(0) exportieren Drucken
Alle erweitern

Änderungen bei der BitLocker-Laufwerkverschlüsselung

Letzte Aktualisierung: März 2009

Betrifft: Windows 7, Windows Server 2008 R2

In Windows 7 wird die Technologie der BitLocker-Laufwerkverschlüsselung von Betriebssystemlaufwerken und integrierten Datenlaufwerken erweitert, sodass Wechseldatenträger wie z. B. tragbare Festplatten und USB-Flashlaufwerke eingeschlossen sind. Dadurch können Sie geschützte Daten mit auf Reisen nehmen und auf einem beliebigen Computer unter Windows 7 verwenden.

Einrichten von BitLocker

In Windows 7 werden Laufwerke automatisch für die Verwendung von BitLocker vorbereitet. Es müssen keine separaten Partitionen erstellt werden, bevor BitLocker aktiviert wird. Die Systempartition wird automatisch erstellt und besitzt keinen Laufwerksbuchstaben, daher wird sie in Windows-Explorer nicht angezeigt, und es werden nicht aus Versehen Datendateien in die Partition geschrieben. In einer Standardinstallation besitzt ein Computer eine separate Systempartition und ein Betriebssystemlaufwerk. Die Systempartition ist in Windows 7 kleiner als in Windows Vista, es wird nur 100 MB Speicherplatz benötigt.

Mit BitLocker können Betriebssystemlaufwerke, integrierte Datenlaufwerke und Wechseldatenlaufwerke in Windows 7 und Windows Server 2008 R2 verschlüsselt werden. Wird BitLocker bei Datenlaufwerken verwendet, kann das Laufwerk mit dem exFAT-, FAT16-, FAT32- oder NTFS-Dateisystem formatiert sein und muss mindestens 64 MB verfügbaren Arbeitsspeicher besitzen. Wird BitLocker bei Betriebssystemlaufwerken verwendet, muss das Laufwerk mit dem NTFS-Dateisystem formatiert sein.

Verwenden von BitLocker To Go bei Wechsellaufwerken

Benutzer können in Windows 7 Wechselmedien verschlüsseln, indem sie Windows-Explorer öffnen, mit der rechten Maustaste auf das Laufwerk klicken und auf BitLocker aktivieren klicken. Sie werden anschließend aufgefordert, eine Methode zum Entsperren des Laufwerks auszuwählen. Zu diesen Optionen zählen:

  • Kennwort Hierbei handelt es sich um eine Kombination aus Buchstaben, Symbolen und Zahlen, die der Benutzer zum Entsperren des Laufwerks eingibt.

  • Smartcard In den meisten Fällen wird eine Smartcard von der Organisation herausgegeben, und ein Benutzer gibt einen Smartcard-PIN zum Entsperren des Laufwerks ein.

Nachdem die Benutzer eine Methode zum Entsperren ausgewählt haben, werden sie zum Drucken oder Speichern ihres Wiederherstellungskennworts aufgefordert. Hierbei handelt es sich um ein 48-stelliges Kennwort, das in Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert und verwendet wird, wenn bei den Methoden zum Entsperren Fehler auftreten (wenn z. B. ein Kennwort vergessen wurde). Schließlich werden die Benutzer aufgefordert, die Auswahl für das Entsperren zu bestätigen und mit der Verschlüsselung zu beginnen.

Entsperren von durch BitLocker geschützten Laufwerken

Wenn Sie ein durch BitLocker geschütztes Laufwerk in den Computer einlegen, wird von Windows automatisch erkannt, dass das Laufwerk verschlüsselt ist, und Sie werden aufgefordert, das Laufwerk zu entschlüsseln. Die Fähigkeit, Laufwerke zu verschlüsseln, steht zwar nur in einigen Versionen von Windows 7 zur Verfügung, die durch BitLocker geschützten Laufwerke können jedoch in allen Versionen entschlüsselt werden.

Neue Gruppenrichtlinieneinstellungen

In Windows 7 werden in BitLocker mehrere neue Gruppenrichtlinieneinstellungen eingeführt, die eine einfache Verwaltung der Features ermöglichen. Administratoren können z. B. folgende Aktionen ausführen:

  • Anfordern, dass alle Wechseldatenträger durch BitLocker geschützt sein müssen, bevor Daten darauf gespeichert werden können.

  • Anfordern oder Ablehnen bestimmter Methoden zum Entsperren von durch BitLocker geschützten Laufwerken.

  • Konfigurieren von Methoden zum Wiederherstellen von Daten auf durch BitLocker geschützten Laufwerken, wenn die Anmeldeinformationen des Benutzers zum Entsperren nicht verfügbar sind.

    noteHinweis
    Zusätzlich zu Wiederherstellungskennwörtern können Administratoren Gruppenrichtlinien verwenden, um einen domänenweiten öffentlichen Schlüssel zu konfigurieren, der als Datenwiederherstellungs-Agent bezeichnet wird. Mithilfe dieses Agents kann ein Administrator jedes durch BitLocker geschützte Laufwerk entschlüsseln. Ein Datenwiederherstellungs-Agent kann erst verwendet werden, wenn er aus dem Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Editor für lokale Gruppenrichtlinien hinzugefügt wurde.

    Wenn Sie den Datenwiederherstellungs-Agent mit BitLocker verwenden möchten, müssen Sie die entsprechende Gruppenrichtlinieneinstellung für die Laufwerke aktivieren, die Sie mit BitLocker verwenden. Es handelt sich hierbei um folgende Einstellungen: Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können und Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können (Windows Server 2008 und Vista). Wenn Sie die Richtlinieneinstellung aktivieren, aktivieren Sie das Kontrollkästchen Datenwiederherstellungs-Agent aktivieren. Für jeden Laufwerkstyp ist eine Richtlinieneinstellung vorhanden, sodass Sie einzelne Wiederherstellungsrichtlinien für jeden Laufwerkstyp konfigurieren können, auf dem Sie BitLocker aktivieren. Außerdem müssen Sie die Richtlinieneinstellung für die Bereitstellung der eindeutigen IDs für Ihre Organisation aktivieren und konfigurieren, um einem neuen Laufwerk, das mit BitLocker geschützt ist, eine eindeutige ID zuzuordnen. ID-Felder sind für die Verwaltung von Datenwiederherstellungs-Agents auf durch BitLocker geschützten Laufwerken erforderlich. Die Datenwiederherstellungs-Agents werden von BitLocker nur verwaltet und aktualisiert, wenn sich auf dem Laufwerk ein ID-Feld befindet und wenn es mit dem auf dem Computer konfigurierten Wert identisch ist.

In Windows 7 wurden die Gruppenrichtlinieneinstellungen für BitLocker erweitert, sodass konfigurierbare Optionen für Wechseldatenlaufwerke sowie für integrierte Datenlaufwerke eingeschlossen sind. Die meisten Gruppenrichtlinieneinstellungen besitzen separate Einstellungen, die entsprechend auf Betriebssystemlaufwerke, integrierte Laufwerke und Wechsellaufwerke angewendet werden. Die BitLocker-Gruppenrichtlinieneinstellungen können entweder mit dem Editor für lokale Gruppenrichtlinien oder mit der Gruppenrichtlinien-Verwaltungskonsole angezeigt werden. Durch die Verwendung dieser Richtlinieneinstellungen kann eine Standardbereitstellung der BitLocker-Laufwerksverschlüsselung in der Organisation besser erzwungen werden. Gruppenrichtlinieneinstellungen, die BitLocker betreffen, befinden sich unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung. Global angewendete BitLocker-Gruppenrichtlinieneinstellungen befinden sich in diesem Ordner. Die Unterordner für integrierte Datenlaufwerke, Betriebssystemlaufwerke und Wechsellaufwerke unterstützen die Konfiguration von Richtlinieneinstellungen, die für diese Laufwerke spezifisch sind.

noteHinweis
Wenn Sie BitLocker zum Schutz eines Betriebssystemlaufwerks auf einem Computer verwenden möchten, der über kein Trusted Platform Module (TPM) verfügt, müssen Sie die Gruppenrichtlinieneinstellung Zusätzliche Authentifizierung beim Start erforderlich aktivieren und dann in dieser Einstellung auf BitLocker ohne kompatibles TPM zulassen klicken.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft