TechNet
Exportieren (0) Drucken
Alle erweitern
Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

BitLocker: Häufig gestellte Fragen (FAQ)

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Thema für den IT-Experten werden häufig gestellte Fragen zu BitLocker bezüglich Nutzungsanforderungen, Upgrade, Bereitstellung und Verwaltung sowie zu den wichtigsten Verwaltungsrichtlinien behandelt.

BitLocker-Laufwerkverschlüsselung ist ein in allen Editionen von Windows Server und bestimmten Editionen der Windows-Betriebssysteme verfügbares Datenschutzfeature. Mit BitLocker werden die Festplatten auf einem Computer verschlüsselt, um verbesserten Schutz vor dem Diebstahl oder der Offenlegung von Daten auf verloren gegangenen oder gestohlenen Computern und Wechseldatenträgern zu bieten. Außerdem ermöglicht BitLocker das sicherere Löschen von Daten, wenn durch BitLocker geschützte Computer ausrangiert werden, da es erheblich schwieriger ist, gelöschte Daten eines verschlüsselten Laufwerks wiederherzustellen als gelöschte Daten eines nicht verschlüsselten Laufwerks.

Funktionsweise von BitLocker bei Betriebssystemlaufwerken

Mit BitLocker können Sie unautorisierten Datenzugriff auf verloren gegangenen oder gestohlenen Computern durch Verschlüsselung aller Benutzerdateien und Systemdateien auf dem Betriebssystemlaufwerk, einschließlich der Auslagerungs- und Ruhezustandsdateien, verhindern und die Integrität der frühen Startkomponenten und Startkonfigurationsdaten überprüfen.

Funktionsweise von BitLocker bei eingebauten Laufwerken und Wechseldatenträgern

Mit BitLocker können Sie den gesamten Inhalt eines Datenlaufwerks verschlüsseln. Sie können mit Gruppenrichtlinien anfordern, dass BitLocker auf einem Laufwerk aktiviert wird, bevor der Computer Daten auf das Laufwerk schreiben kann. BitLocker kann mit einer Vielzahl von Entsperrmethoden für Datenlaufwerke konfiguriert werden, und ein Datenlaufwerk unterstützt mehrere Methoden zum Entsperren.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Ja, BitLocker unterstützt die mehrstufige Authentifizierung für Betriebssystemlaufwerk. Wenn Sie BitLocker auf einem Computer mit einem TPM, Version 1.2 oder 2.0, aktivieren, können Sie weitere Formen der Authentifizierung mit TPM-Schutz nutzen.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Authentifizierungsmodi in der Startsequenz.

Um alle BitLocker-Features verwenden zu können, muss ein Computer die in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Von BitLocker unterstützte Festplattenkonfigurationen aufgeführten Hardware- und Softwareanforderungen erfüllen.

System_CAPS_noteHinweis

Dynamische Datenträger werden von BitLocker nicht unterstützt. Dynamische Datenvolumes werden nicht in der Systemsteuerung angezeigt. Das Betriebssystemvolume wird zwar immer in der Systemsteuerung angezeigt, unabhängig davon, ob es sich um einen dynamischen Datenträger handelt. Ist es jedoch ein dynamischer Datenträger, kann es nicht von BitLocker geschützt werden.

Für die Ausführung von BitLocker sind zwei Partitionen erforderlich, da die Authentifizierung und Systemintegritätsprüfung vor dem Start nicht auf derselben Partition erfolgen darf, auf dem sich das verschlüsselte Betriebssystemlaufwerk befindet. Diese Konfiguration trägt dazu bei, das Betriebssystem und die Informationen zum verschlüsselten Laufwerk zu schützen.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter BitLocker-Architektur.

BitLocker unterstützt die in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Anforderungen aufgelisteten TPM-Versionen.

Informationen hierzu finden Sie unter Finden von TPM-Treiberinformationen.

Informationen hierzu finden Sie unter Finden von TPM-Treiberinformationen.

Ja, Sie können BitLocker ohne ein TPM der Version 1.2 oder 2.0 auf einem Betriebssystemlaufwerk aktivieren, falls das BIOS oder die UEFI-Firmware in der Lage ist, in der Startumgebung von einem USB-Speicherstick zu lesen. Dies liegt daran, dass BitLocker das geschützte Laufwerk erst dann entsperrt, wenn der eigene Volumehauptschlüssel erstmalig entweder vom TPM des Computers oder einem USB-Speicherstick freigegeben wird, der den BitLocker-Systemstartschlüssel für diesen Computer enthält. Computer ohne TPMs können jedoch nicht die Systemintegritätsprüfung nutzen, die von BitLocker ebenfalls bereitgestellt werden kann.

Sie können feststellen, ob ein Computer während des Startvorgangs von einem USB-Speicherstick lesen kann, indem Sie die BitLocker-Systemprüfung im Rahmen der BitLocker-Setupvorgangs verwenden. Diese Systemprüfung führt Tests aus, um zu bestätigen, dass der Computer zum geeigneten Zeitpunkt von dem USB-Speicherstick lesen kann und dass der Computer weitere BitLocker-Anforderungen erfüllt.

Weitere Informationen zum Aktivieren von BitLocker auf einem Computer ohne TPM finden Sie unter BitLocker: Aktivieren von BitLocker

Weitere Informationen dazu, welche Windows-Betriebssysteme und TPM-Versionen erforderlich sind, finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Anforderungen.

Setzen Sie sich mit dem Computerhersteller in Verbindung, um eine TCG-kompatible (Trusted Computing Group) BIOS- oder UEFI-Startfirmware anzufordern, die die folgenden Anforderungen erfüllt:

  • Sie ist mit den Versionen kompatibel, die in der Gilt für-Liste am Anfang dieses Themas aufgeführt sind, und hat ggf. die Logotests bestanden.

  • Sie ist mit den TCG-Standards für Clientcomputer kompatibel.

  • Sie verfügt über einen sicheren Updatemechanismus, um zu verhindern, dass schädliche BIOS- oder Startfirmware auf dem Computer installiert wird.

Damit BitLocker-Konfigurationen auf Betriebssystemlaufwerken und eingebauten Datenlaufwerken aktiviert, deaktiviert oder geändert werden können, ist die Mitgliedschaft in der lokalen Gruppe Administratoren erforderlich. Standardbenutzer können BitLocker-Konfigurationen auf Wechseldatenträgern aktivieren, deaktivieren oder ändern.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Anforderungen.

Sie sollten die Startoptionen des Computers so konfigurieren, dass das Festplattenlaufwerk in der Startreihenfolge vor allen anderen Laufwerken wie CD/DVD- oder USB-Laufwerken an erster Stelle steht. Wenn die Festplatte nicht an erster Stelle steht, und Sie in der Regel von der Festplatte starten, kann eine Änderung der Startreihenfolge erkannt oder vorausgesetzt werden, wenn während des Startvorgangs Wechselmedien gefunden werden. Die Startreihenfolge wirkt sich in der Regel auf die Messung der Systemleistung aus, die durch BitLocker überprüft wird, und eine Änderung in der Startreihenfolge führt dazu, dass Sie zur Eingabe Ihres BitLocker-Wiederherstellungsschlüssels aufgefordert werden. Wenn Sie einen Laptop mit einer Dockingstation einsetzen, stellen Sie aus dem gleichen Grund sicher, dass das Festplattenlaufwerk sowohl beim angedockten als auch abgedockten Gerät in der Startreihenfolge an erster Stelle steht. 

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter BitLocker-Architektur.

Ja. Für ein Upgrade von Windows 7 auf Windows 8 oder Windows 8.1 ohne Entschlüsselung des Betriebssystemlaufwerks öffnen Sie in Windows 7 das Systemsteuerungselement BitLocker-Laufwerkverschlüsselung, klicken Sie auf BitLocker verwalten und dann auf Anhalten. Durch das Anhalten des Schutzmechanismus wird das Laufwerk nicht entschlüsselt. Es bewirkt, dass der von BitLocker verwendete Authentifizierungsmechanismus deaktiviert und ein unverschlüsselter Schlüssel für das Laufwerk verwendet wird, um den Zugriff zu ermöglichen. Setzen Sie mithilfe Ihrer Windows 8-DVD oder des Windows 8.1-Upgrades den Upgradeprozess fort. Öffnen Sie nach Beendigung des Upgrades Windows-Explorer, klicken Sie mit der rechten Maustaste auf das Laufwerk, und klicken Sie dann auf Schutz fortsetzen. Dies bewirkt, dass die BitLocker-Authentifizierungsmethoden erneut angewendet werden und der unverschlüsselte Schlüssel gelöscht wird.

Das Entschlüsseln bewirkt, dass der BitLocker-Schutz vollständig entfernt und das Laufwerk komplett entschlüsselt wird.

Anhalten hält die Datenverschlüsselung aufrecht. Der BitLocker-Volumehauptschlüssel wird jedoch mit einem unverschlüsselten Schlüssel verschlüsselt. Der unverschlüsselte Schlüssel ist ein Kryptografieschlüssel, der unverschlüsselt und ungeschützt auf dem Datenträger gespeichert ist. Indem dieser Schlüssel unverschlüsselt gespeichert wird, ermöglicht die Option Anhalten Änderungen oder Upgrades auf dem Computer, ohne dass Zeit und Kosten für die Entschlüsselung und erneute Verschlüsselung des gesamten Laufwerks aufgewendet werden müssen. Nachdem die Änderungen vorgenommen wurden und BitLocker erneut aktiviert wurde, wird der Verschlüsselungsschlüssel durch BitLocker mit den neuen Werten der gemessenen Komponenten neu versiegelt, die im Rahmen des Upgrades geändert wurden. Der Volumehauptschlüssel wird geändert, die Schutzvorrichtungen werden entsprechend aktualisiert, und der unverschlüsselte Schlüssel wird gelöscht.

In der folgenden Tabelle sehen Sie, welche Aktion Sie ausführen müssen, bevor Sie eine Upgrade- oder Update-Installation ausführen.

Art des Updates

Aktion

Windows Anytime Upgrade

Entschlüsseln

Upgrade von Windows 7 auf Windows 8

Anhalten

Microsoft-fremde Softwareupdates, z. B.:

  • Firmwareupdates des Computerherstellers

  • TPM-Firmwareupdates

  • Microsoft-fremde Anwendungsupdates, durch die Startkomponenten verändert werden

Anhalten

Software- und Betriebssystemupdates von Microsoft Update

Bei diesen Updates müssen Sie weder das Laufwerk entschlüsseln noch BitLocker anhalten oder deaktivieren.

System_CAPS_noteHinweis

Wenn Sie BitLocker angehalten haben, können Sie den BitLocker-Schutz nach der Installation des Upgrades oder Updates fortsetzen. Durch das Fortsetzen des Schutzes wird der Verschlüsselungsschlüssel von BitLocker mit den neuen Werten der gemessenen Komponenten, die im Rahmen des Upgrades oder Updates geändert wurde, neu versiegelt. Wenn diese Upgrade- oder Updatearten anwendet werden, ohne dass BitLocker angehalten wird, wechselt der Computer beim Neustart in den Wiederherstellungsmodus, sodass ein Wiederherstellungsschlüssel oder ein Kennwort erforderlich ist, um auf den Computer zugreifen zu können.

Ja, Sie können die Bereitstellung und Konfiguration von BitLocker und des TPM mit WMI- oder Windows PowerShell-Skripts automatisieren. Wie Sie die Skripts implementieren, hängt von der jeweiligen Umgebung ab. Sie können auch das BitLocker-Befehlszeilentool "Manage-bde.exe" verwenden, um BitLocker lokal oder im Remotemodus zu konfigurieren. Weitere Informationen zum Schreiben von Skripts, die die BitLocker-WMI-Anbieter verwenden, finden Sie im MSDN-Thema zum BitLocker-Laufwerkverschlüsselungsanbieter. Weitere Informationen zur Verwendung von Windows PowerShell-Cmdlets mit der BitLocker-Laufwerkverschlüsselung finden Sie unter BitLocker-Cmdlets in Windows PowerShell.

Ja. In Windows Vista konnte BitLocker nur zum Verschlüsseln von Betriebssystemlaufwerken verwendet werden. In Windows Vista SP1 und Windows Server 2008 wurde zusätzlich die Unterstützung für die Verschlüsselung von eingebauten Datenlaufwerken bereitgestellt. In Windows Server 2008 R2 und Windows 7 eingeführte Funktionen ermöglichen BitLocker, auch Wechseldatenträger zu verschlüsseln.

Bei der Verwendung von BitLocker ist normalerweise mit Leistungseinbußen im einstelligen Prozentbereich zu rechnen.

Die BitLocker-Verschlüsselung erfolgt im Hintergrund, während Sie mit der Arbeit fortfahren, und das System bleibt einsatzfähig. Die Verschlüsselungszeiten variieren jedoch in Abhängigkeit von der Art des zu verschlüsselnden Laufwerks, seiner Größe und seiner Geschwindigkeit. Wenn Sie sehr große Laufwerke verschlüsseln, kann es sich anbieten, die Verschlüsselung zu einem Zeitpunkt durchzuführen, wenn das Laufwerk nicht anderweitig verwendet wird.

Mit den in Windows 8 und Windows Server 2012 eingeführten Funktionen können Sie bei der Aktivierung von BitLocker angeben, ob BitLocker das gesamte Laufwerk oder nur den verwendeten Speicherplatz auf dem Laufwerk verschlüsseln soll. Bei einer neuen Festplatte kann die Verschlüsselung des belegten Speicherplatzes deutlich weniger Zeit in Anspruch nehmen als die Verschlüsselung des ganzen Laufwerks. Wenn diese Verschlüsselungsoption ausgewählt ist, verschlüsselt BitLocker Daten automatisch, sobald sie gespeichert werden. Auf diese Weise ist sichergestellt, dass keine Daten unverschlüsselt gespeichert werden.

Wenn der Computer ausgeschaltet wird oder in den Ruhezustand wechselt, wird der BitLocker-Verschlüsselungs- oder Entschlüsselungsvorgang beim nächsten Start von Windows dort fortgesetzt, wo er unterbrochen wurde. Dies ist auch dann der Fall, wenn die Stromversorgung plötzlich unterbrochen wird.

Nein, beim Lesen und Schreiben von Daten nimmt BitLocker keine Ver- und Entschlüsselung des gesamten Laufwerks vor. Die verschlüsselten Sektoren eines durch BitLocker geschützten Laufwerks werden nur so entschlüsselt, wie sie von Leseoperationen des Systems angefordert werden. Blöcke, die auf das Laufwerk geschrieben werden, werden verschlüsselt, bevor sie vom System auf der physischen Festplatte gespeichert werden. Auf einem durch BitLocker geschützten Laufwerk werden zu keinem Zeitpunkt unverschlüsselte Daten gespeichert.

Mit den in Windows 8 eingeführten Steuerelementen können Sie Gruppenrichtlinieneinstellungen aktivieren, die bewirken, dass Datenlaufwerke durch BitLocker geschützt werden müssen, bevor ein durch BitLocker geschützter Computer Daten auf diese Laufwerke schreiben kann. Weitere Informationen finden Sie unter Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht von BitLocker geschützt werden oder Verweigern des Schreibzugriffs auf Festplatten, die nicht von BitLocker geschützt werden im Thema "BitLocker-Gruppenrichtlinieneinstellungen".

Wenn diese Richtlinieneinstellungen aktiviert sind, bindet das durch BitLocker geschützte Betriebssystem alle Datenlaufwerke, die nicht durch BitLocker geschützt sind, als schreibgeschützte Laufwerke ein.

Weitere Informationen, auch zu Verfahren zum Verwalten von Benutzern, die möglicherweise bei der Verwendung eines Computers, auf dem BitLocker nicht aktiviert ist, versehentlich Daten auf unverschlüsselten Laufwerken speichern, finden Sie unter BitLocker: Verhindern, dass Netzwerkbenutzer Daten auf einem unverschlüsselten Laufwerk speichern.

Die folgenden Systemänderungen können dazu führen, dass eine Integritätsprüfung scheitert und die Freigabe des BitLocker-Schlüssels zum Entschlüsseln des geschützten Betriebssystemlaufwerks durch das TPM verhindert wird.

  • Verlagern des durch BitLocker geschützten Laufwerks in einen neuen Computer.

  • Installieren einer neuen Hauptplatine mit einem neuen TPM.

  • Ausschalten, Deaktivieren oder Beseitigen des TPM.

  • Ändern von Startkonfigurationseinstellungen.

  • Ändern des BIOS, der UEFI-Firmware, des Master Boot Records, des Startsektors, des Start-Managers, des Option-ROM oder anderer vorrangiger Startkomponenten oder Startkonfigurationsdaten.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Da BitLocker zum Schutz Ihres Computers vor zahlreichen Angriffen ausgelegt ist, gibt es viele Gründe, warum BitLocker im Wiederherstellungsmodus gestartet werden könnte. Informationen zu diesen Gründen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Wiederherstellungsszenarien.

Ja, Sie können mehrere Festplatten im gleichen Computer austauschen, wenn BitLocker aktiviert ist. Dies ist jedoch nur möglich, wenn die Festplatten im gleichen Computer durch BitLocker geschützt wurden. Die BitLocker-Schlüssel sind TPM- und betriebssystemlaufwerkspezifisch. Wenn Sie ein Sicherungsbetriebssystem- oder -datenlaufwerk vorbereiten möchten, das im Falle eines Datenträgerfehlers verwendet werden kann, müssen Sie daher sicherstellen, dass es mit dem richtigen TPM kombiniert wurde. Sie können auch verschiedene Festplatten für unterschiedliche Betriebssysteme konfigurieren und BitLocker dann auf jeder Festplatte mit einer anderen Authentifizierungsmethode (beispielsweise eine mit ausschließlicher TPM-Authentifizierung und eine mit TPM+PIN) aktivieren, ohne dass dies zu Konflikten führt.

Ja, wenn das Laufwerk ein Datenlaufwerk ist, können Sie es genauso wie jedes andere Datenlaufwerk mithilfe eines Kennworts oder einer Smartcard über das Systemsteuerungselement BitLocker-Laufwerkverschlüsselung entsperren. Wenn das Datenlaufwerk ausschließlich für die automatische Entsperrung konfiguriert wurde, müssen Sie es mithilfe des Wiederherstellungsschlüssels entsperren. Wenn es sich um ein Betriebssystemlaufwerk handelt, das in einen anderen Computer eingebunden wird, auf dem eine der in der Gilt für-Liste am Anfang dieses Themas aufgeführten Betriebssystemversionen ausgeführt wird, kann die verschlüsselte Festplatte von einem Datenwiederherstellungs-Agenten (sofern konfiguriert) oder mithilfe des Wiederherstellungsschlüssels entsperrt werden.

System_CAPS_noteHinweis

Mit den in Windows 8 eingeführten Funktionen ist das Einbinden der Festplatte in einen anderen Computer eine schnelle, unkomplizierte Möglichkeit, um Informationen von einem beschädigten Computer wiederherzustellen, auf dessen Festplatte sich ein durch BitLocker geschütztes Laufwerk befindet.

Einige Laufwerke können nicht mit BitLocker verschlüsselt werden. Zu den Gründen dafür, dass ein Laufwerk nicht verschlüsselt werden kann, zählen unzureichende Datenträgergröße, ein nicht kompatibles Dateisystem, wenn es sich um ein dynamisches Laufwerk handelt, oder das Laufwerk ist als Systempartition festgelegt. Standardmäßig ist das Systemlaufwerk (oder die Systempartition) im Fenster "Computer" ausgeblendet. Falls das Laufwerk während der Installation des Betriebssystems jedoch aufgrund eines benutzerdefinierten Installationsvorgangs nicht als ausgeblendetes Laufwerk erstellt wurde, wird das Laufwerk möglicherweise angezeigt, kann jedoch nicht verschlüsselt werden.

Jede beliebige Anzahl an internen, eingebauten Datenlaufwerken kann mit BitLocker geschützt werden. Bei einigen Versionen werden ATA- und SATA-basierte, direkt angeschlossene Speichergeräte ebenfalls unterstützt. Ausführliche Informationen zu unterstützten Laufwerke finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Von BitLocker unterstützte Festplattenkonfigurationen.

Es gibt viele verschiedene Schlüssel, die von BitLocker generiert und verwendet werden können. Einige Schlüssel sind erforderlich, und andere sind optionale Schutzvorrichtungen, die Sie in Abhängigkeit von dem erforderlichen Grad an Sicherheit auswählen können.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Was ist BitLocker?.

Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel für ein Betriebssystemlaufwerk oder ein eingebautes Datenlaufwerk können in einem Ordner, auf einem oder mehreren USB-Geräten oder in Ihrem Microsoft-Konto online gespeichert oder ausgedruckt werden.

Für Wechseldatenträger können das Wiederherstellungskennwort und der Wiederherstellungsschlüssel in einem Ordner oder in Ihrem Microsoft-Konto online gespeichert oder ausgedruckt werden. Standardmäßig ist es nicht möglich, einen Wiederherstellungsschlüssel für einen Wechseldatenträger auf einem Wechseldatenträger zu speichern.

Ein Domänenadministrator hat darüber hinaus die Möglichkeit, die Gruppenrichtlinie so zu konfigurieren, dass für alle durch BitLocker geschützte Laufwerke automatisch Wiederherstellungskennwörter generiert und diese in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert werden.

Weitere Informationen finden Sie unter BitLocker: Speichern von Wiederherstellungskennwörtern und -schlüsseln.

Sie können das Befehlszeilentool "Manage-bde.exe" verwenden, um den reinen TPM-Authentifizierungsmodus durch einen mehrstufigen Authentifizierungsmodus zu ersetzen. Wenn BitLocker beispielsweise mit ausschließlicher TPM-Authentifizierung aktiviert ist und Sie die PIN-Authentifizierung hinzufügen möchten, können Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten verwenden. Hierbei muss die <4-20-stellige numerische PIN> durch die numerische PIN ersetzt werden, die Sie verwenden möchten:

manage-bde –protectors –delete %systemdrive% -type tpm

manage-bde –protectors –add %systemdrive% -tpmandpin <4-20-stellige numerische PIN>

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Authentifizierungsmodi in der Startsequenz.

BitLocker ist so konzipiert, dass ein verschlüsseltes Laufwerk ohne die erforderliche Authentifizierung nicht wiederherstellbar ist. Im Wiederherstellungsmodus benötigt der Benutzer das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um das verschlüsselte Laufwerk zu entsperren.

System_CAPS_importantWichtig

Speichern Sie die Wiederherstellungsinformationen in AD DS zusammen mit Ihrem Microsoft-Konto online oder an einem anderen sicheren Ort.

Dies ist technisch zwar möglich, aber es ist keine bewährte Methode, einen einzigen USB-Speicherstick zum Speichern beider Schlüssel zu verwenden. Falls der USB-Speicherstick, auf dem sich der Systemstartschlüssel befindet, verloren geht oder gestohlen wird, verlieren Sie auch den Zugriff auf den Wiederherstellungsschlüssel. Darüber hinaus würde das Einsetzen des Speichersticks mit diesem Schlüssel dazu führen, dass der Computer automatisch über den Wiederherstellungsschlüssel gestartet wird, und zwar auch dann, wenn sich Dateien, die vom TPM gemessen werden, geändert haben. Die TPM-Systemintegritätsprüfung würde auf diese Weise unterlaufen.

Ja, Sie können den Systemstartschlüssel eines Computers auf mehreren USB-Speichersticks speichern. Wenn Sie mit der rechten Maustaste auf das durch BitLocker geschützte Laufwerk klicken und BitLocker verwalten auswählen, werden die Optionen angezeigt, mit denen Sie Wiederherstellungsschlüssel nach Bedarf duplizieren können.

Ja, Sie können BitLocker-Systemstartschlüssel für mehrere Computer auf demselben USB-Speicherstick speichern.

Mithilfe von Skripts können Sie unterschiedliche Systemstartschlüssel für denselben Computer generieren. Bei Computern mit einem TPM führt das Erstellen unterschiedlicher Systemstartschlüssel jedoch dazu, dass BitLocker daran gehindert wird, die Systemintegritätsprüfung des TPM zu verwenden.

Es ist nicht möglich, mehrere PIN-Kombinationen zu generieren.

Rohdaten werden mit dem Schlüssel für die vollständige Volumeverschlüsselung verschlüsselt, der dann mit dem Volumehauptschlüssel verschlüsselt wird. Der Volumehauptschlüssel wiederum wird mit einer von mehreren Methoden je nach Authentifizierungs- (also Schlüsselschutzvorrichtungen oder TPM) und Wiederherstellungsszenarios verschlüsselt.

Weitere Informationen zu Verschlüsselungsschlüsseln – wie sie verwendet werden, wo sie gespeichert werden, finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Was ist BitLocker?.

Der Schlüssel für die vollständige Volumeverschlüsselung wird durch den Volumehauptschlüssel verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Der Volumehauptschlüssel wird durch die entsprechende Schlüsselschutzvorrichtung verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Falls BitLocker angehalten wurde, wird der unverschlüsselte Schlüssel, der zum Verschlüsseln des Volumehauptschlüssels verwendet wird, zusammen mit dem verschlüsselten Volumehauptschlüssel ebenfalls auf dem verschlüsselten Laufwerk gespeichert.

Durch diesen Speichervorgang wird sichergestellt, dass der Volumehauptschlüssel nie unverschlüsselt gespeichert wird und geschützt ist, solange BitLocker nicht deaktiviert wird. Die Schlüssel werden aus Gründen der Redundanz zudem an zweite weiteren Orten auf dem Laufwerk gespeichert. Die Schlüssel können vom Start-Manager gelesen und verarbeitet werden.

Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Die Tasten F1 bis F10 sind universell zugeordnete Tastencodes, die in der Umgebung vor dem Start auf allen Computern und in allen Sprachen verfügbar sind. Die numerischen Tasten 0 bis 9 können in der Umgebung vor dem Start nicht auf allen Tastaturen verwendet werden.

Wenn Sie eine erweiterte PIN verwenden, sollten die Benutzer die optionale Systemprüfung während des BitLocker-Setupvorgangs ausführen, um sicherzustellen, dass die PIN in der Umgebung vor dem Start richtig eingegeben werden kann. Weitere Informationen zu erweiterten PINs finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Was ist BitLocker?.

Es ist möglich, dass eine Geheimzahl (PIN) von einem Angreifer mithilfe eines Brute-Force-Angriffs herausgefunden werden kann. Ein Brute-Force-Angriff liegt vor, wenn ein Angreifer ein automatisiertes Tool verwendet, um so lange verschiedene PIN-Kombinationen auszuprobieren, bis die richtige PIN ermittelt wurde. Bei durch BitLocker geschützten Computern muss ein Angreifer bei dieser Art von Angriff, die auch Wörterbuchangriff genannt wird, physisch auf den Computer zugreifen können.

Das TPM verfügt über integrierte Funktionalität, um diese Form von Angriff zu erkennen und darauf zu reagieren. Die TPMs unterschiedlicher Hersteller können verschiedene Verfahren zur Abwehr von PIN-Angriffen unterstützen. Setzen Sie sich daher mit dem Hersteller des TPM in Verbindung, um herauszufinden, wie das TPM Ihres Computers PIN-Brute-Force-Angriffen abwehrt.

Nachdem Sie den TPM-Hersteller ermittelt haben, setzen Sie sich mit dem Hersteller in Verbindung, um herstellerspezifische Informationen zum TPM zu erhalten. Die meisten Hersteller verwenden den Zähler für gescheiterte PIN-Authentifizierungen, um die Dauer der Sperrung der PIN-Schnittstelle exponentiell zu erhöhen. Jeder Hersteller verwendet jedoch andere Richtlinien im Hinblick darauf, wie dieser Zähler herunter- oder zurückgesetzt wird.

Weitere Informationen hierzu finden Sie unter Finden von TPM-Treiberinformationen.

Wie Sie den TPM-Hersteller ermitteln, erfahren Sie unter Finden von TPM-Treiberinformationen.

Die folgenden Fragen können Ihnen helfen, wenn Sie beim TPM-Hersteller Informationen zum Aufbau des Mechanismus zur Abwehr von Wörterbuchangriffen einholen:

  • Wie viele gescheiterte Autorisierungsversuche können erfolgen, bevor es zu einer Sperrung kommt?

  • Welcher Algorithmus wird verwendet, um die Dauer der Sperrung auf der Basis der Anzahl der gescheiterten Versuche und anderer Parameter zu bestimmen?

  • Welche Aktionen können dazu führen, dass der Fehlerzähler und die Dauer der Sperrung herunter- oder zurückgesetzt wird?

Ja und nein. Sie können die Mindestlänge der Geheimzahl (PIN) mithilfe der Gruppenrichtlinieneinstellungen Minimale PIN-Länge für Systemstart konfigurieren konfigurieren und die Verwendung alphanumerischer PINs zulassen, indem Sie die Gruppenrichtlinieneinstellung Erweiterte PINs für Systemstart zulassen aktivieren. Die Komplexität der PIN kann jedoch nicht über die Gruppenrichtlinie festgelegt werden.

BitLocker To Go ist die BitLocker-Laufwerkverschlüsselung auf Wechseldatenträgern. Dies umfasst die Verschlüsselung von USB-Speichersticks, SD-Karten, externen Festplattenlaufwerken und anderen Laufwerken, die mit dem Dateisystem NTFS, FAT16, FAT32 oder exFAT formatiert sind.

Weitere Informationen, unter anderem dazu, wie Sie Wechseldatenträger authentifizieren oder entsperren können, und über Methoden, sicherzustellen, dass das BitLocker To Go-Lesetool nicht auf FAT-formatierten Laufwerken installiert ist, finden Sie unter BitLocker To Go (Übersicht)...

Weitere Informationen dazu, wie BitLocker in AD DS integriert werden kann, finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Integration in Active Directory-Domänendienste (AD DS).

Falls BitLocker auf einem Laufwerk aktiviert wird, bevor die Gruppenrichtlinie angewendet wurde, um eine Sicherung zu erzwingen, werden die Wiederherstellungsinformationen nicht automatisch in AD DS gesichert, wenn der Computer der Domäne beitritt oder wenn die Gruppenrichtlinie anschließend angewendet wird. In Windows 8 können Sie jedoch die Gruppenrichtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können und Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können verwenden, um festzulegen, dass der Computer zu einer Domäne hinzugefügt werden muss, bevor BitLocker aktiviert werden kann. Auf diese Weise können Sie sicherstellen, dass die Wiederherstellungsinformationen für durch BitLocker geschützte Laufwerke in der Organisation in AD DS gesichert werden.

Die BitLocker-WMI-Schnittstelle (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) ermöglicht es Administratoren, Skripts zu schreiben, um vorhandene Wiederherstellungsinformationen eines Onlineclients zu sichern oder zu synchronisieren. Dieser Vorgang wird jedoch nicht automatisch von BitLocker verwaltet. Mit dem Befehlszeilenprogramm "Manage-bde" können Sie Wiederherstellungsinformationen manuell in AD DS sichern. Um beispielsweise alle Wiederherstellungsinformationen für das Laufwerk „C:“ in AD DS zu sichern, würden Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten verwenden: manage-bde -protectors -adbackup C:.

System_CAPS_importantWichtig

Das Hinzufügen eines Computers zur Domäne sollte der erste Schritt sein, der für neue Computer innerhalb einer Organisation ausgeführt wird. Nachdem Computer einer Domäne beigetreten sind, erfolgt das Speichern des BitLocker-Wiederherstellungsschlüssel in AD DS automatisch (sofern es in der Gruppenrichtlinie aktiviert wurde).

Ja, auf dem Clientcomputer wird ein Eintrag im Ereignisprotokoll aufgezeichnet, der den Erfolg oder das Scheitern einer Active Directory-Sicherung anzeigt. Doch auch, wenn ein Ereignisprotokolleintrag "Erfolg" anzeigt, ist es möglich, dass die Informationen anschließend aus AD DS entfernt wurden oder dass die BitLocker-Konfiguration so geändert wurde, dass die Active Directory-Informationen nicht mehr zum Entsperren des Laufwerks verwendet werden können (beispielsweise durch Entfernen der Wiederherstellungskennwort-Schlüsselschutzvorrichtung). Außerdem ist es möglich, dass der Protokolleintrag gefälscht ist.

Um festzustellen, ob eine gültige Sicherung in AD DS vorhanden ist, muss AD DS mithilfe des BitLocker-Kennwort-Viewers unter Verwendung von Domänenadministrator-Anmeldeinformationen abgefragt werden.

Nein. Einträge für BitLocker-Wiederherstellungskennwörter werden standardmäßig nicht aus AD DS gelöscht. Daher ist es möglich, dass für jedes Laufwerk mehrere Kennwörter angezeigt werden. Überprüfen Sie das Datum des Objekts, um festzustellen, welches des aktuellste Kennwort ist.

Wenn die Sicherung zunächst scheitert (weil beispielsweise der Domänencontroller nicht erreichbar ist, wenn der BitLocker-Setup-Assistent ausgeführt wird), versucht BitLocker nicht noch einmal, die Wiederherstellungsinformationen in AD DS zu sichern.

Wenn ein Administrator das Kontrollkästchen BitLocker-Sicherung in AD DS erforderlich der Richtlinieneinstellung BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista) oder das entsprechende Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für (Betriebssystemlaufwerke|Festplattenlaufwerke|Wechseldatenträger) in AD DS gespeichert wurden für eine der Richtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können oder Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können aktiviert, ist den Benutzern das Aktivieren von BitLocker nur dann möglich, wenn der Computer mit der Domäne verbunden ist und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS erfolgreich ist. Wenn diese Einstellungen konfiguriert wurden und die Sicherung scheitert, kann BitLocker nicht aktiviert werden. Auf diese Weise ist sichergestellt, dass Administratoren durch BitLocker geschützte Laufwerke in der Organisation wiederherstellen können.

Wenn ein Administrator diese Kontrollkästchen deaktiviert, lässt er den Schutz des Laufwerks durch BitLocker zu, ohne dass die Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden. Falls die Sicherung scheitert, leitet BitLocker jedoch nicht automatisch einen erneuten Sicherungsversuch ein. Administratoren können stattdessen ein Skript für die Sicherung erstellen (siehe die Beschreibung unter Was geschieht, wenn BitLocker auf einem Computer aktiviert wird, bevor der Computer zur Domäne hinzugefügt wurde?), um die Informationen zu erfassen, nachdem die Konnektivität wiederhergestellt wurde.

In BitLocker wird der erweiterte Verschlüsselungsstandard (Advanced Encryption Standard, AES) als Verschlüsselungsalgorithmus mit konfigurierbaren Schlüssellängen von 128 oder 256 Bit verwendet. Die standardmäßige Verschlüsselungseinstellung ist AES-128; die Optionen können jedoch mithilfe der Gruppenrichtlinie konfiguriert werden.

Für die BitLocker-Konfiguration auf einem Betriebssystemlaufwerk hat es sich bewährt, BitLocker auf einem Computer mit einem TPM, Version 1.2 oder 2.0, und einer TCG-kompatiblen (Trusted Computing Group) BIOS oder UEFI-Firmware zu implementieren und eine PIN zu verwenden. Indem zusätzlich zur TPM-Validierung die Verwendung einer vom Benutzer festgelegten PIN als obligatorische Maßnahme definiert wird, ist es einem böswilligen Benutzer mit physischem Zugriff auf den Computer nicht möglich, den Computer einfach zu starten.

Wenn BitLocker in der Basiskonfiguration (mit einem TPM, aber ohne erweiterte Authentifizierung) für Betriebssystemlaufwerke verwendet wird, ist dies mit zusätzlicher Sicherheit für den Ruhezustandsmodus verbunden. BitLocker bietet jedoch ein höheres Maß an Sicherheit, wenn die BitLocker-Konfiguration die Verwendung einer erweiterten Authentifizierungsmethode (TPM+PIN, TPM+USB oder TPM+PIN+USB) für den Ruhezustandsmodus vorsieht. Dieser Ansatz ist sicherer, da die BitLocker-Authentifizierung erforderlich ist, um den Ruhezustand zu beenden. Es wird empfohlen, den Energiesparmodus zu deaktivieren und als Authentifizierungsmethode eine Kombination aus TPM und PIN zu verwenden.

Die meisten Betriebssysteme verwenden einen gemeinsam genutzten Speicherbereich, wobei die Verwaltung des physischen Speichers durch das Betriebssystem erfolgt. Ein TPM ist eine Hardwarekomponente, die eigene, interne Firmware und Logikschaltungen für die Verarbeitung von Anweisungen nutzt und somit von externen Softwareschwachstellen abgeschirmt ist. Für einen Angriff auf das TPM ist der physische Zugriff auf den Computer erforderlich. Darüber hinaus sind die Tools und Fertigkeiten, die für Hardwareangriffe notwendig sind, häufig teurer bzw. aufwendiger und in der Regel nicht in dem Maße verfügbar wie diejenigen, die für Angriffe auf Software verwendet werden. Und da jedes TPM eine unverwechselbare Komponente des Computers ist, in dem es sich befindet, wäre ein Angriff auf mehrere TPM-Computer eine schwieriges und zeitaufwendiges Vorhaben.

System_CAPS_noteHinweis

Die Konfiguration von BitLocker mit einer zusätzlichen Authentifizierungsstufe bietet noch mehr Schutz vor TPM-Hardwareangriffen.

Alle BitLocker-Versionen, die in das Betriebssystem eingebunden wurden, verfügen über die FIPS 140-2-Zertifizierung (Federal Processing Standard) und sind gemäß Common Criteria-Stufe EAL4+ zertifiziert. Diese Zertifizierungen sind auch für Windows 8 und Windows Server 2012 abgeschlossen und für Windows 8.1 und Windows Server 2012 R2 in Bearbeitung.

Die BitLocker-Netzwerkentsperrung ermöglicht eine einfachere Verwaltung von Desktops und Servern, auf denen BitLocker aktiviert wurde und die in einer Domänenumgebung auf die kombinierte Schutzmethode aus TPM und PIN zurückgreifen. Wenn ein Computer, der an ein kabelgebundenes Unternehmensnetzwerk angeschlossen ist, neu gestartet wird, ermöglicht es die Netzwerkentsperrung, die PIN-Eingabeaufforderung zu umgehen. Sie entsperrt durch BitLocker geschützte Betriebssystemvolumes automatisch, indem sie als sekundäre Authentifizierungsmethode einen durch den Windows-Bereitstellungsdienste-Server zur Verfügung gestellten vertrauenswürdigen Schlüssel verwendet.

Um die Netzwerkentsperrung verwenden zu können, muss für den Computer auch eine PIN konfiguriert werden. Wenn der Computer nicht mit dem Netzwerk verbunden ist, müssen Sie die PIN angeben, um ihn zu entsperren.

Die BitLocker-Netzwerkentsperrung stellt Software- und Hardwareanforderungen an Clientcomputer, Windows-Bereitstellungsdienste und Domänencontroller, die erfüllt sein müssen, bevor Sie die BitLocker-Netzwerkentsperrung verwenden können. Weitere Informationen zu diesen Anforderungen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Die Netzwerkentsperrung verwendet zwei Schutzvorrichtungen, die TPM-Schutzvorrichtung und die vom Netzwerk oder durch Ihre PIN bereitgestellte, während die automatische Entsperrung eine einzige Schutzvorrichtung – die im TPM gespeicherte – verwendet. Wenn der Computer ohne die Schlüsselschutzvorrichtung zu einem Netzwerk hinzugefügt wird, werden Sie aufgefordert, die PIN einzugeben. Wenn die PIN nicht verfügbar ist, müssen Sie den Wiederherstellungsschlüssel verwenden, um den Computer zu entsperren, falls er nicht mit dem Netzwerk verbunden werden kann. Weitere Informationen zu automatischer Aufhebung der Sperre und Netzwerkentsperrung finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Ja, Sie können das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwenden, um Dateien auf einem durch BitLocker geschützten Laufwerk zu verschlüsseln. Weitere Informationen finden Sie in "BitLocker-Laufwerkverschlüsselung (technische Übersicht)" unter Funktionsweise.

Ja. Der Debugger sollte jedoch vor der Aktivierung von BitLocker eingeschaltet werden. Durch das Einschalten des Debuggers wird sichergestellt, dass beim Versiegeln mithilfe des TPM die richtigen Messungen berechnet werden, sodass der Computer ordnungsgemäß starten kann. Wenn Sie BitLocker verwenden und das Debuggen ein- oder ausschalten müssen, sollten BitLocker zuvor angehalten werden, um zu Vermeiden, dass der Computer in den Wiederherstellungsmodus wechselt.

BitLocker verfügt über einen Speichertreiberstapel, durch den sichergestellt ist, dass Speicherabbilder verschlüsselt werden, wenn BitLocker aktiviert ist.

BitLocker bietet keine Unterstützung von Smartcards für die Authentifizierung vor dem Start. Es gibt keinen einheitlichen Industriestandard für die Smartcardunterstützung in der Firmware, und die meisten Computer implementieren entweder keine Firmwareunterstützung für Smartcard-Leser oder bieten nur die Unterstützung für bestimmte Smartcards und Smartcard-Leser. Diese mangelnde Standardisierung macht ihre Unterstützung sehr schwierig.

Microsoft bietet keine Unterstützung für Microsoft-fremde TPM-Treiber, und von ihrer Verwendung in Kombination mit BitLocker wird ausdrücklich abgeraten. Der Versuch, einen Microsoft-fremden TPM-Treiber zusammen mit BitLocker zu verwenden, kann dazu führen, dass BitLocker meldet, dass im Computer kein TPM vorhanden ist, was zur Folge hat, dass der TPM nicht mit BitLocker verwendet werden kann.

Aus Gründen der Sicherheit, der Zuverlässigkeit und des Produktsupports wird davon abgeraten, den Master Boot Record auf Computern zu ändern, deren Betriebssystemlaufwerke durch BitLocker geschützt werden. Änderungen am Master Boot Record (MBR) können die Sicherheitsumgebung verändern und den normalen Start des Computers verhindern sowie Wiederherstellungsversuche im Falle eines beschädigten MBR erschweren. Änderungen am MBR, die von Windows-fremden Tools vorgenommen wurden, können den Wechsel des Computers in den Wiederherstellungsmodus erzwingen oder den Start des Computers vollständig verhindern.

Die Systemprüfung soll sicherstellen, dass das BIOS oder die UEFI-Firmware des betreffenden Computers mit BitLocker kompatibel ist und dass das TPM einwandfrei funktioniert. Die Systemprüfung kann aus unterschiedlichen Gründen scheitern:

  • Das BIOS oder die UEFI-Firmware des Computers kann keine USB-Speichersticks lesen.

  • Im BIOS, in der UEFI-Firmware oder im Startmenü des Computers wurde das Lesen von USB-Speichersticks nicht aktiviert.

  • Es wurden mehrere USB-Speichersticks in den Computer eingesetzt.

  • Die PIN wurde nicht richtig eingegeben.

  • Das BIOS oder die UEFI-Firmware des Computers unterstützt nur die Funktionstasten (F1–F10), um Zahlen in der Umgebung vor dem Start einzugeben.

  • Der Systemstartschlüssel wurde entfernt, bevor der Neustart des Computers abgeschlossen war.

  • Das TPM hat nicht richtig funktioniert und konnte die Versiegelung der Schlüssel nicht aufheben.

Einige Computer können USB-Speichersticks in der Umgebung vor dem Start nicht lesen. Überprüfen Sie zuerst das BIOS oder die UEFI-Firmware und die Starteinstellungen, um sicherzustellen, dass die Verwendung von USB-Laufwerken aktiviert ist. Ist dies nicht der Fall, sollten Sie die Verwendung von USB-Laufwerken im BIOS oder der UEFI-Firmware und in den Starteinstellungen aktivieren und dann erneut versuchen, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn er immer noch nicht gelesen werden kann, müssen Sie die Festplatte als Datenlaufwerk in einen anderen Computer einbinden, damit ein Betriebssystem verfügbar ist, mit dem versucht werden kann, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn der USB-Speicherstick fehlerhaft oder beschädigt ist, müssen Sie möglicherweise ein Wiederherstellungskennwort angeben oder die in AD DS gesicherten Wiederherstellungsinformationen verwenden. Wenn Sie den Wiederherstellungsschlüssel in der Umgebung vor dem Start verwenden, müssen Sie außerdem sicherstellen, dass das Laufwerk mit dem Dateisystem NTFS, FAT16 oder FAT32 formatiert ist.

Die Option zum Speichern auf USB wird für Wechseldatenträger standardmäßig nicht angezeigt. Wenn die Option nicht verfügbar ist, bedeutet das, dass die Verwendung von Wiederherstellungsschlüsseln durch einen Systemadministrator unterbunden wurde.

Für das automatische Entsperren eingebauter Datenlaufwerke ist es erforderlich, dass das Betriebssystemlaufwerk ebenfalls durch BitLocker geschützt ist. Wenn Sie einen Computer verwenden, der nicht über ein durch BitLocker geschütztes Betriebssystemlaufwerk verfügt, kann das Laufwerk nicht automatisch entsperrt werden. Für Wechseldatenträger können Sie das automatische Entsperren hinzufügen, indem Sie in Windows-Explorer mit der rechten Maustaste auf das Laufwerk klicken und dann auf BitLocker verwalten klicken. Sie können weiterhin das Kennwort oder die Smartcard-Anmeldeinformationen, die Sie beim Aktivieren von BitLocker bereitgestellt haben, verwenden, um den Wechseldatenträger auf anderen Computern zu entsperren.

Im abgesicherten Modus steht nur begrenzte BitLocker-Funktionalität zur Verfügung. Durch BitLocker-geschützte Laufwerke können über die Systemsteuerungsoption BitLocker-Laufwerkverschlüsselung entsperrt und entschlüsselt werden. Das Klicken mit der rechten Maustaste, um in Windows-Explorer auf BitLocker-Optionen zuzugreifen, ist im abgesicherten Modus nicht verfügbar.

Sowohl eingebaute Datenlaufwerke als auch Wechseldatenträger können mit dem Befehlszeilentool "Manage-bde" und dem Befehl "–lock" gesperrt werden.

System_CAPS_noteHinweis

Stellen Sie vor dem Sperren sicher, dass alle Daten auf dem Laufwerk gespeichert wurden. Nach dem Sperren ist der Zugriff auf das Laufwerk nicht mehr möglich.

Die Syntax des Befehls lautet wie folgt:

manage-bde  <Laufwerkbuchstabe>  -lock

Außer durch die Verwendung dieses Befehls werden Datenlaufwerke beim Herunterfahren und erneuten Starten des Betriebssystems gesperrt. Ein Wechseldatenträger wird außerdem automatisch gesperrt, wenn das Laufwerk vom Computer entfernt wird.

Ja. Schattenkopien, die vor der Aktivierung von BitLocker erstellt wurden, werden jedoch automatisch gelöscht, wenn BitLocker auf softwareverschlüsselten Laufwerken aktiviert wird. Wenn Sie ein hardwareverschlüsseltes Laufwerk verwenden, bleiben die Schattenkopien erhalten.

BitLocker wird auf startbaren VHDs nicht unterstützt, jedoch auf Datenvolume-VHDs, z. B. den von Clustern verwendeten, wenn Sie Windows 8, Windows 8.1, Windows Server 2012 oder Windows Server 2012 R2 ausführen.

Anzeigen:
© 2016 Microsoft