(0) exportieren Drucken
Alle erweitern

Häufig gestellte Fragen (FAQ) zur Windows BitLocker-Laufwerkverschlüsselung

Letzte Aktualisierung: März 2008

Betrifft: Windows Vista

Windows® BitLocker™-Laufwerkverschlüsselung ist ein Datenschutzfeature, das in Windows Vista® Enterprise, Windows Vista® Ultimate und Windows Server® 2008 verfügbar ist.

Übersicht und Anforderungen

Updatevorgang

Bereitstellung und Verwaltung

Schlüsselverwaltung

  1. Was ist der Unterschied zwischen einem TPM-Kennwort, einem Wiederherstellungskennwort, einem Wiederherstellungsschlüssel, einer PIN und einem Schlüssel für den Systemstart?

  2. Wie kann das Wiederherstellungskennwort gespeichert werden?

  3. Können die durch BitLocker verschlüsselten Daten nicht mehr wiederhergestellt werden, wenn die Wiederherstellungsinformationen verloren gehen?

  4. Ist es möglich, eine weitere Authentifizierungsmethode hinzuzufügen, ohne das Gerät zu entschlüsseln, wenn nur die TPM-Authentifizierungsmethode aktiviert ist?

  5. Kann das als Schlüssel für den Systemstart verwendete USB-Flashlaufwerk auch zum Speichern des Widerherstellungsschlüssels verwendet werden?

  6. Kann der Schlüssel für den Systemstart auf mehreren USB-Flashlaufwerken gespeichert werden?

  7. Können mehrere (verschiedene) Schlüssel für den Systemstart auf dem gleichen USB-Flashlaufwerk gespeichert werden?

  8. Können mehrere (verschiedene) Schlüssel für den Systemstart für den gleichen Computer generiert werden?

  9. Können mehrere PIN-Kombinationen generiert werden?

  10. Welche Verschlüsselungsschlüssel werden in BitLocker verwendet? Wie arbeiten diese zusammen?

  11. Wo werden die Verschlüsselungsschlüssel gespeichert?

  12. Warum müssen die Funktionstasten zum Eingeben der PIN oder des aus 48 Zeichen bestehenden Wiederherstellungskennworts verwendet werden?

  13. Wie verhindert BitLocker, dass ein Angreifer die PIN ermitteln kann?

  14. Wie kann ein Minderungsmechanismus für einen Wörterbuchangriff des TPMs bewertet werden?

  15. Kann die PIN-Länge und -Komplexität mit Gruppenrichtlinien verwaltet werden?

  16. Wie werden die PIN und das TPM zum Ableiten des Volumehauptschlüssels verwendet?

Active Directory-Domänendienste

Sicherheit

Andere Fragen

Übersicht und Anforderungen

Was ist BitLocker? Wie funktioniert die Laufwerkverschlüsselung?

Windows BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das in Windows Vista Enterprise, Windows Vista Ultimate für Clientcomputer sowie in Windows Server 2008 verfügbar ist. BitLocker bietet optimierten Schutz vor Datendiebstahl oder -offenlegung auf Computern, die verloren gehen oder gestohlen werden. Außerdem ist ein sichererer Datenlöschvorgang verfügbar, wenn durch BitLocker geschützte Computer außer Betrieb genommen werden.

Daten auf einem verlorenen oder gestohlenen Computer sind für nicht autorisierten Zugriff anfällig, indem ein Softwareangriffstool ausgeführt oder die Festplatte des Computers auf einen anderen Computer übertragen wird. BitLocker unterstützt Sie beim Verhindern des nicht autorisierten Zugriffs auf Daten auf verlorenen oder gestohlenen Computern, indem zwei wichtige Datenschutzverfahren kombiniert werden:

  • Verschlüsselung des gesamten Windows-Betriebssystemvolumes auf der Festplatte. BitLocker verschlüsselt alle Benutzer- und Systemdateien auf dem Betriebssystemvolume, einschließlich der Auslagerungs- und Ruhezustandsdateien.

  • Überprüfung der Integrität früher Startkomponenten und Startkonfigurationsdaten. Auf Computern, auf denen ein TPM (Trusted Platform Module) mit Version 1.2 vorhanden ist, nutzt BitLocker die optimierten Sicherheitsfunktionen des TPMs, damit sichergestellt wird, dass auf Ihre Daten nur zugegriffen werden kann, wenn die Startkomponenten des Computers nicht geändert wurden und sich die verschlüsselte Festplatte im Originalcomputer befindet.

BitLocker ist eng in Windows Vista integriert und stellt Unternehmen optimierten Datenschutz zur Verfügung, der einfach zu verwalten und zu konfigurieren ist. BitLocker kann beispielsweise eine vorhandene Infrastruktur der Microsoft Active Directory-Domänendienste (Active Directory Domain Services, AD DS) verwenden, um BitLocker-Wiederherstellungsschlüssel remote zu speichern. BitLocker stellt außerdem eine Wiederherstellungskonsole zur Verfügung, die den Datenabruf für nicht mit einer Domäne verbundene Computer oder Computer ermöglicht, die keine Verbindung mit der Domäne herstellen können (beispielsweise Computer von Mitarbeitern, die außer Haus arbeiten).

Unterstützt BitLocker mehrstufige Authentifizierung?

Wenn Sie BitLocker auf einem Computer mit einem TPM der Version 1.2 aktivieren, können Sie dem TPM-Schutz einen zweiten Authentifizierungsfaktor hinzufügen. BitLocker bietet die Option, den normalen Startvorgang zu sperren, bis der Benutzer eine PIN (Personal Identification Number) zur Verfügung stellt oder ein USB-Gerät (z. B. ein Flashlaufwerk) anschließt, das einen BitLocker-Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten mehrstufige Authentifizierung und stellen sicher, dass der Computer nicht gestartet werden kann oder nach einem Ruhezustand fortgesetzt wird, bevor die richtige PIN oder ein Startschlüssel zur Verfügung gestellt wird.

Welche Hardware- und Softwareanforderungen gelten für BitLocker?

Um alle BitLocker-Features nutzen zu können, muss Ihr Computer die in der Tabelle unten genannten Hardware- und Softwareanforderungen erfüllen.

Hardware- und Softwareanforderungen für BitLocker

Anforderung Beschreibung

Hardwarekonfiguration

Der Computer muss die Mindestanforderungen für Windows Vista erfüllen. Weitere Informationen zu den Windows Vista-Anforderungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83233.

Betriebssystem

Windows Vista Ultimate oder Windows Vista Enterprise. Beide Versionen enthalten BitLocker-Laufwerkverschlüsselung.

Hardware-TPM (Trusted Platform Module)*

TPM Version 1.2

BIOS-Konfiguration

  • TGC-kompatibles (Trusted Computing Group) BIOS.

  • Das BIOS muss für den Start von der Festplatte festgelegt werden, nicht von den USB- oder CD-Laufwerken.

  • Das BIOS muss in der Lage sein, während des Startvorgangs von einem USB-Flashlaufwerk zu lesen.

Dateisystem

Zwei NTFS-Datenträgerpartitionen, eine für das Systemvolume und eine für das Betriebssystemvolume. Die Systemvolumepartition muss mindestens 1,5 GB groß und als aktive Partition festgelegt sein.

*Ein TPM ist für BitLocker nicht erforderlich, jedoch kann nur ein Computer mit einem TPM die zusätzliche Sicherheit der Überprüfung der Systemintegrität vor dem Start zur Verfügung stellen.

Warum sind zwei Partitionen erforderlich? Warum muss die Systempartition so groß sein?

Für die Ausführung von BitLocker sind zwei Partitionen erforderlich, weil die Authentifizierung vor dem Start und die Überprüfung der Systemintegrität außerhalb des verschlüsselten Betriebssystemvolumes erfolgen müssen. Diese Konfiguration schützt das Betriebssystem sowie die Informationen auf dem verschlüsselten Volume. Das unverschlüsselte Systemvolume sollte mindestens 1,5 GB groß sein und genügend Speicherplatz für die Startdateien, die WinPE-Umgebung (Windows Pre-Execution Environment) sowie andere Dateien bieten, die für Setup- oder Updateprogramme spezifisch sind. Computerhersteller und Unternehmenskunden können außerdem Systemtools oder andere Wiederherstellungstools auf diesem Volume speichern.

Welche TPMs unterstützt BitLocker?

BitLocker unterstützt das TPM (Trusted Platform Module) Version 1.2. BitLocker unterstützt keine älteren TPMs. TPMs der Version 1.2 bieten verbesserte Standardisierung, Sicherheitsoptimierung sowie verbesserte Funktionen im Vergleich zu früheren Versionen. Der Entwurf von Windows Vista berücksichtigt diese TPM-Verbesserungen.

Wie kann festgestellt werden, ob der Computer über ein TPM Version 1.2 verfügt?

Klicken Sie in der Systemsteuerung von BitLocker auf den Link BitLocker aktivieren. Wenn Sie die folgende Fehlermeldung erhalten, verfügt Ihr Computer nicht über ein TPM Version 1.2, oder das BIOS ist nicht mit BitLocker oder dem TPM kompatibel:

Es wurde kein TPM gefunden. Zum Aktivieren von BitLocker ist ein TPM erforderlich. Falls der Computer ein TPM besitzt, fordern Sie beim Computerhersteller ein mit BitLocker kompatibles BIOS an.

Wenn Sie diese Fehlermeldung erhalten, wenden Sie sich an den Hersteller des Computers, um zu überprüfen, ob der Computer über ein TPM Version 1.2 verfügt, oder ein BIOS-Update anzufordern.

Einige Computer verfügen ggf. über TPMs, die nicht im MMC-Snap-In (Microsoft Management Console) des Windows Vista-TPMs (tpm.msc) angezeigt werden. Wenn Sie glauben, dass Ihr Computer über ein TPM Version 1.2 verfügt und dieser Fehler ausgegeben wird, wenden Sie sich an den Hersteller des Computers, um ein BIOS-Update anzufordern. Außerdem verwenden einige Hersteller eine BIOS-Einstellung, die das TPM standardmäßig ausblendet, andere Hersteller stellen das TPM erst zur Verfügung, wenn es im BIOS aktiviert ist. Wenn Sie glauben, dass Ihr TPM im BIOS ausgeblendet ist, suchen Sie in der Dokumentation des Herstellers nach Anweisungen, die erläutern, wie das TPM eingeblendet bzw. aktiviert wird.

Kann BitLocker auf einem Computer ohne ein TPM Version 1.2 verwendet werden?

Sie können BitLocker auf einem Computer ohne ein TPM Version 1.2 aktivieren, wenn das BIOS in der Lage ist, von einem USB-Flashlaufwerk in der Startumgebung zu lesen. Der Grund dafür ist, dass BitLocker das geschützte Volume erst entsperrt, wenn der eigene Volumehauptschlüssel von BitLocker durch das TPM des Computers oder durch ein USB-Flashlaufwerk freigegeben wird, das den BitLocker-Startschlüssel für den betreffenden Computer enthält. Computer ohne TPMs können jedoch nicht die Überprüfung der Systemintegrität nutzen, die BitLocker ebenfalls zur Verfügung stellen kann.

Um festzustellen, ob ein Computer während des Startvorgangs von einem USB-Gerät lesen kann, verwenden Sie die BitLocker-Systemüberprüfung als Teil des BitLocker-Installationsvorgangs. Diese Systemüberprüfung führt Tests durch, um zu bestätigen, dass der Computer ordnungsgemäß zum richtigen Zeitpunkt von USB-Geräten lesen kann und andere BitLocker-Anforderungen erfüllt.

Um BitLocker auf einem Computer ohne ein TPM zu aktivieren, verwenden Sie Gruppenrichtlinien, um die erweiterte BitLocker-Benutzeroberfläche zu aktivieren. Wenn die erweiterten Optionen aktiviert sind, werden die Nicht-TPM-Einstellungen im Setup-Assistenten der BitLocker-Laufwerkverschlüsselung angezeigt. Anweisungen zum Verwenden von Gruppenrichtlinien zum Aktivieren der erweiterten Benutzeroptionen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83223.

Wie erhalte ich BIOS-Support für das TPM auf meinem Computer?

Wenden Sie sich direkt an den Hersteller des Computers, um ein TCG-kompatibles (Trusted Computing Group) BIOS anzufordern. Stellen Sie die folgenden Fragen, wenn Sie ein BIOS anfordern:

  1. Verfügt der Computer über ein BIOS, das für Windows Vista bereit ist? Genügt es den Windows Vista-Logo-Tests?

  2. Ist das BIOS TCG-kompatibel (Trusted Computing Group)?

  3. Verfügt das BIOS über eine sicheren Updatemechanismus, der verhindert, dass ein nicht autorisiertes (bösartiges) BIOS auf dem Computer installiert wird?

Updatevorgang

Welche Versionen von Windows Vista enthalten BitLocker? Kann BitLocker auf einem auf Windows XP basierenden Computer verwendet werden?

BitLocker ist in Windows Vista Ultimate und Windows Vista Enterprise verfügbar. BitLocker ist in Windows XP nicht verfügbar.

Wie wird ein auf Windows XP basierender Computer auf Windows Vista mit der erforderlichen Datenträgerkonfiguration für BitLocker aktualisiert?

Zuerst müssen Sie Windows Vista Ultimate oder Windows Vista Enterprise installieren und dann das BitLocker-Laufwerkvorbereitungstool ausführen. Dieses Tool konfiguriert automatisch das Datenträgerpartitionslayout für BitLocker. Weitere Informationen zum BitLocker-Laufwerkvorbereitungstool finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83261.

Welcher Unterschied besteht zwischen Deaktivierung und Entschlüsselung, wenn BitLocker deaktiviert wird?

Entschlüsseln entfernt den BitLocker-Schutz vollkommen und entschlüsselt das Volume vollständig.

Deaktivieren lässt die Daten verschlüsselt, verschlüsselt jedoch dem Hauptschlüssel des BitLocker-Volumes mit einem unverschlüsselten Schlüssel. Der unverschlüsselte Schlüssel ist ein kryptografischer Schlüssel, der unverschlüsselt und ungeschützt auf dem Datenträgervolume gespeichert wird. Indem dieser Schlüssel unverschlüsselt gespeichert wird, ermöglicht die Deaktivierungsoption ohne Zeitaufwand oder Kosten für das Entschlüsseln und anschließende erneute Verschlüsseln des gesamten Volumes Änderungen oder Aktualisierungen des Computers. Sobald die Änderungen vorgenommen wurden und BitLocker erneut aktiviert wird, versiegelt BitLocker den Verschlüsselungsschlüssel mit den neuen Werten der gemessenen Komponenten, die sich als Teil des Upgrades geändert haben, und der unverschlüsselte Schlüssel wird gelöscht.

Muss ein verschlüsseltes Volume entschlüsselt werden, damit Systemupdates und -upgrades heruntergeladen und installiert werden können?

Alle Systemupgrades einschließlich der Windows Anytime Upgrades erfordern Volumeentschlüsselung vor der Installation. Verschiedene Updates, die nicht von Microsoft stammen, erfordern eine Deaktivierung von BitLocker, bevor sie installiert werden können. Updates von Microsoft Update erfordern keine Volumeentschlüsselung oder Deaktivierung von BitLocker.

Ermitteln Sie anhand der Tabelle unten, ob Sie BitLocker deaktivieren oder das Volume entschlüsseln müssen, bevor Sie eine Upgrade- oder Updateinstallation durchführen.

 

Aktion Typ des Updates

Entschlüsseln

Systemupgrades (einschließlich Windows Anytime Upgrades)

Deaktivieren

Softwareupdates, die nicht von Microsoft stammen, z. B. die folgenden:

  • Firmwareupdates des Computerherstellers

  • TPM-Firmwareupdates (Trusted Platform Module)

  • Anwendungsupdates, die nicht von Microsoft stammen und Startkomponenten ändern

Sobald Sie das Upgrade/Update installiert haben, können Sie BitLocker erneut aktivieren. Bei der erneuten Aktivierung versiegelt BitLocker den Verschlüsselungsschlüssel erneut mit den neuen Werten der gemessenen Komponenten, die sich als Teil des Updates geändert haben. Wenn diese Arten von Upgrades/Updates ohne Entschlüsselung/Deaktivierung von BitLocker angewendet werden, erfolgt der Neustart des Computers im Wiederherstellungsmodus und erfordert einen Wiederherstellungsschlüssel oder ein Kennwort, um auf den Computer zugreifen zu können.

Bereitstellung und Verwaltung

Kann die BitLocker-Bereitstellung in einer Unternehmensumgebung automatisiert werden?

Sie können die Bereitstellung und Konfiguration von BitLocker mit Skripts automatisieren, die die WMI-Anbieter (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) für BitLocker und die TPM-Verwaltung verwenden. Wie Sie die Skripts implementieren, hängt von Ihrer Umgebung ab. Sie können auch das BitLocker-Befehlszeilentool (manage-bde.wsf) verwenden, um BitLocker lokal oder remote zu konfigurieren. Weitere Informationen zum Schreiben von Skripts, die die WMI-Anbieter für BitLocker verwenden, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=80600.

Verschlüsselt BitLocker mehr als nur das Betriebssystemvolume?

BitLocker stellt eine Benutzeroberfläche für die Verschlüsselung des gesamten Betriebssystemvolumes einschließlich Windows-Systemdateien und der Ruhezustanddatei zur Verfügung. Sie können optional das verschlüsselnde Dateisystem (Encrypting File System, EFS) in Windows Vista verwenden, um andere Volumes zu schützen. Die EFS-Schlüssel werden standardmäßig auf dem Betriebssystemvolume gespeichert. Wenn BitLocker für das Betriebssystemvolume aktiviert ist, sind daher alle Daten, die durch EFS geschützt sind, indirekt auch durch BitLocker geschützt. Erfahrene Benutzer können außerdem lokale Datenvolumes mithilfe einer Befehlszeilenschnittstelle (manage-bde.wsf) verschlüsseln.

Sind negative Auswirkungen auf die Leistung zu befürchten, wenn BitLocker auf einem Windows Vista-basierten Computer aktiviert wird?

Bei normaler Verwendung zeigt BitLocker keine erkennbaren negativen Auswirkungen auf die Leistung eines Computers. Im Allgemeinen ist ein Leistungsaufwand im einstelligen Prozentbereich erforderlich.

Wie lange dauert die anfängliche Verschlüsselung ungefähr, wenn BitLocker aktiviert wird?

Die BitLocker-Verschlüsselung wird in den meisten Fällen mit einer Rate von ungefähr 1 GB pro Minute durchgeführt. Die Verschlüsselung erfolgt im Hintergrund, während Sie Ihre Arbeit fortsetzen, und das System bleibt verwendbar.

Was geschieht, wenn der Computer während der Ver- oder Entschlüsselung ausgeschaltet wird?

Die BitLocker-Ver- und -Entschlüsselungsvorgänge können durch Ausschalten des Computers unterbrochen werden. Sie werden beim nächsten Start von Windows dort fortgesetzt, wo die Unterbrechung erfolgte. Dies ist selbst dann der Fall, wenn eine plötzliche Unterbrechung der Stromversorgung aufgetreten ist.

Warum scheint der Großteil des freien Speicherplatzes auf dem Volume belegt zu sein, wenn BitLocker den Konvertierungsvorgang durchführt?

BitLocker kann bei der Verschlüsselung des Volumes freien Speicherplatz nicht ignorieren, weil nicht zugeordneter Speicherplatz häufig Datenreste enthält, von denen Benutzer annehmen, dass sie gelöscht wurden. Es ist jedoch nicht effizient, freien Speicherplatz auf einem Volume zu verschlüsseln. Um dieses Problem zu beheben, erstellt BitLocker zuerst eine große Platzhalterdatei, die den Großteil des verfügbaren Speicherplatzes aufnimmt, und löscht dann Datenträgersektoren, die zur Platzhalterdatei gehören. Während dieses Vorgangs belässt BitLocker 6 GB verfügbaren Speicherplatz für kurzfristige Systemanforderungen. Der gesamte übrige Speicherplatz einschließlich der 6 GB freien Speicherplatzes, der nicht durch die Platzhalterdatei belegt wird, wird verschlüsselt. Wenn die Verschlüsselung des Volumes angehalten wird oder abgeschlossen ist, wird die Platzhalterdatei gelöscht und der freie Speicherplatz auf den normalen Wert zurückgesetzt.

Weitere Informationen zu diesem Vorgang finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83240.

Ver- und entschlüsselt BitLocker das gesamte Volume gleichzeitig, wenn Daten gelesen und geschrieben werden?

Nein, BitLocker ver- und entschlüsselt nicht das gesamte Volume gleichzeitig, wenn Daten gelesen und geschrieben werden. Die verschlüsselten Sektoren auf dem durch BitLocker geschützten Volume werden nur entschlüsselt, wenn sie von Systemlesevorgängen angefordert werden. Blöcke, die auf das Volume geschrieben werden, werden verschlüsselt, bevor das System sie zurück auf den physikalischen Datenträger schreibt. Unverschlüsselte Daten werden niemals auf einem BitLocker-aktivierten Volume gespeichert.

Wie kann verhindert werden, dass Benutzer in einem Netzwerk Daten auf einem nicht verschlüsselten Volume speichern?

Wenn Sie befürchten, dass Benutzer unabsichtlich Daten auf dem nicht verschlüsselten Volume speichern könnten, verwenden Sie Zugriffssteuerungslisten (Access Control Lists, ACLs) und Gruppenrichtlinien, um die Zugriffssteuerung für das Volume zu konfigurieren oder den Laufwerkbuchstaben auszublenden.

Weitere Informationen zum Ausblenden von Laufwerkbuchstaben finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83219.

Welche Systemänderungen bewirken einen Fehler der Integritätsüberprüfung auf dem Computer?

Die folgenden Arten von Systemänderungen können zu einem Fehler der Integritätsüberprüfung und verhindern, dass das TPM den BitLocker-Schlüssel zum Entschlüsseln des geschützten Volumes freigibt:

  • Verschieben des mit BitLocker geschützten Datenträgers auf einen neuen Computer.

  • Installieren eines neuen Motherboards mit einem neuen TPM.

  • Ausschalten, Deaktivieren oder Löschen des TPMs.

  • Ändern des BIOS, des MBRs (Master Boot Record), des Startsektors, des Start-Managers oder der frühen Startkomponenten bzw. der Startkonfigurationsdaten.

Diese Funktionalität ist beabsichtigt. BitLocker bewertet eine nicht autorisierte Änderung an einer der frühen Startkomponenten als möglichen Angriff und versetzt das System in den Wiederherstellungsmodus. Autorisierte Administratoren können Startkomponenten aktualisieren, ohne in den Widerherstellungsmodus zu wechseln, indem BitLocker im Vorfeld deaktiviert wird.

Können auf dem gleichen Computer Festplatten gegeneinander ausgetauscht werden, wenn BitLocker aktiviert ist?

Ja, Sie können mehrere Festplatten auf dem gleichen Computer gegeneinander austauschen, wenn BitLocker aktiviert ist. Dies gilt jedoch nur, wenn die Festplatten auf dem gleichen Computer BitLocker-aktiviert wurden.

Kann auf ein mit BitLocker verschlüsseltes Volume zugegriffen werden, wenn die Festplatte in einem anderen Computer verwendet wird?

Wenn der andere Computer Windows Vista Ultimate oder Windows Vista Enterprise ausführt, kann die verschlüsselte Festplatte über das Systemteuerungselement von BitLocker auf dem anderen Computer entsperrt werden.

noteHinweis
Dies ist ein schnelles und effizientes Verfahren zum Wiederherstellen von Informationen von einem fehlerhaften Computer, der ein durch BitLocker geschütztes Volume auf der festplatte verfügt.

Wenn Sie die BitLocker-aktivierte Festplatte auf dem anderen Computer entsperren, ist der einzige verfügbare Authentifizierungsvorgang die Wiederherstellung. Die Festplatte wird im Systemsteuerungselement von BitLocker mit einer Option zum Entsperren des Volumes mithilfe des Wiederherstellungskennworts oder Wiederherstellungsschlüssels angezeigt.

Ist eine Dualbootoption für Windows Vista und ein anderes Betriebssystem auf einem BitLocker-aktivierten Computer möglich?

Ja, ein Dualbootvorgang einer BitLocker-aktivierten Instanz von Windows Vista Ultimate oder Windows Vista Enterprise mit einem anderen Betriebssystem ist möglich. Weitere Informationen zum Erstellen und Konfigurieren eines Dualbootsystems finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83222.

Schlüsselverwaltung

Was ist der Unterschied zwischen einem TPM-Kennwort, einem Wiederherstellungskennwort, einem Wiederherstellungsschlüssel, einer PIN und einem Schlüssel für den Systemstart?

Es können mehrere Schlüssel generiert und von BitLocker verwendet werden. Einige Schlüssel sind erforderlich, andere sind optionale Schutzfunktionen, die Sie abhängig vom Grad der erforderlichen Sicherheit wahlweise verwenden können.

TPM-Besitzerkennwort

Bevor Sie BitLocker auf einem Computer mit einem TPM Version 1.2 aktivieren können, müssen Sie das TPM initialisieren. Durch den Initialisierungsvorgang wird ein TPM-Besitzerkennwort generiert, das für das TPM festgelegt wird. Um den Status des TPMs zu ändern und zum Aktivieren bzw. Deaktivieren können Sie das TPM-Besitzerkennwort verwenden. Weitere Informationen zur TPM-Verwaltung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83223.

Wiederherstellungskennwort und Wiederherstellungsschlüssel

Wenn Sie BitLocker einrichten, müssen Sie ein Wiederherstellungskennwort erstellen. Sollte Ihr Computer in den Wiederherstellungsstatus wechseln, benötigen Sie diese Wiederherstellungsinformationen (ein Wiederherstellungskennwort oder einen Wiederherstellungsschlüssel), um die verschlüsselten Daten auf dem Volume zu entsperren. Sie können das Wiederherstellungskennwort in einem der folgenden Formate speichern:

  • Als numerisches Kennwort, das aus 48 Ziffern in 8 Gruppen besteht. Während der Wiederherstellung müssen Sie dieses Kennwort in die BitLocker-Wiederherstellungskonsole mithilfe der Funktionstasten auf der Tastatur eingeben.

  • Als Wiederherstellungskennwort, das als Datei auf einem USB-Flashlaufwerk in einem Format gespeichert ist, das direkt von der BitLocker-Wiederherstellungskonsole gelesen werden kann. Während der Wiederherstellung müssen Sie dieses USB-Gerät anschließen.

PIN

Für einen höheren Sicherheitsgrad des TPMs können Sie BitLocker mit einer PIN (Personal Identification Number) konfigurieren. Die PIN ist ein von einem Benutzer erstellter Wert, der bei jedem Start des Computers sowie bei der Aufnahme des Betriebs aus dem Ruhezustand eingegeben werden muss. Die PIN kann aus 4 bis 20 Ziffern bestehen und wird intern als 256-Bit-Hash der eingegebenen Unicode-Zeichen gespeichert. Dieser Wert wird dem Benutzer unter keinen Umständen erneut angezeigt. Die PIN wird verwendet, um eine weitere Stufe der Authentifizierung zusammen mit der TPM-Authentifizierung zur Verfügung zu stellen.

Startschlüssel

Die Konfiguration eines Startschlüssels ist eine weitere Methode zum Aktivieren eines höheren Sicherheitsgrads für das TPM. Der Startschlüssel ist ein auf einem USB-Flashlaufwerk gespeicherter Schlüssel, und das USB-Flashlaufwerk muss bei jedem Start des Computers angeschlossen werden. Der Startschlüssel wird verwendet, um eine weitere Stufe der Authentifizierung zusammen mit der TPM-Authentifizierung zur Verfügung zu stellen.

ImportantWichtig
Sie müssen über einen Startschlüssel verfügen, um BitLocker auf einem Nicht-TPM-Computer verwenden zu können.

Weitere Informationen zu BitLocker-Schlüsseln finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83225.

Wie kann das Wiederherstellungskennwort gespeichert werden?

Das Wiederherstellungskennwort kann in einem Ordner oder auf mindestens einem USB-Gerät gespeichert oder gedruckt werden. Ein Domänenadministrator kann außerdem Gruppenrichtlinien so konfigurieren, dass Wiederherstellungskennwörter automatisch generiert und transparent in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert werden. Weitere Informationen zum Speichern von Wiederherstellungsinformationen in AD DS finden Sie unter http://go.microsoft.com/fwlink/?LinkId=67438.

Ist es möglich, eine weitere Authentifizierungsmethode hinzuzufügen, ohne das Gerät zu entschlüsseln, wenn nur die TPM-Authentifizierungsmethode aktiviert ist?

Ja. Sie können zu diesem Zweck das Befehlszeilentool manage-bde.wsf verwenden. Wenn BitLocker beispielsweise nur mit TPM-Authentifizierung aktiviert ist, und Sie möchten PIN-Authentifizierung hinzufügen, verwenden Sie den folgenden Befehl:

cscript %systemroot%\system32\manage-bde.wsf -protectors -add %systemdrive% -tpmandpin <aus 4 - 20 Ziffern bestehende numerische PIN>

Sie können den folgenden Befehl verwenden, um eine Liste der verfügbaren Parameter für manage-bde.wsf anzuzeigen:

cscript %systemroot%\system32\manage-bde.wsf -?

Können die durch BitLocker geschützte Daten nicht mehr wiederhergestellt werden, wenn die Wiederherstellungsinformationen verloren gehen?

BitLocker soll die Wiederherstellung des verschlüsselten Volumes behindern, wenn die erforderliche Authentifizierung nicht durchgeführt wird. Wenn sich der Computer im Wiederherstellungsmodus befindet, benötigt der Benutzer das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um das verschlüsselte Volume zu entsperren. Daher wird dringend empfohlen, die Wiederherstellungsinformationen in den Active Directory-Domänendiensten oder an einem anderen sicheren Ort zu speichern.

Dies ist jedoch ein wertvolles Feature, wenn ein Computer außer Betrieb genommen, verkauft oder erneut bereitgestellt wird. Der Computer kann in einen Wiederherstellungsstatus versetzt werden, damit nur der Inhaber der Wiederherstellungsinformationen auf die Inhalte des verschlüsselten Volumes zugreifen kann.

Kann das als Schlüssel für den Systemstart verwendete USB-Flashlaufwerk auch zum Speichern des Wiederherstellungsschlüssels verwendet werden?

Dies ist zwar technisch möglich, es ist jedoch keine bewährte Methode, ein USB-Flashlaufwerk zum Speichern beider Schlüssel zu verwenden. Wenn das USB-Flashlaufwerk, das den Startschlüssel enthält, verloren geht oder gestohlen wird, verlieren Sie auch den Zugriff auf den Wiederherstellungsschlüssel. Wenn Sie das Flashlaufwerk mit diesem Schlüssel anschließen, startet der Computer außerdem automatisch selbst dann mit dem Wiederherstellungsschlüssel, wenn sich TPM-gemessene Dateien geändert haben. Auf diese Weise wird die Überprüfung der Systemintegrität des TPMs umgangen.

Kann der Schlüssel für den Systemstart auf mehreren USB-Flashlaufwerken gespeichert werden?

Ja, Sie können den Startschlüssel eines Computers auf mehreren USB-Flashlaufwerken speichern.

Können mehrere (verschiedene) Schlüssel für den Systemstart auf dem gleichen USB-Flashlaufwerk gespeichert werden?

Ja, sie können BitLocker-Startschlüssel für verschiedene Computer auf dem gleichen USB-Flashlaufwerk speichern.

Können mehrere (verschiedene) Schlüssel für den Systemstart für den gleichen Computer generiert werden?

Sie können verschiedene Startschlüssel für den gleichen Computer mithilfe von Skripting erstellen. Für Computer mit einem TPM verhindert das Erstellen verschiedener Starschlüssel jedoch, dass BitLocker die Überprüfung der Systemintegrität des TPMs nutzen kann.

Können mehrere PIN-Kombinationen generiert werden?

Technisch ist es möglich, mehrere PINs zu generieren. Dieser Vorgang wird jedoch nicht unterstützt oder empfohlen.

Welche Verschlüsselungsschlüssel werden in BitLocker verwendet? Wie arbeiten diese zusammen?

Rohdaten werden mit dem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der anschließend mit dem Volumehauptschlüssel verschlüsselt wird. Der Volumehauptschlüssel seinerseits wird durch eine von mehreren möglichen Methoden abhängig von Ihren Authentifizierungs- (d. h., Schlüsselschutzmechanismen oder TPM) und Wiederherstellungsszenarien verschlüsselt. Die folgende Tabelle beschreibt, wie der Volumehauptschlüssel verschlüsselt werden kann.

Verschlüsselungsmethoden für den Volumehauptschlüssel

Verschlüsselungsmethode Beschreibung

TPM-Speicherstammschlüssel und Startschlüssel

  • RSA-Verschlüsselung eines internen Schlüssels, der mit dem Startschlüssel kombiniert wird.

  • Der Volumehauptschlüssel wird mit einem 128-Bit- oder 256-Bit-AES-Schlüssel (Advanced Encryption Standard) verschlüsselt.

TPM-Speicherstammschlüssel + PIN

Der Volumehauptschlüssel ist mit RSA verschlüsselt.

Nur TPM-Speicherstammschlüssel

Der Volumehauptschlüssel ist mit RSA verschlüsselt.

Nur Startschlüssel.

Der Volumehauptschlüssel ist mit AES verschlüsselt.

Wiederherstellungsschlüssel

Der Volumehauptschlüssel ist mit AES verschlüsselt.

Wiederherstellungskennwort und SALT

  • Der abgeleitete Schlüssel wird mithilfe eines rechnungsaufwendigen Algorithmus gestreckt.

  • Der Volumehauptschlüssel ist mit AES verschlüsselt.

Unverschlüsselter Schlüssel

Der Volumehauptschlüssel wird mit einem AES-Schlüssel verschlüsselt. Der AES-Schlüssel wird unverschlüsselt und ungeschützt gespeichert, wenn BitLocker deaktiviert wird.

Wo werden die Verschlüsselungsschlüssel gespeichert?

Der vollständige Volumeverschlüsselungsschlüssel wird durch den Volumehauptschlüssel verschlüsselt und auf dem verschlüsselten Volume gespeichert. Der Volumehauptschlüssel wird durch den entsprechenden Schlüsselschutzmechanismus verschlüsselt und auf dem verschlüsselten Volume gespeichert. Der unverschlüsselte Schlüssel, der zum Verschlüsseln des Volumehauptschlüssels verwendet wird, wird ebenfalls zusammen mit dem verschlüsselten Volumehauptschlüssel auf dem verschlüsselten Volume gespeichert.

Die folgende Tabelle erläutert, wo die BitLocker-Verschlüsselungsschlüssel gespeichert werden und welcher Schlüssel zum Verschlüsseln eines anderen Schlüssels verwendet wird.

Speicherorte für BitLocker-Schlüssel und -Verschlüsselungsdaten

Schlüssel Verschlüsselt mit Speicherort

Vollständiger Volumeverschlüsselungsschlüssel

Volumehauptschlüssel

Verschlüsseltes Volume

Volumehauptschlüssel

Schlüsselschutzmechanismen einschließlich unverschlüsseltem Schlüssel

Verschlüsseltes Volume

Unverschlüsselter Schlüssel

Nicht verschlüsselt

Verschlüsseltes Volume

Dieser Speichervorgang stellt sicher, dass der Volumehauptschlüssel niemals unverschlüsselt gespeichert wird und geschützt ist, wenn BitLocker nicht deaktiviert wird. Die Schlüssel werden außerdem aus Redundanzgründen an zwei zusätzlichen Speicherorten auf dem Volume gespeichert. Die Schlüssel können vom Start-Manager gelesen und verarbeitet werden.

Warum müssen die Funktionstasten zum Eingeben der PIN oder des aus 48 Zeichen bestehenden Wiederherstellungskennworts verwendet werden?

Bei den Tasten F1 bis F10 handelt es sich um universell zugeordnete Scancodes, die in der Vor-Betriebssystemumgebung auf allen Computern und in allen Sprachen verfügbar sind. Die Tasten 0 bis 9 der Zehnertastatur aller Tastaturen können in der Vor-Betriebssystemumgebung nicht verwendet werden.

Wie verhindert BitLocker, dass ein Angreifer die PIN ermitteln kann?

Es ist möglich, dass ein Angreifer mithilfe eines Brute-Force-Angriffs die PIN ermitteln kann. Ein Brute-Force-Angriff findet statt, wenn ein Angreifer ein automatisiertes Tool verwendet, um verschiedene PIN-Kombinationen einzugeben, bis die richtige Kombination ermittelt wird. Für durch BitLocker geschützte Computer ist für diese Art des Angriffs (auch als Wörterbuchangriff bezeichnet) erforderlich, dass der Angreifer physikalischen Zugang zum Computer besitzt.

Das TPM verfügt über eine integrierte Funktion zum Erkennen von diesen und Reagieren auf diese Angriffsarten. Da die TPMs verschiedener Hersteller ggf. verschiedene PIN- und Angriffsminderungen unterstützen, wenden Sie sich an den Hersteller des TPMs, um zu erfragen, wie das TPM Ihres Computers PIN-Brute-Force-Angriffe mindert.

Nachdem Sie den Hersteller Ihres TPMs ermittelt haben, wenden Sie sich an diesen, um die herstellerspezifischen Informationen für das TPM anzufordern. Die meisten Hersteller verwenden die Anzahl der PIN-Authentifizierungsfehler, um die Sperrzeitspanne für die PIN-Benutzeroberfläche exponential zu erhöhen. Jeder Hersteller verwendet jedoch andere Richtlinien hinsichtlich des Zeitpunkts und der Methode für das Herab- oder Zurücksetzen des Fehlerzählers.

Wie kann ein Minderungsmechanismus für einen Wörterbuchangriff des TPMs bewertet werden?

Die folgenden Fragen können Sie unterstützen, wenn Sie einen TPM-Hersteller zum Entwurf eines Minderungsmechanismus für Wörterbuchangriffe befragen:

  • Wie viele Autorisierungsversuchfehler dürfen auftreten, bevor eine Sperre erfolgt?

  • Welcher Algorithmus zum Ermitteln der Dauer einer Sperre basierend auf der Anzahl der Autorisierungsversuchfehler und anderen relevanten Parametern wird verwendet?

  • Welche Aktionen können bewirken, dass die Fehleranzahl und Sperrdauer verringert oder zurückgesetzt werden?

Kann die PIN-Länge und -Komplexität mit Gruppenrichtlinien verwaltet werden?

Sie können Gruppenrichtlinien nicht zum Durchsetzen von BitLocker-PIN-Regeln verwenden. Sie können Gruppenrichtlinien jedoch verwenden, um anzugeben, ob eine PIN mithilfe des Setup-Assistenten der BitLocker-Laufwerkverschlüsselung erstellt werden muss oder nicht erstellt werden darf. Weitere Informationen zu Sicherheitseinstellungen von Gruppenrichtlinien finden Sie im Windows Vista-Sicherheitsleitfaden unter http://go.microsoft.com/fwlink/?LinkId=82582.

Wie werden die PIN und das TPM zum Ableiten des Volumehauptschlüssels verwendet?

BitLocker erstellt mithilfe von SHA-256 einen Hash der vom Benutzer angegebenen PIN, und die ersten 160 Bits des Hashs werden als Autorisierungsdaten verwendet, die an das TPM zum Versiegeln des Volumehauptschlüssels gesendet werden. Der Volumehauptschlüssel ist nun durch das TPM und die PIN geschützt. Um die Versiegelung des Volumehauptschlüssels aufzuheben, müssen Sie die PIN bei jedem Neustart des Computers sowie bei der Aufnahme des Betriebs aus dem Ruhezustand eingeben.

Active Directory-Domänendienste

ImportantWichtig
Ausführliche Anweisungen zum Konfigurieren der Active Directory-Domänendienste (AD DS) für BitLocker finden Sie unter http://go.microsoft.com/fwlink/?LinkId=67438.

Erfordert BitLocker eine Schemaerweiterung, um Wiederherstellungsinformationen in AD DS zu speichern?

Dies hängt vom Betriebssystem und der AD DS-Implementierung ab.

Windows Server 2003 mit Service Pack 1 (SP1)

In AD DS unter Windows Server 2003 mit SP1 muss das Schema erweitert werden, um das Speichern von BitLocker- und TPM-Wiederherstellungs- und -Kennwortinformationen zu unterstützen.

Windows Server 2008

In AD DS unter Windows Server 2008 ab Betaversion 3 enthält das Schema bereits die erforderlichen Attribute.

Welche Art von Informationen werden in AD DS gespeichert?

Drei Hauptinformationen werden in AD DS gespeichert. In der folgenden Tabelle werden diese Informationen erläutert.

In AD DS gespeicherte Hauptinformationen

Gespeicherte Informationen Beschreibung

Hash des TPM-Besitzerkennworts

Der Kennworthash kann nur gespeichert werden, wenn das TPM einen Besitzer aufweist und die Besitzübernahme mithilfe von Komponenten von Windows Vista erfolgt ist, z. B. mithilfe des Setup-Assistenten der BitLocker-Laufwerkverschlüsselung oder des MMC-Snap-Ins des TPMs.

BitLocker-Wiederherstellungskennwort

Ermöglicht das Entsperren des Volumes und den Zugriff darauf, wenn ein Wiederherstellungsereignis eintritt.

BitLocker-Schlüsselpaket

Unterstützt die Reparatur von Schäden an der Festplatte, die andernfalls eine Standardwiederherstellung verhindern. Für die Wiederherstellung des Schlüsselpakets ist das BitLocker-Reparaturtool erforderlich. Weitere Informationen zu diesem Tool finden Sie unter http://go.microsoft.com/fwlink/?LinkId=82584.

Wie werden die Wiederherstellungsinformationen verschlüsselt, während sie vom Client an AD DS übertragen werden?

Authentifizierungsflags werden festgelegt, um die Übertragung der Wiederherstellungsinformationen von einem Windows Vista-Client an AD DS zu verschlüsseln. BitLocker legt die Authentifizierungsflags ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING und ADS_USE_SIGNING fest. Weitere Informationen zu diesen Flags finden Sie unter http://go.microsoft.com/fwlink/?LinkId=102659.

Werden BitLocker-Wiederherstellungsinformationen in AD DS als Nur-Text gespeichert?

Ja, in der aktuellen Version von BitLocker werden die Wiederherstellungsinformationen unverschlüsselt in AD DS gespeichert, die Einträge besitzen jedoch Zugriffssteuerungslisten (Access Control Lists, ACLs), die nur Domänenadministratoren den Zugriff erlauben.

Wenn ein Angreifer Vollzugriff auf AD DS erlangt, können alle Computer in der Domäne einschließlich der durch BitLocker geschützten Computer gefährdet sein. Weitere Informationen zum Sichern des Zugriffs auf AD DS finden Sie unter http://go.microsoft.com/fwlink/?LinkId=83266.

Was geschieht, wenn BitLocker auf einem Computer aktiviert wird, bevor der Computer der Domäne beigetreten ist?

Wenn BitLocker auf einem Computer aktiviert wird, bevor Gruppenrichtlinien zur Durchsetzung einer Sicherung angewendet wurden, werden die Wiederherstellungsinformationen nichtautomatisch in AD DS gesichert, wenn der Computer der Domäne beitritt oder die Gruppenrichtlinien anschließend angewendet werden.

Die BitLocker WMI-Schnittstelle (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) erlaubt Administratoren nicht das Schreiben eines Skripts zum Sichern oder Synchronisieren der vorhandenen Wiederherstellungsinformationen eines Onlineclients. BitLocker verwaltet diesen Vorgang jedoch nicht automatisch.

ImportantWichtig
Das Hinzufügen eines Computers zur Domäne sollte der erste Schritt für neue Computer in einem Unternehmen sein. Sobald der Computer einer Domäne beigetreten ist, erfolgt die Speicherung des BitLocker-Wiederherstellungsschlüssels in AD DS automatisch (wenn dieser Vorgang in den Gruppenrichtlinien aktiviert ist).

Wird das alte Kennwort überschrieben, wenn das BitLocker-Wiederherstellungskennwort auf meinem Computer geändert und das neue Kennwort in AD DS gespeichert wird?

Nein, das ist nicht der Fall. BitLocker-Wiederherstellungskennworteinträge werden standardmäßig nicht aus AD DS gelöscht. Daher werden ggf. mehrere Kennwörter für jeden Computer angezeigt. Um das aktuelle Kennwort zu identifizieren, überprüfen Sie das Datum des Objekts.

Sicherheit

Welche Form der Verschlüsselung verwendet BitLocker? Ist diese konfigurierbar?

BitLocker verwendet AES (Advanced Encryption Standard) als Verschlüsselungsalgorithmus mit konfigurierbaren Schlüssellängen von 128 oder 256 Bits sowie einen optionalen Diffusor. Die Standardverschlüsselungseinstellung ist AES 128 mit Diffusor, die Optionen können jedoch mithilfe von Gruppenrichtlinien konfiguriert werden. Weitere Informationen zur BitLocker-Verschlüsselungsmethode finden Sie unter http://go.microsoft.com/fwlink/?LinkId=80598.

Was ist der Diffusor?

Der Diffusor soll eine mögliche Klasse von Angriffen abwehren, bei denen verschlüsselte Informationen geändert werden, um eine Sicherheitsschwachstelle im System zu erzeugen. Wenn der Diffusor verwendet wird, wirken sich kleine Änderungen des verschlüsselten Verschlüsselungstexts eines Sektors auf den gesamten Sektor aus, wenn die Daten entschlüsselt werden. Durch dieses Verhalten sind gezielte Angriffe erheblich schwieriger durchzuführen. Weitere Informationen zur BitLocker-Verschlüsselungsmethode finden Sie unter http://go.microsoft.com/fwlink/?LinkId=80598.

Welche Konfiguration von BitLocker ist am sichersten?

Die sicherste Konfiguration von BitLocker erfolgt auf einem Computer mit einem TPM Version 1.2 und einer TCG-kompatiblen BIOS-Implementierung mit einem Startschlüssel oder einer PIN. Diese Methoden stellen zusätzliche Authentifizierung zur Verfügung, indem entweder ein zusätzlicher physikalischer Schlüssel (ein USB-Flashlaufwerk, auf dem ein computerlesbarer Schlüssel gespeichert ist) oder eine vom Benutzer festgelegte PIN erforderlich ist.

Welche Auswirkungen hat die Verwendung der Energieverwaltungsoptionen "Energiesparmodus" oder "Ruhezustand"?

BitLocker stellt in der Basiskonfiguration (mit einem TPM, jedoch ohne erweiterte Authentifizierung) zusätzliche Sicherheit für den Energiesparmodus und den Ruhezustand zur Verfügung. BitLocker stellt größere Sicherheit zur Verfügung, wenn die Konfiguration die Verwendung eines erweiterten Authentifizierungsmodus (TPM und PIN, TPM und USB oder USB) mit dem Ruhezustand vorsieht. Diese Methode ist sicherer, weil für die Wiederaufnahme des Betriebs nach dem Ruhezustand BitLocker-Authentifizierung erforderlich ist.

Welche Vorteile bringt ein TPMs mit sich?

Die meisten Betriebssysteme verwenden einen gemeinsamen Speicherbereich und überlassen dem Betriebssystem die Verwaltung des physikalischen Speichers. Ein TPM ist eine Hardwarekomponente, die eigene interne Firmware und logische Schaltungen für die Verarbeitung von Anwendungen verwendet und die Komponente auf diese Weise vor den Sicherheitsanfälligkeiten externer Software schützt. Für einen Angriff auf das TPM ist physikalischer Zugriff auf den Computer erforderlich. Außerdem sind die Tools und Fertigkeiten für Hardwareangriffe häufig kostspieliger bzw. komplexer und normalerweise nicht so leicht verfügbar wie Tools und Fertigkeiten für Softwareangriffe. Da jedes TPM für den Computer, der es enthält, einzigartig ist, wäre ein Angriff auf mehrere TPM-Computer außerdem schwierig und zeitaufwendig.

noteHinweis
Wenn Sie BitLocker mit einer zusätzlichen Authentifizierungsstufe konfigurieren, wird der Schutz vor TPM-Hardwareangriffen weiter vergrößert.

Strebt Microsoft Sicherheitszertifizierung für BitLocker an?

Microsoft verfolgt zurzeit die Zertifizierung gemäß dem Federal Information Processing Standard (FIPS) 140-2 sowie Common Criteria-Bewertungen für die BitLocker-Laufwerkverschlüsselung.

Andere Fragen

Kann EFS mit BitLocker verwendet werden?

Ja, EFS (Encrypting File System, verschlüsselndes Dateisystem) kann zum Verschlüsseln von Dateien auf einem durch BitLocker geschützten Volume verwendet werden. BitLocker schützt das gesamte Betriebssystemvolume vor Offlineangriffen, während EFS zusätzliche benutzerbasierte Verschlüsselung auf Dateiebene für die Sicherheitstrennung zwischen mehreren Benutzern auf dem gleichen Computer zur Verfügung stellen kann. Sie können EFS auch in Windows Vista zum Verschlüsseln von Dateien auf anderen Volumes verwenden, die nicht durch BitLocker verschlüsselt werden. Die Stammschlüssel von EFS werden standardmäßig auf dem Betriebssystemvolume gespeichert. Wenn BitLocker für das Betriebssystemvolume aktiviert ist, sind daher durch EFS auf anderen Volumes verschlüsselte Daten indirekt ebenfalls durch BitLocker geschützt.

Kann ein Kerneldebugger mit BitLocker ausgeführt werden?

Ja, der Debugger sollte jedoch aktiviert werden, bevor BitLocker aktiviert wird. Durch das Aktivieren des Debuggers wird sichergestellt, dass bei der Versiegelung im TPM die richtigen Messungen berechnet werden. Auf diese Weise kann der Computer ordnungsgemäß gestartet werden. Wenn Sie die Debugfunktion aktivieren bzw. deaktivieren müssen, während BitLocker verwendet wird, muss zuerst BitLocker deaktiviert werden, damit der Computer nicht in den Wiederherstellungsmodus versetzt wird.

Wie behandelt BitLocker Speicherabbilder?

Windows Vista verfügt über einen geänderten Speichertreiberstapel, damit sichergestellt wird, dass Speicherabbilder verschlüsselt werden, wenn BitLocker aktiviert ist.

Kann BitLocker Smartcards für die Authentifizierung vor dem Start verwenden?

BitLocker unterstützt zurzeit keine Smartcards für die Authentifizierung vor dem Start. Es ist kein einheitlicher Branchenstandard für Smartcardunterstützung im BIOS vorhanden, und die meisten Computer implementieren keine BIOS-Unterstützung für Smartcards oder unterstützen nur bestimmte Smartcards und Lesegeräte. Durch die fehlende Standardisierung wird die Unterstützung von Smartcards außerordentlich schwierig. Microsoft bewertet zurzeit Optionen für die Unterstützung von Smartcards als Teil der Authentifizierung vor dem Start.

Kann ein TPM-Treiber verwendet werden, der nicht von Microsoft stammt?

Microsoft unterstützt keine TPM-Treiber, die nicht von Microsoft stammen, und empfiehlt dringend, diese nicht zu verwenden. Microsoft kann die Sicherheit oder Stabilität des Systems nicht garantieren, wenn ein TPM-Treiber verwendet wird, der nicht von Microsoft stammt.

Können Anwendungen direkt in die TPM-Basisdienste geschrieben werden?

Die TPM-Basisdienste (TPM Base Services, TBS) stellen eine API (Application Programming Interface) auf sehr niedriger Ebene zur Verfügung, die eine Schnittstelle für Zwischensoftware wie etwa TSS-Implementierungen (Trusted Computing Group Software Stack) bereitstellt, die für die direkte Kommunikation mit einem TPM konzipiert ist. Softwarehersteller, die TPM-Funktionen mit ihren Anwendungen verwenden möchten, sollten eine TSS-API oder eine andere API auf Anwendungsebene und nicht die TPM-Basisdienste direkt verwenden. Einige TSS-Hersteller verfügen über Versionen ihrer Softwareschicht, die für die Verwendung der TPM-Basisdienste geschrieben wurden.

Wie kann der Hersteller des verwendeten TPMs ermittelt werden?

Verwenden Sie das folgende Verfahren, um den Hersteller Ihres TPMs zu ermitteln.

So ermitteln Sie den TPM-Hersteller
  1. Klicken Sie auf Start, und geben Sie dann tpm.msc im Feld Suche starten ein.

  2. Der TPM-Hersteller wird im Hauptbereich unter TPM-Herstellerinformationen aufgelistet.

noteHinweis
Das Feld Herstellername in der Liste TPM-Herstellerinformationen enthält Informationen, die vom TPM zur Verfügung gestellt werden. Häufig handelt es sich dabei um Abkürzungen (z. B. ATML für Atmel, BRCM für Broadcomm oder IFX für Infineon).

Können andere Tools, die den MBR (Master Boot Record) verwalten oder ändern, mit BitLocker funktionieren?

Diese Vorgehensweise wird aus mehreren Gründen der Sicherheit, der Zuverlässigkeit und des Produktsupports nicht empfohlen. Änderungen am MBR (Master Boot Record) können die Sicherheitsumgebung ändern und verhindern, dass der Computer normal gestartet wird, und sie erhöhen die Komplexität von Wiederherstellungsversuchen nach einem MBR-Fehler. Alle Änderungen am MBR, die nicht durch Windows Vista vorgenommen werden, erzwingen ggf. den Wiederherstellungsmodus für den Computer.

Funktioniert BitLocker auf Computern, die auf EFI basierende Systemfirmware verwenden?

Support für Computer, die auf EFI (Extended Firmware Interface) basierende Systemfirmware verwenden, ist für Windows Server 2008 geplant. In Windows Vista wird diese Konfiguration zurzeit jedoch nicht unterstützt. Nur wenige EFI-fähige Clientcomputer werden zurzeit hergestellt, daher hat Microsoft die anfängliche Entwicklung an der konventionellen BIOS-Unterstützung ausgerichtet, die heute von den meisten Systemen verwendet wird. Wenn EFI-Hardware in größerem Umfang verfügbar wird, bewertet Microsoft EFI-Unterstützung ggf. neu.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft