(0) exportieren Drucken
Alle erweitern

Schrittweise Anleitung zur Windows BitLocker-Laufwerkverschlüsselung

Letzte Aktualisierung: April 2007

Betrifft: Windows Server 2008, Windows Vista

Diese schrittweise Anleitung enthält Anweisungen zum Verwenden der Windows® BitLocker™-Laufwerkverschlüsselung in einer Testumgebung. Es empfiehlt sich, die Schritte in dieser Anleitung zuerst in einer Testumgebung auszuführen. Schrittweise Anleitungen sind nicht unbedingt dafür vorgesehen, ohne Begleitdokumentation (beispielsweise die Dokumentation im Abschnitt Weitere Ressourcen) für die Bereitstellung von Betriebssystemfunktionen von Windows Vista® herangezogen zu werden, und sollten nur bedingt als Einzeldokumente verwendet werden.

Was ist BitLocker-Laufwerkverschlüsselung?

Die BitLocker-Laufwerkverschlüsselung ist ein vollständig neues Sicherheitsfeature im Betriebssystem Windows Vista, das einen beachtlichen Schutz des Betriebssystems Ihres Computers und der auf dem Betriebssystemvolume gespeicherten Daten realisiert. BitLocker stellt sicher, dass die auf einem Computer unter Windows Vista gespeicherten Daten auch dann verschlüsselt bleiben, wenn der Computer manipuliert wird, während das Betriebssystem nicht ausgeführt wird. Dies verstärkt den Schutz vor "Offline-Angriffen", bei denen entweder das installierte Betriebssystem deaktiviert oder umgangen oder die Festplatte physisch aus dem Computer entfernt wird, um die Daten separat anzugreifen.

BitLocker verwendet TPM (Trusted Platform Module), um einen verbesserten Schutz für die Daten bereitzustellen und die Integrität der Frühstartkomponenten sicherzustellen. Durch Verschlüsseln des gesamten Windows-Volumes tragen Sie dazu bei, dass die Daten vor Diebstahl oder unberechtigter Verwendung geschützt sind.

BitLocker wurde entwickelt, um für Benutzer eine übergangslose Nutzung zu realisieren. BitLocker ist für Systeme ausgelegt, deren TPM-Mikrochip und BIOS kompatibel sind. Kompatibel ist TPM in der Version 1.2 von TPM. Ein kompatibles BIOS muss TPM und "Static Root of Trust Measurement" gemäß der Definition der Trusted Computing Group unterstützen. Weitere Informationen zu TPM-Spezifikationen finden Sie auf der Website der Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=72757, möglicherweise in englischer Sprache).

Das TPM interagiert mit BitLocker, um beim Systemstart nahtlosen Schutz zu realisieren. Dies geschieht für den Benutzer transparent, seine Anmeldung verläuft wie immer. Wenn das TPM jedoch fehlt oder geändert wird oder wenn die Startinformationen geändert werden, wird BitLocker in den Wiederherstellungsmodus versetzt, und Sie benötigen ein Wiederherstellungskennwort, um auf die Daten zuzugreifen.

Wer sollte die BitLocker-Laufwerkverschlüsselung verwenden?

Diese Anleitung ist für die folgenden Zielgruppen vorgesehen:

  • Mitarbeiter der IT-Planung und -Analyse, die das Produkt prüfen

  • Sicherheitsarchitekten

Inhalt dieser Anleitung

Diese Anleitung unterstützt Administratoren bei der Einarbeitung in das Feature BitLocker-Laufwerkverschlüsselung von Windows Vista. Die folgenden Abschnitte enthalten grundlegende Informationen und Verfahren, die ein Administrator kennen muss, um BitLocker in Netzwerken konfigurieren und bereitstellen zu können.

Szenario 1 enthält eine Anleitung zum Erstellen der beiden für die BitLocker-Laufwerkverschlüsselung benötigten Partitionen. In Szenario 2 wird erläutert, wie ein Laufwerk mithilfe von BitLocker und einem TPM verschlüsselt wird. In Szenario 3 wird die Verwendung der erweiterten Startoptionen von BitLocker beschrieben. In Szenario 4 wird beschrieben, wie nach einer Sperrung auf verschlüsselte Daten zugegriffen und wie BitLocker durch Generieren einer Sperrung getestet werden kann. In Szenario 5 wird die Deaktivierung von BitLocker beschrieben.

noteHinweis
Die in dieser Anleitung besprochenen Szenarion beziehen sich auf die BitLocker-Laufwerkverschlüsselung bei Betriebssystemvolumes. Ist das Betriebssystemvolume verschlüsselt, kann BitLocker auch zum Verschlüsseln fester Datenvolumes verwendet werden.

Anforderungen für die BitLocker-Laufwerkverschlüsselung

Diese Schritte dienen ausschließlich zu Testzwecken. Verwenden Sie für die Bereitstellung von Features von Microsoft Windows Server® 2008 oder Windows Vista nicht ausschließlich diese Anleitung, sondern auch andere Ressourcen.

Hardware- und Softwareanforderungen

  • Ein Computer, der die Mindestanforderungen für Windows Vista erfüllt

  • Ein TPM-Mikrochip, Version 1.2, ist aktiviert. (Szenarien 2 und 3).

  • Ein TCG-kompatibles (Trusted Computing Group) BIOS (Szenarien 2 und 3)

  • Zwei NTFS-Laufwerkpartitionen – eine für das Systemvolume und eine für das Betriebssystemvolume. Die Systemvolumepartition muss mindestens 1,5 Gigabyte (GB) groß und als aktive Partition festgelegt sein (Szenario 1).

  • Eine BIOS-Einstellung, mit der der Computer zuerst vom Festplattenlaufwerk gestartet wird und nicht vom USB- oder CD-Laufwerk.

noteHinweis
Ihr BIOS muss das Lesen von USB-Flashlaufwerken beim Systemstart unterstützen, damit die Verwendung eines USB-Flashlaufwerks getestet werden kann.

  • Es wird dringend empfohlen, keinen Kerneldebugger auszuführen, während BitLocker aktiviert ist, da mit dem Debugger ein Zugriff auf Verschlüsselungsschlüssel und andere sensible Daten möglich ist. Sie können das Kerneldebugging jedoch aktivieren, bevor Sie BitLocker aktivieren. Wenn Sie das Kerneldebugging aktivieren, nachdem Sie BitLocker aktiviert haben, startet das System bei jedem Neustart des Computers automatisch den Wiederherstellungsprozess. Wenn Sie den Startdebugger aktivieren (Kerneldebugging mit der Option "-bootdebug"), startet das System bei jedem Neustart des Computers automatisch den Wiederherstellungsprozess.

Szenario 1: Partitionieren einer Festplatte für die BitLocker-Laufwerkverschlüsselung

Sie benötigen auf Ihrer Festplatte mindestens zwei Partitionen, um BitLocker zu verwenden. In der ersten Partition befindet sich das Systemvolume, das in diesem Dokument als "S" bezeichnet wird. Dieses Volume enthält in einem nicht verschlüsselten Bereich die Startinformationen. In der zweiten Partition befindet sich das Betriebssystemvolume, das in diesem Dokument als "C" bezeichnet wird. Dieses Volume ist verschlüsselt und enthält das Betriebssystem und die Benutzerdaten.

Die Partitionen müssen vor der Installation von Windows Vista erstellt werden.

noteHinweis
In einigen Situationen kann ein Volume mehrere Partitionen betreffen. In diesem Dokument wird lediglich auf einfache Volumes eingegangen, bei denen ein Volume und eine Partition funktional übereinstimmen. BitLocker verwendet Volumes, eine logische Struktur. Viele Datenträgertools verwenden jedoch physische Datenträgerpartitionen.

In Szenario 1 wird beschrieben, wie die beiden für BitLocker benötigten Partitionen erstellt werden. Dieses Verfahren setzt voraus, dass alle auf dem Datenträger vorhandenen Daten gesichert wurden.

noteHinweis
Sichern Sie unbedingt alle Daten, und stellen Sie sicher, dass Sie den Produktschlüssel für Windows Vista besitzen.

noteHinweis
Wenn Sie Windows Vista bereits auf einer einzelnen Partition installiert haben, können Sie die für BitLocker erforderlichen Volumes mit dem BitLocker-Laufwerkvorbereitungstool konfigurieren. Weitere Informationen finden Sie unter http://support.microsoft.com/kb/930063 (möglicherweise in englischer Sprache).

Partitionieren eines Datenträgers ohne Betriebssystem für BitLocker

Bei diesem Verfahren starten Sie den Computer von der Produkt-DVD und geben anschließend mehrere Befehle ein, mit denen folgende Aktionen ausgeführt werden:

  • Erstellen einer neuen 1,5 GB großen primären Partition

  • Festlegen dieser Partition als aktive Partition

  • Erstellen einer zweiten primären Partition, die den verbleibenden Speicherplatz auf dem Datenträger verwendet

  • Formatieren der beiden neuen Partitionen, damit sie als Windows-Volumes verwendet werden können

  • Installieren von Windows Vista auf dem größeren Volume (Laufwerk C)

noteHinweis
Sie müssen eine zweite aktive Partition erstellen, damit BitLocker ordnungsgemäß ausgeführt werden kann.

Ihre Laufwerksbuchstaben lauten möglicherweise anders als in diesem Beispiel. In diesem Beispiel hat das Betriebssystemvolume den Buchstaben C und das Systemvolume den Buchstaben S (für Systemvolume). In diesem Beispiel wird außerdem davon ausgegangen, dass sich nur eine physische Festplatte im System befindet.

So partitionieren Sie einen Datenträger ohne Betriebssystem für BitLocker

  1. Starten Sie den Computer über die Produkt-DVD für Windows Vista.

  2. Wählen Sie auf dem ersten Bildschirm Windows installieren einen Wert für Installationssprache, Uhrzeit und Währungsformat und Tastaturlayout aus, und klicken Sie anschließend auf Weiter.

  3. Klicken Sie auf dem nächsten Bildschirm Windows installieren links unten auf Computerreparaturoptionen.

  4. Stellen Sie im Dialogfeld Systemwiederherstellungsoptionen sicher, dass kein Betriebssystem ausgewählt ist. Klicken Sie hierzu in der Liste Betriebssystem auf den leeren Bereich, der sich am Ende der Liste befindet. Klicken Sie dann auf Weiter.

  5. Klicken Sie im nächsten Dialogfeld der Systemwiederherstellungsoptionen auf Eingabeaufforderung.

  6. Verwenden Sie den Befehl Diskpart, um die Partition für das Betriebssystemvolume zu erstellen. Geben Sie diskpart an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

  7. Geben Sie select disk 0 ein.

  8. Geben Sie clean ein, damit die vorhandene Partitionstabelle gelöscht wird.

  9. Geben Sie create partition primary size=1500 ein, um die zu erstellende Partition als primäre Partition festzulegen.

  10. Geben assign letter=S ein, um dieser Partition den Buchstaben "S" zuzuweisen.

  11. Geben Sie active ein, um die neue Partition als aktive Partition festzulegen.

  12. Geben Sie create partition primary ein, um eine weitere primäre Partition zu erstellen. Auf dieser größeren Partition installieren Sie anschließend Windows.

  13. Geben Sie assign letter=C ein, um dieser Partition den Buchstaben "C" zuzuweisen.

  14. Geben Sie list volume ein, damit alle auf dem Datenträger vorhandenen Volumes angezeigt werden. Alle Volumes, Volumenummern, Buchstaben, Bezeichnungen, Dateisysteme, Typen, Größen, Statusangaben und Informationen werden aufgelistet. Prüfen Sie, ob zwei Volumes vorhanden sind und welche Bezeichnungen für die Volumes verwendet werden.

  15. Geben Sie exit ein, um die Datenträgerpartitionierungsanwendung zu schließen.

  16. Geben Sie format c: /y /q /fs:NTFS ein, damit Volume "C" richtig formatiert wird.

  17. Geben Sie format s: /y /q /fs:NTFS ein, damit Volume "S" richtig formatiert wird.

  18. Geben Sie exit ein, um die Eingabeaufforderung zu schließen.

  19. Verwenden Sie im Fenster Systemwiederherstellungsoptionen oben rechts das Symbol zum Schließen des Fensters (oder drücken Sie STRG+ALT+F4), um das Fenster zu schließen und zum Hauptinstallationsfenster zurückzukehren. (Klicken Sie nicht auf Herunterfahren oder Neu starten.)

  20. Klicken Sie auf Jetzt installieren, und beginnen Sie den Installationsvorgang von Windows Vista. Installieren Sie Windows Vista auf dem größeren Volume "C:" (dem Betriebssystemvolume).

Szenario 2: Aktivieren der BitLocker-Laufwerkverschlüsselung

In Szenario 2 werden die Verfahren zur Aktivierung der BitLocker-Laufwerkverschlüsselung auf einem System mit einem TPM dargestellt. Nachdem das Volume verschlüsselt ist, kann sich der Benutzer ganz normal am Computer anmelden.

Mit dem folgenden Verfahren aktivieren Sie die BitLocker-Laufwerkverschlüsselung.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • Sie können einen Drucker konfigurieren, um Wiederherstellungskennwörter zu drucken.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung

  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  2. Wenn die Meldung Benutzerkontensteuerung angezeigt wird, prüfen Sie, ob die vorgeschlagene Aktion der von Ihnen angeforderten entspricht, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Weitere Ressourcen in diesem Dokument.

  3. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung für das Betriebssystemvolume auf BitLocker aktivieren.

    Wenn das TPM nicht initialisiert ist, wird der Assistent zum Initialisieren der TPM-Sicherheitshardware angezeigt. Folgen Sie den Anweisungen, um das TPM zu initialisieren, und starten Sie den Computer neu.

  4. Auf der Seite Wiederherstellungskennwort speichern werden folgende Optionen angezeigt:

    • Kennwort auf einem USB-Laufwerk speichern: Speichert das Kennwort auf einem USB-Flashlaufwerk.

    • Kennwort in einem Ordner speichern: Speichert das Kennwort auf einem Netzlaufwerk oder an einem anderen Speicherort.

    • Kennwort drucken: Druckt das Kennwort.

    Aktivieren Sie eine oder mehrere dieser Optionen, um das Wiederherstellungskennwort aufzubewahren. Für jede ausgewählte Option fordert Sie der Assistent auf, festzulegen, an welchem Ort das Wiederherstellungskennwort gespeichert oder gedruckt werden soll.

    Klicken Sie auf Weiter, wenn Sie das Speichern des Wiederherstellungskennworts abgeschlossen haben.

    ImportantWichtig
    Das Systemwiederherstellungskennwort wird benötigt, wenn das verschlüsselte Laufwerk in einen anderen Computer eingebaut werden muss oder wenn Änderungen an den Systemstartinformationen vorgenommen werden. Dieses Kennwort ist so wichtig, dass es sich empfiehlt, zusätzliche Kopien des Kennworts zu erstellen, die an sicheren Stellen aufbewahrt werden und Ihren Zugriff auf die Daten sicherstellen. Das Wiederherstellungskennwort benötigen Sie, um die verschlüsselten Daten auf dem Volume zu entsperren, wenn BitLocker in den gesperrten Zustand wechselt (siehe Szenario 4: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden). Dieses Wiederherstellungskennwort ist für diese bestimmte BitLocker-Verschlüsselung eindeutig. Sie können damit keine verschlüsselten Daten wiederherstellen, die aus einer anderen BitLocker-Verschlüsselungssitzung stammen.

    ImportantWichtig
    Für eine maximale Sicherheit sollten Sie Wiederherstellungskennwörter nicht auf dem Computer speichern.

  5. Prüfen Sie auf der Seite Ausgewähltes Festplattenvolume verschlüsseln, ob das Kontrollkästchen Bitlocker-Systemüberprüfung ausführen aktiviert ist, und klicken Sie dann auf Weiter.

    Bestätigen Sie, dass Sie den Computer neu starten möchten, indem Sie auf Jetzt neu starten klicken. Der Computer wird neu gestartet, und BitLocker prüft, ob der Computer mit BitLocker kompatibel und für die Verschlüsselung bereit ist. Wenn dies nicht der Fall ist, wird eine Fehlermeldung angezeigt, die Sie über das Problem informiert.

  6. Wenn der Computer für die Verschlüsselung bereit ist, wird die Statusleiste Verschlüsselung wird durchgeführt angezeigt. Der Fortschritt der Verschlüsselung des Datenträgervolumes wird angezeigt, wenn Sie den Mauszeiger unten auf dem Bildschirm im Symbolleiste über das Symbol der BitLocker-Laufwerkverschlüsselung bewegen. .

    Wenn dieser Vorgang abgeschlossen ist, haben Sie das Betriebssystemvolume verschlüsselt und ein für dieses Volume eindeutiges Wiederherstellungskennwort erstellt. Wenn Sie sich das nächste Mal anmelden, werden Sie keinerlei Veränderung feststellen. Falls das TPM je geändert wird oder darauf kein Zugriff möglich ist, wenn Änderungen an den Schlüsselsystemdateien ausgeführt werden oder wenn jemand versucht, den Computer von einem Datenträger zu starten, um das Betriebssystem zu umgehen, dann wechselt der Computer in den Wiederherstellungsmodus, der nur mit dem Wiederherstellungskennwort beendet werden kann.

Szenario 3: Aktivieren der erweiterten Startoptionen der BitLocker-Laufwerkverschlüsselung

In Szenario 3 werden die Verfahren zum Ändern der Gruppenrichtlinieneinstellungen Ihres Computers beschrieben, damit die BitLocker-Laufwerkverschlüsselung ohne TPM oder eine der erweiterten Startoptionen von BitLocker aktiviert werden können: Verwenden eines TPM mit einer PIN oder Verwenden eines TPM mit einem Systemstartschlüssel.

In einem Szenario ohne TPM authentifizieren Sie sich mit einem Systemstartschlüssel. Der Systemstartschlüssel befindet sich auf einem USB-Flashlaufwerk, das vor dem Einschalten des Computers am Computer angeschlossen sein muss. In einem solchen Szenario muss das BIOS Ihres Computers das Lesen von USB-Flashlaufwerken vor dem Betriebssystemstart (beim Hochfahren) unterstützen. Ihr BIOS können Sie mithilfe des Hardwaretests prüfen, der gegen Ende des BitLocker-Setup-Assistenten ausgeführt wird.

In einem Szenario, das ein TPM mit einer erweiterten Startoption verwendet, können Sie den standardmäßigen TPM-Schutz um einen zweiten Authentifizierungsfaktor ergänzen: eine PIN (etwas, das Sie wissen) oder einen Systemstartschlüssel auf einem USB-Flashlaufwerk (etwas, das Sie besitzen). Damit ein USB-Flashlaufwerk mit einem TPM verwendet werden kann, muss der Computer ein BIOS besitzen, das USB-Flashlaufwerke vor dem Betriebssystemstart lesen kann (beim Hochfahren). Ihr BIOS können Sie mithilfe des Hardwaretests prüfen, der gegen Ende des BitLocker-Setup-Assistenten ausgeführt wird.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • Sie benötigen ein USB-Flashlaufwerk, um das Wiederherstellungskennwort zu speichern.

  • Es empfiehlt sich, hierfür ein zweites USB-Flashlaufwerk zu verwenden, um den Systemstartschlüssel und das Wiederherstellungskennwort separat zu speichern.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung auf einem Computer ohne kompatibles TPM

  1. Klicken Sie auf Start, geben Sie gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, prüfen Sie, ob die vorgeschlagene Aktion der von Ihnen angeforderten entspricht, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Weitere Ressourcen in diesem Dokument.

  3. Klicken Sie in der Konsolenstruktur auf Gruppenrichtlinienobjekt-Editor, klicken Sie auf Richtlinie für "Lokaler Computer", klicken Sie auf Administrative Vorlagen, dann auf Windows-Komponenten, und doppelklicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

  4. Doppelklicken Sie auf die Einstellung Systemsteuerungssetup: Erweiterte Startoptionen aktivieren. Das Dialogfeld Systemsteuerungssetup: Erweiterte Startoptionen aktivieren wird geöffnet.

  5. Wählen Sie die Option Aktiviert aus, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.

    Sie haben die Richtlinieneinstellung dahingehend geändert, dass Sie anstelle eines TPM einen Systemstartschlüssel verwenden können.

  6. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

  7. Um die sofortige Übernahme der Gruppenrichtlinie zu erzwingen, klicken Sie auf Start, geben Sie gpupdate.exe /force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.Warten Sie, bis der Prozess abgeschlossen ist.

  8. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  9. Wenn die Meldung Benutzerkontensteuerung angezeigt wird, prüfen Sie, ob die vorgeschlagene Aktion der von Ihnen angeforderten entspricht, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Weitere Ressourcen in diesem Dokument.

  10. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung für das Betriebssystemvolume auf BitLocker aktivieren.

  11. Aktivieren Sie auf der Seite BitLocker-Systemstarteinstellungen festlegen die Option Systemstart-USB-Schlüssel ist bei jedem Systemstart erforderlich. Bei Konfigurationen ohne TPM ist dies die einzige verfügbare Option. Dieser Schlüssel muss jedes Mal angeschlossen werden, bevor Sie den Computer starten.

  12. Schließen Sie Ihr USB-Flashlaufwerk an den Computer an, sofern es noch nicht angeschlossen ist.

  13. Wählen Sie auf der Seite Systemstartschlüssel speichern als Speicherort Ihr USB-Flashlaufwerk aus, und klicken Sie dann auf Speichern.

  14. Auf der Seite Wiederherstellungskennwort speichern werden folgende Optionen angezeigt:

    • Kennwort auf einem USB-Laufwerk speichern: Speichert das Kennwort auf einem USB-Flashlaufwerk.

    • Kennwort in einem Ordner speichern: Speichert das Kennwort auf einem Netzlaufwerk oder an einem anderen Speicherort.

    • Kennwort drucken: Druckt das Kennwort.

    Aktivieren Sie eine oder mehrere dieser Optionen, um das Wiederherstellungskennwort aufzubewahren. Für jede ausgewählte Option fordert Sie der Assistent auf, festzulegen, an welchem Ort das Wiederherstellungskennwort gespeichert oder gedruckt werden soll.

    Klicken Sie auf Weiter, wenn Sie das Speichern des Wiederherstellungskennworts abgeschlossen haben.

    ImportantWichtig
    Das Systemwiederherstellungskennwort wird benötigt, wenn das verschlüsselte Laufwerk in einen anderen Computer eingebaut werden muss oder wenn Änderungen an den Systemstartinformationen vorgenommen werden. Dieses Kennwort ist so wichtig, dass es sich empfiehlt, zusätzliche Kopien des Kennworts zu erstellen, die an sicheren Stellen aufbewahrt werden und Ihren Zugriff auf die Daten sicherstellen. Das Wiederherstellungskennwort benötigen Sie, um die verschlüsselten Daten auf dem Volume zu entsperren, wenn BitLocker in den gesperrten Zustand wechselt (siehe Szenario 4: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden). Dieses Wiederherstellungskennwort ist für diese bestimmte BitLocker-Verschlüsselung eindeutig. Sie können damit keine verschlüsselten Daten wiederherstellen, die aus einer anderen BitLocker-Verschlüsselungssitzung stammen.

    ImportantWichtig
    Für eine maximale Sicherheit sollten Sie Wiederherstellungskennwörter nicht auf dem Computer speichern.

  15. Prüfen Sie auf der Seite Ausgewähltes Festplattenvolume verschlüsseln, ob das Kontrollkästchen Bitlocker-Systemüberprüfung ausführen aktiviert ist, und klicken Sie dann auf Weiter.

    Bestätigen Sie, dass Sie den Computer neu starten möchten, indem Sie auf Jetzt neu starten klicken. Der Computer wird neu gestartet, und BitLocker stellt sicher, dass der Computer mit BitLocker kompatibel und für die Verschlüsselung bereit ist. Wenn dies nicht der Fall ist, wird vor dem Start der Verschlüsselung eine Fehlermeldung angezeigt, die Sie über das Problem informiert.

  16. Wenn der Computer für die Verschlüsselung bereit ist, wird die Statusleiste Verschlüsselung wird durchgeführt angezeigt. Der Fortschritt der Verschlüsselung des Datenträgervolumes wird angezeigt, wenn Sie den Mauszeiger unten auf dem Bildschirm auf der Symbolleiste über das Symbol der BitLocker-Laufwerkverschlüsselung bewegen oder indem Sie auf die Sprechblase für die Verschlüsselung klicken.

    Wenn dieser Vorgang abgeschlossen ist, haben Sie das Betriebssystemvolume verschlüsselt und ein für dieses Volume eindeutiges Wiederherstellungskennwort erstellt. Wenn Sie den Computer das nächste Mal einschalten, muss das USB-Flashlaufwerk an einem USB-Anschluss des Computers angeschlossen sein. Wenn dies nicht der Fall ist, können Sie nicht auf die Daten Ihres verschlüsselten Volumes zugreifen. Bewahren Sie den Systemstartschlüssel nicht beim Computer auf, um die Sicherheit zu erhöhen.

    Wenn das USB-Flashlaufwerk mit dem Systemstartschlüssel nicht verfügbar ist, müssen Sie im Wiederherstellungsmodus das Wiederherstellungskennwort eingeben, um auf die Daten zuzugreifen.

So aktivieren Sie die BitLocker-Laufwerkverschlüsselung mit einem TPM und einer PIN oder mit einem TPM und einem Systemstartschlüssel auf einem USB-Flashlaufwerk

  1. Klicken Sie auf Start, geben Sie gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, prüfen Sie, ob die vorgeschlagene Aktion der von Ihnen angeforderten entspricht, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Weitere Ressourcen in diesem Dokument.

  3. Klicken Sie in der Konsolenstruktur auf Gruppenrichtlinienobjekt-Editor, klicken Sie auf Richtlinie für "Lokaler Computer", klicken Sie auf Administrative Vorlagen, dann auf Windows-Komponenten, und doppelklicken Sie dann auf BitLocker-Laufwerkverschlüsselung.

  4. Doppelklicken Sie auf die Einstellung Systemsteuerungssetup: Erweiterte Startoptionen aktivieren. Das Dialogfeld Systemsteuerungssetup: Erweiterte Startoptionen aktivieren wird geöffnet.

  5. Wählen Sie die Option Aktiviert aus. Bei Konfigurationen mit TPM und einer PIN oder einem Systemstartschlüssel müssen keine weiteren Einstellungen geändert werden, Sie können jedoch festlegen, ob Benutzer einen Systemstartschlüssel oder eine PIN erstellen müssen oder ob ihnen dies untersagt ist. Klicken Sie auf OK.

  6. Klicken Sie auf Start, geben Sie gpupdate.exe /force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE. Warten Sie, bis der Prozess abgeschlossen ist.

  7. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  8. Wenn die Meldung Benutzerkontensteuerung angezeigt wird, prüfen Sie, ob die vorgeschlagene Aktion der von Ihnen angeforderten entspricht, und klicken Sie dann auf Weiter. Weitere Informationen finden Sie unter Weitere Ressourcen in diesem Dokument.

  9. Klicken Sie auf der Seite BitLocker-Laufwerkverschlüsselung für das Systemvolume auf BitLocker aktivieren.

  10. Wählen Sie auf der Seite BitLocker-Systemstarteinstellungen festlegen die gewünschte Startoption aus. Sie können nur eine der folgenden Optionen auswählen:

    • Keine zusätzliche Sicherheit

    • PIN ist bei jedem Systemstart erforderlich: Die Seite Eine PIN für den Start einrichten wird angezeigt. Geben Sie Ihre PIN ein, bestätigen Sie sie, und klicken Sie dann auf PIN festlegen.

    • Systemstart-USB-Schlüssel ist bei jedem Systemstart erforderlich: Die Seite Systemstartschlüssel speichern wird angezeigt. Schließen Sie Ihr USB-Flashlaufwerk an, wählen Sie den Speicherort aus, und klicken Sie auf Speichern.

    noteHinweis
    Software mit Eingabehilfetechnologien, die unter Windows ausgeführt wird, beispielsweise eine Sprachausgabesoftware, kann die Startbildschirme von BitLocker nicht interpretieren, da diese angezeigt werden, während der Start-Manager ausgeführt wird. Der Start-Manager ist Code, die vor Windows ausgeführt wird. Hierzu gehören die Bildschirme, die für die Eingabe einer PIN oder eine Wiederherstellungskennworts sowie für alle BitLocker-Fehlermeldungen angezeigt werden.

  11. Auf der Seite Wiederherstellungskennwort speichern werden folgende Optionen angezeigt:

    • Kennwort auf einem USB-Laufwerk speichern: Speichert das Kennwort auf einem USB-Flashlaufwerk.

    • Kennwort in einem Ordner speichern: Speichert das Kennwort auf einem Netzlaufwerk oder an einem anderen Speicherort.

    • Kennwort drucken: Druckt das Kennwort.

    ImportantWichtig
    Das Systemwiederherstellungskennwort wird benötigt, wenn das verschlüsselte Laufwerk in einen anderen Computer eingebaut werden muss oder wenn Änderungen an den Systemstartinformationen vorgenommen werden. Dieses Kennwort ist so wichtig, dass es sich empfiehlt, zusätzliche Kopien des Kennworts zu erstellen, die an sicheren Stellen aufbewahrt werden und Ihren Zugriff auf die Daten sicherstellen. Das Wiederherstellungskennwort benötigen Sie, um die verschlüsselten Daten auf dem Volume zu entsperren, wenn die BitLocker-Laufwerkverschlüsselung in den gesperrten Zustand wechselt (siehe Szenario 4: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden). Dieses Wiederherstellungskennwort ist für diese bestimmte BitLocker-Verschlüsselung eindeutig. Sie können damit keine verschlüsselten Daten wiederherstellen, die aus einer anderen BitLocker-Verschlüsselungssitzung stammen.

    Wählen Sie eine oder mehrere dieser Optionen aus, um das Wiederherstellungskennwort aufzubewahren. Für eine maximale Sicherheit sollten Sie Wiederherstellungskennwörter nicht auf dem Computer speichern. Wenn Sie mehrere Verfahren zum Speichern des Wiederherstellungskennworts auswählen möchten, wählen Sie eine Option aus, führen Sie die Schritte im Assistenten aus, um das Ziel für das Speichern oder Drucken anzugeben, und klicken Sie anschließend auf Weiter. Diese Schritte können dann für zusätzliche Speicherverfahren für das Wiederherstellungskennwort wiederholt werden.

  12. Prüfen Sie auf der Seite Ausgewähltes Festplattenvolume verschlüsseln, ob das Kontrollkästchen Bitlocker-Systemüberprüfung ausführen aktiviert ist, und klicken Sie dann auf Weiter.

    Bestätigen Sie, dass Sie den Computer neu starten möchten, indem Sie auf Jetzt neu starten klicken. Der Computer wird neu gestartet, und BitLocker stellt sicher, dass der Computer mit BitLocker kompatibel und für die Verschlüsselung bereit ist. Wenn dies nicht der Fall ist, wird vor dem Start der Verschlüsselung eine Fehlermeldung angezeigt, die Sie über das Problem informiert.

  13. Wenn der Computer für die Verschlüsselung bereit ist, wird die Statusleiste Verschlüsselung wird durchgeführt angezeigt. Der Fortschritt der Verschlüsselung des Datenträgervolumes wird angezeigt, wenn Sie den Mauszeiger unten auf dem Bildschirm auf der Symbolleiste über das Symbol der BitLocker-Laufwerkverschlüsselung bewegen oder indem Sie auf die Sprechblase für die Verschlüsselung klicken.

    Wenn dieser Vorgang abgeschlossen ist, haben Sie das Betriebssystemvolume verschlüsselt und ein für dieses Volume eindeutiges Wiederherstellungskennwort erstellt. Wenn Sie den Computer das nächste Mal einschalten, muss das USB-Flashlaufwerk an einem USB-Anschluss des Computers angeschlossen sein, oder Sie müssen Ihre PIN eingeben. Andernfalls können Sie nicht auf die Daten Ihres verschlüsselten Volumes zugreifen. Bewahren Sie den Systemstartschlüssel nicht beim Computer auf, um die Sicherheit zu erhöhen. Ohne den Systemstartschlüssel oder Ihre PIN müssen Sie in den Wiederherstellungsmodus wechseln und das Wiederherstellungskennwort eingeben, damit Sie auf Ihre Daten zugreifen können.

Szenario 4: Wiederherstellen von Daten, die durch die BitLocker-Laufwerkverschlüsselung geschützt werden

In Szenario 4 wird der Prozess der Wiederherstellung Ihrer Daten beschrieben, nachdem BitLocker in den Wiederherstellungsmodus gewechselt hat. BitLocker sperrt den Computer, wenn kein Datenträgerverschlüsselungsschlüssel verfügbar ist. Die folgende Aufstellung enthält häufige Ursachen:

  • Im Zusammenhang mit dem TPM tritt ein Fehler auf.

  • Eine der vorrangigen Startdateien wurde geändert.

  • Das TPM wurde versehentlich deaktiviert, und der Computer ist ausgeschaltet.

  • Das TPM wurde versehentlich gelöscht, und der Computer ist ausgeschaltet.

Wenn ein Computer gesperrt ist, wird der Startvorgang sehr früh unterbrochen, noch bevor das Betriebssystem gestartet wird. Sie müssen das Wiederherstellungskennwort über ein USB-Flashlaufwerk bereitstellen oder mithilfe der Funktionstasten eingeben. F1 bis F9 stehen für die Zahlen 1 bis 9, und F10 für 0.

Da die Wiederherstellung so früh während des Startvorgangs stattfindet, sind die Eingabehilfen von Windows nicht verfügbar. Falls Sie Eingabehilfen benötigen, müssen Sie für den Wiederherstellungsfall ein geeignetes Verfahren festlegen.

Dieses Szenario verläuft in zwei Schritten:

  • Testen der Datenwiederherstellung

  • Wiederherstellen der Daten

So testen Sie die Datenwiederherstellung

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge tpm.msc ein, und klicken Sie dann auf OK. Die TPM-Verwaltungskonsole wird angezeigt.

  3. Klicken Sie unter Aktionen auf TPM deaktivieren.

  4. Geben Sie das TPM-Besitzerkennwort ein, falls erforderlich.

  5. Wenn im Bereich Status des Aufgabenbereichs TPM-Management auf dem lokalen Computer eine Meldung mit der Information angezeigt wird, dass Ihr TPM deaktiviert ist und der Besitz des TPM übernommen wurde, schließen Sie den Aufgabenbereich.

  6. Schließen Sie alle geöffneten Fenster.

  7. Wenn das USB-Flashlaufwerk, auf dem sich Ihr Wiederherstellungskennwort befindet, an das System angeschlossen ist, entfernen Sie es mithilfe des Infobereichsymbols Hardware sicher entfernen vom System.

  8. Klicken Sie auf die Schaltfläche Start und anschließend auf Herunterfahren, um Ihren Computer auszuschalten.

Wenn Sie den Computer neu starten, werden Sie aufgefordert, das Wiederherstellungskennwort einzugeben, da die Startkonfiguration seit der Verschlüsselung des Volumes geändert wurde.

So stellen Sie den Zugriff auf Daten wieder her, die mit BitLocker verschlüsselt sind

  1. Schalten Sie den Computer ein.

  2. Wenn der Computer gesperrt ist, wird die Wiederherstellungskonsole der BitLocker-Laufwerkverschlüsselung angezeigt.

  3. Sie werden aufgefordert, das USB-Flashlaufwerk anzuschließen, auf dem sich das Wiederherstellungskennwort befindet.

    • Wenn das USB-Flashlaufwerk mit dem Wiederherstellungskennwort verfügbar ist, schließen Sie es an, und drücken Sie anschließend die ESC-Taste. Ihr Computer wird automatisch neu gestartet. Sie brauchen das Wiederherstellungskennwort nicht manuell einzugeben.

    • Wenn das USB-Flashlaufwerk mit dem Wiederherstellungskennwort nicht verfügbar ist, drücken Sie die EINGABETASTE.

      Sie werden aufgefordert, das Wiederherstellungskennwort einzugeben.

      Wenn Sie das Wiederherstellungskennwort kennen, geben Sie es ein, und drücken Sie dann die EINGABETASTE.

      Wenn Sie das Wiederherstellungskennwort nicht kennen, drücken Sie zweimal die EINGABETASTE, und schalten Sie Ihren Computer aus.

      noteHinweis
      Wenn Sie das Wiederherstellungskennwort in einer Datei in einem Ordner außerhalb dieses Computers oder auf einem Wechselmedium gespeichert haben, können Sie die Datei mit dem Kennwort auf einem anderen Computer öffnen. Die richtige Datei finden Sie, indem Sie auf der Anzeige der Wiederherstellungskonsole des gesperrten Computers nach Kennwort-ID suchen und die angezeigte Nummer notieren. Die Datei, in der der Wiederherstellungsschlüssel gespeichert ist, verwendet diese Kennwort-ID als Dateinamen. Öffnen Sie die Datei, und suchen Sie darin nach dem Wiederherstellungskennwort.

Szenario 5: Deaktivieren der BitLocker-Laufwerkverschlüsselung

In Szenario 5 wird beschrieben, wie die BitLocker-Laufwerkverschlüsselung deaktiviert und das Volume entschlüsselt wird. Dieses Verfahren ist für alle Konfigurationen der BitLocker-Laufwerkverschlüsselung identisch – sowohl auf Computern mit TPM als auch auf Computern ohne kompatibles TPM.

Wenn Sie BitLocker deaktivieren, können Sie dies entweder temporär vornehmen oder das Laufwerk entschlüsseln. Während BitLocker deaktiviert ist, können TPM-Änderungen und Betriebssystemupgrades ausgeführt werden. Wenn das Laufwerk entschlüsselt wird, ist es wieder lesbar, weshalb alle Schlüssel verworfen werden. Wenn Sie ein Volume nach dem Entschlüsseln erneut verschlüsseln möchten, müssen Sie den Verschlüsselungsvorgang erneut durchlaufen und dabei neue Schlüssel generieren.

Vorbereitungen

  • Sie müssen als Administrator angemeldet sein.

  • Das Laufwerk muss verschlüsselt sein.

So deaktivieren Sie die BitLocker-Laufwerkverschlüsselung

  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, dann auf Sicherheit und anschließend auf BitLocker-Laufwerkverschlüsselung.

  2. Suchen Sie auf der Seite BitLocker-Laufwerkverschlüsselung das Volume, für das Sie die BitLocker-Laufwerkverschlüsselung deaktivieren möchten, und klicken Sie auf BitLocker-Laufwerkverschlüsselung deaktivieren.

  3. Klicken Sie im Dialogfeld Welche Entschlüsselungsstufe wird gewünscht entweder auf BitLocker-Laufwerkverschlüsselung deaktivieren oder auf Volume entschlüsseln.

    Wenn Sie diesen Vorgang abschließen, wird entweder BitLocker deaktiviert, oder das Betriebssystemvolume wird entschlüsselt.

Weitere Ressourcen

Die folgenden Ressourcen enthalten zusätzliche Informationen zur BitLocker-Laufwerkverschlüsselung:

  • Hilfe zur BitLocker-Laufwerkverschlüsselung sowie zu anderen Microsoft Windows-Komponenten erhalten Sie über eine der auf der Microsoft Hilfe- und Supportwebsite (http://go.microsoft.com/fwlink/?LinkId=76619, möglicherweise in englischer Sprache) aufgeführten Optionen.

  • Zusätzliche Dokumentation zu BitLocker ist unter Windows Server 2008 und Windows Vista verfügbar. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=76553 (möglicherweise in englischer Sprache).

  • Weitere Informationen zur Benutzerkontensteuerung finden Sie unter "Benutzerkontensteuerung" (http://go.microsoft.com/fwlink/?LinkId=66018, möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft