Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Verschlüsselte Festplatte

 

Betrifft: Windows Server 2012, Windows 8

Die Funktion „Verschlüsselte Festplatte“ in Windows 8 und Windows Server 2012 verwendet die schnelle Verschlüsselung, die von der BitLocker-Laufwerkverschlüsselung zur Verbesserung der Sicherheit und Verwaltung bereitgestellt wird. Durch eine Übertragung der Kryptografievorgänge auf die Hardware wird die Leistung von BitLocker mit verschlüsselten Festplatten verbessert, und CPU-Last und Energieverbrauch werden gesenkt. Da Daten auf verschlüsselten Festplatten schnell verschlüsselt werden, können Unternehmen die BitLocker-Bereitstellung mit minimalen Auswirkungen auf die Produktivität erweitern.

Verschlüsselte Festplatten sind eine neue Klasse von Festplatten, die auf Hardware-Ebene selbst verschlüsseln und die Verschlüsselung des gesamten Datenträgers ermöglichen.Windows 8 und Windows Server 2012 unterstützen die Installation auf diesen Geräten ohne zusätzliche Änderung.

Zu den Vorteilen der verschlüsselten Festplatten gehören:

  • Bessere Leistung: Die in den Laufwerkscontroller integrierte Verschlüsselungshardware ermöglicht dem Laufwerk den Betrieb bei voller Datenrate ohne Leistungseinbußen.

  • Hohe Sicherheit auf Hardwarebasis: Die Verschlüsselung ist stets aktiv, und die Kryptoschlüssel für die Verschlüsselung verlassen niemals die Festplatte. Die Benutzerauthentifizierung wird unabhängig vom Betriebssystem vom Laufwerk selbst durchgeführt, bevor es entsperrt wird.

  • Einfache Verwendung: Die Verschlüsselung ist für den Benutzer transparent, da sie standardmäßig aktiviert ist. Es ist kein Benutzereingriff erforderlich, um die Verschlüsselung zu aktivieren. Verschlüsselte Festplatten lassen sich über den integrierten Kryptoschlüssel leicht löschen, daher ist keine Neuverschlüsselung von Festplattendaten erforderlich.

  • Niedrige Gesamtbetriebskosten: Es besteht keine Notwendigkeit für neue Infrastruktur zur Verwaltung von Kryptoschlüsseln, da BitLocker die Infrastruktur der Active Directory-Domänendienste zum Speichern von Wiederherstellungsinformationen nutzt. Der Computer arbeitet effizienter, da keine Prozessorzyklen für den Verschlüsselungsvorgang verwendet werden müssen.

Windows 8 und Windows Server 2012 unterstützen verschlüsselte Festplatten systemseitig im Betriebssystem durch folgende Mechanismen:

  • Erkennung:Das Betriebssystem kann erkennen, dass es sich bei dem Laufwerk um den Gerätetyp „Verschlüsselte Festplatte“ handelt.

  • Aktivierung: Die Datenträgerverwaltung des Betriebssystems kann Volumes aktivieren, erstellen und Bereichen/Bändern entsprechend zuordnen.

  • Konfiguration: Das Betriebssystem kann Volumes erstellen und Bereichen/Bändern entsprechend zuordnen.

  • API: Windows 8 und Windows Server 2012 bieten API-Unterstützung für Anwendungen, um verschlüsselte Festplatten unabhängig von der BitLocker-Laufwerkverschlüsselung (BDE) zu verwalten.

  • BitLocker-Unterstützung: Integration in die BitLocker-Systemsteuerung harmonisiert die Verwendung von BitLocker für Endbenutzer.

System_CAPS_warningWarnung

Selbstverschlüsselnde Festplatten und verschlüsselte Festplatten für Windows entsprechen nicht demselben Gerätetyp. Verschlüsselte Festplatten für Windows erfordern Kompatibilität mit bestimmten TCG-Protokollen sowie IEEE 1667-Kompatibilität. Selbstverschlüsselnde Festplatten unterliegen diesen Anforderungen nicht. Es ist wichtig, bei der Bereitstellungsplanung sicherzustellen, dass der Gerätetyp einer verschlüsselten Festplatte für Windows entspricht.

Beim Verwenden einer verschlüsselten Festplatte unter Windows 8 oder Windows Server 2012 gelten die folgenden Systemanforderungen:

Für verschlüsselte Festplatten als Datenlaufwerke:

  • Das Laufwerk muss sich in einem nicht initialisierten Zustand befinden.

  • Das Laufwerk muss sich in einem inaktiven Sicherheitszustand befinden.

Für verschlüsselte Festplatten als Startlaufwerk:

  • Das Laufwerk muss sich in einem nicht initialisierten Zustand befinden.

  • Das Laufwerk muss sich in einem inaktiven Sicherheitszustand befinden.

  • Der Computer muss UEFI 2.3.1 verwenden, und „EFI_STORAGE_SECURITY_COMMAND_PROTOCOL“ muss definiert sein. (Dieses Protokoll wird verwendet, um Programmen, die in der EFI-Startdiensteumgebung ausgeführt werden, das Senden von Sicherheitsprotokollbefehlen an das Laufwerk zu ermöglichen.)

  • Auf dem Computer muss das Kompatibilitätsunterstützungsmodul (CSM) in UEFI deaktiviert sein.

  • Der Computer muss immer systemintern über UEFI gestartet werden.

System_CAPS_warningWarnung

Verschlüsselte Festplatten dürfen zur einwandfreien Funktion unter Windows 8 und Windows Server 2012 nicht an RAID-Controller angeschlossen werden.

Schnelle Verschlüsselung in BitLocker richtet sich direkt an den Sicherheitsbedarf von Unternehmen bei deutlich verbesserter Leistung. In früheren Windows-Versionen mussten Schreib-Lese-Zugriffe in einem zweistufigen Prozess durchgeführt werden, aber in Windows Server 2012 wird die Durchführung der kryptografischen Vorgänge an die Laufwerkcontrollerhardware übertragen und dadurch eine wesentliche Effizienzsteigerung bewirkt. Wenn Windows Server 2012 eine verschlüsselte Festplatte initialisiert, wird der Sicherheitsmodus aktiviert. Diese Aktivierung ermöglicht es dem Laufwerk-Controller, einen Medienschlüssel für jedes Volume zu generieren, das der Hostcomputer erstellt. Dieser Medienschlüssel, der nie außerhalb des Datenträgers verfügbar ist, wird zum schnellen Ver- und Entschlüsseln aller Datenbytes verwendet, die zwischen Computer und Laufwerk übertragen werden.

Die Konfiguration von Festplatten als verschlüsselte Startlaufwerke wird mit denselben Mitteln wie für Standardfestplatten durchgeführt. Diese Methoden umfassen:

  • Bereitstellen von einem Medium aus: Diese Methode der Bereitstellung erfordert das Installieren von Windows 8 oder Windows Server 2012. von DVD-Medien. Das Konfigurieren verschlüsselter Festplatten wird durch den Installationsprozess automatisch durchgeführt.

  • Bereitstellen über das Netzwerk: Bei dieser Bereitstellungsmethode wird eine Windows PE-Umgebung gestartet und dann mithilfe von Imageerstellungstools ein Windows-Image von einer Netzwerkfreigabe angewendet. Bei dieser Methode muss die optionale Komponente „Erweitertes Speichern“ in das Windows PE-Image aufgenommen werden. Sie können diese Komponente mithilfe von Server-Manager, Windows PowerShell oder dem Befehlszeilentool DISM aktivieren. Wenn diese Komponente nicht vorhanden ist, funktioniert die Konfiguration der verschlüsselten Festplatten nicht.

  • Bereitstellen von einem Server: Bei dieser Methode wird ein Client mit vorhandenen verschlüsselten Festplatten über das PXE-Verfahren gestartet. Das Konfigurieren verschlüsselter Festplatten wird automatisch in dieser Umgebung durchgeführt, wenn dem PXE-Startimage die Komponente „Erweitertes Speichern“ hinzugefügt wird. Während der Bereitstellung legt die Einstellung TCGSecurityActivationDisabled in „unattend.xml“ das Verschlüsselungsverhalten verschlüsselter Festplatten fest. Weitere Informationen finden Sie im Windows Assessment and Deployment Kit (ADK) und zugehörigen Versionshinweisen.

  • Datenträgerduplizierung: Diese Bereitstellungsmethode beinhaltet die Verwendung eines zuvor konfigurierten Windows 8 oder Windows Server 2012. Ebenfalls erforderlich sind Werkzeuge für die Image- und Datenträgerduplizierung, um ein Windows-Image auf eine verschlüsselte Festplatte anzuwenden. Die Datenträger müssen mithilfe der Setup-Tools von Windows 8 oder Windows Server 2012 partitioniert werden, damit diese Konfiguration funktioniert. Images, die mithilfe von Laufwerkskopiergeräten angefertigt worden sind, funktionieren nicht.

Verschlüsselte Festplatten verwenden zwei Kryptoschlüssel auf dem Gerät, die das Sperren und Entsperren von Daten auf dem Laufwerk kontrollieren. Dies sind der Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) und der Authentifizierungsschlüssel (Authentication Key, AK).

Der Datenverschlüsselungsschlüssel (DEK) ist der Schlüssel, mit dem alle Daten auf dem Laufwerk verschlüsselt werden. Das Laufwerk erzeugt den DEK, der das Gerät niemals verlässt. Er wird in einem verschlüsselten Format an einem zufälligen Ort auf dem Laufwerk gespeichert. Falls der DEK geändert oder gelöscht wird, sind die mit dem DEK verschlüsselten Daten nicht wiederherstellbar.

Der Authentifizierungsschlüssel ist der Schlüssel, der zum Entsperren von Daten auf dem Laufwerk verwendet wird. Ein Hashwert des Schlüssels wird auf dem Laufwerk gespeichert und erfordert eine Bestätigung zur Entschlüsselung des DEK.

Beim Ausschalten eines Computers mit einer verschlüsselten Festplatte wird das Laufwerk automatisch gesperrt. Beim Einschalten des Computers bleibt das Laufwerk zunächst im gesperrten Zustand und wird nur entsperrt, wenn der Datenverschlüsselungsschlüssel mithilfe des Authentifizierungsschlüssels entschlüsselt wurde. Sobald der Authentifizierungsschlüssel den Datenverschlüsselungsschlüssel entschlüsselt hat, können Schreib-Lese-Vorgänge auf dem Gerät stattfinden.

Beim Schreiben von Daten auf das Laufwerk werden diese zunächst über ein Verschlüsselungsmodul geleitet, bevor der Schreibvorgang abgeschlossen wird. Analog dazu erfordert das Lesen von Daten aus dem Laufwerk, dass das Verschlüsselungsmodul die Daten entschlüsselt, bevor diese an den Benutzer zurückgeliefert werden. Wenn der DEK geändert oder gelöscht werden soll, müssen die Daten auf dem Laufwerk nicht neu verschlüsselt werden. In diesem Fall muss ein neuer Authentifizierungsschlüssel erstellt werden, mit dem der DEK neu verschlüsselt wird. Sobald dies erfolgt ist, kann der DEK mit dem neuen Authentifizierungsschlüssel entsperrt werden, und es können erneut Schreib-Lese-Vorgänge auf dem Volume stattfinden.

Viele verschlüsselte Festplatten sind bereits zur Verwendung vorkonfiguriert. Wenn eine Neukonfiguration des Laufwerks erforderlich ist, gehen Sie wie folgt vor, nachdem alle verfügbaren Volumes entfernt wurden und erneut ein nicht initialisierter Zustand des Laufwerks hergestellt wurde.

  1. Öffnen Sie die Datenträgerverwaltung („diskmgmt.msc“).

  2. Initialisieren Sie den Datenträger, und wählen Sie den geeigneten Partitionstyp (MBR oder GPT) aus.

  3. Erstellen Sie ein oder mehrere Volumes auf dem Datenträger.

  4. Aktivieren Sie mit dem BitLocker-Setup-Assistenten BitLocker auf dem Volume.

Anzeigen: