(0) exportieren Drucken
Alle erweitern

BitLocker: Übersicht

Veröffentlicht: Februar 2012

Letzte Aktualisierung: September 2012

Betrifft: Windows 8, Windows Server 2012

Dieses Thema enthält eine allgemeine Übersicht über BitLocker in Windows 8 und Windows Server 2012 sowie eine Liste der neuen und geänderten Features, Systemanforderungen, praktische Anwendungsfälle und veraltete Features. In diesem Thema finden Sie auch Links zu weiteren Informationen für die Arbeit mit BitLocker.

Meinten Sie…

Die BitLocker-Laufwerkverschlüsselung ist ein Betriebssystemfeature zum Schutz von Daten, das zuerst in Windows Vista verfügbar war. In folgenden Betriebssystemversionen wurde die Sicherheit des BitLocker-Schutzes weiter verbessert, damit der Schutz durch BitLocker für mehr Laufwerke und Geräte bereitgestellt werden kann. Durch die Integration von BitLocker im Betriebssystem wird Bedrohungen durch Datendiebstahl oder Folgen bei verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Computern entgegengewirkt. Die BitLocker-Laufwerkverschlüsselung ist standardmäßig in ausgewählten Editionen von Windows 8 und als optionale Komponente in alle Editionen von Windows Server 2012 enthalten. Mit dem Befehlszeilentool "Manage-bde" können Sie ebenfalls Aufgaben auf dem Computer mit BitLocker ausführen. Wenn Sie die optionale BitLocker-Komponente auf einem Computer installieren, auf dem Windows Server 2012 ausgeführt wird, müssen Sie auch das Feature "Erweitertes Speichern" installieren. Mit diesem Feature werden hardwareverschlüsselte Laufwerke unterstützt. In Windows Server 2012 gibt es ein weiteres BitLocker-Feature, die installiert werden kann, die BitLocker-Netzwerkentsperrung.

Sie erzielen den besten Schutz mit BitLocker, wenn dieses Feature mit einem Trusted Platform Module (TPM) Version 1.2 oder höher verwendet wird. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.

Auf Computern, die nicht über das TPM Version 1.2 oder höher verfügen, können Sie mit BitLocker trotzdem das Windows-Betriebssystemlaufwerk verschlüsseln. Für diese Implementierung muss der Benutzer aber einen USB-Systemstartschlüssel zum Starten des Computers oder Aktivieren aus dem Ruhezustand anschließen. In Windows 8 kann das Betriebssystemvolume auf einem Computer ohne TPM auch mit einem Kennwort geschützt werden. Bei beiden Optionen erfolgt keine Überprüfung der Systemintegrität vor dem Start, die von BitLocker mit einem TPM angeboten wird. Darüber hinaus kann mit BitLocker der normale Systemstart so lange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein Wechselmedium (z. B. einen USB-Speicherstick) mit einem Systemstartschlüssel anschließt. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.

Daten auf einem verloren gegangenen oder gestohlenen Computer sind nicht autorisierten Zugriffen durch die Ausführung von Softwareangriffstools oder das Kopieren der Festplatte auf einen anderen Computer schutzlos ausgesetzt. Mit BitLocker können Sie das Risiko von nicht autorisiertem Datenzugriff durch die Verbesserung des Datei- und Computerschutzes verringern. BitLocker kann auch verwendet werden, um Daten unzugänglich zu machen, wenn mit BitLocker geschützte Computer außer Betrieb gesetzt oder wiederverwendet werden.

Zum Verwalten von BitLocker stehen in den Remoteserver-Verwaltungstools zwei weitere Tools zur Verfügung.

  • BitLocker-Wiederherstellungskennwort-Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie Wiederherstellungskennwörter für die BitLocker-Laufwerkverschlüsselung suchen und anzeigen, die mithilfe der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gesichert wurden. Sie mit diesem Tool Daten wiederherstellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung des MMC-Snap-Ins (Microsoft Management Console) für Active Directory-Benutzer und -Computer.

    Mit diesem Tool können Sie das Dialogfeld Eigenschaften des Computerobjekts überprüfen, um entsprechende BitLocker-Wiederherstellungskennwörter anzuzeigen. Zusätzlich können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann in allen Domänen in der Active Directory-Gesamtstruktur nach einem BitLocker-Wiederherstellungskennwort suchen. Wenn Sie Wiederherstellungskennwörter anzeigen möchten, müssen Sie als Domänenadministrator angemeldet sein oder entsprechende Berechtigungen von einem Domänenadministrator erhalten haben.

    Weitere Informationen finden Sie unter Verwenden des BitLocker-Wiederherstellungskennwort-Viewers zum Abrufen des Wiederherstellungskennworts für einen Computer.

  • Tools für die BitLocker-Laufwerkverschlüsselung. Die Tools für die BitLocker-Laufwerkverschlüsselung beinhalten die Befehlszeilentools "manage-bde" und "repair-bde" und die BitLocker-Cmdlets für Windows PowerShell. Sowohl "manage-bde" als auch die BitLocker-Cmdlets können für beliebige Aktionen verwendet werden, die über die BitLocker-Systemsteuerung durchgeführt werden können. Zudem sind sie für die automatische Bereitstellung und andere Skriptszenarien geeignet. "repair-bde" ist für die Notfallwiederherstellung vorgesehen, wenn durch BitLocker geschützte Laufwerke nicht normal oder über die Wiederherstellungskonsole entsperrt werden können.

    Weitere Informationen finden Sie unter Verwenden der Tools für die BitLocker-Laufwerkverschlüsselung zur Verwaltung von BitLocker.

In der folgenden Tabelle sind die neuen und die geänderten Features von BitLocker in Windows 8 und Windows Server 2012 aufgelistet.

 

Feature/Funktionalität Windows 7 Windows 8 und Windows Server 2012

Zurücksetzen der BitLocker-PIN oder des Kennworts

Zum Zurücksetzen der BitLocker-PIN auf einem Betriebssystemlaufwerk und des Kennworts auf einem integrierten Datenlaufwerk oder einem Wechseldatenlaufwerk sind Administratorrechte erforderlich.

Standardbenutzer können die BitLocker-PIN und das Kennwort auf Betriebssystemlaufwerken, integrierten Datenlaufwerken oder Wechseldatenlaufwerken zurücksetzen.

Datenträgerverschlüsselung

Der gesamte Datenträger ist verschlüsselt, wenn BitLocker aktiviert ist.

Sie können entweder den gesamten Datenträger oder lediglich den verwendeten Speicherplatz verschlüsseln, wenn BitLocker aktiviert ist. Wenn Speicherplatz verwendet wird, wird der Datenträger verschlüsselt.

Unterstützung von hardwareverschlüsselten Laufwerken

Keine systemeigene Unterstützung durch BitLocker.

BitLocker unterstützt Festplatten mit dem Windows-Logo, die werksseitig verschlüsselt sind.

Entsperren mit einem Netzwerkschlüssel, um eine zweistufige Authentifizierung zu ermöglichen

Nicht verfügbar. Die physische Anwesenheit am Computer war für eine zweistufige Authentifizierung erforderlich.

Ein neuer Schlüsselschutzvorrichtungstyp ermöglicht die Verwendung eines speziellen Netzwerkschlüssels, um die PIN-Eingabeaufforderung in Situationen zu entsperren und zu überspringen, in denen Computer in vertrauenswürdigen kabelgebundenen Netzwerken neu gestartet werden. Hiermit ist eine Remotewartung von Computern möglich, die außerhalb von Arbeitszeiten per PIN geschützt sind. Zudem bietet es eine zweistufige Authentifizierung, ohne dass die Anwesenheit am Computer zwingend nötig ist, während die Benutzerauthentifizierung auch weiterhin erzwungen wird, wenn der Computer nicht an ein vertrauenswürdiges Netzwerk angeschlossen ist.

Schutz für Cluster

Nicht verfügbar.

Mit BitLocker können physische Datenträgerressourcen und freigegebene Clustervolumes Version 2.0 (CSV2.0) in einer Windows Server 2012-Domäne mit einem Windows Server 2012-Domänencontroller geschützt werden.

Verknüpfen einer BitLocker-Schlüsselschutzvorrichtung mit einem Active Directory-Konto

Nicht verfügbar.

Ermöglicht die Verknüpfung einer BitLocker-Schlüsselschutzvorrichtung mit einen Benutzer, einer Gruppe oder einen Computerkonto in Active Directory. Mit dieser Schlüsselschutzvorrichtung können von BitLocker geschützte Datenvolumes entsperrt werden, wenn sich ein Benutzer mit den korrekten Anmeldeinformationen bei BitLocker oder einem Computer angemeldet hat.

Die Option "Diffusor" kann dem AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard) nicht mehr hinzugefügt werden.

BitLocker hat die folgenden Hardwareanforderungen:

Damit BitLocker die durch ein Trusted Platform Module (TPM) bereitgestellte Systemintegritätsprüfung verwenden kann, muss auf dem Computer TPM 1.2 oder TPM 2.0 verfügbar sein. Wenn der Computer nicht über TPM verfügt, müssen Sie zur Aktivierung von BitLocker einen Systemstartschlüssel auf einem Wechselmedium (z. B. einem USB-Speicherstick) speichern.

Auf einem Computer mit einem TPM muss darüber hinaus ein TCG-konformes (Trusted Computing Group) BIOS oder UEFI-Firmware installiert sein. Das BIOS oder die UEFI-Firmware erstellt eine Vertrauenskette für den Betriebssystemstart und muss Unterstützung für TCG-spezifiziertes Static Root of Trust Measurement bieten. Auf einem Computer ohne ein TPM muss keine TCG-konforme Firmware installiert sein.

Das System-BIOS oder die UEFI-Firmware (für Computer mit und ohne ein TPM) muss USB-Massenspeicher unterstützen. Dazu zählt auch das Lesen kleiner Dateien auf einem USB-Speicherstick in der Umgebung vor dem Starten des Betriebssystems. Weitere Informationen zu USB finden Sie in den USB-Massenspeicher- und Massenspeicher-UFI-Befehlsspezifikationen auf der USB-Website.

Die Festplatte muss in mindestens zwei Laufwerke partitioniert werden:

  • Das Systemlaufwerk (bzw. Startlaufwerk) enthält das Betriebssystem und die zugehörigen Supportdateien. Es muss im NTFS-Dateisystem formatiert sein.

  • Das Systemlaufwerk enthält die Dateien, die zum Starten von Windows benötigt werden, nachdem die Systemhardware von der Firmware vorbereitet wurde. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker ordnungsgemäß ausgeführt werden kann, darf das Systemlaufwerk nicht verschlüsselt sein, es darf nicht das Betriebssystem enthalten und muss außerdem bei Computern mit UEFI-basierter Firmware mit dem FAT32-Dateisystem und bei Computern mit BIOS-Firmware mit dem NTFS-Dateisystem formatiert sein. Das Systemlaufwerk sollte ungefähr 350 MB groß sein. Nach Aktivierung von BitLocker sollten ca. 250 MB freier Speicherplatz verfügbar sein.

Wenn Windows Server 2012 oder Windows 8 auf einem neuen Computer installiert wird, erstellt Windows Setup automatisch die für BitLocker erforderlichen Partitionen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft