmen eine nahtlose und einfach zu verwaltende Datenschutzlösung. BitLocker kann beispielsweise die vorhandene Active Directory®-Domänendienste-Infrastruktur (AD DS, Active Directory® Domain Services) eines Unternehmens verwenden, um von einem Remotestandort aus Wiederherstellungsschlüssel zu hinterlegen. BitLocker bietet einen Assistenten für das Setup und die Verwaltung sowie Erweiterbarkeit und Verwaltbarkeit über eine WMI-Schnittstelle (Windows Management Instrumentation) mit Skriptunterstützung. BitLocker verfügt zudem über eine Wiederherstellungskonsole, die in den Prozess für den frühen Start integriert ist, damit der Benutzer oder das Helpdeskpersonal den Zugriff auf einen gesperrten Computer wiederherstellen kann.

Weitere Informationen zum Schreiben von Skripts für BitLocker finden Sie unter Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983, möglicherweise in englischer Sprache).

Außerbetriebsetzen oder Wiederverwenden von Computern

BitLocker vereinfacht den Prozess zum Außerbetriebsetzen oder Wiederverwenden von Computern. Sie können die im verschlüsselten Volume enthaltenen Daten vor Zugriff schützen, indem Sie die BitLocker-Schlüssel löschen, die für den Zugriff auf das Volume erforderlich sind.

Überlegungen zur Sicherheit von BitLocker

Sicherheit bedeutet Risikomanagement. Deshalb ist es wichtig zu wissen, dass BitLocker einen Computer nicht vor allen Angriffen schützen kann. Wenn beispielsweise böswillige Benutzer oder Programme wie Viren oder Rootkits Zugriff auf einen Computer haben, bevor dieser verloren geht oder gestohlen wird, besteht die Möglichkeit, dass diese Sicherheitslücken verursachen, über die sie später auf verschlüsselte Daten zugreifen können. Der BitLocker-Schutz kann beeinträchtigt werden, wenn der USB-Systemstartschlüssel nicht vom Computer entfernt wird oder die PIN bzw. das Windows-Anmeldekennwort nicht geheim gehalten werden.

Der ausschließliche TPM-Authentifizierungsmodus (kein Systemstartschlüssel bzw. keine PIN) bietet die transparenteste Benutzerfreundlichkeit für Organisationen, die auf grundlegenden Datenschutz angewiesen sind, um Sicherheitsrichtlinien zu entsprechen. Der ausschließliche TPM-Modus kann auf ganz einfache Weise bereitgestellt, verwaltet und verwendet werden. Er ist auch eher für Computer geeignet, die unbeaufsichtigt sind oder neu gestartet werden müssen, während sie unbeaufsichtigt sind.

Der ausschließliche TPM-Modus bietet jedoch den geringsten Datenschutz. Dieser Modus schützt vor einigen Angriffen, die Komponenten für den Frühstart ändern. Die Ebene des Schutzes kann jedoch durch potenzielle Sicherheitsschwächen des Betriebssystems, der Hardware oder des BIOS beeinträchtigt werden. Eine PIN oder ein USB-Systemstartschlüssel kann helfen, viele dieser Angriffe abzuwehren. Wenn Teile Ihrer Organisation über hochsensible Daten auf mobilen Computern verfügen, sollten Sie BitLocker mit einer mehrstufigen Authentifizierung auf diesen Computern bereitstellen.

Weitere Informationen zu den Überlegungen zur Sicherheit von BitLocker finden Sie im Datenverschlüsselungstoolkit für mobile PCs (http://go.microsoft.com/fwlink/?LinkId=85982, möglicherweise in englischer Sprache).

Implementieren von BitLocker auf Servern

Für Server unter Windows Server 2008 in einer freigegebenen oder potenziell unsicheren Umgebung (z. B. in einer Zweigniederlassung) kann BitLocker denselben Umfang an Datenschutz bieten wie auf Clientcomputern. Mit diesem zusätzlichen Feature, das für Windows Server 2008 verfügbar ist, können IT-Administratoren das Betriebssystemvolume und zusätzliche Datenvolumes auf demselben Server verschlüsseln.

BitLocker wird standardmäßig nicht mit Windows Server 2008 installiert. Fügen Sie BitLocker mithilfe des Server-Managers in Windows Server 2008 hinzu. Nach der Installation können Sie BitLocker wie weiter unten in diesem Dokument beschrieben einrichten und verwalten. Sie müssen den Server nach der Installation von BitLocker neu starten. Wenn Sie WMI verwenden, können Sie BitLocker von einem Remotestandort aus aktivieren.

PIN-Unterstützung

Auf einem Server, auf dem die Startgeschwindigkeit eine wichtige Rolle spielt oder das Eingreifen eines Benutzers im Falle eines Neustarts nicht möglich ist, sollte das PIN-Feature deaktiviert werden. In zahlreichen Serverumgebungen sind die Betriebszeit und die Remoteverwaltung entscheidender Bedeutung. Die PIN-Authentifizierung von BitLocker kann beispielsweise in Zweigniederlassungen aktiviert werden, in denen ein Mitarbeiter den Server zu Beginn eines jeden Arbeitstags starten muss. Die verantwortliche Person gibt in diesem Szenario die PIN beim Start ein.

Unterstützung von Systemstartschlüsseln

USB-Systemstartschlüssel werden für Server unterstützt. Sie erhöhen den Datenschutz jedoch nur, wenn sie nach dem Systemstart wieder vom Server entfernt werden. Deshalb muss jemand den Systemstartschlüssel bei jedem Neustart des Servers manuell anschließen und ihn dann wieder entfernen, damit ein maximaler Datenschutz sichergestellt wird.

EFI-Unterstützung

BitLocker wird auf Servern mit einer erweiterbaren Firmwareschnittstelle (Extensible Firmware Interface, EFI) unterstützt, die eine mit Windows Server 2008 installierte 64-Bit-Prozessorarchitektur verwenden.

Datenvolumes

Alle Volumes mit Ausnahme des Betriebssystemvolumes und des Systemvolumes werden als Datenvolumes bezeichnet. Die BitLocker-Verschlüsselung von Datenvolumes wird nur unter Windows Server 2008 unterstützt. BitLocker verschlüsselt Windows Server 2008-Datenvolumes auf dieselbe Weise wie Betriebssystemvolumes. Ein mit BitLocker geschütztes Datenvolume kann vom Betriebssystem auf ganz normale Weise gelesen werden.

Automatisches Aufheben einer Sperre

Sie können BitLocker so konfigurieren, dass eine Sperre von bereitgestellten Datenvolumes während des Systemstarts ohne das Eingreifen eines Benutzers automatisch aufgehoben wird. Dies geschieht, indem BitLocker den Volumehauptschlüssel eines Datenvolumes mit einem externen Schlüssel verschlüsselt und dann eine Nur-Text-Kopie des externen Schlüssels in der Registrierung des verschlüsselten Betriebssystemvolumes speichert. Da der externe Schlüssel im verschlüsselten Betriebssystemvolume gespeichert wird, wird er von BitLocker und dem Betriebssystem Windows Server 2008 selbst geschützt. Wenn das Betriebssystem in den Wiederherstellungsmodus wechselt, bleiben die Datenvolumes geschützt.

Wenn Sie die automatische Aufhebung der Sperre aktivieren, wirkt sich die Deaktivierung von BitLocker für Datenvolumes in gleicher Weise aus wie für das Betriebssystemvolume:

  • Wenn Sie das Betriebssystemvolume entschlüsseln, entschlüsselt BitLocker auch die geschützten Datenvolumes und entfernt alle Schlüssel zur automatischen Aufhebung der Sperre aus der Registrierung.

  • Wenn Sie BitLocker vorübergehend deaktivieren, bleiben das Betriebssystemvolume und die Datenvolumes verschlüsselt. Auf den Schlüssel, der das Betriebssystemvolume schützt, kann jedoch weiter zugegriffen werden, bis BitLocker wieder aktiviert wird.

Systemadministratoren können die automatische Aufhebung der Sperre für jeden Server aktivieren bzw. deaktivieren, indem sie eine skriptfähige WMI-Schnittstelle verwenden. Sie können die automatische Aufhebung einer Sperre nur dann aktivieren, wenn BitLocker für das Betriebssystemvolume aktiviert und das Volume verschlüsselt ist. Dadurch soll ein hohes Niveau an Schutz für Datenvolumes aufrechterhalten werden.

Clusterkonfigurationen

BitLocker unterstützt keine Clusterkonfigurationen.

Wiederherstellen von Datenvolumes

Das Wiederherstellen eines Datenvolumes ähnelt dem Wiederherstellen eines Betriebssystemvolumes. Eine Kopie des Wiederherstellungsschlüssels muss vor dem Auftreten eines Fehlers auf einem anderen Medium gespeichert werden (vorzugsweise während der Installation). Wenn das Datenvolume auf einen neuen Server verschoben wird oder wenn der externe Schlüssel vom Betriebssystem nicht abgerufen werden kann, um die Sperre des Datenvolumes automatisch aufzuheben, muss der Benutzer das Medium mit dem Wiederherstellungsschlüssel bereitstellen.

Die Wiederherstellung von Datenvolumes wird von der BitLocker-Systemsteuerung und dem WMI-Anbieter unterstützt.

Hardware-, Firmware- und Softwareanforderungen

Wenn Sie BitLocker auf einem Computer verwenden möchten, muss dieser bestimmte Anforderungen erfüllen, die in den BitLocker-Systemlogoanforderungen von Windows Vista spezifiziert werden.

  • Damit BitLocker die durch ein TPM bereitgestellte Systemintegritätsprüfung verwenden kann, muss der Computer über ein TPM der Version 1.2 verfügen. Wenn der Computer nicht über ein TPM verfügt, müssen Sie einen Systemstartschlüssel auf einem USB-Wechselmedium (z. B. einem Flashlaufwerk) speichern, um BitLocker zu aktivieren. Weitere Informationen zum Verwenden von BitLocker auf einem Computer ohne ein TPM finden Sie unter Szenario nur mit einem Systemstartschlüssel (kein TPM).

  • Auf einem Computer mit einem TPM muss darüber hinaus ein TCG-konformes (Trusted Computing Group) BIOS installiert sein. Das BIOS erstellt eine Vertrauenskette für den Betriebssystemstart und muss Unterstützung für TCG-spezifiziertes Static Root of Trust Measurement einschließen. Auf einem Computer ohne ein TPM muss kein TCG-konformes BIOS installiert sein.

  • Das System-BIOS (für Computer mit und ohne ein TPM) muss USB-Massenspeicher unterstützen. Dazu zählt auch das Lesen kleiner Dateien auf einem USB-Flashlaufwerk in der Umgebung vor dem Starten des Betriebssystems. Weitere Informationen zu USB finden Sie in den USB-Massenspeicher- und Massenspeicher-UFI-Befehlsspezifikationen auf der USB-Website (http://go.microsoft.com/fwlink/?LinkId=83120, möglicherweise in englischer Sprache).

  • Die Festplatte muss in mindestens zwei Volumes partitioniert werden:

    • Das Betriebssystemvolume (oder Startvolume) enthält das Betriebssystem Windows Vista und seine unterstützenden Dateien. Es muss mit dem NTFS-Dateisystem formatiert werden. BitLocker ist auf diesem Volume aktiviert.

    • Das Systemvolume enthält die Dateien, die zum Starten von Windows benötigt werden, nachdem die Plattform vom BIOS gestartet wurde. BitLocker ist auf diesem Volume nicht aktiviert. Das Systemvolume darf nicht verschlüsselt werden, muss sich von dem Betriebssystemvolume unterscheiden und muss mit dem NTFS-Dateisystem formatiert werden, damit BitLocker funktioniert. Das Systemvolume sollte mindestens 1,5 Gigabyte (GB) groß sein.

BitLocker-Architektur

Mit BitLocker kann das Betriebssystemvolume der Festplatte vor nicht autorisiertem Zugriff geschützt werden, wenn der Computer offline ist. BitLocker verwendet dazu die Verschlüsselung ganzer Volumes und die über das TPM verfügbaren Sicherheitserweiterungen. Auf Computern mit einem TPM unterstützt BitLocker auch die mehrstufige Authentifizierung.

BitLocker verwendet das TPM für Systemintegritätsprüfungen von wichtigen Komponenten für den Frühstart. Das TPM sammelt und speichert Werte verschiedener Komponenten für den Frühstart und Startkonfigurationsdaten, um für diesen Computer eine System-ID – ähnlich einem Fingerabdruck – zu erstellen. Wenn die Komponenten für den Frühstart geändert oder manipuliert werden (z. B. durch Veränderung des BIOS, durch Veränderung des Master Boot Record (MBR) oder durch Einbau der Festplatte in einen anderen Computer) verhindert das TPM, dass BitLocker die Sperre für das verschlüsselte Volume aufhebt, und der Computer wechselt in den Wiederherstellungsmodus. Wenn das TPM die Systemintegrität überprüft, hebt BitLocker die Sperre des geschützten Volumes auf. Das Betriebssystem wird gestartet, und für den Computerschutz sind von nun an der Benutzer und das Betriebssystem zuständig.

In Abbildung wird dargestellt, wie das mit BitLocker geschützte Volume mit einem Schlüssel für die vollständige Volumeverschlüsselung verschlüsselt wird. Dieser Schlüssel wird wiederum mit einem Volumehauptschlüssel verschlüsselt. Die Sicherung des Volumehauptschlüssels stellt einen indirekten Weg zum Schützen von Daten auf dem Volume dar: Mit dem zusätzlichen Volumehauptschlüssel kann das System einfach mit einem neuen Schlüssel versehen werden, wenn Schlüssel weiter oben in der Vertrauenskette verloren gehen oder beschädigt werden. Die Möglichkeit, das System mit einem neuen Schlüssel versehen zu können, macht das Entschlüsseln und erneute Verschlüsseln des gesamten Volumes überflüssig.

BitLocker-Schlüsselprotectorarchitektur

Sobald BitLocker den Zugriff auf das geschützte Betriebssystemvolume authentifiziert hat, verschlüsselt und entschlüsselt ein Filtertreiber im Windows Vista-Dateisystemstapel Datenträgersektoren transparent, wenn Daten auf das geschützte Volume geschrieben oder von diesem gelesen werden. Wenn der Computer in den Ruhezustand wechselt, wird die Ruhezustanddatei verschlüsselt auf dem geschützten Volume gespeichert. Wenn der Computer den Betrieb aus dem Ruhezustand wieder aufnimmt, wird die verschlüsselte Ruhezustanddatei entschlüsselt. Nachdem BitLocker das geschützte Volume während der Installation verschlüsselt hat, wirken sich die Verschlüsselung und Entschlüsselung in der Regel nur minimal auf die alltägliche Systemleistung aus.

Wenn Sie BitLocker vorübergehend deaktivieren (z. B. um das BIOS zu aktualisieren), bleibt das Betriebssystemvolume verschlüsselt, der Volumehauptschlüssel wird jedoch mit einem "unverschlüsselten Schlüssel" verschlüsselt, der unverschlüsselt auf der Festplatte gespeichert wird. Durch die Verfügbarkeit dieses unverschlüsselten Schlüssels wird der BitLocker-Datenschutz unwirksam. Wenn BitLocker wieder aktiviert wird, wird der unverschlüsselte Schlüssel von der Festplatte entfernt, der Volumehauptschlüssel wird neu erstellt und verschlüsselt und der BitLocker-Schutz ist wiederhergestellt.

IT-Administratoren können BitLocker mithilfe des BitLocker-Setup-Assistenten lokal konfigurieren. Mithilfe der Schnittstellen, die über den Win31_EncryptableVolume-WMI-Anbieter des Betriebssystems Windows Vista zur Verfügung stehen, können IT-Administratoren BitLocker lokal und von einem Remotestandort aus konfigurieren. Die Schnittstellen schließen Verwaltungsfunktionen ein, um die Verschlüsselung des Volumes zu starten, anzuhalten und fortzusetzen und um konfigurieren zu können, wie das Volume geschützt werden soll.

Ein Verwaltungsskript (manage-bde.wsf), das unter Windows Vista und Windows Server 2008 verfügbar ist, bietet IT-Administratoren eine einfache Befehlszeilenschnittstelle zur Verwaltung und Überprüfung des BitLocker-Status. Dieses Skript basiert auf den verfügbaren WMI-Anbietern und kann geändert werden, um kundenspezifische Lösungen für die Verwaltungsanforderungen unterschiedlicher Unternehmen zu bieten. Weitere Informationen zum Anbieter der BitLocker-Laufwerkverschlüsselung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=80600 (möglicherweise in englischer Sprache).

Schematische Darstellung

In Abbildung 2 wird die gesamte BitLocker-Architektur, einschließlich der verschiedenen Unterkomponenten, dargestellt. Es werden die Benutzermodus- und Kernelmoduskomponenten von BitLocker (einschließlich des TPM) und die Art und Weise ihrer Integration in die verschiedenen Ebenen des Betriebssystems veranschaulicht.

BitLocker-Architektur

Authentifizierungsmodi in der Startsequenz

BitLocker unterstützt je nach Hardwareausstattung des Computers und der gewünschten Sicherheitsstufe vier verschiedene Authentifizierungsmodi:

  • BitLocker mit einem TPM (keine weiteren Authentifizierungsfaktoren)

  • BitLocker mit einem TPM und einer PIN

  • BitLocker mit einem TPM und einem USB-Systemstartschlüssel

  • BitLocker ohne ein TPM (USB-Systemstartschlüssel erforderlich)

Jedes Mal, wenn Windows Vista gestartet wird und BitLocker dabei aktiviert ist, führt der Startcode basierend auf den festgelegten Einstellungen für den Volumeschutz bestimmte Schritte aus. Diese Schritte können Systemintegritätsprüfungen und andere Authentifizierungsvorgänge (PIN oder USB-Systemstartschlüssel) einschließen, die ausgeführt bzw. überprüft werden müssen, bevor die Sperre des geschützten Volumes aufgehoben wird.

Für Wiederherstellungszwecke verwendet BitLocker einen Wiederherstellungsschlüssel (auf einem USB-Gerät gespeichert) oder ein Wiederherstellungskennwort (numerisches Kennwort) wie in Abbildung 1 dargestellt. Sie erstellen den Wiederherstellungsschlüssel bzw. das Wiederherstellungskennwort während der BitLocker-Initialisierung. Durch Anschließen des Wiederherstellungsschlüssels bzw. Eingabe des Wiederherstellungskennworts kann ein autorisierter Benutzer im Falle einer versuchten Sicherheitsverletzung oder eines Systemfehlers wieder Zugriff auf das verschlüsselte Volume erhalten.

BitLocker sucht in der folgenden Reihenfolge nach Schlüsseln:

  1. Unverschlüsselter Schlüssel: Die Systemintegritätsprüfung wurde deaktiviert, und auf den BitLocker-Volumehauptschlüssel kann frei zugegriffen werden. Eine Authentifizierung ist nicht erforderlich.

  2. Wiederherstellungsschlüssel oder Systemstartschlüssel (falls vorhanden): Falls ein Wiederherstellungsschlüssel oder Systemstartschlüssel vorhanden ist, wird dieser sofort von BitLocker verwendet. BitLocker versucht in diesem Fall nicht, die Sperre des Volumes auf eine andere Weise aufzuheben.

  3. Authentifizierung

    1. TPM: Das TPM überprüft erfolgreich Komponenten für den frühen Start, um die Versiegelung des Volumehauptschlüssels aufzuheben.

    2. TPM + Systemstartschlüssel: Das TPM überprüft erfolgreich Komponenten für den frühen Start, und ein USB-Flashlaufwerk mit dem richtigen Systemstartschlüssel wurde angeschlossen.

    3. TPM + PIN: Das TPM überprüft erfolgreich Komponenten für den frühen Start, und der Benutzer gibt die richtige PIN ein.

  4. Recovery

    1. Wiederherstellungskennwort: Der Benutzer muss das richtige Wiederherstellungskennwort eingeben.

    2. Wiederherstellungsschlüssel: Wenn die Sperre des Laufwerks durch keinen der oben aufgeführten Schritte aufgehoben werden kann, wird der Benutzer aufgefordert, das USB-Flashlaufwerk anzuschließen, auf dem sich der Wiederherstellungsschlüssel befindet, und den Computer neu zu starten.

Fremde Volumes

Fremde Volumes sind Betriebssystemvolumes, die auf einem Computer BitLocker-aktiviert waren und auf einen anderen Computer unter Windows Vista übertragen wurden. Die Übertragung eines fremden Volumes auf einen anderen Computer unter Windows Vista stellt ein schnelles und direktes Verfahren dar, um mit BitLocker geschützte Daten eines beschädigten Computers wiederherzustellen. Die Wiederherstellung, für die ein Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort benötigt wird, stellt den einzig verfügbaren Authentifizierungsvorgang auf einem solchen Volume dar. Weitere Informationen zum Wiederherstellen finden Sie unter Systemwiederherstellung.

BitLocker-Lebenszyklus

Es gibt vier wichtige Phasen im BitLocker-Lebenszyklus wie in Abbildung 3 dargestellt. Diese Phasen schließen die Installation, die Initialisierung, die tägliche Verwendung sowie die Außerbetriebsetzung bzw. die Wiederverwendung eines Computers ein.

BitLocker-Lebenszyklus
  1. Installation: BitLocker wird als Teil von Windows Vista installiert oder als eine Option von Windows Server 2008 hinzugefügt.

  2. Initialisierung: BitLocker wird initialisiert und aktiviert.

  3. Tägliche Verwendung: Der Computer wird für alltägliche Aufgaben verwendet. BitLocker bietet Schutz, dessen Umfang auf der Authentifizierungsoption basiert, die während der Initialisierung ausgewählt wurde.

  4. Außerbetriebsetzen und Wiederverwenden von Computern: Ein BitLocker-aktivierter Computer muss außer Betrieb gesetzt oder wiederverwendet werden.

In den folgenden Abschnitten werden die einzelnen Phasen beschrieben. Eine detaillierte schematische Darstellung finden Sie unter Schematische Darstellung.

Installation

Bei Windows Vista Enterprise und Windows Vista Ultimate wird BitLocker automatisch als Teil der Betriebssysteminstallation installiert. BitLocker wird jedoch erst aktiv, wenn es mithilfe der BitLocker-Systemsteuerung aktiviert wird.

Initialisierung

Der Systemadministrator kann nach der Installation und der anfänglichen Einrichtung des Betriebssystems die Systemsteuerung unter Windows Vista jederzeit verwenden, um BitLocker zu initialisieren. Der Initialisierungsprozess besteht aus zwei Schritten:

  1. Initialisieren Sie auf Computern mit einem TPM das TPM, indem Sie den TPM-Initialisierungs-Assistenten oder die BitLocker-Systemsteuerung verwenden oder ein entsprechendes Skript zur Initialisierung ausführen. Auf den TPM-Initialisierungs-Assistenten können Sie über den TPM-Verwaltungskonsolen-Assistenten zugreifen, den Sie über einen Link in der BitLocker-Systemsteuerung starten. Beim Öffnen der BitLocker-Systemsteuerung wird die TMP-Initialisierung bei Bedarf automatisch gestartet. Die Remoteinitialisierung des TPM wird auch unterstützt. Normalerweise muss ein Benutzer bei der Initialisierung des TPM eines Computers anwesend sein. Wenn ein Computer jedoch mit einem bereits aktivierten TPM geliefert wird, ist die Anwesenheit eines Benutzers nicht erforderlich. Die TPM-Dienstekomponente von BitLocker schließt eine Verwaltungs-API ein, bei der für die Initialisierungsverfahren Skripts verwendet werden können. Es kann auch ein Besitzer festgelegt und das TPM-Verwaltungskennwort erstellt werden.

  2. Richten Sie BitLocker ein. Rufen Sie in der Systemsteuerung unter Windows Vista den BitLocker-Setup-Assistenten auf, der Sie durch das Setup führt und erweiterte Authentifizierungsoptionen bietet.

CautionVorsicht
Wenn ein lokaler Administrator BitLocker initialisiert, sollte der Administrator auch ein Wiederherstellungskennwort oder einen Wiederherstellungsschlüssel erstellen. Ohne einen Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort kann auf die Daten auf dem verschlüsselten Laufwerk nicht zugegriffen werden. Zudem können sie nicht wiederhergestellt werden, wenn ein Problem mit dem Betriebssystemvolume auftritt.

Die BitLocker- und TPM-Initialisierung muss von einem Mitglied der lokalen Gruppe Administratoren auf dem Computer ausgeführt werden. Ein Benutzer, der nicht über Administratorrechte verfügt, profitiert zwar vom BitLocker-Datenschutz, kann diesen jedoch nicht aktivieren bzw. deaktivieren.

Detaillierte Informationen zum Konfigurieren und Bereitstellen von BitLocker unter Windows Vista finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkID=53779, möglicherweise in englischer Sprache).

Tägliche Verwendung

Sobald BitLocker initialisiert und das Volume verschlüsselt wurde, wird BitLocker von einem Benutzer nur noch bei einer Authentifizierung oder bei gelegentlichen Verwaltungsaufgaben verwendet.

BitLocker unterstützt je nach Hardwareausstattung des Computers und der gewünschten Sicherheitsstufe vier verschiedene Authentifizierungsmodi:

  • BitLocker mit einem TPM

  • BitLocker mit einem TPM und einer PIN

  • BitLocker mit einem TPM und einem USB-Systemstartschlüssel

  • BitLocker ohne ein TPM (USB-Systemstartschlüssel erforderlich)

BitLocker-aktivierte Computer, die ausschließlich das TPM zur Authentifizierung verwenden (ohne zusätzliche BitLocker-Authentifizierungsfaktoren), können wie jeder andere Computer verwendet werden. Die Benutzer starten Windows und werden aufgefordert, den Benutzernamen und das Kennwort einzugeben, was eine ganz normale Anmeldeprozedur darstellt. Wenn sie nicht über BitLocker informiert wurden, sind sich die Benutzer wahrscheinlich überhaupt nicht bewusst, dass die Computer über zusätzliche Datenschutzmechanismen verfügen.

Wenn BitLocker für erweiterte Sicherheit konfiguriert wurde, muss der Benutzer eine PIN eingeben oder einen USB-Systemstartschlüssel anschließen, um Windows Vista zu starten. In diesem Fall wird der normale Startvorgang geändert, um die Abfrage des zusätzlichen Authentifizierungsfaktors einzubinden.

Detaillierte Informationen zu den BitLocker-Authentifizierungsmodi finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkID=53779, möglicherweise in englischer Sprache).

Szenario nur mit TPM

In diesem Szenario ist BitLocker auf einem Computer mit einem TPM aktiviert. Es wurden jedoch keine zusätzlichen Authentifizierungsfaktoren aktiviert. Die Festplatte ist in zwei Volumes partitioniert:

  1. Das Systemvolume

  2. Windows Vista-Betriebssystemvolume

Wie in Abbildung 4 dargestellt verschlüsselt BitLocker das Betriebssystemvolume mit einem Schlüssel zur vollständigen Volumeverschlüsselung. Dieser Schlüssel wird mit dem Volumehauptschlüssel verschlüsselt, der wiederum durch das TPM verschlüsselt wird.

BitLocker mit TPM-Schutz

Dieses Szenario kann von dem lokalen Administrator über die Sicherheitseinstellungen in der Systemsteuerung unter Windows Vista aktiviert oder deaktiviert werden. Wenn Sie BitLocker deaktivieren, wird das Volume entschlüsselt, und alle Schlüssel werden entfernt. Wenn Sie BitLocker später wieder aktivieren, werden neue Schlüssel erstellt.

CautionVorsicht
Wenn ein lokaler Administrator BitLocker aktiviert, sollte der Administrator auch ein Wiederherstellungskennwort oder einen Wiederherstellungsschlüssel erstellen. Ohne einen Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort kann auf die Daten auf dem verschlüsselten Laufwerk nicht zugegriffen werden. Zudem können sie nicht wiederhergestellt werden, wenn ein Problem mit dem Betriebssystemvolume auftritt.

Szenarien mit erweiterter Authentifizierung

Bei diesen Szenarien werden dem zuvor beschriebenen einfachen Szenario zusätzliche Authentifizierungsfaktoren hinzugefügt. Wie in Abbildung 5 dargestellt bietet die Verwendung von BitLocker auf einem Computer mit einem TPM zwei mehrstufige Authentifizierungsoptionen:

  • TPM plus PIN (Systemintegritätsprüfung plus noch etwas, das der Benutzer kennt)

  • TPM plus einen auf einem USB-Flashlaufwerk gespeicherten Systemstartschlüssel (Systemintegritätsprüfung plus noch etwas, das der Benutzer hat)

Der Vorteil dieser Szenarien besteht darin, dass nicht alle Schlüsselelemente auf dem lokalen Computer gespeichert werden.

BitLocker mit zweistufiger Authentifizierung
PIN-Authentifizierung

Bei diesem Szenario richtet der Administrator bei der BitLocker-Initialisierung eine numerische PIN ein. BitLocker gliedert die PIN mithilfe des Algorithmus SHA-256. Die ersten 160 Bit des Hashes werden als Autorisationsdaten verwendet, die an das TPM gesendet werden, um den Volumehauptschlüssel zu versiegeln. Der Volumehauptschlüssel wird jetzt durch das TPM und die PIN geschützt. Der Benutzer muss jedes Mal, wenn der Computer gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, die PIN eingeben, um die Versiegelung des Volumehauptschlüssels aufzuheben.

noteHinweis
Bei Serverimplementierungen soll die PIN-Authentifizierung möglicherweise nicht aktiviert werden, wenn die Startgeschwindigkeit eine wichtige Rolle spielt oder das Eingreifen eines Benutzers im Falle eines Neustarts nicht möglich ist.

Authentifizierung mit einem Systemstartschlüssel

In diesem Szenario erstellt der Administrator bei der BitLocker-Initialisierung einen Systemstartschlüssel. Der Schlüssel wird auf einem beliebigen BIOS-spezifizierten Speichergerät (z. B. einem USB-Flashlaufwerk) gespeichert. Der Benutzer muss dieses Gerät jedes Mal an den Computer anschließen, wenn der Computer gesstartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt. Das USB-Flashlaufwerk mit dem Systemstartschlüssel muss während des gesamten Startvorgangs des Computers an den Computer angeschlossen sein und sollte wieder entfernt werden, nachdem Windows geladen wurde.

Szenario nur mit Systemstartschlüssel (kein TPM)

Bei diesem Szenario aktiviert der Administrator BitLocker auf einem Computer ohne ein TPM. Der Benutzer muss das USB-Flashlaufwerk mit dem Systemstartschlüssel jedes Mal an den Computer anschließen, wenn der Computer gestartetwird oder den Betrieb aus dem Ruhezustand wieder aufnimmt.

noteHinweis
Das Sicherheitsprofil eines Systems, auf dem nur ein Systemstartschlüssel verwendet wird, unterscheidet sich von dem Sicherheitsprofil eines Systems mit einem TPM. Auf dem System ohne TPM wird die Integrität der Startkomponenten nicht geprüft.

Der Systemstartschlüssel für einen Computer ohne TPM muss mithilfe des BitLocker-Setup-Assistenten oder mithilfe von Skripts während der BitLocker-Initialisierung erstellt werden. BitLocker erstellt den Systemstartschlüssel, der Benutzer schließt das USB-Flashlaufwerk an den Computer an, und das System speichert den Systemstartschlüssel auf diesem Gerät.

Mithilfe der BitLocker-Systemsteuerung kann der Benutzer eine Sicherungskopie des Systemstartschlüssels erstellen. Der Systemstartschlüssel wird unverschlüsselt in einer BEK-Datei in Form von binären Rohdaten gespeichert. Im Falle eines verlorenen gegangenen Systemstartschlüssels muss das Volume mithilfe des Wiederherstellungsschlüssels oder des Wiederherstellungskennworts wiederhergestellt werden. Zudem muss ein neuer Systemstartschlüssel erstellt werden (bei diesem Verfahren wird der ursprüngliche Systemstartschlüssel gesperrt). Für alle anderen Volumes, die ebenfalls den verlorenen gegangenen Systemstartschlüssel verwenden, muss ein ähnliches Verfahren ausgeführt werden, um sicherzustellen, dass der verlorene gegangene Systemstartschlüssel nicht von einem nicht autorisierten Benutzer verwendet wird.

Verwaltung

Der Administrator kann BitLocker mithilfe der BitLocker-Systemsteuerung verwalten, auf die über die Sicherheitseinstellungen in derSystemsteuerung unter Windows Vista zugegriffen werden kann. Ein Befehlszeilen-Verwaltungstool (manage-bde.wsf) steht IT-Administratoren ebenfalls zur Verfügung, um von einem Remotestandort aus Skriptfunktionen ausführen zu können.

Detaillierte Informationen zum Konfigurieren und Bereitstellen von BitLocker unter Windows Vista finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkID=53779, möglicherweise in englischer Sprache).

Schlüsselverwaltung

Sobald das Volume verschlüsselt und mit BitLocker geschützt wurde, können lokale Administratoren und Domänenadministratoren mithilfe der Schlüsselverwaltungsseite in der BitLocker-Systemsteuerung Schlüssel duplizieren und die PIN zurücksetzen.

BitLocker-Konfiguration und TPM-Verwaltung

Mit der BitLocker-Systemsteuerung, die über die Sicherheitseinstellungen in der Systemsteuerung unter Windows Vista verfügbar ist, kann der BitLocker-Status angezeigt und BitLocker aktiviert bzw. deaktiviert werden. Wenn BitLocker gerade aufgrund einer kürzlichen Installations- oder Deinstallationsanforderung aktiv Daten verschlüsselt oder entschlüsselt, wird der Status angezeigt. Ein Administrator kann mit der BitLocker-Systemsteuerung auch auf die MMC zur TPM-Verwaltung zugreifen. Weitere Informationen finden Sie unter Initialisierung.

Computerupdates und -upgrades: Deaktivieren des BitLocker-Schutzes

In bestimmten Fällen muss ein Administrator BitLocker vorübergehend deaktivieren. Dies gilt für folgende Szenarien:

  • Neustart des Computers zur Wartung ohne Benutzereingaben (z. B. eine PIN oder ein Systemstartschlüssel)

  • Aktualisieren des BIOS

  • Aktualisierung wichtiger Komponenten für den frühen Start ohne Auslösen der BitLocker-Wiederherstellung. Beispiel:

    • Installieren einer anderen Version des Betriebssystems oder eines anderen Betriebssystems, was zu einer Änderung des MBR (Master Boot Record) führen könnte

    • Erneute Partitionierung des Datenträgers, was zu einer Änderung der Partitionstabelle führen könnte

    • Ausführen weiterer Systemaufgaben, die die vom TMP überprüften Startkomponenten ändern

  • Erweitern des Motherboards, um das TPM ohne Auslösen einer BitLocker-Wiederherstellung zu ersetzen oder zu entfernen

  • Deaktivieren oder Löschen des TPM ohne Auslösen der BitLocker-Wiederherstellung

  • Verschieben eines mit BitLocker geschützten Datenträgervolumes ohne Auslösen der BitLocker-Wiederherstellung

Diese Szenarien werden gemeinsam als Computeraktualisierungsszenario bezeichnet. BitLocker kann über die Option BitLocker in der Windows-Systemsteuerung aktiviert bzw. deaktiviert werden.

Die folgenden Schritte sind notwendig, um einen BitLocker-aktivierten Computer zu aktualisieren.

  1. Schalten Sie BitLocker vorübergehend aus, indem Sie es deaktivieren.

  2. Aktualisieren Sie das System oder das BIOS.

  3. Aktivieren Sie BitLocker erneut.

Wenn für BitLocker der deaktivierte Modus erzwungen wird, bleibt das Volume verschlüsselt, der Volumehauptschlüssel wird jedoch mit einem symmetrischen Schlüssel verschlüsselt, der unverschlüsselt auf der Festplatte gespeichert wird. Durch die Verfügbarkeit dieses unverschlüsselten Schlüssels wird der BitLocker-Datenschutz unwirksam. Auf diese Weise wird jedoch sichergestellt, dass nachfolgende Startvorgänge des Computers ohne weitere Benutzereingaben erfolgen können. Wenn BitLocker erneut aktiviert wird, wird der unverschlüsselte Schlüssel vom Datenträger entfernt, und der BitLocker-Schutz ist wieder aktiviert. Zusätzlich wird der Volumehauptschlüssel neu erstellt und wieder verschlüsselt.

Das Verschieben des verschlüsselten Volumes (des physischen Datenträgers) auf einen anderen BitLocker-aktivierten Computer erfordert keine zusätzlichen Schritte, da der Schlüssel, der den Volumehauptschlüssel schützt, unverschlüsselt auf dem Datenträger gespeichert ist.

CautionVorsicht
Das Verfügbarmachen des Volumehauptschlüssels – sei es auch nur für einen kurzen Zeitraum – stellt ein Sicherheitsrisiko dar, da es möglich ist, dass ein Angreifer auf den Volumehauptschlüssel und den Schlüssel zur vollständigen Volumeverschlüsselung zugegriffen hat, als diese Schlüssel durch den unverschlüsselten Schlüssel verfügbar gemacht wurden.

Detaillierte Informationen zum Deaktivieren von BitLocker finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkID=53779, möglicherweise in englischer Sprache).

Außerbetriebsetzen und Wiederverwenden von Computern

Viele Computer werden heutzutage von anderen Personen wiederverwendet, also nicht vom urspr��nglichen Besitzer oder Benutzer. In Unternehmen werden Computer beispielsweise in anderen Abteilungen erneut bereitgestellt, oder sie verlassen das Unternehmen im Rahmen einer standardmäßigen Erneuerung der Computerhardware.

Auf unverschlüsselten Laufwerken können Daten weiter lesbar bleiben, selbst wenn diese formatiert wurden. Unternehmen wenden oft mehrfache Überschreibvorgänge oder die physische Zerstörung an, um das Risiko zu verringern, dass auf Daten auf außer Betrieb gesetzten Laufwerken weiterhin zugegriffen werden kann.

Mit BitLocker können einfache und kostengünste Vorgänge zum Außerbetriebsetzen erstellt werden. Ein Unternehmen, in dem die Daten durch BitLocker weiterhin verschlüsselt werden und dann alle Schlüssel entfernt werden, kann dauerhaft das Risiko verringern, dass auf diese Daten weiterhin frei zugegriffen werden kann. Es ist nahezu unmöglich, auf BitLocker-verschlüsselte Daten zuzugreifen, nachdem alle BitLocker-Schlüssel entfernt wurden, da dann eine 128-Bit- bzw. 256-Bit-AES-Verschlüsselung geknackt werden müsste.

CautionVorsicht
Führen Sie die in diesem Abschnitt beschriebenen Verfahren nur aus, wenn Sie die Daten in Zukunft nicht mehr benötigen. Die Daten im verschlüsselten Volume können nicht wiederhergestellt werden.

Ein Administrator kann die BitLocker-Schlüssel eines Volumes entfernen, indem er das Volume unter Windows Vista formatiert. Der Befehl Format wurde entsprechend aktualisiert, damit dieser Vorgang unterstützt wird. Wenn Sie das Betriebssystemvolume formatieren möchten, können Sie mithilfe der Wiederherstellungsumgebung, die auf der Installations-DVD von Windows Vista enthalten ist, eine Eingabeaufforderung öffnen.

Alternativ dazu kann ein Administrator ein Skript erstellen, das alle Elemente zum Schutz von BitLocker-Schlüsseln entfernt. Wenn Sie ein solches Skript ausführen, können sämtliche BitLocker-verschlüsselten Daten nach dem Neustart des Computers nicht mehr wiederhergestellt werden. Als Sicherheitsmaßnahme erfordert BitLocker, dass ein verschlüsseltes Volume über mindestens eine Schlüsselschutzvorrichtung verfügt. Angesichts dieser Anforderung können Sie das Laufwerk außer Betrieb setzen, indem Sie eine neue externe Schlüsselschutzvorrichtung erstellen, den erstellten externen Schlüssel nicht speichern und dann alle anderen Schlüsselschutzvorrichtungen auf dem Volume entfernen. Weitere Informationen zum Schreiben von Skripts für BitLocker finden Sie unter Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983, möglicherweise in englischer Sprache).

Wenn die BitLocker-Schlüssel vom Volume entfernt wurden, sind weitere Schritte erforderlich nötig, um die Außerbetriebsetzung abzuschließen. Beispiel: Setzen Sie das TPM auf die Werkseinstellungen zurück, indem Sie das TPM löschen, und verwerfen Sie gespeicherte Wiederherstellungsinformationen für das Volume (z. B. Ausdrucke, auf USB-Geräten gespeicherte Dateien und in Active Directory gespeicherte Informationen).

Systemwiederherstellung

Zahlreiche Szenarien können einen Wiederherstellungsprozess auslösen. Beispiele:

  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer

  • Installieren eines neuen Motherboards mit einem neuen TPM

  • Ausschalten, Deaktivieren oder Löschen des TPM

  • Aktualisieren des BIOS

  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der Prüfung der Systemintegrität verursachen

  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist

  • Verlieren des USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Ein Administrator kann die Wiederherstellung auch als einen Zugriffsteuerungsmechanismus auslösen (z. B. bei der erneuten Bereitstellung eines Computers). Ein Administrator kann ein verschlüsseltes Laufwerk sperren, wodurch Benutzer gezwungen werden, BitLocker-Wiederherstellungsinformationen anzufordern, um die Sperre des Laufwerks aufzuheben.

Wenn BitLocker in den Wiederherstellungsmodus wechselt, können die Daten in dem verschlüsselten Volume wiederhergestellt werden. Dieser Vorgang erfordert nur wenige Einstellungen. Detaillierte Informationen finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkID=53779, möglicherweise in englischer Sprache).

Einrichten der Wiederherstellung

IT-Administratoren können mithilfe einer Gruppenrichtlinie auswählen, welche Wiederherstellungsmethoden für Benutzer, die BitLocker aktivieren, erforderlich, nicht zulässig oder optional anwendbar sind. Das Wiederherstellungskennwort kann in AD DS gespeichert werden, und der Administrator kann diese Option für jeden Benutzer des Computers als verbindlich, unzulässig oder optional festlegen. Die Wiederherstellungsdaten können zusätzlich auf einem USB-Flashlaufwerk gespeichert werden.

Wiederherstellungsszenarien

In BitLocker besteht die Wiederherstellung aus dem Entschlüsseln einer Kopie des Volumehauptschlüssels mit einem Wiederherstellungsschlüssel, der auf einem USB-Flashlaufwerk gespeichert ist, oder mit einem kryptografischen Schlüssel, der aus einem Wiederherstellungskennwort abgeleitet wurde. Das TPM spielt bei einer Wiederherstellung keine Rolle. Eine Wiederherstellung ist also auch dann noch möglich, wenn das TPM Startkomponenten nicht überprüfen kann, nicht funktioniert oder es entfernt wird.

Wiederherstellungskennwort

Das Wiederherstellungskennwort ist eine 48-stellige zufällig generierte Zahl, die bei der Installation von BitLocker erstellt werden kann. Wenn der Computer in den Wiederherstellungsmodus wechselt, wird der Benutzer aufgefordert, dieses Kennwort mithilfe der Funktionstasten (F0 bis F9) einzugeben. Das Wiederherstellungskennwort kann nach der Aktivierung von BitLocker verwaltet und kopiert werden. Mit der BitLocker-Systemsteuerung kann das Wiederherstellungskennwort ausgedruckt oder für die spätere Verwendung in einer Datei gespeichert werden.

Ein Domänenadministrator kann Gruppenrichtlinien konfigurieren, damit Wiederherstellungskennwörter automatisch generiert und transparent in AD DS gesichert werden, sobald BitLocker aktiviert wird. Der Domänenadministrator kann BitLocker auch daran hindern, ein Laufwerk zu verschlüsseln, es sei denn, der Computer ist mit dem Netzwerk verbunden und die AD DS-Sicherung des Wiederherstellungskennworts ist erfolgreich.

Wiederherstellungsschlüssel

Der Wiederherstellungsschlüssel kann bei der Installation von BitLocker erstellt und auf einem USB-Flashlaufwerk gespeichert werden. Nach der Aktivierung von BitLocker kann der Wiederherstellungsschlüssel auch verwaltet und kopiert werden. Wenn der Computer in den Wiederherstellungsmodus wechselt, wird der Benutzer aufgefordert, den Wiederherstellungsschlüssel an den Computer anzuschließen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft