(0) exportieren Drucken
Alle erweitern

Neues in BitLocker

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Februar 2012

Betrifft: Windows 8, Windows Server 2012

Im Folgenden finden Sie eine Liste neuer Funktionen in BitLocker für Windows 8 und Windows Server 2012:

  • BitLocker-Bereitstellung

    Windows 8 kann nun während der Installation vor dem Aufrufen des Setups in einem verschlüsselten Zustand bereitgestellt werden.

  • Nur verwendeten Festplattenspeicherplatz verschlüsseln

    BitLocker bietet jetzt zwei Verschlüsselungsmethoden an: Verschlüsselung des verwendeten Festplattenspeicherplatzes und vollständige Volumeverschlüsselung. Mit "Nur verwendeter Festplattenspeicherplatz" erfolgt die Verschlüsselung wesentlich schneller, da nur die verwendeten Blocks auf dem Zielvolume verschlüsselt werden.

  • Standardbenutzer-PIN und -kennwort ändern

    Ermöglicht Standardbenutzern, die PIN oder das Kennwort für BitLocker auf Betriebssystemvolumes und das Kennwort für BitLocker auf Datenvolumes zu ändern, sodass die Anzahl interner Anrufe beim Helpdesk reduziert wird.

  • Netzwerkentsperrung

    Ermöglicht einem BitLocker-System in einem verkabelten Netzwerk das automatische Entsperren des Systemvolumes beim Start (bei kompatiblen Windows Server 2012-Netzwerken), sodass die Anzahl interner Anrufe beim Helpdesk aufgrund verlorener PINs reduziert wird.

  • Unterstützung verschlüsselter Festplatten für Windows

    Windows 8 beinhaltet BitLocker-Unterstützung für verschlüsselte Festplatten.

In Windows Vista und Windows 7 wird BitLocker nach der Installation entweder über die manage-bde-Befehlszeilenschnittstelle oder über die Benutzeroberfläche der Systemsteuerung für System- und Datenvolumes bereitgestellt. In Windows 8 kann BitLocker auch einfach vor der Installation des Betriebssystems bereitgestellt werden.

In Windows 8 können Administratoren BitLocker vor der Bereitstellung des Betriebssystems über Windows Preinstallation Environment (WinPE) aktivieren. Hierzu wird eine zufällig generierte, unverschlüsselte Schutzvorrichtung auf das formatierte Volume angewendet und das Volume vor der Ausführung des Windows-Setupvorgangs verschlüsselt. Bei Verschlüsselung mit der im folgenden Abschnitt beschriebenen Option "Nur verwendeter Festplattenspeicherplatz" werden für diesen Schritt nur wenige Sekunden benötigt. Diese Methode lässt sich daher gut in regelmäßige Bereitstellungsprozesse integrieren.

Zum Überprüfen des BitLocker-Status auf einem bestimmten Volume können Administratoren den Status des Laufwerks in der Systemsteuerungsoption für BitLocker oder im Windows Explorer anzeigen. Wird für BitLocker vorab ein Laufwerk bereitgestellt, wird in der BitLocker-Systemsteuerung der Status "Aktivierung ausstehend" mit einem gelben Ausrufezeichensymbol angezeigt. Dieser Status zeigt an, dass beim Verschlüsseln des Volumes nur eine unverschlüsselte Schutzvorrichtung verwendet wurde. In diesem Fall ist das Volume nicht geschützt. Dem Volume muss ein Sicherheitsschlüssel hinzugefügt werden, damit das Laufwerk vollständig geschützt ist. Sie können auch die Systemsteuerung, das manage-bde-Tool oder die WMI-APIs verwenden, um eine entsprechende Schlüsselschutzvorrichtung hinzuzufügen. Der Status des Volumes wird anschließend aktualisiert. In der folgenden Tabelle werden die entsprechenden Schlüsselschutzvorrichtungen aufgeführt, die zu Laufwerken hinzugefügt werden können, die vorab mit BitLocker-Schutz bereitgestellt wurden:

 

Festplattentyp Schlüsselschutzvorrichtung

Betriebssystem

TPM

TPM+PIN

Schlüssel für Systemstart (für Systeme ohne TPM)

Kennwort (für Systeme ohne TPM)

Integriertes Datenlaufwerk

Automatisches Entsperren

Kennwort

Smartcard

Wechseldatenträger

Kennwort

Smartcard

In Windows 7 erfordert BitLocker, dass alle Daten und freier Speicherplatz auf dem Laufwerk verschlüsselt sind. Die Verschlüsselung größerer Volumes kann sehr viel Zeit in Anspruch nehmen. In Windows 8 können Administratoren das gesamte Volume oder nur den verwendeten Speicherplatz verschlüsseln. Wenn Sie die Option "Nur verwendeten Festplattenspeicherplatz verschlüsseln" wählen, wird nur der Bereich auf dem Laufwerk verschlüsselt, der Daten enthält. Freier Festplattenspeicherplatz wird nicht verschlüsselt. Diese Option ermöglicht im Vergleich zu früheren BitLocker-Implementierungen eine wesentlich schnellere Verschlüsselung leerer bzw. teilweise leerer Laufwerke. Beim Bereitstellen von BitLocker während einer Windows-Bereitstellung kann BitLocker mit der Option "Nur verwendeter Festplattenspeicherplatz" ein Laufwerk in kurzer Zeit vor der Installation des Betriebssystems verschlüsseln. Bei der vollständigen Verschlüsselung werden, ähnlich wie bei BitLocker in Windows 7 und Windows Vista, sowohl Daten als auch leerer Speicherplatz auf dem Volume verschlüsselt.

Neue Gruppenrichtlinieneinstellungen für Verschlüsselungstyp

Sie können Gruppenrichtlinieneinstellungen verwenden, um festzulegen, dass bei Aktivierung von BitLocker auf einem Laufwerk die Option "Nur verwendeter Festplattenspeicherplatz" oder die Option "Vollständige Verschlüsselung" erzwungen werden soll. Die Gruppenrichtlinieneinstellungen für die BitLocker-Laufwerkverschlüsselung befinden sich unter dem Pfad \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung des Gruppenrichtlinien-Editors.

Computerrichtlinie und Domänencomputerrichtlinie.

Die folgenden neuen Gruppenrichtlinien sind verfügbar:

  • Festplattenlaufwerke\Laufwerksverschlüsselungstyp auf Festplattenlaufwerken erzwingen

  • Betriebssystemlaufwerke\Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

  • Wechseldatenträger\Laufwerksverschlüsselungstyp auf Wechseldatenträgern erzwingen

Sie können für jede Richtlinie nach dem Aktivieren festlegen, welcher Verschlüsselungstyp für welchen Laufwerkstyp verwendet werden soll. Wenn die Richtlinie nicht konfiguriert ist, kann der Benutzer die Verschlüsselungsmethode bei Aktivierung von BitLocker auswählen.

Für die Konfiguration von BitLocker für Betriebssystemlaufwerke sind Administratorrechte erforderlich. In einer Organisation, in der Computer von IT-Experten verwaltet werden und Benutzer üblicherweise keine Administratorrechte besitzen, ist das Bereitstellen der TPM + PIN-Schutzoption für eine große Anzahl an Computern schwierig. In Windows 8 sind immer noch Administratorrechte zum Konfigurieren von BitLocker erforderlich. Standardbenutzer können jedoch die BitLocker-PIN oder das Kennwort für das Betriebssystemvolume oder das BitLocker-Kennwort für feste Datenvolumes ändern. Das heißt, Benutzer können ihr PINs und Kennwörter entsprechend einer eigenen Gedächtnishilfe festlegen, anstatt sich einen zufällig generierten Zeichensatz merken zu müssen. Hierdurch wird die Verwendung derselben initialen PIN- bzw. Kennworteinstellungen für alle Computerimages ermöglicht. Dies bietet Benutzern außerdem die Möglichkeit, Kennwörter und PINs zu verwenden, die weniger anfällig für Programme zur Ermittlung von Kennwörtern, Verzeichnisangriffe und Social Engineering-Angriffe sind und es den Benutzern ermöglichen, einen beliebigen Computer zu entsperren, der noch die ursprünglich zugewiesenen PINs bzw. Kennwörter verwendet. Die Durchsetzung zur Verwendung komplexer Kennwörter und PINs durch Gruppenrichtlinien wird empfohlen, um sicherzustellen, dass Benutzer beim Festlegen von Kennwörtern und PINs mit entsprechender Sorgfalt vorgehen.

Standardbenutzer müssen die aktuelle PIN bzw. das aktuelle Kennwort für das Laufwerk eingeben, um die PIN oder das Kennwort für BitLocker zu ändern. Gibt der Benutzer eine falsche aktuelle PIN bzw. ein falsches Kennwort ein, wird die Anzahl der erlaubten Eingabeversuche auf 5 gesetzt. Wird dieser Grenzwert erreicht, können Standardbenutzer die PIN bzw. das Kennwort für BitLocker nicht ändern. Der Zähler für die Eingabeversuche wird auf null gesetzt, wenn der Computer neu gestartet wird oder die PIN bzw. das Kennwort für BitLocker von einem Administrator zurückgesetzt wird.

Sie können die Option, die Standardbenutzern das Ändern von PINs und Kennwörtern ermöglicht, mithilfe der Gruppenrichtlinieneinstellung Standardbenutzern das Ändern von PINs nicht gestatten im Abschnitt \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke des Editors für lokale Gruppenrichtlinien deaktivieren.

In Windows Server 2012 wurde die neue BitLocker-Schutzoption für Betriebssystemvolumes "Netzwerkentsperrung" hinzugefügt. Die Netzwerkentsperrung vereinfacht die Verwaltung von Desktops und Servern mit BitLocker-Schutz in einer Domänenumgebung, da die Betriebssystemvolumes beim Systemstart automatisch entsperrt werden, wenn eine Verbindung zu einem vertrauenswürdigen kabelgebundenen Unternehmensnetzwerk besteht. Diese Funktion erfordert, dass in der UEFI-Firmware der Clienthardware ein DHCP-Treiber implementiert ist.

Für Betriebssystemvolumes mit TPM- und PIN-Schutz muss eine PIN eingegeben werden, wenn der Computer neu gestartet oder der Betrieb aus dem Ruhezustand wieder aufgenommen wird (z. B. bei der Konfiguration für Wake-On-LAN). Die Anforderung einer PIN-Eingabe kann die Installation von Softwarepatches auf unbeaufsichtigten Desktops und Servern für Unternehmen erschweren. Die Netzwerkentsperrung bietet eine Methode, mit der Computer, die mit einer TPM- und PIN-Schlüsselschutzvorrichtung konfiguriert sind, Windows ohne Benutzereingriff starten können. Die Funktionsweise der Netzwerkentsperrung ist mit der von TPM + Startschlüssel vergleichbar. Anstatt den Startschlüssel von einem USB-Medium zu lesen, wird der Schlüssel für die Netzwerkentsperrung jedoch aus einem im TPM gespeicherten Schlüssel und einem verschlüsselten Netzwerkschlüssel zusammengesetzt, der in einer sicheren Sitzung an den Server gesendet, entschlüsselt und an den Client zurückgegeben wird. Der Netzwerkschlüssel wird auf dem Systemlaufwerk zusammen mit dem AES-256-Bit-Sitzungsschlüssel gespeichert und mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Zertifikats des Servers zum Entsperren verschlüsselt. Der Netzwerkschlüssel wird mithilfe eines Anbieters auf einem Windows Server 2012-WDS-Server verschlüsselt und mit dem entsprechenden Sitzungsschlüssel verschlüsselt zurückgegeben. In Instanzen, in denen der Anbieter der Netzwerkentsperrung nicht verfügbar ist, wird der standardmäßige TPM + PIN-Bildschirm zum Entsperren des Laufwerks angezeigt. Die serverseitige Konfiguration zur Aktivierung der Netzwerkentsperrung erfordert ein öffentliches/privates 2048-Bit-RSA-Schlüsselpaar in Form eines X.509-Zertifikats. Darüber hinaus muss das öffentliche Schlüsselzertifikat an die Clients verteilt werden. Dieses Zertifikat muss durch den Gruppenrichtlinien-Editor direkt auf dem Windows Server 2012-Domänencontroller verwaltet und bereitgestellt werden. Weitere Informationen zum Konfigurieren der BitLocker-Netzwerkentsperrung finden Sie im Handbuch zu Grundlagen und Problembehandlung in BitLocker.

BitLocker bietet eine vollständige softwarebasierte Volumeverschlüsselung (Full Volume Encryption, FVE) für Betriebssystem- und Datenvolumes von Windows. Unter Windows 8 bietet BitLocker darüber hinaus Unterstützung für einen neuen Speichergerätetyp: die verschlüsselte Festplatte. Dieser Typ wird zu einer immer gängigeren Option bei neuen Servern und Computern. Verschlüsselte Festplatten bieten eine vollständige Laufwerksverschlüsselung (Full Disk Encryption, FDE), d. h. alle Blöcke auf dem physischen Laufwerk werden verschlüsselt. Die Verschlüsselungsvorgänge auf verschlüsselten Festplatten sind effizienter, da der Verschlüsselungsvorgang auf den Speichercontroller auf dem Laufwerk verlegt wird (auch als Hardware-basierte Verschlüsselung bekannt).

Windows 8 unterstützt verschlüsselte Festplatten systemseitig im Betriebssystem durch folgende Mechanismen:

  • Identifikation: Windows 8 kann erkennen, dass es sich beim Laufwerk um den Gerätetyp "Verschlüsselte Festplatte" handelt.

  • Aktivierung: Die Datenträgerverwaltung in Windows 8 aktiviert und erstellt Volumes und weist sie den Bereichen entsprechend zu.

  • Konfiguration: Windows 8 erstellt Volumes und weist sie den Bereichen entsprechend zu.

  • API: Windows 8 bietet API-Unterstützung für Anwendungen, um verschlüsselte Festplatten unabhängig von der BitLocker-Laufwerkverschlüsselung zu verwalten.

  • BitLocker: Die BitLocker-Systemsteuerung ermöglicht den Benutzern, verschlüsselte Festplatten genauso wie vollständig verschlüsselte Laufwerke zu verwalten.

Weitere Informationen zu den Systemanforderungen und der Verwendung der verschlüsselten Festplatten finden Sie im Handbuch zu Grundlagen und Problembehandlung in BitLocker.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft