(0) exportieren Drucken
Alle erweitern
20 von 27 fanden dies hilfreich - Dieses Thema bewerten.

BitLocker: Häufig gestellte Fragen (FAQ)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Mai 2013

Betrifft: Windows 8, Windows Server 2012

Die BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das in Windows 8 Pro, Windows 8 Enterprise und allen Editionen von Windows Server 2012 verfügbar ist. Dieses Thema beschäftigt sich mit häufig gestellten Fragen zu BitLocker in Windows 8.

  1. Übersicht und Anforderungen

    1. Was ist BitLocker? Wie funktioniert es?

    2. Unterstützt BitLocker die mehrstufige Authentifizierung?

    3. Welche Hardware- und Softwareanforderungen müssen für die Verwendung von BitLocker erfüllt werden?

    4. Warum sind zwei Partitionen erforderlich? Warum muss das Systemlaufwerk so groß sein?

    5. Welche Trusted Platform Modules (TPMs) werden durch BitLocker unterstützt?

    6. Wie lässt sich feststellen, ob sich ein TPM in einem Computer befindet?

    7. Kann BitLocker ohne ein TPM für ein Betriebssystemlaufwerk verwendet werden?

    8. Wie ist die BIOS-Unterstützung für das TPM auf einem Computer erhältlich?

    9. Welche Anmeldeinformationen sind erforderlich, um BitLocker zu verwenden?

  2. Aktualisieren



Mit BitLocker werden die Festplatten auf einem Computer verschlüsselt, um verbesserten Schutz vor dem Diebstahl oder der Offenlegung von Daten auf verloren gegangenen oder gestohlenen Computern und Wechseldatenträgern zu bieten. Außerdem ermöglicht BitLocker das sicherere Löschen von Daten, wenn durch BitLocker geschützte Computer ausrangiert werden, da es erheblich schwieriger ist, gelöschte Daten eines verschlüsselten Laufwerks wiederherzustellen als gelöschte Daten eines nicht verschlüsselten Laufwerks.

Funktionsweise von BitLocker bei Betriebssystemlaufwerken

Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe, entweder durch den Einsatz von Softwareangriffstools oder durch den Einbau der Festplatte in einen anderen Computer. BitLocker trägt folgendermaßen dazu bei, nicht autorisierte Zugriffe auf Daten auf verloren gegangen oder gestohlenen Computern abzuwehren:

  • Verschlüsseln des gesamten Windows-Betriebssystemlaufwerks auf der Festplatte. BitLocker verschlüsselt alle Benutzer- und Systemdateien auf dem Betriebssystemlaufwerk, einschließlich der Auslagerungs- und Ruhezustandsdateien.

  • Überprüfen der Integrität von vorrangigen Startkomponenten und Startkonfigurationsdaten. Auf Computern mit einem Trusted Platform Module (TPM), Version 1.2 oder 2.0, verwendet BitLocker die erweiterten Sicherheitsfunktionen des TPM, damit Ihre Daten nur zugänglich sind, wenn die Startkomponenten des Computers unverändert sind und sich der verschlüsselte Datenträger auf dem ursprünglichen Computer befindet.

BitLocker ist in Windows 8 integriert und bietet Unternehmen einen verbesserten Datenschutzmechanismus, der leicht verwaltet und konfiguriert werden kann. BitLocker kann beispielsweise eine vorhandene AD DS-Infrastruktur (Active Directory Domain Services, Active Directory-Domänendienste) verwenden, um BitLocker-Wiederherstellungsschlüssel remote zu speichern.

Funktionsweise von BitLocker bei eingebauten Laufwerken und Wechseldatenträgern

BitLocker kann auch zum Schutz von eingebauten Laufwerken und Wechseldatenträgern verwendet werden. Wird BitLocker für Datenlaufwerke verwendet, wird der gesamte Inhalt des Laufwerks verschlüsselt. Mithilfe der Gruppenrichtlinie kann festgelegt werden, dass BitLocker auf einem Laufwerk aktiviert werden muss, bevor der Computer Daten auf das Laufwerk schreiben kann. BitLocker kann mit den folgenden Entsperrmethoden für Datenlaufwerke konfiguriert werden:

  • Automatische Entsperrung. Eingebaute Datenlaufwerke können so konfiguriert werden, dass sie automatisch in einem Computer entsperrt werden, dessen Betriebssystemlaufwerk verschlüsselt ist. Wechseldatenträger können so konfiguriert werden, dass sie in Kombination mit einem Computer unter Windows 8 automatisch entsperrt werden, nachdem das Kennwort oder die Smartcard erstmalig zum Entsperren des Laufwerks verwendet wurde. Für Wechseldatenträger muss neben der Methode für die automatische Entsperrung jedoch auch immer noch eine Entsperrung per Kennwort oder Smartcard konfiguriert sein.

  • Kennwort. Wenn Benutzer versuchen, ein Laufwerk zu öffnen, werden sie zur Eingabe ihres Kennworts aufgefordert, bevor das Laufwerk entsperrt wird. Diese Methode kann zusammen mit dem BitLocker To Go-Lesetool auf Computern unter Windows Vista oder Windows XP verwendet werden, um durch BitLocker geschützte Laufwerke schreibgeschützt zu öffnen.

  • Smartcard. Wenn Benutzer versuchen, ein Laufwerk zu öffnen, werden sie aufgefordert, ihre Smartcard einzustecken, bevor das Laufwerk entsperrt wird.

  • Active Directory-Konto oder -Gruppe. Einem Active Directory-Benutzer-, Gruppen- oder Computerkonto kann ein Schlüssel zugewiesen werden. Wenn diese Anmeldeinformationen vorgelegt werden, wird das Laufwerk entsperrt.

Ein Laufwerk kann mehrere Entsperrmethoden unterstützen. Ein Wechseldatenträger kann beispielsweise so konfiguriert werden, dass er in Verbindung mit dem primären Arbeitscomputer automatisch entsperrt wird, jedoch ein Kennwort anfordert, wenn er mit einem anderen Computer verwendet wird.

Ja, BitLocker unterstützt die mehrstufige Authentifizierung für Betriebssystemlaufwerk. Wenn Sie BitLocker auf einem Computer mit einem TPM, Version 1.2 oder 2.0, aktivieren, können Sie weitere Formen der Authentifizierung mit TPM-Schutz nutzen. BitLocker bietet die Möglichkeit, den normalen Startvorgang so lange zu sperren, bis der Benutzer ein Kennwort angibt (hierbei kann es sich um eine Geheimzahl (eine PIN), eine Passphrase oder ein Kennwort handeln) oder ein USB-Gerät anschließt (beispielsweise ein Speicherstick), das einen BitLocker-Systemstartschlüssel enthält. Es sind auch Konfigurationen möglich, die sowohl ein Kennwort als auch ein USB-Gerät vorsehen. Diese zusätzlichen Sicherheitsmaßnahmen ermöglichen die mehrstufige Authentifizierung und sorgen dafür, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige Authentifizierungsmethode verwendet wird.

noteHinweis
Die kombinierte Verwendung von USB-Gerät und Kennwort zusammen mit dem TPM muss mit den Befehlszeilentool "Manage-bde" konfiguriert werden. Diese Schutzmethode kann nicht mithilfe des Setup-Assistenten von BitLocker definiert werden.

Um alle BitLocker-Features verwenden zu können, muss ein Computer die in der folgenden Tabelle aufgeführten Hardware- und Softwareanforderungen erfüllen.

BitLocker-Hardware- und Softwareanforderungen für Betriebssystemlaufwerke

Anforderung Beschreibung

Hardwarekonfiguration

Der Computer muss die Mindestanforderungen für Windows 8 erfüllen. Weitere Informationen zu den Windows 8-Anforderungen finden Sie auf der Windows 8-Website.

Betriebssystem

Windows 8 oder Windows Server 2012

noteHinweis
BitLocker ist ein optionales Feature von Windows Server 2012. Verwenden Sie Server-Manager, um BitLocker auf einem Computer unter Windows Server 2012 zu installieren.

Hardware-TPM

TPM, Version 1.2 oder 2.0

Ein TPM ist für BitLocker nicht erforderlich, aber nur ein Computer mit einem TPM kann die zusätzliche Sicherheit bieten, die durch die Überprüfung der Systemintegrität vor dem Start und die mehrstufige Authentifizierung ermöglicht wird.

BIOS-Konfiguration

  • TCG-kompatible (Trusted Computing Group) BIOS- oder UEFI-Firmware

  • Die Startreihenfolge muss so festgelegt sein, dass der Start zuerst von der Festplatte und nicht von einem USB- oder CD-Laufwerk erfolgt.

  • Der Firmware muss es möglich sein, während des Starts von einem USB-Speicherstick zu lesen.

Dateisystem

Für Computer, die systemseitig mit UEFI-Firmware starten, ist mindestens eine FAT32-Partition für das Systemlaufwerk und eine NTFS-Partition für das Betriebssystemlaufwerk erforderlich.

Für Computer mit BIOS-Legacyfirmware sind mindestens zwei NTFS-Datenträgerpartitionen erforderlich: eine Partition für das Systemlaufwerk und eine Partition für das Betriebssystemlaufwerk.

Bei beiden Firmwarevarianten muss die Systemlaufwerkpartition mindestens 350 MB umfassen und als aktive Partition konfiguriert sein.

Voraussetzungen für hardwareverschlüsselte Laufwerke (optional)

Um ein hardwareverschlüsseltes Laufwerk als Startlaufwerk verwenden zu können, darf das Laufwerk nicht initialisiert sein, und der Sicherheitsstatus muss "inaktiv" sein. Darüber hinaus muss das System immer mit systemeigener UEFI, Version 2.3.1 oder höher, und ggf. mit deaktiviertem CSM starten.

BitLocker-Hardware- und Softwareanforderungen für Datenlaufwerke

Anforderung Beschreibung

Dateisystem

Damit ein eingebautes Laufwerk oder ein Wechseldatenträger durch BitLocker geschützt werden kann, muss es bzw. er mit dem Dateisystem exFAT, FAT16, FAT32 oder NTFS formatiert sein.

noteHinweis
Um das BitLocker To Go-Lesetool zum Lesen von Daten auf einem Wechseldatenträger verwenden zu können, muss das Laufwerk mit dem Dateisystem exFAT, FAT16 oder FAT32 formatiert sein. Wenn das Laufwerk NTFS-formatiert ist, kann es nur auf einem Computer unter Windows Server 2008 R2 oder Windows Server 7 oder höher entsperrt werden. In früheren Versionen des Windows-Betriebssystems wird das Laufwerk nicht erkannt, und Sie werden aufgefordert, das Laufwerk zu formatieren.

Laufwerkgröße

Das Laufwerk muss mindestens 64 MB groß sein.

Für die Ausführung von BitLocker sind zwei Partitionen erforderlich, da die Authentifizierung und Systemintegritätsprüfung vor dem Start nicht auf derselben Partition erfolgen darf, auf dem sich das verschlüsselte Betriebssystemlaufwerk befindet. Diese Konfiguration trägt dazu bei, das Betriebssystem und die Informationen zum verschlüsselten Laufwerk zu schützen. Das Systemlaufwerk kann auch zum Speichern der Windows-Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE) und von weiteren setup- oder upgradeprogrammspezifischen Dateien verwendet werden. Computerhersteller und Unternehmenskunden können außerdem Systemtools und andere Wiederherstellungstools auf diesem Laufwerk speichern, wodurch die erforderliche Größe des Systemlaufwerks zunimmt. Wird das Systemlaufwerk beispielsweise verwendet, um Windows RE sowie die BitLocker-Startdatei zu speichern, erhöht sich der erforderliche Umfang des Systemlaufwerks auf 350 MB. Das Systemlaufwerk ist standardmäßig ausgeblendet, und ihm ist kein Laufwerkbuchstabe zugewiesen. Das Systemlaufwerk wird bei der Installation von Windows 8 automatisch erstellt.

BitLocker unterstützt TPM, Version 1.2 und 2.0. BitLocker bietet keine Unterstützung für ältere TPM-Versionen. Im Vergleich zu früheren Versionen bieten TPMs der Version 1.2 und höher ein höheres Maß an Standardisierung, Sicherheitserweiterungen sowie verbesserte Funktionalität. Außerdem müssen Sie einen von Microsoft bereitgestellten TPM-Treiber verwenden. Sie können den TPM-Treiberanbieter prüfen, indem Sie die Tastenkombination Windows-Logo-Taste + R drücken, devmgmt.msc im Feld Öffnen eingeben und dann die EINGABETASTE drücken, um den Geräte-Manager zu öffnen. Erweitern Sie Sicherheitsgeräte, klicken Sie mit der rechten Maustaste auf das TPM, und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Treiber, und stellen Sie sicher, dass Microsoft im Feld Treiberanbieter angezeigt wird.

ImportantWichtig
Wenn BitLocker mit einem TPM verwendet wird, empfiehlt es sich, BitLocker unmittelbar nach dem Neustart des Computers zu aktivieren. Wenn der Computer aus dem Standbymodus reaktiviert wurde, bevor BitLocker aktiviert wird, ist es möglich, dass das TPM die dem Start vorgelagerten Komponenten im Computer falsch misst. Wenn ein Benutzer später versucht, den Computer zu entsperren, scheitert die TPM-Überprüfung. Der Computer wechselt in den BitLocker-Wiederherstellungsmodus und fordert den Benutzer zur Angabe von Wiederherstellungsinformationen auf, bevor das Laufwerk entsperrt wird.

Drücken Sie die Tastenkombination Windows-Logo-Taste + Q, um Apps zu öffnen. Klicken Sie im Suchbereich auf Einstellungen, geben Sie BitLocker ein, und klicken Sie dann auf BitLocker aktivieren. Wenn der Computer nicht über ein kompatibles TPM verfügt oder das BIOS nicht mit dem TPM kompatibel ist, wird eine Fehlermeldung ausgegeben, die Sie darüber informiert, dass kein TPM gefunden wurde.

Wird diese Fehlermeldung auf einem Computer angezeigt, der über ein TPM verfügt, sollten Sie prüfen, ob eine der folgenden Bedingungen auf den Computer zutrifft:

  • Einige Computer haben TPMs, die nicht im Windows 8-TPM-MMC-Snap-In ("tpm.msc") angezeigt werden. Dies ist auf eine BIOS- oder UEFI-Einstellung zurückzuführen, die das TPM standardmäßig ausblendet und es nur dann verfügbar macht, wenn es zuvor im BIOS oder in der UEFI-Firmware aktiviert wurde. Wenn Sie es für möglich halten, dass das TPM im BIOS oder in der UEFI ausgeblendet wurde, sollten Sie in der Dokumentation des Herstellers nachlesen, wie das TPM angezeigt oder aktiviert werden kann.

  • Einige Computer enthalten möglicherweise eine frühere TPM-Version oder eine frühere Version des System-BIOS, die nicht mit BitLocker kompatibel ist. Setzen Sie sich mit dem Computerhersteller in Verbindung, um sicherzustellen, dass der Computer über ein TPM der Version 1.2 verfügt, oder um ein BIOS-Update zu erhalten.

Ja, Sie können BitLocker ohne ein TPM der Version 1.2 oder 2.0 auf einem Betriebssystemlaufwerk aktivieren, falls das BIOS oder die UEFI-Firmware in der Lage ist, in der Startumgebung von einem USB-Speicherstick zu lesen. Dies liegt daran, dass BitLocker das geschützte Laufwerk erst dann entsperrt, wenn der eigene Volumehauptschlüssel erstmalig entweder vom TPM des Computers oder einem USB-Speicherstick freigegeben wird, der den BitLocker-Systemstartschlüssel für diesen Computer enthält. Computer ohne TPMs können jedoch nicht die Systemintegritätsprüfung nutzen, die von BitLocker ebenfalls bereitgestellt werden kann.

Sie können feststellen, ob ein Computer während des Startvorgangs von einem USB-Speicherstick lesen kann, indem Sie die BitLocker-Systemprüfung im Rahmen der BitLocker-Setupvorgangs verwenden. Diese Systemprüfung führt Tests aus, um zu bestätigen, dass der Computer zum geeigneten Zeitpunkt von dem USB-Speicherstick lesen kann und dass der Computer weitere BitLocker-Anforderungen erfüllt.

Um BitLocker auf einem Computer ohne TPM zu aktivieren, müssen Sie die Gruppenrichtlinieneinstellung Zusätzliche Authentifizierung beim Start anfordern unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke aktivieren. Sie müssen das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktivieren. Nachdem diese Einstellung auf den lokalen Computer angewendet wurde, werden die Nicht-TPM-Einstellungen im BitLocker-Setup-Assistenten angezeigt.

Setzen Sie sich mit dem Computerhersteller in Verbindung, um eine TCG-kompatible (Trusted Computing Group) BIOS- oder UEFI-Startfirmware anzufordern, die die folgenden Anforderungen erfüllt:

  1. Sie ist mit Windows 8 kompatibel und hat die Windows 8-Logo-Tests bestanden.

  2. Sie ist mit den TCG-Standards für Clientcomputer kompatibel.

  3. Sie verfügt über einen sicheren Updatemechanismus, um zu verhindern, dass schädliche BIOS- oder Startfirmware auf dem Computer installiert wird.

Damit BitLocker-Konfigurationen auf Betriebssystemlaufwerken und eingebauten Datenlaufwerken aktiviert, deaktiviert oder geändert werden können, ist die Mitgliedschaft in der lokalen Administratorengruppe erforderlich. Standardbenutzer können BitLocker-Konfigurationen auf Wechseldatenträgern aktivieren, deaktivieren oder ändern. Deaktivieren Sie die Gruppenrichtlinieneinstellung Verwendung von BitLocker auf Wechseldatenträgern steuern (unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger), um Standardbenutzer daran zu hindern, BitLocker auf Wechseldatenträgern zu aktivieren oder zu deaktivieren. In Windows 8 und Windows Server 2012 können Standardbenutzer auch die PIN oder das Kennwort für Betriebssystemlaufwerke und eingebaute Datenlaufwerke ändern, nachdem sie die aktuelle PIN oder das aktuelle Kennwort angegeben haben.

Ja. Für ein Upgrade von Windows 7 auf Windows 8 ohne Entschlüsselung des Betriebssystemlaufwerks öffnen Sie in Windows 7 das Systemsteuerungselement BitLocker-Laufwerkverschlüsselung, klicken Sie auf BitLocker verwalten, und klicken Sie dann auf Anhalten. Durch das Anhalten des Schutzmechanismus wird das Laufwerk nicht entschlüsselt. Es bewirkt, dass der von BitLocker verwendete Authentifizierungsmechanismus deaktiviert und ein unverschlüsselter Schlüssel für das Laufwerk verwendet wird, um den Zugriff zu ermöglichen. Fahren Sie mithilfe der Windows 8-DVD mit dem Upgrade fort. Öffnen Sie nach Beendigung des Upgrades Windows-Explorer, klicken Sie mit der rechten Maustaste auf das Laufwerk, und klicken Sie dann auf Schutz fortsetzen. Dies bewirkt, dass die BitLocker-Authentifizierungsmethoden erneut angewendet werden und der unverschlüsselte Schlüssel gelöscht wird.

Das Entschlüsseln bewirkt, dass der BitLocker-Schutz vollständig entfernt und das Laufwerk komplett entschlüsselt wird.

Wenn BitLocker angehalten wird, erhält BitLocker die Datenverschlüsselung aufrecht. Der BitLocker-Volumehauptschlüssel wird jedoch mit einem unverschlüsselten Schlüssel verschlüsselt. Der unverschlüsselte Schlüssel ist ein Kryptografieschlüssel, der unverschlüsselt und ungeschützt auf dem Datenträger gespeichert ist. Indem dieser Schlüssel unverschlüsselt gespeichert wird, ermöglicht die Option Anhalten Änderungen oder Upgrades auf dem Computer, ohne dass Zeit und Kosten für die Entschlüsselung und erneute Verschlüsselung des gesamten Laufwerks aufgewendet werden müssen. Nachdem die Änderungen vorgenommen wurden und BitLocker erneut aktiviert wurde, wird der Verschlüsselungsschlüssel durch BitLocker mit den neuen Werten der gemessenen Komponenten neu versiegelt, die im Rahmen des Upgrades geändert wurden. Der Volumehauptschlüssel wird geändert, die Schutzvorrichtungen werden entsprechend aktualisiert, und der unverschlüsselte Schlüssel wird gelöscht.

Bei Betriebssystemupgrades von Windows Anytime Upgrade muss das Betriebssystemlaufwerk vor der Installation entschlüsselt werden. Wenn Sie ein Upgrade von Windows 7 auf Windows 8 vornehmen oder andere, Microsoft-fremde Updates installieren, kann es notwendig sein, BitLocker zu deaktivieren oder anzuhalten, damit eine neue Systemmessung erfolgen kann, nachdem das Upgrade oder Update angewendet wurde. Für Software- oder Betriebssystemupdates von Microsoft Update ist es nicht erforderlich, das Laufwerk zu entschlüsseln oder BitLocker zu deaktivieren oder anzuhalten.

Anhand der Informationen in der folgenden Tabelle können Sie feststellen, ob Sie BitLocker deaktivieren oder anhalten oder ein Laufwerk entschlüsseln müssen, bevor Sie ein Upgrade oder ein Update installieren.

 

Art des Updates Aktion

Windows Anytime Upgrade

Entschlüsseln

Upgrade von Windows 7 auf Windows 8

Anhalten

Microsoft-fremde Softwareupdates, z. B.:

  • Firmwareupdates des Computerherstellers

  • TPM-Firmwareupdates

  • Microsoft-fremde Anwendungsupdates, durch die Startkomponenten verändert werden

Anhalten

Wenn Sie BitLocker anhalten, können Sie den BitLocker-Schutz nach der Installation des Upgrades oder des Updates fortsetzen. Durch das Fortsetzen des Schutzes wird der Verschlüsselungsschlüssel von BitLocker mit den neuen Werten der gemessenen Komponenten, die im Rahmen des Upgrades oder Updates geändert wurde, neu versiegelt. Wenn diese Upgrade- oder Updatearten anwendet werden, ohne dass BitLocker angehalten wird, wechselt der Computer beim Neustart in den Wiederherstellungsmodus, sodass ein Wiederherstellungsschlüssel oder ein Kennwort erforderlich ist, um auf den Computer zugreifen zu können.

Ja, Sie können die Bereitstellung und Konfiguration von BitLocker und des TPM mit WMI- oder Windows PowerShell-Skripts automatisieren. Wie Sie die Skripts implementieren, hängt von der jeweiligen Umgebung ab. Sie können auch das BitLocker-Befehlszeilentool "Manage-bde.exe" verwenden, um BitLocker lokal oder im Remotemodus zu konfigurieren. Weitere Informationen zum Schreiben von Skripts, die die BitLocker-WMI-Anbieter verwenden, finden Sie im MSDN-Thema zum BitLocker-Laufwerkverschlüsselungsanbieter. Weitere Informationen zur Verwendung von Windows PowerShell-Cmdlets mit der BitLocker-Laufwerkverschlüsselung finden Sie unter dem Thema zur BitLocker-Verwaltung mit Windows PowerShell.

Ja. In Windows Vista konnte BitLocker nur zum Verschlüsseln von Betriebssystemlaufwerken verwendet werden. In Windows Vista SP1 und Windows Server 2008 wurde zusätzlich die Unterstützung für die Verschlüsselung von eingebauten Datenlaufwerken bereitgestellt. In Windows 8, Windows Server 2012, Windows 7 und Windows Server 2008 R2 kann BitLocker zum Verschlüsseln von Betriebssystemlaufwerken, eingebauten Datenlaufwerken und Wechseldatenträgern verwendet werden.

Bei der Verwendung von BitLocker ist normalerweise mit Leistungseinbußen im einstelligen Prozentbereich zu rechnen.

Die BitLocker-Verschlüsselung erfolgt im Hintergrund, während Sie mit der Arbeit fortfahren, und das System bleibt einsatzfähig. Die Verschlüsselungszeiten variieren jedoch in Abhängigkeit von der Art des zu verschlüsselnden Laufwerks, seiner Größe und seiner Geschwindigkeit. Wenn Sie sehr große Laufwerke verschlüsseln, kann es sich anbieten, die Verschlüsselung zu einem Zeitpunkt durchzuführen, wenn das Laufwerk nicht anderweitig verwendet wird.

In Windows 8 und Windows Server 2012 können Sie bei der Aktivierung von BitLocker angeben, ob BitLocker das gesamte Laufwerk oder nur den verwendeten Speicherplatz auf dem Laufwerk verschlüsseln soll. Bei einer neuen Festplatte kann die Verschlüsselung des belegten Speicherplatzes deutlich weniger Zeit in Anspruch nehmen als die Verschlüsselung des ganzen Laufwerks. Wenn diese Verschlüsselungsoption ausgewählt ist, verschlüsselt BitLocker Daten automatisch, sobald sie gespeichert werden. Auf diese Weise ist sichergestellt, dass keine Daten unverschlüsselt gespeichert werden.

Wenn der Computer ausgeschaltet wird oder in den Ruhezustand wechselt, wird der BitLocker-Verschlüsselungs- oder Entschlüsselungsvorgang beim nächsten Start von Windows dort fortgesetzt, wo er unterbrochen wurde. Dies ist auch dann der Fall, wenn die Stromversorgung plötzlich unterbrochen wird.

Nein, beim Lesen und Schreiben von Daten nimmt BitLocker keine Ver- und Entschlüsselung des gesamten Laufwerks vor. Die verschlüsselten Sektoren eines durch BitLocker geschützten Laufwerks werden nur so entschlüsselt, wie sie von Leseoperationen des Systems angefordert werden. Blöcke, die auf das Laufwerk geschrieben werden, werden verschlüsselt, bevor sie vom System auf der physischen Festplatte gespeichert werden. Auf einem durch BitLocker geschützten Laufwerk werden zu keinem Zeitpunkt unverschlüsselte Daten gespeichert.

In Windows 8 können Sie Gruppenrichtlinieneinstellungen aktivieren, die bewirken, dass Datenlaufwerke durch BitLocker geschützt werden müssen, bevor ein durch BitLocker geschützter Computer Daten auf diese Laufwerke schreiben kann. Sie verwenden hierfür die folgenden Richtlinieneinstellungen:

  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke\Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind

  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger\Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind

Wenn diese Richtlinieneinstellungen aktiviert sind, bindet das durch BitLocker geschützte Betriebssystem alle Datenlaufwerke, die nicht durch BitLocker geschützt sind, als schreibgeschützte Laufwerke ein.

Wenn Sie besorgt sind, dass Benutzer Daten versehentlich auf nicht verschlüsselten Laufwerken speichern, wenn sie einen Computer verwenden, auf dem BitLocker nicht aktiviert ist, sollten Sie Zugriffssteuerungslisten und Gruppenrichtlinien verwenden, um die Zugriffssteuerung für die Laufwerke zu konfigurieren oder die Laufwerkbuchstaben auszublenden.

Weitere Informationen zum Ausblenden von Laufwerkbuchstaben finden Sie in Artikel 231289 der Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=83219).

Die folgenden Systemänderungen können dazu führen, dass eine Integritätsprüfung scheitert und die Freigabe des BitLocker-Schlüssels zum Entschlüsseln des geschützten Betriebssystemlaufwerks durch das TPM verhindert wird.

  • Verlagern des durch BitLocker geschützten Laufwerks in einen neuen Computer.

  • Installieren einer neuen Hauptplatine mit einem neuen TPM.

  • Ausschalten, Deaktivieren oder Beseitigen des TPM.

  • Ändern von Startkonfigurationseinstellungen.

  • Ändern des BIOS, der UEFI-Firmware, des Master Boot Records, des Startsektors, des Start-Managers, des Option-ROM oder anderer vorrangiger Startkomponenten oder Startkonfigurationsdaten.

Dieses Verhalten ist beabsichtigt. BitLocker behandelt nicht autorisierte Änderungen aller vorrangigen Startkomponenten als potenziellen Angriff und versetzt das System in den Wiederherstellungsmodus. Autorisierte Administratoren können Startkomponenten aktualisieren, ohne dass ein Wechsel in den Wiederherstellungsmodus erfolgt, indem sie BitLocker zuvor deaktivieren.

In der folgenden Liste finden Sie einige Beispiele für bestimmte Ereignisse, die dazu führen, dass BitLocker beim Versuch, das Betriebssystemlaufwerk zu starten, in den Wiederherstellungsmodus wechselt:

  • Ändern der Startreihenfolge, sodass ein anderes Laufwerk vor der Festplatte gestartet wird.

  • Verwenden einer BIOS-Startreihenfolge, in der das CD- oder DVD-Laufwerk vor der Festplatte angegeben ist, und anschließendes Einlegen oder Entfernen einer CD oder DVD.

  • Scheitern des Starts von einem Netzlaufwerk, bevor der Start von der Festplatte erfolgt.

  • Andocken oder Ausdocken eines tragbaren Computers. In einigen Situationen (je nach Computerhersteller und BIOS) ist der Andockstatus des tragbaren Computers Teil der Systemmessung und muss konstant sein, um den Systemstatus zu validieren und BitLocker zu entsperren. Das bedeutet, dass ein tragbarer Computer, der an die Dockingstation angeschlossen ist, wenn BitLocker aktiviert wird, möglicherweise ebenfalls an die Dockingstation angeschlossen sein muss, wenn die Entsperrung erfolgt. Und umgekehrt bedeutet es, dass ein tragbarer Computer, der nicht an die Dockingstation angeschlossen ist, wenn BitLocker aktiviert wird, möglicherweise ebenfalls nicht an die Dockingstation angeschlossen sein darf, wenn die Entsperrung erfolgt.

  • Änderungen an der NTFS-Partitionstabelle auf dem Datenträger. Dies schließt das Erstellen, Löschen oder Ändern der Größe der primären Partition ein.

  • Die zu häufige falsche Eingabe der Geheimzahl (PIN), sodass die Anti-Hammering-Logik des TPM aktiviert wird. Bei der Anti-Hammering-Logik handelt es sich um eine Software- oder Hardwaremethode, die die Schwierigkeit bzw. die Kosten eines Brute-Force-Angriffs auf eine PIN erhöht, indem sie PIN-Eingaben erst nach Ablauf einer bestimmten Zeit akzeptiert.

  • Deaktivieren der Unterstützung für das Lesen des USB-Geräts in der Umgebung vor dem Start über das BIOS oder die UEFI-Firmware, falls Sie USB-basierte Schlüssel anstelle eines TPM verwenden.

  • Ausschalten, Deaktivieren, Abschalten oder Beseitigen des TPM.

  • Aktualisieren wichtiger vorrangiger Startkomponenten, beispielsweise BIOS- oder UEFI-Firmwareupgrades, die zu einer Änderung der entsprechenden Startmessungen führen.

  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist.

  • Aktualisieren der Option-ROM-Firmware.

  • Aktualisieren der TPM-Firmware.

  • Hinzufügen oder Entfernen von Hardware. Beispiel: Das Einsetzen einer neuen Karte in den Computer, einschließlich einiger PCMCIA-Karten für Funkverbindungen.

  • Entfernen, Einsetzen oder vollständiges Leeren der Ladung eines Smart-Akkus in einem tragbaren Computer.

  • Änderungen am Master Boot Record auf dem Datenträger.

  • Änderungen am Start-Manager auf dem Datenträger.

  • Ausblenden des TPM im Betriebssystem. Mit einigen BIOS- oder UEFI-Einstellungen können Sie die Aufzählung des TPM für das Betriebssystem verhindern. Ist diese Option implementiert, kann sie genutzt werden, um das TPM im Betriebssystem auszublenden. Wenn das TPM ausgeblendet ist, ist der sichere BIOS- und UEFI-Start deaktiviert, und das TPM reagiert nicht mehr auf Softwarebefehle.

  • Verwenden einer anderen Tastatur, über die die PIN nicht richtig eingegeben wird oder deren Tastaturlayout nicht mit dem Tastaturlayout übereinstimmt, das von der Umgebung vor dem Start vorausgesetzt wurde. Hierdurch kann die Eingabe erweiterter PINs verhindert werden.

  • Ändern der Plattformkonfigurationsregister (Platform Configuration Registers, PCRs), die vom TPM-Validierungsprofil verwendet werden. Das Einbeziehen von PCR[1] würde beispielsweise dazu führen, dass BitLocker die meisten Änderungen an BIOS-Einstellungen misst, was wiederum dazu führt, dass BitLocker auch dann in den Wiederherstellungsmodus wechselt, wenn nicht wichtige BIOS-Einstellungen geändert wurden.

    noteHinweis
    Einige Computer verwenden BIOS-Einstellungen, die Messungen bis zu bestimmten PCRs auslassen, beispielsweise PCR[2]. Das Ändern dieser Einstellung im BIOS führt dazu, dass BitLocker in den Wiederherstellungsmodus wechselt, da die PCR-Messung abweicht.

  • Verlagern des durch BitLocker geschützten Laufwerks in einen neuen Computer.

  • Ersetzen der Hauptplatine durch eine neue Hauptplatine mit einem neuen TPM.

  • Verlieren des USB-Speichersticks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

  • Auftreten eines Fehlers beim TPM-Selbsttest.

  • Verwenden eines BIOS, einer UEFI-Firmware oder einer Option-ROM-Komponente, das bzw. die nicht mit den relevanten TCG-Standards (Trusted Computing Group) für Clientcomputer kompatibel ist. Eine nicht kompatible Implementierung kann beispielsweise dazu führen, dass unbeständige Daten (beispielsweise die Zeit) in den TPM-Messungen aufgezeichnet werden, was unterschiedliche Messungen bei jedem Start zur Folge hat und BitLocker veranlasst, im Wiederherstellungsmodus zu starten.

  • Ändern der Nutzungsberechtigung für den Storage Root Key des TPM in einen Wert ungleich null.

    noteHinweis
    Der TPM-Initialisierungsprozess von BitLocker legt den Nutzungsberechtigungswert auf null fest; dieser Wert muss somit explizit durch einen anderen Benutzer oder Prozess geändert worden sein.

  • Deaktivieren der Codeintegritätsprüfung oder Aktivieren der Testsignierung für den Windows-Start-Manager (Bootmgr).

  • Drücken der F8- oder F10-TASTE während des Startvorgangs.

  • Hinzufügen oder Entfernen von Erweiterungskarten (beispielsweise Grafik- oder Netzwerkkarten) oder Aktualisieren der Firmware auf Erweiterungskarten.

  • Verwenden einer BIOS-Tastenkombination während des Startvorgangs, um die Startreihenfolge so zu ändern, dass der Start nicht mehr von der Festplatte erfolgt.

Ja, Sie können mehrere Festplatten im gleichen Computer austauschen, wenn BitLocker aktiviert ist. Dies ist jedoch nur möglich, wenn die Festplatten im gleichen Computer durch BitLocker geschützt wurden. Die BitLocker-Schlüssel sind TPM- und betriebssystemlaufwerkspezifisch. Wenn Sie ein Sicherungsbetriebssystem- oder -datenlaufwerk vorbereiten möchten, das im Falle eines Datenträgerfehlers verwendet werden kann, müssen Sie daher sicherstellen, dass es mit dem richtigen TPM kombiniert wurde. Sie können auch verschiedene Festplatten für unterschiedliche Betriebssysteme konfigurieren und BitLocker dann auf jeder Festplatte mit einer anderen Authentifizierungsmethode (beispielsweise eine mit ausschließlicher TPM-Authentifizierung und eine mit TPM+PIN) aktivieren, ohne dass dies zu Konflikten führt.

Ja, wenn das Laufwerk ein Datenlaufwerk ist, können Sie es genauso wie jedes andere Datenlaufwerk mithilfe eines Kennworts oder einer Smartcard über das Systemsteuerungselement BitLocker-Laufwerkverschlüsselung entsperren. Wenn das Datenlaufwerk ausschließlich für die automatische Entsperrung konfiguriert wurde, müssen Sie es mithilfe des Wiederherstellungsschlüssels entsperren. Wenn es sich um Betriebssystemlaufwerk handelt, das in einen anderen Computer unter Windows 7 oder höher eingebunden wird, kann die verschlüsselte Festplatte von einem Datenwiederherstellungs-Agent (sofern konfiguriert) oder mithilfe des Wiederherstellungsschlüssels entsperrt werden.

noteHinweis
Das Einbinden der Festplatte in einen anderen Computer unter Windows 8 ist eine schnelle, unkomplizierte Möglichkeit, um Informationen von einem beschädigten Computer wiederherzustellen, auf dessen Festplatte sich ein durch BitLocker geschütztes Laufwerk befindet.

Einige Laufwerke können nicht mit BitLocker verschlüsselt werden. Zu den Gründen dafür, dass ein Laufwerk nicht verschlüsselt werden kann, zählen unzureichende Datenträgergröße, ein nicht kompatibles Dateisystem oder ein Laufwerk, das als Systempartition festgelegt ist. Standardmäßig ist das Systemlaufwerk (oder die Systempartition) im Fenster "Computer" ausgeblendet. Falls das Laufwerk während der Installation des Betriebssystems jedoch aufgrund eines benutzerdefinierten Installationsvorgangs nicht als ausgeblendetes Laufwerk erstellt wurde, wird das Laufwerk möglicherweise angezeigt, kann jedoch nicht verschlüsselt werden.

In Windows Server 2012, Windows Server 2008 und Windows 8 kann jede beliebige Anzahl an internen, eingebauten Datenlaufwerken mit BitLocker geschützt werden. ATA- und SATA-basierte, direkt angeschlossene Speichergeräte werden ebenfalls unterstützt. In der folgenden Tabelle sind die Datenträgerkonfigurationen aufgeführt, die von BitLocker unterstützt bzw. nicht unterstützt werden.

 

Laufwerkkonfiguration Unterstützt Nicht unterstützt

Netzwerk

Keine

Network File System (NFS)

Verteiltes Dateisystem (Distributed File System, DFS)

Optische Medien

Keine

CD-Dateisystem (CD File System, CDFS)

Livedateisystem

Universal Disk Format (UDF)

Software

Basisvolumes

Softwarebasierte RAID-Systeme

Startbare und nicht startbare virtuelle Festplatten (Virtual Hard Disks, VHDs)

Dynamische Volumes

RAM-Datenträger

Dateisystem

NTFS

FAT16

FAT32

ExFAT

CDFS

Laufwerksanschluss

USB

Firewire

SATA

SAS

ATA

IDE

SCSI

eSATA

iSCSI (nur Windows 8 und Windows Server 2012)

Fiber Channel (nur Windows 8 und Windows Server 2012)

Bluetooth

Gerätetyp

Festkörperlaufwerke wie USB-Speichersticks

Hardwarebasierte RAID-Systeme

Festplattenlaufwerk

Keine

Wenn die von Ihnen verwendete Datenträgerkonfiguration unter der vorherigen Frage nicht aufgeführt ist, handelt es sich um eine Konfiguration, die von Microsoft nicht vollständig getestet wurde.

Es gibt viele verschiedene Schlüssel, die von BitLocker generiert und verwendet werden können. Einige Schlüssel sind erforderlich, und andere sind optionale Schutzvorrichtungen, die Sie in Abhängigkeit von dem erforderlichen Grad an Sicherheit auswählen können.

TPM-Besitzerkennwort

Bevor Sie BitLocker auf einem Computer mit einem TPM, Version 1.2 oder höher, aktivieren, müssen Sie das TPM initialisieren. Durch den Initialisierungsvorgang wird ein TPM-Besitzerkennwort generiert, das ein für das TPM festgelegtes Kennwort darstellt. Sie müssen das TPM-Besitzerkennwort bereitstellen können, um den Status des TPM zu ändern, beispielsweise beim Aktivieren oder Deaktivieren des TPM oder beim Zurücksetzen der TPM-Sperrung.

Wiederherstellungskennwort und Wiederherstellungsschlüssel

Beim Konfigurieren von BitLocker müssen Sie angeben, wie der Zugriff auf durch BitLocker verschlüsselte Laufwerke wiederhergestellt werden kann, falls die angegebene Entsperrmethode nicht verwendet werden kann (beispielsweise wenn das TPM die Startkomponenten nicht validieren kann, wenn die Geheimzahl (PIN) vergessen wurde oder wenn das Kennwort vergessen wurde). In diesen Situationen müssen Sie entweder den Wiederherstellungsschlüssel oder das Wiederherstellungskennwort bereitstellen können, um die verschlüsselten Daten auf dem Laufwerk zu entsperren. In der BitLocker-Benutzeroberfläche wird der Begriff "Wiederherstellungsschlüssel" allgemein verwendet, um sowohl auf die Wiederherstellungsschlüsseldatei als auch auf das Wiederherstellungskennwort zu verweisen. Wenn Sie die Wiederherstellungsinformationen bereitstellen, können Sie eines der folgenden Formate verwenden:

  • Ein Wiederherstellungskennwort, das aus 48 Ziffern besteht, die in acht Gruppen aufgeteilt sind. Während der Wiederherstellung müssen Sie dieses Kennwort mithilfe der Funktionstasten der Tastatur an der BitLocker-Wiederherstellungskonsole eingeben.

  • Eine Schlüsseldatei auf einem USB-Speicherstick, das direkt von der BitLocker-Wiederherstellungskonsole gelesen wird. Sie müssen dieses USB-Gerät während der Wiederherstellung einsetzen.

Kennwort

Mit einem Kennwort können Sie eingebaute Datenlaufwerke und Wechseldatenträger sowie Betriebssystemlaufwerke schützen. Wird ein Kennwort für Betriebssystemlaufwerke verwendet, kann es als alternativer Schlüssel zum USB-Schlüssel genutzt werden, um BitLocker auf Computern zu verwenden, die über kein TPM verfügen. Das Kennwort kann aus 8 bis 255 Zeichen bestehen, wie in den Gruppenrichtlinieneinstellungen Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren, Kennwortverwendung für Wechseldatenträger konfigurieren und Kennwortverwendung für Festplattenlaufwerke konfigurieren angegeben ist, und wird intern als 256-Bit-Hash der eingegebenen Zeichen gespeichert. Dieser Wert wird dem Benutzer nie angezeigt.

WarningWarnung
Kennwörter können nicht verwendet werden, wenn die ausschließliche FIPS-Konformität aktiviert ist. Die Richtlinieneinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen gibt an, ob die ausschließliche FIPS-Konformität aktiviert ist.

PIN und erweiterte PIN

Um mit dem TPM ein höheres Maß an Sicherheit zu erreichen, können Sie BitLocker mit einer Geheimzahl (PIN) konfigurieren. Die PIN ist ein vom Benutzer erstellter Wert, der bei jedem Computerstart und jedem Wechsel aus dem Ruhezustand eingegeben werden muss.

Die PIN kann aus 4 bis 20 Ziffern bestehen, wie in der Gruppenrichtlinieneinstellung Minimale PIN-Länge für Systemstart konfigurieren angegeben ist, und wird intern als 256-Bit-Hash der eingegebenen Unicode-Zeichen gespeichert. Dieser Wert wird dem Benutzer nie angezeigt. Mit der PIN wird eine weitere Authentifizierungsstufe in Verbindung mit der TPM-Authentifizierung bereitgestellt.

Um ein noch höheres Maß an Sicherheit mit dem TPM zu erreichen, können Sie BitLocker so konfigurieren, dass erweiterte PINs verwendet werden. Erweiterte PINs sind PINs, die zusätzlich zum numerischen Satz den vollständigen Tastaturzeichensatz verwenden, um eine größere Anzahl möglicher PIN-Kombinationen zu unterstützen. Sie sind 4 bis 20 Zeichen lang. Um erweiterte PINs zu verwenden, müssen Sie die Gruppenrichtlinieneinstellung Erweiterte PINs für Systemstart zulassen aktivieren, bevor Sie die PIN zum Laufwerk hinzufügen. Durch die Aktivierung dieser Richtlinie können für alle PINs sämtliche Zeichen der Tastatur verwendet werden.

noteHinweis
Um erweiterte PINs zu verwenden, muss das BIOS oder die UEFI-Firmware des Computers die Verwendung der ganzen Tastatur in der Umgebung vor dem Start unterstützen. Benutzer können die optionale Systemprüfung während des BitLocker-Setupvorgangs ausführen, um sicherzustellen, dass die PIN in der Umgebung vor dem Start richtig eingegeben werden kann. Sie sollten die Kompatibilität der Computer in Ihrer Organisation sicherstellen, bevor Sie die Verwendung erweiterter PINs organsiationsweit als obligatorisch festlegen.

Wenn Sie eine BitLocker-PIN mithilfe des Setup-Assistenten von BitLocker, des Befehlszeilentools "Manage-bde" oder über die WMI-Remoteverwaltung (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) festlegen, können Sie den erweiterten Zeichensatz verwenden. Es ist jedoch möglich, dass Systemfirmware, entweder das BIOS oder die Unified Extensible Firmware Interface (UEFI), während des Systemstarts nur eine Standard-EN-US-Tastatur und das entsprechende Tastaturlayout unterstützt. Darüber hinaus sind BIOS-basierte Systeme auf 7-Bit-ASCII-Eingaben während der Eingabe der PIN beschränkt. Die Verwendung von nicht englischen Zeichen oder von Tasten, deren Position vom EN-US-Tastaturlayout abweicht, beispielsweise QWERTZ- und AZERTY-Tastaturen, kann daher dazu führen, dass die PIN-Eingabe zur Startzeit scheitert. Wenn ein Computer von dieser Einschränkung betroffen ist, sollte er während der vom BitLocker-Setup-Assistenten durchgeführten Systemprüfung identifiziert werden. Wenn ein solcher Computer nicht während der Systemprüfung identifiziert wird und die PIN nicht eingegeben werden kann, müssen Sie den Wiederherstellungsschlüssel bereitstellen, um das Laufwerk zu entsperren.

Es wird empfohlen, dass die Benutzer das Tastaturlayout während der Eingabe einer erweiterten PIN auf EN-US festlegen, um das Scheitern der PIN-Eingabe in der Umgebung vor dem Start zu verhindern. Wenn es Ihnen nicht möglich ist, eine erweiterte PIN über die Tastatur einzugeben, obwohl Sie das Tastaturlayout auf EN-US festgelegt haben, müssen Sie eine rein numerische PIN verwenden.

In der folgenden Liste sind Zeichen aufgeführt, die momentan nicht von Systemfirmware unterstützt werden.

  • Zeichen des lateinischen Alphabets auf Tastaturen mit einem von EN-US abweichenden Tastaturlayout. Beispiel: "Z" und "Y" auf deutschen Tastaturen und "Q" und "A" auf französischen Tastaturen.

  • Zeichen, die in 7-Bit-ASCII nicht verfügbar sind. Beispiel: Zeichen mit Umlauten, Graviszeichen und Tilden.

  • Symbole, die in 7-Bit-ASCII nicht verfügbar sind. Beispiel: Hochzahl, Brüche, Copyright-, Marken- und internationale Währungssymbole.

Systemstartschlüssel

Die Konfiguration eines Systemstartschlüssels ist eine weitere Methode, um einen höheren Grad an Sicherheit mit dem TPM zu erreichen. Der Systemstartschlüssel ist ein Schlüssel, der auf einem USB-Speicherstick gespeichert wird. Der USB-Speicherstick muss bei jedem Computerstart eingesetzt werden. Mit dem Systemstartschlüssel wird eine weitere Authentifizierungsstufe in Verbindung mit der TPM-Authentifizierung bereitgestellt. Um einen USB-Speicherstick als Systemstartschlüssel verwenden zu können, muss der USB-Speicherstick mit dem Dateisystem NTFS, FAT oder FAT32 formatiert sein.

Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel für ein Betriebssystemlaufwerk oder ein eingebautes Datenlaufwerk können in einem Ordner, auf einem oder mehreren USB-Geräten oder in Ihrem Microsoft-Konto online gespeichert oder ausgedruckt werden.

Für Wechseldatenträger können das Wiederherstellungskennwort und der Wiederherstellungsschlüssel in einem Ordner oder in Ihrem Microsoft-Konto online gespeichert oder ausgedruckt werden. Standardmäßig ist es nicht möglich, einen Wiederherstellungsschlüssel für einen Wechseldatenträger auf einem Wechseldatenträger zu speichern.

Ein Domänenadministrator hat darüber hinaus die Möglichkeit, die Gruppenrichtlinie so zu konfigurieren, dass für alle durch BitLocker geschützte Laufwerke automatisch Wiederherstellungskennwörter generiert und diese in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert werden.

Sie können das Befehlszeilentool "Manage-bde.exe" verwenden, um den reinen TPM-Authentifizierungsmodus durch einen mehrstufigen Authentifizierungsmodus zu ersetzen. Wenn BitLocker beispielsweise mit ausschließlicher TPM-Authentifizierung aktiviert ist und Sie die PIN-Authentifizierung hinzufügen möchten, können Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten verwenden. Hierbei muss die <4-20-stellige numerische PIN> durch die PIN ersetzt werden, die Sie verwenden möchten:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin <4-20-stellige numerische PIN>

BitLocker ist so konzipiert, dass ein verschlüsseltes Laufwerk ohne die erforderliche Authentifizierung nicht wiederherstellbar ist. Im Wiederherstellungsmodus benötigt der Benutzer das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um das verschlüsselte Laufwerk zu entsperren. Aus diesem Grund wird nachdrücklich empfohlen, die Wiederherstellungsinformationen in AD DS, Ihrem Microsoft-Konto online oder an einem anderen sicheren Ort zu speichern.

Dies ist technisch zwar möglich, aber es ist keine bewährte Methode, einen einzigen USB-Speicherstick zum Speichern beider Schlüssel zu verwenden. Falls der USB-Speicherstick, auf dem sich der Systemstartschlüssel befindet, verloren geht oder gestohlen wird, verlieren Sie auch den Zugriff auf den Wiederherstellungsschlüssel. Darüber hinaus würde das Einsetzen des Speichersticks mit diesem Schlüssel dazu führen, dass der Computer automatisch über den Wiederherstellungsschlüssel gestartet wird, und zwar auch dann, wenn sich Dateien, die vom TPM gemessen werden, geändert haben. Die TPM-Systemintegritätsprüfung würde auf diese Weise unterlaufen.

Ja, Sie können den Systemstartschlüssel eines Computers auf mehreren USB-Speichersticks speichern. Wenn Sie mit der rechten Maustaste auf das durch BitLocker geschützte Laufwerk klicken und BitLocker verwalten auswählen, werden die Optionen angezeigt, mit denen Sie Wiederherstellungsschlüssel nach Bedarf duplizieren können.

Ja, Sie können BitLocker-Systemstartschlüssel für mehrere Computer auf demselben USB-Speicherstick speichern.

Mithilfe von Skripts können Sie unterschiedliche Systemstartschlüssel für denselben Computer generieren. Bei Computern mit einem TPM führt das Erstellen unterschiedlicher Systemstartschlüssel jedoch dazu, dass BitLocker daran gehindert wird, die Systemintegritätsprüfung des TPM zu verwenden.

Es ist nicht möglich, mehrere PIN-Kombinationen zu generieren.

Rohdaten werden mit dem Schlüssel für die vollständige Volumeverschlüsselung verschlüsselt, der dann mit dem Volumehauptschlüssel verschlüsselt wird. Der Volumehauptschlüssel wiederum wird mit einer von mehreren Methoden je nach Authentifizierungs- (also Schlüsselschutzvorrichtungen oder TPM) und Wiederherstellungsszenarios verschlüsselt.

Der Schlüssel für die vollständige Volumeverschlüsselung wird durch den Volumehauptschlüssel verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Der Volumehauptschlüssel wird durch die entsprechende Schlüsselschutzvorrichtung verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Falls BitLocker angehalten wurde, wird der unverschlüsselte Schlüssel, der zum Verschlüsseln des Volumehauptschlüssels verwendet wird, zusammen mit dem verschlüsselten Volumehauptschlüssel ebenfalls auf dem verschlüsselten Laufwerk gespeichert.

Durch diesen Speichervorgang wird sichergestellt, dass der Volumehauptschlüssel nie unverschlüsselt gespeichert wird und geschützt ist, solange BitLocker nicht deaktiviert wird. Die Schlüssel werden aus Gründen der Redundanz zudem an zweite weiteren Orten auf dem Laufwerk gespeichert. Die Schlüssel können vom Start-Manager gelesen und verarbeitet werden.

Die Tasten F1 bis F10 sind universell zugeordnete Tastencodes, die in der Umgebung vor dem Start auf allen Computern und in allen Sprachen verfügbar sind. Die numerischen Tasten 0 bis 9 können in der Umgebung vor dem Start nicht auf allen Tastaturen verwendet werden.

Wenn Sie eine erweiterte PIN verwenden, sollten die Benutzer die optionale Systemprüfung während des BitLocker-Setupvorgangs ausführen, um sicherzustellen, dass die PIN in der Umgebung vor dem Start richtig eingegeben werden kann. Weitere Informationen zu erweiterten PINs finden Sie unter Was ist der Unterschied zwischen einem TPM-Besitzerkennwort, einem Wiederherstellungskennwort, einem Wiederherstellungsschlüssel, einem Kennwort, einer PIN, einer erweiterten PIN und einem Systemstartschlüssel?

Es ist möglich, dass eine Geheimzahl (PIN) von einem Angreifer mithilfe eines Brute-Force-Angriffs herausgefunden werden kann. Ein Brute-Force-Angriff liegt vor, wenn ein Angreifer ein automatisiertes Tool verwendet, um so lange verschiedene PIN-Kombinationen auszuprobieren, bis die richtige PIN ermittelt wurde. Bei durch BitLocker geschützten Computern muss ein Angreifer bei dieser Art von Angriff, die auch Wörterbuchangriff genannt wird, physisch auf den Computer zugreifen können.

Das TPM verfügt über integrierte Funktionalität, um diese Form von Angriff zu erkennen und darauf zu reagieren. Die TPMs unterschiedlicher Hersteller können verschiedene Verfahren zur Abwehr von PIN-Angriffen unterstützen. Setzen Sie sich daher mit dem Hersteller des TPM in Verbindung, um herauszufinden, wie das TPM Ihres Computers PIN-Brute-Force-Angriffen abwehrt.

Setzen Sie sich, nachdem Sie den TPM-Hersteller ermittelt haben (siehe Wie kann der Hersteller eines TPM ermittelt werden?), mit dem Hersteller in Verbindung, um herstellerspezifische Informationen zum TPM zu erhalten. Die meisten Hersteller verwenden den Zähler für gescheiterte PIN-Authentifizierungen, um die Dauer der Sperrung der PIN-Schnittstelle exponentiell zu erhöhen. Jeder Hersteller verwendet jedoch andere Richtlinien im Hinblick darauf, wie dieser Zähler herunter- oder zurückgesetzt wird.

Verwenden Sie das folgende Verfahren, um den TPM-Hersteller zu ermitteln.

  1. Geben Sie auf dem Startbildschirm Folgendes ein: tpm.msc.

  2. Der TPM-Hersteller ist im Hauptbereich unter TPM-Herstellerinformationen aufgelistet.

noteHinweis
Die Informationen im Feld Herstellername im Eintrag TPM-Herstellerinformationen werden vom TPM bereitgestellt. Dabei handelt es sich häufig um eine Abkürzung (z. B. ATML für Atmel, BRCM für Broadcomm oder IFX für Infineon).

Die folgenden Fragen können Ihnen helfen, wenn Sie beim TPM-Hersteller Informationen zum Aufbau des Mechanismus zur Abwehr von Wörterbuchangriffen einholen:

  • Wie viele gescheiterte Autorisierungsversuche können erfolgen, bevor es zu einer Sperrung kommt?

  • Welcher Algorithmus wird verwendet, um die Dauer der Sperrung auf der Basis der Anzahl der gescheiterten Versuche und anderer Parameter zu bestimmen?

  • Welche Aktionen können dazu führen, dass der Fehlerzähler und die Dauer der Sperrung herunter- oder zurückgesetzt wird?

Ja und nein. Sie können die Mindestlänge der Geheimzahl (PIN) mithilfe der Gruppenrichtlinieneinstellungen Minimale PIN-Länge für Systemstart konfigurieren konfigurieren und die Verwendung alphanumerischer PINs zulassen, indem Sie die Gruppenrichtlinieneinstellung Erweiterte PINs für Systemstart zulassen aktivieren. Die Komplexität der PIN kann jedoch nicht über die Gruppenrichtlinie festgelegt werden.

BitLocker To Go ist die BitLocker-Laufwerkverschlüsselung auf Wechseldatenträgern. Dies umfasst die Verschlüsselung von USB-Speichersticks, SD-Karten, externen Festplattenlaufwerken und anderen Laufwerken, die mit dem Dateisystem NTFS, FAT16, FAT32 oder exFAT formatiert sind.

Sie können Wechseldatenträger mithilfe eines Kennworts oder einer Smartcard entsperren. Nach dem Start der Verschlüsselung kann das Laufwerk auch automatisch entsperrt werden, wenn es mit einem bestimmten Computer und in Kombination mit einem bestimmten Benutzerkonto verwendet wird. Systemadministratoren können die Optionen, die den Benutzern zur Verfügung stehen, sowie die Anforderungen im Hinblick auf Kennwortkomplexität und Mindestlänge konfigurieren.

In den meisten Fällen ist es Windows XP und Windows Vista nicht möglich, einen durch BitLocker geschützten, mit NTFS formatierten Wechseldatenträger zu erkennen. In vielen Situationen wird der Benutzer aufgefordert, das Laufwerk zu formatieren. Aus diesem Grund empfiehlt es sich, Wechseldatenträger mit dem Dateisystem FAT, FAT32 oder exFAT zu formatieren, wenn BitLocker verwendet wird.

Ja. Mithilfe der Gruppenrichtlinie können Sie verhindern, dass die Anwendung auf diesen Laufwerken installiert wird. Die erste Möglichkeit besteht darin, die Richtlinieneinstellungen zu deaktivieren, die Computern unter Windows Vista, Windows XP mit Service Pack 3 (SP3) oder Windows XP mit Service Pack 2 (SP2) das Öffnen von Datenlaufwerken ermöglichen, die durch BitLocker geschützt sind. Diese Richtlinieneinstellungen befinden sich an den folgenden Positionen:

  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger\Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen

  • Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke\Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen

    Um Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 das Öffnen von Datenlaufwerken zu ermöglichen, die durch BitLocker geschützt sind, aber gleichzeitig die Installation des BitLocker To Go-Lesetools auf dem Laufwerk zu verhindern, müssen Sie die folgenden Richtlinieneinstellungen aktivieren und die Kontrollkästchen BitLocker To Go-Lesetool nicht auf FAT-Wechseldatenträgern installieren und BitLocker To Go-Lesetool nicht auf FAT-Festplattenlaufwerken installieren für die jeweiligen Richtlinieneinstellungen aktivieren.

noteHinweis
Bevor das BitLocker To Go-Lesetool von einem Laufwerk entfernt wird, prüft BitLocker, ob das Identifikationsfeld des Laufwerks entweder leer ist oder mit dem Identifikationsfeld für Ihre Organisation übereinstimmt.

Nein Das BitLocker To Go-Lesetool bietet den schreibgeschützten Zugriff auf durch BitLocker geschützte Wechseldatenträger.

Ja. Informationen zum Herunterladen des BitLocker To Go-Lesetools finden Sie unter http://go.microsoft.com/fwlink/?LinkID=151425.

Die häufigste Ursache hierfür ist, dass das Laufwerk nicht mit dem Dateisystem FAT, FAT32 oder exFAT formatiert ist. Sie können dies prüfen, indem Sie das Laufwerk in einen Computer unter Windows 7 oder höher einsetzen, mit der rechten Maustaste auf das Laufwerk klicken und dann auf Eigenschaften klicken, um das Dateiformat des Laufwerks anzuzeigen. Es könnte auch daran liegen, dass der Systemadministrator den Zugriff auf Wechseldatenträger von früheren Windows-Versionen mithilfe der BitLocker-Gruppenrichtlinieneinstellungen deaktiviert hat. Sie können dies überprüfen, indem Sie versuchen, von einem Computer unter Windows XP oder Windows Vista, der nicht der Domäne angehört, auf das Laufwerk zuzugreifen.

ImportantWichtig
Sie sollten sicherstellen, dass BitLocker mit der Verschlüsselung des Laufwerks fertig ist, bevor Sie versuchen, das Laufwerk mithilfe des BitLocker To Go-Lesetools anzuzeigen.

Dies hängt vom Betriebssystem und der AD DS-Implementierung ab.

Windows Server 2003 mit Service Pack 1 (SP1)

In Windows Server 2003 mit SP1 muss das Schema erweitert werden, um das Speichern von BitLocker- und TPM-Wiederherstellungs- und Kennwortinformationen zu unterstützen.

Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012

Für diese Server enthält das Schema bereits die erforderlichen Attribute.

In AD DS werden drei wesentliche Informationen gespeichert. In der folgenden Tabelle werden diese Informationen genauer erläutert.

 

Gespeicherte Information Beschreibung

Hash des TPM-Besitzerkennworts

Der Kennworthash kann nur gespeichert werden, wenn sich das TPM im Besitz befindet und mithilfe von Windows-Features, beispielsweise mit dem BitLocker-Setup-Assistenten oder dem TPM-Snap-In, in Besitz genommen wurde.

BitLocker-Wiederherstellungskennwort

Das Wiederherstellungskennwort ermöglicht es Ihnen, das Laufwerk im Falle eines Wiederherstellungsereignisses zu entsperren und darauf zuzugreifen. Domänenadministratoren können das BitLocker-Wiederherstellungskennwort mithilfe des BitLocker-Wiederherstellungskennwort-Viewers anzeigen.

BitLocker-Schlüsselpaket

Das Schlüsselpaket hilft Ihnen, Schäden an der Festplatte zu reparieren, die andernfalls eine Standardwiederherstellung verhindern würden. Um das Schlüsselpaket für die Wiederherstellung verwenden zu können, ist das BitLocker-Reparaturtool, "Repair-bde", erforderlich.

Ja, die Übertragung von Wiederherstellungsinformationen von einem Computer unter Windows 7 oder höher zu AD DS wird mithilfe des Kerberos-Authentifizierungsprotokolls geschützt. Genauer gesagt: Für die Verbindung werden die Authentifizierungskennzeichen ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING, und ADS_USE_SIGNING verwendet.

Weitere Informationen zu Active Directory-Authentifizierungskennzeichen finden Sie im Thema zur ADS_AUTHENTICATION_ENUM-Enumeration (http://go.microsoft.com/fwlink/?LinkId=79643).

noteHinweis
Nachdem die Wiederherstellungsinformationen übertragen wurden, werden die BitLocker- und TPM-Wiederherstellungsinformationen von AD DS nicht in einem verschlüsselten Format gespeichert. Es werden jedoch Zugriffssteuerungsberechtigungen festgelegt, sodass nur Domänenadministratoren oder geeignete Stellvertreter die gespeicherten Informationen lesen können, wenn der Server online ist. Unternehmen, die sich Gedanken über Offlineangriffe auf Filialserver machen, sollten die Aktivierung von BitLocker auf diesen Servern in Erwägung ziehen. Außerdem empfiehlt es sich, die Domänencontroller so zu konfigurieren, dass die Versiegelung von Verschlüsselungen unterstützt wird und dass alle in der Organisation verwendeten Wiederherstellungsanwendungen ebenfalls die Versiegelung verwenden.

Weitere Informationen zum Entwickeln von Anwendungen, die verschlüsselte Daten über ein Netzwerk austauschen, finden Sie in den folgenden Artikeln auf MSDN:

Weitere Informationen zum Konfigurieren von Servern, damit sie die Versiegelung von Verschlüsselungen unterstützen, finden Sie in den folgenden Artikeln:

Ja, die Wiederherstellungsinformationen werden unverschlüsselt in AD DS gespeichert, aber die Einträge verfügen über Zugriffssteuerungslisten, die den Zugriff auf Domänenadministratoren begrenzen.

Wenn sich ein Angreifer Vollzugriff auf AD DS verschafft, können alle Computer in der Domäne, einschließlich der durch BitLocker geschützten Computer, gefährdet sein. Weitere Informationen zum Absichern des Zugriffs auf AD DS finden Sie im Thema zum Absichern von Active Directory-Administratorgruppen und -konten (http://go.microsoft.com/fwlink/?LinkId=83266).

Falls BitLocker auf einem Laufwerk aktiviert wird, bevor die Gruppenrichtlinie angewendet wurde, um eine Sicherung zu erzwingen, werden die Wiederherstellungsinformationen nicht automatisch in AD DS gesichert, wenn der Computer der Domäne beitritt oder wenn die Gruppenrichtlinie anschließend angewendet wird. In Windows 8 können Sie jedoch die Gruppenrichtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können und Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können verwenden, um festzulegen, dass der Computer zu einer Domäne hinzugefügt werden muss, bevor BitLocker aktiviert werden kann. Auf diese Weise können Sie sicherstellen, dass die Wiederherstellungsinformationen für durch BitLocker geschützte Laufwerke in der Organisation in AD DS gesichert werden.

Die BitLocker-WMI-Schnittstelle (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) ermöglicht es Administratoren, Skripts zu schreiben, um vorhandene Wiederherstellungsinformationen eines Onlineclients zu sichern oder zu synchronisieren. Dieser Vorgang wird jedoch nicht automatisch von BitLocker verwaltet. Mit dem Befehlszeilenprogramm "Manage-bde" können Sie Wiederherstellungsinformationen manuell in AD DS sichern. Um beispielsweise alle Wiederherstellungsinformationen für das Laufwerk "C:" in AD DS zu sichern, würden Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten verwenden: manage-bde -protectors -adbackup C:.

ImportantWichtig
Das Hinzufügen eines Computers zur Domäne sollte der erste Schritt sein, der für neue Computer innerhalb einer Organisation ausgeführt wird. Nachdem Computer einer Domäne beigetreten sind, erfolgt das Speichern des BitLocker-Wiederherstellungsschlüssel in AD DS automatisch (sofern es in der Gruppenrichtlinie aktiviert wurde).

Ja, auf dem Clientcomputer wird ein Eintrag im Ereignisprotokoll aufgezeichnet, der den Erfolg oder das Scheitern einer Active Directory-Sicherung anzeigt. Doch auch, wenn ein Ereignisprotokolleintrag "Erfolg" anzeigt, ist es möglich, dass die Informationen anschließend aus AD DS entfernt wurden oder dass die BitLocker-Konfiguration so geändert wurde, dass die Active Directory-Informationen nicht mehr zum Entsperren des Laufwerks verwendet werden können (beispielsweise durch Entfernen der Wiederherstellungskennwort-Schlüsselschutzvorrichtung). Außerdem ist es möglich, dass der Protokolleintrag gefälscht ist.

Um festzustellen, ob eine gültige Sicherung in AD DS vorhanden ist, muss AD DS mithilfe des BitLocker-Kennwort-Viewers unter Verwendung von Domänenadministrator-Anmeldeinformationen abgefragt werden.

Nein Einträge für BitLocker-Wiederherstellungskennwörter werden standardmäßig nicht aus AD DS gelöscht. Daher ist es möglich, dass für jedes Laufwerk mehrere Kennwörter angezeigt werden. Überprüfen Sie das Datum des Objekts, um festzustellen, welches des aktuellste Kennwort ist.

Wenn die Sicherung zunächst scheitert (weil beispielsweise der Domänencontroller nicht erreichbar ist, wenn der BitLocker-Setup-Assistent ausgeführt wird), versucht BitLocker nicht noch einmal, die Wiederherstellungsinformationen in AD DS zu sichern.

Wenn ein Administrator das Kontrollkästchen BitLocker-Sicherung in AD DS erforderlich der Richtlinieneinstellung BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista) oder das entsprechende Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für (Betriebssystemlaufwerke|Festplattenlaufwerke|Wechseldatenträger) in AD DS gespeichert wurden für eine der Richtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können oder Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können aktiviert, ist den Benutzern das Aktivieren von BitLocker nur dann möglich, wenn der Computer mit der Domäne verbunden ist und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS erfolgreich ist. Wenn diese Einstellungen konfiguriert wurden und die Sicherung scheitert, kann BitLocker nicht aktiviert werden. Auf diese Weise ist sichergestellt, dass Administratoren durch BitLocker geschützte Laufwerke in der Organisation wiederherstellen können.

Wenn ein Administrator diese Kontrollkästchen deaktiviert, lässt er den Schutz des Laufwerks durch BitLocker zu, ohne dass die Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden. Falls die Sicherung scheitert, leitet BitLocker jedoch nicht automatisch einen erneuten Sicherungsversuch ein. Administratoren können stattdessen ein Skript für die Sicherung erstellen (siehe die Beschreibung unter Was geschieht, wenn BitLocker auf einem Computer aktiviert wird, bevor der Computer zur Domäne hinzugefügt wurde?), um die Informationen zu erfassen, nachdem die Konnektivität wiederhergestellt wurde.

In BitLocker wird der erweiterte Verschlüsselungsstandard (Advanced Encryption Standard, AES) als Verschlüsselungsalgorithmus mit konfigurierbaren Schlüssellängen von 128 oder 256 Bit verwendet. Die standardmäßige Verschlüsselungseinstellung ist AES-128; die Optionen können jedoch mithilfe der Gruppenrichtlinie konfiguriert werden.

Für die BitLocker-Konfiguration auf einem Betriebssystemlaufwerk hat es sich bewährt, BitLocker auf einem Computer mit einem TPM, Version 1.2 oder 2.0, und einer TCG-kompatiblen (Trusted Computing Group) BIOS oder UEFI-Firmware zu implementieren und eine PIN zu verwenden. Indem zusätzlich zur TPM-Validierung die Verwendung einer vom Benutzer festgelegten PIN als obligatorische Maßnahme definiert wird, ist es einem böswilligen Benutzer mit physischem Zugriff auf den Computer nicht möglich, den Computer einfach zu starten.

Wenn BitLocker in der Basiskonfiguration (mit einem TPM, aber ohne erweiterte Authentifizierung) für Betriebssystemlaufwerke verwendet wird, ist dies mit zusätzlicher Sicherheit für den Ruhezustandsmodus verbunden. BitLocker bietet jedoch ein höheres Maß an Sicherheit, wenn die BitLocker-Konfiguration die Verwendung einer erweiterten Authentifizierungsmethode (TPM+PIN, TPM+USB oder TPM+PIN+USB) für den Ruhezustandsmodus vorsieht. Dieser Ansatz ist sicherer, da die BitLocker-Authentifizierung erforderlich ist, um den Ruhezustand zu beenden. Es wird empfohlen, den Energiesparmodus zu deaktivieren und als Authentifizierungsmethode eine Kombination aus TPM und PIN zu verwenden.

Die meisten Betriebssysteme verwenden einen gemeinsam genutzten Speicherbereich, wobei die Verwaltung des physischen Speichers durch das Betriebssystem erfolgt. Ein TPM ist eine Hardwarekomponente, die eigene, interne Firmware und Logikschaltungen für die Verarbeitung von Anweisungen nutzt und somit von externen Softwareschwachstellen abgeschirmt ist. Für einen Angriff auf das TPM ist der physische Zugriff auf den Computer erforderlich. Darüber hinaus sind die Tools und Fertigkeiten, die für Hardwareangriffe notwendig sind, häufig teurer bzw. aufwendiger und in der Regel nicht in dem Maße verfügbar wie diejenigen, die für Angriffe auf Software verwendet werden. Und da jedes TPM eine unverwechselbare Komponente des Computers ist, in dem es sich befindet, wäre ein Angriff auf mehrere TPM-Computer eine schwieriges und zeitaufwendiges Vorhaben.

noteHinweis
Die Konfiguration von BitLocker mit einer zusätzlichen Authentifizierungsstufe bietet noch mehr Schutz vor TPM-Hardwareangriffen.

Alle BitLocker-Versionen, die in das Betriebssystem eingebunden wurden, verfügen über die FIPS 140-2-Zertifizierung (Federal Information Processing Standard) und sind gemäß Common Criteria-Stufe EAL4+ zertifiziert. Diese Zertifizierungen sind derzeit auch für Windows 8 und Windows Server 2012 in Bearbeitung.

Die BitLocker-Netzwerkentsperrung ermöglicht eine einfachere Verwaltung von Desktops und Servern, auf denen BitLocker aktiviert wurde und die in einer Domänenumgebung auf die kombinierte Schutzmethode aus TPM und PIN zurückgreifen. Wenn ein Computer, der an ein kabelgebundenes Unternehmensnetzwerk angeschlossen ist, neu gestartet wird, ermöglicht es die Netzwerkentsperrung, die PIN-Eingabeaufforderung zu umgehen. Sie entsperrt durch BitLocker geschützte Betriebssystemvolumes automatisch, indem sie als sekundäre Authentifizierungsmethode einen durch den Windows-Bereitstellungsdienste-Server zur Verfügung gestellten vertrauenswürdigen Schlüssel verwendet.

Für die BitLocker-Netzwerkentsperrung gelten die folgenden Software- und Hardwareanforderungen, die vor dem Einsatz erfüllt werden müssen:

Anforderungen an Clientcomputer

  • Ein in der UEFI-Firmware implementierter DHCP-Treiber

  • Trusted Platform Module (TPM) 1.2 oder TPM 2.0

  • BitLocker-Aktivierung auf dem Betriebssystemvolume

Anforderungen an den Windows-Bereitstellungsdienste-Server

  • Installation der BitLocker-Netzwerkentsperrung

  • X.509-Zertifikat mit öffentlichem/privatem RSA-Schlüsselpaar (2.048 Bit) im FVENKP-Zertifikatspeicher

Anforderungen an den Domänencontroller

  • Kopie des BitLocker-Netzwerkentsperrungs-Zertifikats vom Windows-Bereitstellungsdienste-Server auf dem Domänencontroller, um Gruppenrichtlinieneinstellungen für die Netzwerkentsperrung festzulegen.

Für die automatische Entsperrung wird eine einzige Schutzvorrichtung, die im TPM gespeicherte Schutzvorrichtung, verwendet. Die Netzwerkentsperrung verwendet zwei Schutzvorrichtungen, die TPM-Schutzvorrichtung und die Schutzvorrichtung, die vom Netzwerk oder durch die PIN bereitgestellt wird. Wenn der Computer ohne die Schlüsselschutzvorrichtung zu einem Netzwerk hinzugefügt wird, werden Sie aufgefordert, die PIN einzugeben. Wenn die PIN nicht verfügbar ist, müssen Sie den Wiederherstellungsschlüssel verwenden, um den Computer zu entsperren, falls er nicht mit dem Netzwerk verbunden werden kann.

Um die Netzwerkentsperrung verwenden zu können, muss für den Computer auch eine PIN konfiguriert werden. Wenn der Computer nicht mit dem Netzwerk verbunden ist, müssen Sie die PIN angeben, um ihn zu entsperren.

Ja, Sie können das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwenden, um Dateien auf einem durch BitLocker geschützten Laufwerk zu verschlüsseln. BitLocker trägt dazu bei, das ganze Betriebssystemlaufwerk vor Offlineangriffen zu schützen, während EFS die zusätzliche benutzerbasierte Verschlüsselung auf Dateiebene ermöglicht, um einen Sicherheitsmechanismus für verschiedene Benutzer desselben Computers bereitzustellen. Sie können EFS auch verwenden, um Dateien auf anderen Laufwerken zu verschlüsseln, die nicht durch BitLocker verschlüsselt wurden. Die geheimen Stammschlüssel von EFS werden standardmäßig auf dem Betriebssystemlaufwerk gespeichert. Wenn BitLocker für das Betriebssystemlaufwerk aktiviert ist, werden Daten, die mit EFS auf anderen Laufwerken verschlüsselt wurden, daher indirekt auch durch BitLocker geschützt.

Ja. Der Debugger sollte jedoch vor der Aktivierung von BitLocker eingeschaltet werden. Durch das Einschalten des Debuggers wird sichergestellt, dass beim Versiegeln mithilfe des TPM die richtigen Messungen berechnet werden, sodass der Computer ordnungsgemäß starten kann. Wenn Sie BitLocker verwenden und das Debuggen ein- oder ausschalten müssen, sollten BitLocker zuvor angehalten werden, um zu Vermeiden, dass der Computer in den Wiederherstellungsmodus wechselt.

BitLocker verfügt über einen Speichertreiberstapel, durch den sichergestellt ist, dass Speicherabbilder verschlüsselt werden, wenn BitLocker aktiviert ist.

BitLocker bietet keine Unterstützung von Smartcards für die Authentifizierung vor dem Start. Es gibt keinen einheitlichen Industriestandard für die Smartcardunterstützung in der Firmware, und die meisten Computer implementieren entweder keine Firmwareunterstützung für Smartcard-Leser oder bieten nur die Unterstützung für bestimmte Smartcards und Smartcard-Leser. Diese mangelnde Standardisierung macht ihre Unterstützung sehr schwierig.

Microsoft bietet keine Unterstützung für Microsoft-fremde TPM-Treiber, und von ihrer Verwendung in Kombination mit BitLocker wird ausdrücklich abgeraten. Der Versuch, einen Microsoft-fremden TPM-Treiber zusammen mit BitLocker zu verwenden, kann dazu führen, dass BitLocker meldet, dass im Computer kein TPM vorhanden ist, was zur Folge hat, dass der TPM nicht mit BitLocker verwendet werden kann.

Aus Gründen der Sicherheit, der Zuverlässigkeit und des Produktsupports wird davon abgeraten, den Master Boot Record auf Computern zu ändern, deren Betriebssystemlaufwerke durch BitLocker geschützt werden. Änderungen am Master Boot Record (MBR) können die Sicherheitsumgebung verändern und den normalen Start des Computers verhindern sowie Wiederherstellungsversuche im Falle eines beschädigten MBR erschweren. Änderungen am MBR, die von Windows-fremden Tools vorgenommen wurden, können den Wechsel des Computers in den Wiederherstellungsmodus erzwingen oder den Start des Computers vollständig verhindern.

Die Systemprüfung soll sicherstellen, dass das BIOS oder die UEFI-Firmware des betreffenden Computers mit BitLocker kompatibel ist und dass das TPM einwandfrei funktioniert. Die Systemprüfung kann aus unterschiedlichen Gründen scheitern:

  • Das BIOS oder die UEFI-Firmware des Computers kann keine USB-Speichersticks lesen.

  • Im BIOS, in der UEFI-Firmware oder im Startmenü des Computers wurde das Lesen von USB-Speichersticks nicht aktiviert.

  • Es wurden mehrere USB-Speichersticks in den Computer eingesetzt.

  • Die PIN wurde nicht richtig eingegeben.

  • Das BIOS oder die UEFI-Firmware des Computers unterstützt nur die Funktionstasten (F1–F10), um Zahlen in der Umgebung vor dem Start einzugeben.

  • Der Systemstartschlüssel wurde entfernt, bevor der Neustart des Computers abgeschlossen war.

  • Das TPM hat nicht richtig funktioniert und konnte die Versiegelung der Schlüssel nicht aufheben.

Einige Computer können USB-Speichersticks in der Umgebung vor dem Start nicht lesen. Überprüfen Sie zuerst das BIOS oder die UEFI-Firmware und die Starteinstellungen, um sicherzustellen, dass die Verwendung von USB-Laufwerken aktiviert ist. Ist dies nicht der Fall, sollten Sie die Verwendung von USB-Laufwerken im BIOS oder der UEFI-Firmware und in den Starteinstellungen aktivieren und dann erneut versuchen, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn er immer noch nicht gelesen werden kann, müssen Sie die Festplatte als Datenlaufwerk in einen anderen Computer einbinden, damit ein Betriebssystem verfügbar ist, mit dem versucht werden kann, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn der USB-Speicherstick fehlerhaft oder beschädigt ist, müssen Sie möglicherweise ein Wiederherstellungskennwort angeben oder die in AD DS gesicherten Wiederherstellungsinformationen verwenden. Wenn Sie den Wiederherstellungsschlüssel in der Umgebung vor dem Start verwenden, müssen Sie außerdem sicherstellen, dass das Laufwerk mit dem Dateisystem NTFS, FAT16 oder FAT32 formatiert ist.

Die Option zum Speichern auf USB wird für Wechseldatenträger standardmäßig nicht angezeigt. Wenn die Option nicht verfügbar ist, bedeutet das, dass die Verwendung von Wiederherstellungsschlüsseln durch einen Systemadministrator unterbunden wurde.

Für das automatische Entsperren eingebauter Datenlaufwerke ist es erforderlich, dass das Betriebssystemlaufwerk ebenfalls durch BitLocker geschützt ist. Wenn Sie einen Computer verwenden, der nicht über ein durch BitLocker geschütztes Betriebssystemlaufwerk verfügt, kann das Laufwerk nicht automatisch entsperrt werden. Für Wechseldatenträger können Sie das automatische Entsperren hinzufügen, indem Sie in Windows-Explorer mit der rechten Maustaste auf das Laufwerk klicken und dann auf BitLocker verwalten klicken. Sie können weiterhin das Kennwort oder die Smartcard-Anmeldeinformationen, die Sie beim Aktivieren von BitLocker bereitgestellt haben, verwenden, um den Wechseldatenträger auf anderen Computern zu entsperren.

Im abgesicherten Modus steht nur begrenzte BitLocker-Funktionalität zur Verfügung. Durch BitLocker-geschützte Laufwerke können über die Systemsteuerungsoption BitLocker-Laufwerkverschlüsselung entsperrt und entschlüsselt werden. Das Klicken mit der rechten Maustaste, um in Windows-Explorer auf BitLocker-Optionen zuzugreifen, ist im abgesicherten Modus nicht verfügbar.

Sowohl eingebaute Datenlaufwerke als auch Wechseldatenträger können mit dem Befehlszeilentool "Manage-bde" und dem Befehl "–lock" gesperrt werden.

noteHinweis
Stellen Sie vor dem Sperren sicher, dass alle Daten auf dem Laufwerk gespeichert wurden. Nach dem Sperren ist der Zugriff auf das Laufwerk nicht mehr möglich.

Die Syntax des Befehls lautet wie folgt:

manage-bde <Laufwerkbuchstabe> -lock

Außer durch die Verwendung dieses Befehls werden Datenlaufwerke beim Herunterfahren und erneuten Starten des Betriebssystems gesperrt. Ein Wechseldatenträger wird außerdem automatisch gesperrt, wenn das Laufwerk vom Computer entfernt wird.

Ja. Schattenkopien, die vor der Aktivierung von BitLocker erstellt wurden, werden jedoch automatisch gelöscht, wenn BitLocker auf softwareverschlüsselten Laufwerken aktiviert wird. Wenn Sie ein hardwareverschlüsseltes Laufwerk verwenden, bleiben die Schattenkopien erhalten.

BitLocker bietet keine Unterstützung für die Verschlüsselung von VHDs, lässt jedoch die Speicherung von VHDs auf einem durch BitLocker geschützten Laufwerk zu.

Die Verwendung von BitLocker innerhalb eines virtuellen Computers wird nicht unterstützt. Führen Sie die BitLocker-Laufwerkverschlüsselung nicht innerhalb eines virtuellen Computers aus. Sie können BitLocker im Verwaltungsbetriebssystem des virtuellen Computers verwenden, um Volumes zu schützen, die Konfigurationsdateien, virtuelle Festplatten und Momentaufnahmen enthalten.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.