TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Neues in BitLocker

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Thema für fortgeschrittene Benutzer und IT-Experten werden neue oder geänderte Aspekte der BitLocker Drive Encryption-Funktionalität unter Windows Server 2012 R2, Windows Server 2012, Windows 8.1 und Windows 8 beschrieben.

Inhalte dieses Themas:

Unter Windows Server 2012 R2 und Windows 8.1 bietet Bitlocker eine verbesserte Unterstützung in den folgenden Bereichen:

BitLocker bietet Unterstützung für Geräteverschlüsselung auf x86- und x64-basierten Computern mit einem TPM, das verbundenen Standby unterstützt. Zuvor war diese Form der Verschlüsselung nur auf Windows RT-Geräten verfügbar.

Geräteverschlüsselung schützt Daten auf Ihrem Windows-PC. Mit ihrer Hilfe können böswillige Benutzer vom Zugriff auf Systemdateien abgehalten werden, die sie zum Ausspähen von Kennwörtern benötigen, oder vom Zugriff auf Laufwerke durch Ausbauen physischer Geräte aus Ihrem PC und Installieren in einen anderen PC. Sie können sich weiterhin bei Windows anmelden und Ihre Dateien wie gewohnt verwenden. Geräteverschlüsselung schützt das Betriebssystemlaufwerk und alle Festplattenlaufwerke auf dem System mit AES-128-Bit-Verschlüsselung. Geräteverschlüsselung kann sowohl mit einem Microsoft-Konto als auch mit einem Domänenkonto verwendet werden. Um Geräteverschlüsselung zu unterstützen, muss das System verbundenen Standby unterstützen und die Windows-Hardwarezertifizierungskit (HCK)-Anforderungen für TPM und SecureBoot auf ConnectedStandby-Systemen erfüllen. In den folgenden Abschnitten werden die erforderlichen Komponenten aufgeführt:

  • System.Fundamentals.Security.DeviceEncryption – allgemeine Anforderungen für Geräte-Verschlüsselung.

  • System.Fundamentals – Anforderungen für Connected-Standby-Systeme

  • System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby – Anforderungen für TPM 2.0 und sicheren Start für Connected-Standby-Systeme.

Im Gegensatz zu einer standardmäßigen BitLocker-Implementierung wird Geräteverschlüsselung automatisch aktiviert, damit das Gerät immer geschützt ist. In der folgende Liste wird beschrieben, wie dies erreicht wird:

  • Nach Abschluss einer Neuinstallation von Windows 8.1 wird der Computer für die erste Verwendung vorbereitet. Im Rahmen dieser Vorbereitung wird die Geräteverschlüsselung für das Betriebssystemlaufwerk und Festplattenlaufwerke auf dem Computer mit einem unverschlüsselten Schlüssel initialisiert (Dies entspricht dem BitLocker-Standardzustand „Angehalten“).

  • Wenn das Gerät keiner Domäne hinzugefügt wurde, ist ein Microsoft-Konto mit Administratorrechten für das Gerät erforderlich. Wenn der Administrator sich mit einem Microsoft-Konto anmeldet, wird der unverschlüsselte Schlüssel entfernt, ein Wiederherstellungsschlüssel in das Microsoft-Konto hochgeladen und eine TPM-Schutzvorrichtung erstellt. Sollte ein Gerät einen Wiederherstellungsschlüssel benötigen, wird der Benutzer zunächst zur Nutzung eines anderen Geräts aufgefordert und navigiert dann zu einer Zugriffs-URL, von der er mithilfe seiner Anmeldeinformationen für das Microsoft-Konto den Wiederherstellungsschlüssel abrufen kann.

  • Wenn der Benutzer sich mit einem Domänenkonto anmeldet, wird der unverschlüsselte Schlüssel nicht entfernt, bis der Benutzer das Gerät einer Domäne (auf x86-/x64-Plattformen) hinzufügt, und der Wiederherstellungsschlüssel wird erfolgreich in den Active Directory-Domänendiensten gesichert. Die Gruppenrichtlinieneinstellung Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke muss aktiviert sein, und die Option BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden sollte ausgewählt sein. Mit dieser Konfiguration wird das Wiederherstellungskennwort automatisch erstellt, wenn der Computer der Domäne beitritt, und anschließend wird der Wiederherstellungsschlüssel in AD DS gesichert, die TPM-Schutzvorrichtung wird erstellt, und der unverschlüsselte Schlüssel wird entfernt.

Weitere Informationen zum Wiederherstellungsschlüssel und wie Sie darauf zugreifen finden Sie unter Wiederherstellungsschlüssel: Häufig gestellte Fragen.

Aktivieren und Deaktivieren der Geräteverschlüsselung

  1. Wenn Sie eine Neuinstallation von Windows 8.1 durchgeführt haben, wurde die Geräteverschlüsselung standardmäßig aktiviert. Wenn ein Upgrade von einer früheren Windows-Installation auf Windows 8.1 durchgeführt wurde, können Sie die Geräteverschlüsselung mithilfe von PC-Info einschalten.

  2. Um PC-Info zu öffnen, wischen Sie vom rechten Bildschirmrand nach innen, tippen Sie auf Einstellungen, und tippen Sie dann auf PC-Einstellungen ändern. (Wenn Sie eine Maus verwenden, zeigen Sie auf die obere rechte Ecke des Bildschirms, bewegen Sie den Mauszeiger nach unten, klicken Sie auf Einstellungen, und klicken Sie dann auf PC-Einstellungen ändern.)

  3. Tippen oder klicken Sie auf PC und Geräte, und tippen oder klicken Sie auf PC-Info. Der Bereich Geräteverschlüsselung wird am unteren Rand der Seite PC-Info angezeigt.

  4. Wählen Sie im Bereich Geräteverschlüsselung die Option Einschalten aus.

  5. Die Geräteverschlüsselung kann auf Geräten mit Windows RT nicht deaktiviert werden. Bei anderen Geräten kann im Einstellungsbereich Geräteverschlüsselung von PC-Info die Option Ausschalten ausgewählt werden, wenn Sie die Geräteverschlüsselung nicht mehr verwenden möchten.

Wenn Sie nicht möchten, dass von Ihnen bereitgestellte Geräte automatisch per Geräteverschlüsselung geschützt werden, können Sie die Datei für die unbeaufsichtigte Installation so konfigurieren, dass folgende Registrierungseinstellung erzwungen wird:

  • Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Wert: PreventDeviceEncryption gleich True (1)

  • Typ: REG_DWORD

Die Geräteverschlüsselung unterliegt den BitLocker-Gruppenrichtlinieneinstellungen, und die Standardkonfiguration kann mit einigen dieser Einstellungen in Konflikt stehen. Die folgende Liste beschreibt die Richtlinieneinstellungen, die entweder auf „Nicht konfiguriert“ festgelegt oder im Konfigurationsfall auf Kompatibilität mit der Geräteverschlüsselung geprüft werden sollten.

  • Einstellungen für Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Zusätzliche Authentifizierung beim Start anfordern:

    • Jede Option, die eine von TPM abweichende Startauthentifizierungsmethode erfordert.

      Die Standardeinstellungen für die Geräteverschlüsselung erlauben bei verschlüsseltem Gerät nur das Konfigurieren der TPM-Schlüsselschutzvorrichtung. Auf Computern unter x64- und x86-Windows kann eine zusätzliche Schutzvorrichtung in der BitLocker-Systemsteuerung auch nach der Verschlüsselung des Geräts über das Element Ändern, wie das Laufwerk beim Start entsperrt wird hinzugefügt werden.

  • Einstellungen für Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können und Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke\Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können:

    • Geräteverschlüsselung verwendet nur Wiederherstellungskennwörter. Wenn bei dieser Einstellung der Gruppenrichtlinie die Option 48-stelliges Wiederherstellungskennwort nicht zulassen konfiguriert wurde, wird die Geräteverschlüsselung verhindert, da die einzige Wiederherstellungsmethode die Eingabe eines Wiederherstellungskennworts wäre.

    • Geräteverschlüsselung erfordert, dass Kennwörter an einem Onlinespeicherort gesichert werden. Wenn bei dieser Einstellung der Gruppenrichtlinie die Option BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern deaktiviert wurde, wird die Geräteverschlüsselung verhindert, da die Geräteverschlüsselung erfordert, dass das Wiederherstellungskennwort auf AD DS gesichert wird, wenn das Gerät einer Domäne hinzugefügt wird.

Unter Windows Server 2012 R2 und Windows 8.1 verwendet die Wiederherstellungskennwort-Schutzvorrichtung einen FIPS-konformen Algorithmus, mit BitLocker im FIPS-Modus besser zu verwalten ist.

System_CAPS_noteHinweis

FIPS (Federal Information Processing Standard) definiert Sicherheits- und Interoperabilitätsanforderungen für Computersysteme, die von der US-Bundesregierung verwendet werden. Der FIPS 140-Standard definiert die genehmigten kryptographischen Algorithmen. Der FIPS 140-Standard erläutert auch die Anforderungen für das Erzeugen und Verwalten von Schlüsseln.

Informationen zum Festlegen des FIPS-kompatiblen Modus für Windows finden Sie unter Systemkryptografie: Use FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur.

Folgende funktionale Änderungen sind zu beachten:

  • FIPS-konforme Wiederherstellungskennwort-Schutzvorrichtungen lassen sich erstellen, wenn sich Windows im FIPS-Modus befindet, in dem der FIPS-zertifizierte Algorithmus verwendet wird.

  • Im FIPS-Modus unter Windows 8.1 erstellte Wiederherstellungskennwörter lassen sich von Wiederherstellungskennwörtern unterscheiden, die auf anderen Systemen erstellt wurden.

  • Die Wiederherstellungsentsperrung mit der Wiederherstellungskennwort-Schutzvorrichtung auf Basis des FIPS-zertifizierten Algorithmus funktioniert in allen derzeit möglichen Bereitstellungsverfahren für das Wiederherstellungskennwort.

  • Wenn Volumes mit FIPS-konformen Wiederherstellungskennwörtern entsperrt werden, sind die Volumes so entsperrt, dass Schreib-Lese-Zugriffe auch im FIPS-Modus möglich sind.

  • FIPS-konforme Wiederherstellungskennwort-Schutzvorrichtungen lassen sich exportieren und im FIPS-Modus in Active Directory speichern.

Vor Windows Server 2012 R2 und Windows 8.1 verhinderte BitLocker das Erstellen oder Nutzen von Wiederherstellungskennwörtern, wenn für die Systemkryptografie FIPS-Konformität aktiviert wurde, und der Benutzer hatte nur die Option, Wiederherstellungsschlüssel zu verwenden. Jetzt können auch Systeme mit Windows Server 2012 R2 und Windows 8.1 mithilfe des BitLocker-Wiederherstellungskennworts entsperrt werden. In der folgenden Liste werden die beiden Verfahren beschrieben:

  • Ein Wiederherstellungskennwort kann im FIPS-Modus erstellt werden.

    Um die FIPS-Anforderungen zu erfüllen, können Sie die lokale Richtlinieneinstellung Systemkryptografie: Use FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur aktivieren. Um sicherzustellen, dass BitLocker für Clientcomputer in Ihrer Organisation aktiviert ist, können Sie Ihre Windows-Bereitstellungsabbilder mit den entsprechenden Richtlinieneinstellungen aktualisieren. Sie können auch weiterhin AD verwenden, um die Wiederherstellungskennwörter zu sichern. Sie können mithilfe dieser Verwaltungstools überprüfen, ob Wiederherstellungskennwörter erstellt und für die BitLocker-Clientcomputer im FIPS-Modus gespeichert werden.

  • Ein Wiederherstellungskennwort kann im FIPS-Modus verwendet werden.

    Wenn auf einem Computer unter Windows 8.1 eine BitLocker-Wiederherstellung durchgeführt werden soll, kann der Benutzer das Wiederherstellungskennwort über übliche Wege (Helpdesk oder IT-Administrator) abrufen, es in die BitLocker-Oberfläche eingeben und die Arbeit fortsetzen.

    Das Entsperren mit Wiederherstellungskennwort ist im FIPS-Modus voll funktionsfähig.

Weitere Informationen darüber, wie FIPS-konforme BitLocker-Wiederherstellungskennwörter in Ihren Entwurf passen, finden Sie unter Bereiten Sie Ihre Organisation auf BitLocker vor: Planung und Richtlinien.

Unter Windows Server 2012 und Windows 8 bietet BitLocker eine verbesserte Unterstützung in den folgenden Bereichen:

  • BitLocker-Bereitstellung

    BitLocker kann während der Installation noch vor dem Aufrufen des Setups zum Bereitstellen verschlüsselter Laufwerke verwendet werden.

  • Nur verwendeten Festplattenspeicherplatz verschlüsseln

    BitLocker bietet jetzt zwei Verschlüsselungsmethoden an: Verschlüsselung des verwendeten Festplattenspeicherplatzes und vollständige Volumeverschlüsselung. Mit "Nur verwendeter Festplattenspeicherplatz" erfolgt die Verschlüsselung wesentlich schneller, da nur die verwendeten Blocks auf dem Zielvolume verschlüsselt werden.

  • Ändern von Standardbenutzer-PIN und -kennwort

    Ermöglicht Standardbenutzern, die PIN oder das Kennwort für BitLocker auf Betriebssystemvolumes und das Kennwort für BitLocker auf Datenvolumes zu ändern, sodass die Anzahl interner Anrufe beim Helpdesk reduziert wird.

  • Netzwerkentsperrung

    Ermöglicht einem BitLocker-System in einem verkabelten Netzwerk das automatische Entsperren des Systemvolumes beim Start (bei kompatiblen Windows Server 2012-Netzwerken), sodass die Anzahl interner Anrufe beim Helpdesk aufgrund verlorener PINs reduziert wird.

  • Unterstützung verschlüsselter Festplatten unter Windows

    Die BitLocker-Unterstützung für verschlüsselte Festplatten bietet Benutzern eine vertraute Methode zum Verwalten der Laufwerkverschlüsselung sowie die Vorzüge einer hardwarebasierten Verschlüsselung.

In Windows Vista und Windows 7 wird BitLocker nach der Installation entweder über die manage-bde-Befehlszeilenschnittstelle oder über die Benutzeroberfläche der Systemsteuerung für System- und Datenvolumes bereitgestellt. In Windows 8 und Windows 8.1 kann BitLocker auf einfache Weise auch vor der Installation des Betriebssystems bereitgestellt werden.

Mit dieser Verbesserung können Administratoren BitLocker vor der Bereitstellung des Betriebssystems über die Windows Preinstallation Environment (WinPE) aktivieren. Hierzu wird eine zufällig erzeugte unverschlüsselte Schutzkomponente auf das formatierte Volume angewendet und dieses vor der Ausführung des Windows-Setupvorgangs verschlüsselt. Bei Verschlüsselung mit der im folgenden Abschnitt beschriebenen Option "Nur verwendeter Festplattenspeicherplatz" werden für diesen Schritt nur wenige Sekunden benötigt. Diese Methode lässt sich daher gut in regelmäßige Bereitstellungsprozesse integrieren.

Zum Überprüfen des BitLocker-Status auf einem bestimmten Volume können Administratoren den Status des Laufwerks in der Systemsteuerungsoption für BitLocker oder im Windows Explorer anzeigen. Wird für BitLocker vorab ein Laufwerk bereitgestellt, wird in der BitLocker-Systemsteuerung der Status "Aktivierung ausstehend" mit einem gelben Ausrufezeichensymbol angezeigt. Dieser Status zeigt an, dass beim Verschlüsseln des Volumes nur eine unverschlüsselte Schutzvorrichtung verwendet wurde. In diesem Fall ist das Volume nicht geschützt. Dem Volume muss ein Sicherheitsschlüssel hinzugefügt werden, damit das Laufwerk vollständig geschützt ist. Sie können auch die Systemsteuerung, das manage-bde-Tool oder die WMI-APIs verwenden, um eine entsprechende Schlüsselschutzvorrichtung hinzuzufügen. Der Status des Volumes wird anschließend aktualisiert. In der folgenden Tabelle werden die entsprechenden Schlüsselschutzvorrichtungen aufgeführt, die zu Laufwerken hinzugefügt werden können, die vorab mit BitLocker-Schutz bereitgestellt wurden:

Festplattentyp

Schlüsselschutzvorrichtung

Betriebssystem

TPM

TPM+PIN

Schlüssel für Systemstart (für Systeme ohne TPM)

Kennwort (für Systeme ohne TPM)

Integriertes Datenlaufwerk

Automatisches Entsperren

Kennwort

Smartcard

Wechseldatenträger

Kennwort

Smartcard

In Windows 7 erfordert BitLocker, dass alle Daten und freier Speicherplatz auf dem Laufwerk verschlüsselt sind. Die Verschlüsselung größerer Volumes kann sehr viel Zeit in Anspruch nehmen. In Windows 8 und Windows 8.1 können Administratoren das gesamte Volume oder nur den verwendeten Speicherplatz verschlüsseln. Wenn Sie die Option "Nur verwendeten Festplattenspeicherplatz verschlüsseln" wählen, wird nur der Bereich auf dem Laufwerk verschlüsselt, der Daten enthält. Freier Festplattenspeicherplatz wird nicht verschlüsselt. Diese Option ermöglicht im Vergleich zu früheren BitLocker-Implementierungen eine wesentlich schnellere Verschlüsselung leerer bzw. teilweise leerer Laufwerke. Beim Bereitstellen von BitLocker während einer Windows-Bereitstellung kann BitLocker mit der Option "Nur verwendeter Festplattenspeicherplatz" ein Laufwerk in kürzester Zeit vor der Installation des Betriebssystems verschlüsseln. Bei der vollständigen Verschlüsselung werden, ähnlich wie bei BitLocker in Windows 7 und Windows Vista, sowohl Daten als auch leerer Speicherplatz auf dem Volume verschlüsselt.

Neue Gruppenrichtlinieneinstellungen für Verschlüsselungstyp

Sie können Gruppenrichtlinieneinstellungen verwenden, um festzulegen, dass bei Aktivierung von BitLocker auf einem Laufwerk die Option "Nur verwendeter Festplattenspeicherplatz" oder die Option "Vollständige Verschlüsselung" erzwungen werden soll. Die Gruppenrichtlinieneinstellungen für die BitLocker-Laufwerkverschlüsselung befinden sich unter dem Pfad \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung des Editors für lokale Gruppenrichtlinien.

Die folgenden neuen Gruppenrichtlinien sind verfügbar:

  • Festplattenlaufwerke\Laufwerksverschlüsselungstyp auf Festplattenlaufwerken erzwingen

  • Betriebssystemlaufwerke\Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

  • Wechseldatenträger\Laufwerksverschlüsselungstyp auf Wechseldatenträgern erzwingen

Sie können für jede Richtlinie nach dem Aktivieren festlegen, welcher Verschlüsselungstyp für welchen Laufwerkstyp verwendet werden soll. Wenn die Richtlinie nicht konfiguriert ist, kann der Benutzer die Verschlüsselungsmethode bei Aktivierung von BitLocker auswählen.

Für die Konfiguration von Betriebssystemlaufwerken sind Administratorrechte erforderlich. In einer Organisation, in der Computer von IT-Experten verwaltet werden und Benutzer üblicherweise keine Administratorrechte besitzen, ist das Bereitstellen der TPM + PIN-Schutzoption für eine große Anzahl an Computern schwierig. In Windows 8 sind immer noch Administratorrechte zum Konfigurieren von BitLocker erforderlich. Standardbenutzer können jedoch die BitLocker-PIN oder das Kennwort für das Betriebssystemvolume oder das BitLocker-Kennwort für feste Datenvolumes ändern. Das heißt, Benutzer können ihr PINs und Kennwörter entsprechend einer eigenen Gedächtnishilfe festlegen, anstatt sich einen zufällig generierten Zeichensatz merken zu müssen. Hierdurch wird die Verwendung derselben initialen PIN- bzw. Kennworteinstellungen für alle Computerimages ermöglicht. Dies bietet Benutzern außerdem die Möglichkeit, Kennwörter und PINs zu verwenden, die weniger anfällig für Programme zur Ermittlung von Kennwörtern, Verzeichnisangriffe und Social Engineering-Angriffe sind und es den Benutzern ermöglichen, einen beliebigen Computer zu entsperren, der noch die ursprünglich zugewiesenen PINs bzw. Kennwörter verwendet. Die Durchsetzung zur Verwendung komplexer Kennwörter und PINs durch Gruppenrichtlinien wird empfohlen, um sicherzustellen, dass Benutzer beim Festlegen von Kennwörtern und PINs mit entsprechender Sorgfalt vorgehen.

Standardbenutzer müssen die aktuelle PIN bzw. das aktuelle Kennwort für das Laufwerk eingeben, um die PIN oder das Kennwort für BitLocker zu ändern. Gibt der Benutzer eine falsche aktuelle PIN bzw. ein falsches Kennwort ein, wird die Anzahl der erlaubten Eingabeversuche auf 5 gesetzt. Wird dieser Grenzwert erreicht, können Standardbenutzer die PIN bzw. das Kennwort für BitLocker nicht ändern. Der Zähler für die Eingabeversuche wird auf null gesetzt, wenn der Computer neu gestartet wird oder die PIN bzw. das Kennwort für BitLocker von einem Administrator zurückgesetzt wird.

Sie können die Option, die Standardbenutzern das Ändern von PINs und Kennwörtern ermöglicht, mithilfe der Gruppenrichtlinieneinstellung Standardbenutzern das Ändern von PINs nicht gestatten im Abschnitt \Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke des Editors für lokale Gruppenrichtlinien deaktivieren.

In Windows Server 2012 wurde die neue BitLocker-Schutzoption für Betriebssystemvolumes "Netzwerkentsperrung" hinzugefügt. Die Netzwerkentsperrung vereinfacht die Verwaltung von Desktops und Servern mit BitLocker-Schutz in einer Domänenumgebung, da die Betriebssystemvolumes beim Systemstart automatisch entsperrt werden, wenn eine Verbindung zu einem vertrauenswürdigen kabelgebundenen Unternehmensnetzwerk besteht. Diese Funktion erfordert, dass in der UEFI-Firmware der Clienthardware ein DHCP-Treiber implementiert ist.

Für Betriebssystemvolumes mit TPM- + PIN-Schutz muss eine PIN eingegeben werden, wenn der Computer neu gestartet oder der Betrieb aus dem Ruhezustand wieder aufgenommen wird. Die Anforderung einer PIN-Eingabe kann die Installation von Softwarepatches auf unbeaufsichtigten Desktops und Servern für Unternehmen erschweren. Die Netzwerkentsperrung bietet eine Methode, mit der Computer, die mit einer TPM + PIN-Schlüsselschutzvorrichtung konfiguriert sind, Windows ohne Benutzereingriff starten können. Die Funktionsweise der Netzwerkentsperrung ist mit der von TPM + Startschlüssel vergleichbar. Anstatt den Startschlüssel von einem USB-Medium zu lesen, wird der Schlüssel für die Netzwerkentsperrung jedoch aus einem im TPM gespeicherten Schlüssel und einem verschlüsselten Netzwerkschlüssel zusammengesetzt, der in einer sicheren Sitzung an den Server gesendet, entschlüsselt und an den Client zurückgegeben wird. Der Netzwerkschlüssel wird auf dem Systemlaufwerk zusammen mit dem AES-256-Bit-Sitzungsschlüssel gespeichert und mit dem öffentlichen 2048-Bit-RSA-Schlüssel des Zertifikats des Servers zum Entsperren verschlüsselt. Der Netzwerkschlüssel wird mithilfe eines Anbieters auf einem Windows Server 2012-WDS-Server verschlüsselt und mit dem entsprechenden Sitzungsschlüssel verschlüsselt zurückgegeben. In Instanzen, in denen die Netzwerkentsperrung nicht verfügbar ist, wird der standardmäßige TPM + PIN-Bildschirm zum Entsperren des Laufwerks angezeigt. Die serverseitige Konfiguration zur Aktivierung der Netzwerkentsperrung erfordert ein öffentliche/privates 2048-Bit-RSA-Schlüsselpaar in Form eines X.509-Zertifikats. Darüber hinaus muss das öffentliche Schlüsselzertifikat an die Clients verteilt werden. Dieses Zertifikat muss über die Gruppenrichtlinienverwaltungskonsole direkt auf dem Windows Server 2012-Domänencontroller verwaltet und bereitgestellt werden. Weitere Informationen finden Sie unter BitLocker: Vorgehensweise: Aktivieren der Netzwerkentsperrung.

BitLocker bietet eine vollständige softwarebasierte Volumeverschlüsselung (Full Volume Encryption, FVE) für Betriebssystem- und Festplattenvolumes von Windows. Unter Windows 8 unterstützt BitLocker darüber hinaus einen neuen, erweiterten Speichergerätetyp: die verschlüsselte Festplatte. Dieser Typ wird zu einer immer gängigeren Option bei neuen Servern und Computern. Verschlüsselte Festplatten bieten eine vollständige Laufwerksverschlüsselung (Full Disk Encryption, FDE), d. h., alle Blöcke auf dem physischen Laufwerk werden verschlüsselt. Die Verschlüsselungsvorgänge auf verschlüsselten Festplatten sind effizienter, da der Verschlüsselungsvorgang an den Speichercontroller auf dem Laufwerk übertragen wird (auch hardwarebasierte Verschlüsselung genannt).

Windows 8 unterstützt verschlüsselte Festplatten systemseitig im Betriebssystem durch folgende Mechanismen:

  • Identifizierung: Windows 8 kann erkennen, dass es sich beim Laufwerk um den Gerätetyp einer verschlüsselte Festplatte handelt.

  • Aktivierung: Die Datenträgerverwaltung in Windows 8 aktiviert und erstellt Volumes und weist sie den Bereichen entsprechend zu.

  • Konfiguration: Windows 8 erstellt Volumes und weist sie den Bereichen entsprechend zu.

  • API: Windows 8 bietet API-Unterstützung für Anwendungen, um verschlüsselte Festplatten unabhängig von der BitLocker-Laufwerkverschlüsselung zu verwalten.

  • BitLocker: Die BitLocker-Systemsteuerung ermöglicht den Benutzern, verschlüsselte Festplatten genauso wie vollständig verschlüsselte Laufwerke zu verwalten.

Weitere Informationen zu den Systemanforderungen und zur Nutzung finden Sie unter Verschlüsselte Festplatte.

Anzeigen:
© 2016 Microsoft