(0) exportieren Drucken
Alle erweitern

Entwurfshandbuch für die BitLocker-Laufwerkverschlüsselung in Windows 7

Letzte Aktualisierung: August 2010

Betrifft: Windows 7, Windows Server 2008 R2

In diesem Dokument werden die verschiedenen Aspekte beschrieben, die beim Planen der Bereitstellung der BitLocker™-Laufwerkverschlüsselung auf Computern mit Windows Server® 2008 R2, Windows® 7 Enterprise oder Windows® 7 Ultimate in einem Unternehmen zu beachten sind. Um die Bereitstellung von BitLocker in Ihrem Unternehmen zu planen, müssen Sie zuerst verstehen, wie sich eine BitLocker-Bereitstellung auf die aktuellen Richtlinien und Verfahren auswirkt. Dieses Handbuch bietet eine systematische Methode zum Stellen von Fragen, die vor dem Bereitstellen von BitLocker zu berücksichtigen sind, um den Entscheidungsfindungsprozess zu gestalten und eine BitLocker-Entwurfsstrategie zu entwickeln. In diesem Handbuch werden folgende Themen behandelt:

Nachdem Sie alle Anforderungen des Unternehmens erfasst und dokumentiert haben, verfügen Sie über die erforderlichen Informationen, um BitLocker bereitzustellen. Eine bereitstellungsspezifische Anleitung finden Sie im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung in Windows 7 (http://go.microsoft.com/fwlink/?LinkID=140286 – möglicherweise in englischer Sprache).

BitLocker-Mindestanforderungen

Um mit BitLocker ein Laufwerk zu schützen, das auch das Windows-Betriebssystem enthält, sind die folgenden Elemente erforderlich:

  • Der Ver- und Entschlüsselungsschlüssel von BitLocker wird auf einem von der Festplatte getrennten Hardwaregerät gespeichert. Daher benötigen Sie einen Computer mit einem Trusted Platform Module (TPM) – ein spezieller Mikrochip, der erweiterte Sicherheitsfunktionen bereitstellt – oder ein USB-Wechselspeichermedium, z. B. ein USB-Flashlaufwerk. Die BitLocker-Schlüssel können auf einem dieser Hardwaregeräte gespeichert werden. Wenn der Computer über ein TPM der Version 1.2 oder höher verfügt, wird der BitLocker-Schlüssel im TPM gespeichert. Wenn der Computer kein TPM der Version 1.2 oder höher umfasst, wird der BitLocker-Schlüssel auf dem USB-Flashlaufwerk gespeichert. Die Option, den BitLocker-Schlüssel auf einem USB-Flashlaufwerk zu speichern, ist nur verfügbar, wenn die BitLocker-Gruppenrichtlinieneinstellungen vom Systemadministrator so konfiguriert wurden, dass beim Fehlen eines TPM die Verwendung eines Systemstartschlüssels möglich ist.

  • Der Computer muss mit einer zusätzlichen separaten, aktiven Partition konfiguriert worden sein, die als Systempartition verwendet wird. Die Systempartition wird die Dateien enthalten, die erforderlich sind, um den Computer zu starten. Die Betriebssystempartition mit Windows 7 oder Windows Server 2008 R2 wird von BitLocker verschlüsselt. Die Systempartition bleibt unverschlüsselt, damit der Computer gestartet werden kann. Wenn der Computer keine zusätzliche separate, aktive Partition umfasst, wird sie von BitLocker automatisch erstellt. Sowohl die Systempartition als auch die Betriebssystempartition müssen für das NTFS-Dateisystem formatiert werden.

  • Die Computerfirmware, also das BIOS oder die UEFI (Unified Extensible Firmware Interface), muss mit dem TPM kompatibel sein bzw. beim Starten des Computers USB-Geräte unterstützen. Wenn die Computerfirmware diese Anforderung nicht erfüllt, muss sie vor dem Verwenden von BitLocker aktualisiert werden.

Um mit BitLocker integrierte Datenlaufwerke, wie interne Festplatten, oder mit BitLocker To Go™ Wechseldatenträger, wie externe Festplatten und USB-Flashlaufwerke, zu schützen, sind die folgenden Elemente erforderlich:

  • Das Laufwerk muss mit einem der Dateisysteme exFAT, FAT16, FAT32 oder NTFS formatiert sein.

  • Das Laufwerk muss über mindestens 64 MB freien Speicherplatz verfügen.

FIPS-Einstellungen

Sie können die FIPS-Gruppenrichtlinieneinstellungen (Federal Information Processing Standard) in Windows 7 so konfigurieren, dass FIPS-Kompatibilität erforderlich ist. Das BitLocker To Go-Lesetool ist jedoch keine FIPS-kompatible Anwendung. Wenn Ihre Organisation FIPS-kompatibel ist, können mit BitLocker geschützte Wechseldatenträger von Computern mit Windows XP oder Windows Vista nicht geöffnet werden.

Um BitLocker in einer FIPS-kompatiblen Umgebung zu verwenden, müssen Sie die Gruppenrichtlinieneinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren, die Sie im Editor für lokale Gruppenrichtlinien unter Richtlinien für Lokaler Computer\Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen finden.

noteHinweis
Für das Ändern von Gruppenrichtlinieneinstellungen sind Administratorrechte erforderlich.

Als Folge der FIPS-Kompatibilität können Benutzer keine Wiederherstellungskennwörter für BitLocker erstellen. Darüber hinaus kann von einem FIPS-kompatiblen Computer zwar auf ein kennwortgeschütztes Laufwerk zugegriffen werden, sobald das Kennwort angegeben wurde, das Laufwerk ist jedoch schreibgeschützt. Im FIPS-Kompatibilitätsmodus können Benutzer weiterhin einen Wiederherstellungsschlüssel erstellen, und Datenwiederherstellungs-Agents können zur zertifikatbasierten Wiederherstellung verwendet werden.

noteHinweis
Wenn Sie die Gruppenrichtlinieneinstellung außerdem so konfiguriert haben, dass alle Wechseldatenträger durch BitLocker geschützt werden müssen, können keine Wiederherstellungsschlüssel verwendet werden. In diesem Fall muss die Wiederherstellung mit Datenwiederherstellungs-Agents durchgeführt werden.

Wenn Sie FIPS-Kompatibilität aktivieren, haben Benutzer keine Möglichkeit, irgendwo ein Wiederherstellungskennwort zu speichern. Das gilt auch für das Speichern von Kennwörtern in die Active Directory®-Domänendienste (AD DS) und Netzwerkordnern. Da Wiederherstellungskennwörter bei aktiviertem FIPS nicht in AD DS gespeichert werden können, wird von Windows 7 ein Fehler angezeigt, wenn eine Gruppenrichtlinie eine AD DS-Sicherung fordert.

Wenn FIPS deaktiviert ist, müssen Benutzer auf Grundlage der vorhandenen Gruppenrichtlinie beim Aktivieren von BitLocker über die Benutzeroberfläche einen Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort erstellen und speichern.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft