Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien
In diesem Thema, das sich an IT-Experten richtet, wird erläutert, wie Sie Ihre BitLocker-Bereitstellung planen können.
Definieren Sie beim Entwerfen einer BitLocker-Bereitstellungsstrategie die entsprechenden Richtlinien und Konfigurationsanforderungen auf Grundlage der Geschäftsanforderungen Ihrer Organisation. Die folgenden Themen helfen Ihnen beim Erfassen von Informationen, die Sie zum Gestalten Ihres Entscheidungsfindungsprozesses hinsichtlich der Bereitstellung und Verwaltung von BitLocker-Systemen verwenden können.
Überwachen der Umgebung
Verschlüsselungsschlüssel und Authentifizierung
TPM-Hardwarekonfiguration
Nicht-TPM-basierte Hardwarekonfigurationen
Hinweise zur Datenträgerkonfiguration
BitLocker-Bereitstellung
Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“
Hinweise zu den Active Directory-Domänendiensten
FIPS-Unterstützung für den Wiederherstellungskennwortschutz
Überwachen der Umgebung
Um Ihre Unternehmensbereitstellung von BitLocker zu planen, müssen Sie Ihre aktuelle Umgebung zunächst verstehen. Führen Sie eine informelle Überwachung aus, um Ihre aktuellen Richtlinien, Prozeduren und die Hardwareumgebung zu definieren. Prüfen Sie zunächst, wie die vorhandenen Unternehmenssicherheitsrichtlinien mit Ihrer Datenträgerverschlüsselungssoftware zusammenhängen. Wenn Ihre Organisation derzeit keine Datenträgerverschlüsselungssoftware verwendet, ist keine dieser Richtlinien vorhanden. Wenn Sie Datenträgerverschlüsselungssoftware verwenden, müssen Sie möglicherweise die Richtlinien Ihrer Organisation ändern, damit sie für die Funktionen von BitLocker geeignet sind.
Die folgenden Fragen helfen Ihnen dabei, die aktuellen Datenträger-Verschlüsselungssicherheitsrichtlinien Ihrer Organisation zu dokumentieren:
Gibt es Richtlinien zum Angeben, welche Computer BitLocker verwenden und welche Computer BitLocker nicht verwenden?
Welche Richtlinien gibt es, um das Wiederherstellungskennwort und den Wiederherstellungsschlüsselspeicher zu steuern?
Wie lauten die Richtlinien für das Überprüfen der Identität von Benutzern, die die BitLocker-Wiederherstellung ausführen müssen?
Welche Richtlinien gibt es, die steuern, wer in der Organisation auf die Wiederherstellungsdaten zugreifen kann?
Welche Richtlinien gibt es, um die Außerbetriebsetzung von Computern zu steuern?
Verschlüsselungsschlüssel und Authentifizierung
BitLocker hilft wie folgt dabei, den nicht autorisierten Zugriff auf Daten auf verlorenen oder gestohlenen Computern zu verhindern:
Verschlüsseln des gesamten Windows-Betriebssystemvolumes auf der Festplatte.
Überprüfen der Startprozessintegrität.
Beim TPM handelt es sich um eine Hardwarekomponente, die durch die Computerhersteller auf vielen neuen Computern installiert wird. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.
Zusätzlich bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein USB-Wechselmedium einführt, beispielsweise einen Speicherstick, der einen Systemstartschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und sorgen dafür, dass der Computer nicht startet oder den Betrieb aus dem Ruhezustand fortsetzt, bis die richtige PIN oder ein Systemstartschlüssel bereitgestellt wird.
Auf Computern ohne TPM-Version 1.2 oder höher können Sie BitLocker dennoch verwenden, um das Windows-Betriebssystemvolume zu verschlüsseln. Für diese Implementierung muss der Benutzer jedoch einen USB-Systemstartschlüssel anschließen, um den Computer zu starten oder aus dem Ruhezustand fortzusetzen. Sie stellt zudem nicht die Systemintegritätsüberprüfung vor dem Start bereit, die durch BitLocker in Kombination mit einem TPM bereitgestellt wird.
BitLocker-Schlüsselschutzvorrichtungen
| Schlüsselschutzvorrichtung | Beschreibung |
|---|---|
TPM |
Ein zum Einrichten eines sicheren Vertrauensankers verwendetes Hardwaregerät. Durch BitLocker wird nur die TPM-Version 1.2 oder höher unterstützt. |
PIN |
Eine durch den Benutzer eingegebene numerische Schlüsselschutzvorrichtung, die nur in Ergänzung zum TPM verwendet werden kann. |
Erweiterte PIN |
Eine durch den Benutzer eingegebene alphanumerische Schlüsselschutzvorrichtung, die nur in Ergänzung zum TPM verwendet werden kann. |
Systemstartschlüssel |
Ein Verschlüsselungsschlüssel, der auf den meisten Wechselmedien gespeichert werden kann. Diese Schlüsselschutzvorrichtung kann eigenständig auf Computern verwendet werden, die über kein TPM verfügen. Alternativ kann sie für eine bessere Sicherheit zusammen mit einem TPM verwendet werden. |
Wiederherstellungskennwort |
Eine 48stellige Zahl, die zum Entsperren eines Volumes verwendet wird, wenn es sich im Wiederherstellungsmodus befindet. Zahlen können oftmals auf einer regulären Tastatur eingegeben werden. Wenn die Zahlen auf der normalen Tastatur nicht reagieren, können Sie immer die Funktionstasten (F1–F10) verwenden, um die Zahlen einzugeben. |
Wiederherstellungsschlüssel |
Ein auf Wechselmedien gespeicherter Verschlüsselungsschlüssel, der zum Wiederherstellen von auf einem BitLocker-Volume verschlüsselten Daten verwendet werden kann. |
BitLocker-Authentifizierungsmethoden
| Authentifizierungsmethode | Benutzerinteraktion erforderlich | Beschreibung |
|---|---|---|
Nur TPM |
Nein |
TPM überprüft die vorrangigen Startkomponenten. |
TPM + PIN |
Ja |
TPM überprüft die vorrangigen Startkomponenten. Der Benutzer muss die richtige PIN eingeben, bevor der Startprozess fortgesetzt und bevor das Laufwerk entsperrt werden kann. Das TPM wird in den Sperrmodus versetzt, wenn mehrfach eine falsche PIN eingegeben wurde, um die PIN vor Brute-Force-Angriffen zu schützen. Die Anzahl der wiederholten Versuche, die eine Sperre auslösen, ist variabel. |
TPM + Netzwerkschlüssel |
Nein |
Das TPM überprüft die vorrangigen Startkomponenten erfolgreich, und vom WDS-Server wurde ein gültiger verschlüsselter Netzwerkschlüssel bereitgestellt. Durch diese Authentifizierungsmethode werden Betriebssystemvolumes beim Neustart automatisch gesperrt, während die mehrstufige Authentifizierung gleichzeitig aufrechterhalten bleibt. |
TPM + Systemstartschlüssel |
Ja |
Die vorrangigen Startkomponenten werden durch das TPM erfolgreich überprüft, und ein USB-Speicherstick, auf dem der Systemstartschlüssel enthalten ist, wurde eingeführt. |
Nur Systemstartschlüssel |
Ja |
Der Benutzer wird aufgefordert, den USB-Speicherstick einzuführen, auf dem der Wiederherstellungsschlüssel bzw. der Systemstartschlüssel enthalten ist, und den Computer neu zu starten. |
Unterstützen Sie Computer ohne TPM-Version 1.2 oder höher?
Bestimmen Sie, ob Sie in Ihrer Umgebung Computer unterstützen, die die TPM-Version 1.2 oder höher nicht aufweisen. Wenn Sie auswählen, auf diesem Computertyp BitLocker zu unterstützen, müssen Sie einen USB-Systemstartschlüssel verwenden, um das System zu starten. Dafür sind zusätzliche Supportprozesse erforderlich, die der mehrstufigen Authentifizierung ähneln.
Welche Bereiche Ihrer Organisation benötigen einen Datenschutz auf Basisniveau?
Die Nur-TPM-Authentifizierungsmethode bietet Organisationen die transparenteste Benutzererfahrung, die einen Datenschutz auf Basisniveau benötigen, um ihre Sicherheitsrichtlinien zu erfüllen. Sie weist die niedrigsten Gesamtbetriebskosten auf. Nur-TPM ist möglicherweise auch für Computer angemessen, die unbeaufsichtigt sind oder unbeaufsichtigt neu gestartet werden müssen.
Die Nur-TPM-Authentifizierungsmethode bietet jedoch nur Datenschutz auf dem niedrigsten Niveau. Diese Authentifizierungsmethode schützt gegen Angriffe, die vorrangigen Startkomponenten ändern. Der Schutzgrad kann jedoch durch die potenzielle Schwäche der Hardware- odervorrangigen Startkomponenten beeinträchtigt werden. Das Gesamtniveau des Datenschutzes wird durch die mehrstufigen BitLocker-Authentifizierungsmethoden erheblich verbessert.
Welche Bereiche Ihrer Organisation benötigen den höchsten Datenschutz?
Wenn sich in Ihrer Organisation hochgradig sensible Daten auf Benutzercomputern befinden, sollten Sie die beste Methode für das Bereitstellen von BitLocker mit mehrstufiger Authentifizierung auf diesen Systemen in Erwägung ziehen. Indem der Benutzer eine PIN eingeben muss, wird die Schutzebene für das System wesentlich verbessert. Sie können auch die BitLocker-Netzwerkentsperrung verwenden, um das automatische Entsperren dieser Benutzer zu erlauben, wenn sie mit einem vertrauenswürdigen Netzwerk verbunden sind, auf dem der Netzwerkentsperrungsschlüssel bereitgestellt werden kann.
Welche mehrstufige Authentifizierungsmethode wird durch Ihre Organisation bevorzugt?
Die Schutzunterschiede, die durch die mehrstufigen Authentifizierungsmethoden bereitgestellt werden, lassen sich nicht einfach quantifizieren. Berücksichtigen Sie, wie sich jede Authentifizierungsmethode auf den Helpdesk-Support, die Benutzerschulung, die Benutzerproduktivität und die automatisierten Systemverwaltungsprozesse auswirkt.
TPM-Hardwarekonfiguration
Ermitteln Sie in Ihrem Bereitstellungsplan, welche TPM-basierten Hardwareplattformen unterstützt werden. Dokumentieren Sie die Hardwaremodelle von einem gewünschten OEM, sodass ihre Konfigurationen getestet und unterstützt werden können. Hinsichtlich der TPM-Hardware müssen während sämtlicher Planungs- und Bereitstellungsphasen besondere Berücksichtigungen getroffen werden.
TPM-Status
Das TPM kann für jeden der TPM 1.2-Status in einen anderen Status übergehen (z. B. von ausgeschaltet zu eingeschaltet). Die Zustände schließen sich nicht gegenseitig aus.
| Zustand | Beschreibung |
|---|---|
Aktiviert |
Die meisten Features des TPMs sind verfügbar. Das TPM kann innerhalb eines Startzeitraums mehrfach aktiviert und deaktiviert werden, wenn der Besitz übernommen wird. |
Deaktiviert |
Das TPM schränkt die meisten Vorgänge ein. Zu den Ausnahmen gehören die Fähigkeit, TPM-Funktionen zu melden, Funktionen des Plattformkonfigurationsregisters zu erweitern und zurückzusetzen sowie Hash- und grundlegende Initialisierungsvorgänge auszuführen. Das TPM kann in einem Startzeitraum mehrfach aktiviert und deaktiviert werden. |
Aktiviert |
Die meisten Features des TPMs sind verfügbar. Das TPM kann nur bei physischer Anwesenheit einer Person aktiviert und deaktiviert werden. Dies erfordert einen Neustart. |
Deaktiviert |
Ist dem deaktivierten Status ähnlich, jedoch mit der Ausnahme, dass der Besitz im deaktivierten und aktivierten Status übernommen werden kann. Das TPM kann nur bei physischer Anwesenheit einer Person aktiviert und deaktiviert werden. Dies erfordert einen Neustart. |
Besitzer |
Die meisten Features des TPMs sind verfügbar. Das TPM verfügt über einen Endorsement Key und Storage Root Key, und Informationen zu den Besitzerautorisierungsdaten sind dem Besitzer bekannt. |
Nicht-Besitzer |
Das TPM weist keinen Storage Root Key auf und verfügt möglicherweise über einen Endorsement Key. |
Wichtig
BitLocker kann das TPM erst verwenden, wenn es den Status „enabled“ (aktiviert), „activated“ (aktiviert) und „owned“ (im Besitz) aufweist. Nur wenn das TPM in diesem Status ist, sind alle Vorgänge verfügbar.
Der Status des TPMs ist unabhängig vom Computerbetriebssystem. Wenn das TPM eingeschaltet und aktiviert ist und einen Besitzer aufweist, wird der TPM-Status bei der Neuinstallation des Betriebssystems beibehalten.
Endorsement Keys
Damit ein TPM durch BitLocker verwendet werden kann, muss es einen Endorsement Key enthalten. Hierbei handelt es sich um ein RSA-Schlüsselpaar. Die private Hälfte des Schlüsselpaars befindet sich innerhalb des TPMs und wird niemals außerhalb des TPMs offengelegt oder verfügbar gemacht. Wenn das TPM keinen Endorsement Key aufweist, fordert BitLocker das TPM auf, während der BitLocker-Einrichtung automatisch einen zu generieren.
Ein Endorsement Key kann an verschiedenen Punkten im Lebenszyklus des TPMs erstellt werden. Er darf während der Lebensdauer des TPMs jedoch nur einmal erstellt werden. Wenn für das TPM kein Endorsement Key vorhanden ist, muss er erstellt werden, bevor der TPM-Besitz übernommen werden kann.
Weitere Informationen über das TPM und TCG finden Sie unter „Trusted Computing Group: Trusted Platform Module (TPM) Specifications“ (https://go.microsoft.com/fwlink/p/?linkid=69584).
Nicht-TPM-basierte Hardwarekonfigurationen
Geräte ohne TPM können dennoch durch die Laufwerksverschlüsselung geschützt werden. Windows To Go-Arbeitsbereiche können mithilfe eines Kennworts für den Systemstart BitLocker-geschützt sein, und PCs ohne ein TPM können einen Systemstartschlüssel verwenden.
Verwenden Sie die folgenden Fragen, um Probleme zu ermitteln, die sich möglicherweise auf Ihre Bereitstellung in einer Nicht-TPM-Konfiguration auswirken:
Sind Kennwortkomplexitätsregeln vorhanden?
Reicht Ihr Budget für USB-Speichersticks für jeden dieser Computer?
Unterstützen Ihre vorhandenen Nicht-TPM-Geräte USB-Geräte zur Startzeit?
Testen Sie Ihre einzelnen Hardwareplattformen mit der BitLocker-Systemüberprüfungsoption, während Sie BitLocker aktivieren. Durch die Systemüberprüfung wird sichergestellt, dass BitLocker die Wiederherstellungsinformationen von einem USB-Gerät und die Verschlüsselungsschlüssel richtig lesen kann, bevor das Volume verschlüsselt wird. CD- und DVD-Laufwerke können nicht als Blockspeichergeräte fungieren und nicht zum Speichern von BitLocker-Wiederherstellungsinformationen verwendet werden.
Hinweise zur Datenträgerkonfiguration
Damit BitLocker richtig funktioniert, ist eine bestimmte Datenträgerkonfiguration erforderlich. Für BitLocker sind zwei Partitionen erforderlich, die die folgenden Anforderungen erfüllen müssen:
Die Betriebssystempartition enthält das Betriebssystem und die zugehörigen unterstützenden Dateien. Sie muss mit dem NTFS-Dateisystem formatiert worden sein.
Die Systempartition (oder Startpartition) enthält die zum Laden von Windows erforderlichen Dateien, nachdem das BIOS oder die UEFI-Firmware die Systemhardware vorbereitet hat. BitLocker ist in dieser Partition nicht aktiviert. Damit BitLocker funktioniert, darf die Systempartition nicht verschlüsselt sein. Zudem muss sie sich auf einer anderen Partition als das Betriebssystem befinden. Auf UEFI-Plattformen muss die Systempartition mit einem FAT32-Dateisystem formatiert worden sein. Auf BIOS-Plattformen muss die Systempartition mit einem NTFS-Dateisystem formatiert worden sein. Sie sollte mindestens 350 MB groß sein.
Die Computerlaufwerke werden durch Windows Setup automatisch konfiguriert, um die BitLocker-Verschlüsselung zu unterstützen.
Bei der Windows-Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE) handelt es sich um eine erweiterbare Wiederherstellungsplattform, die auf der Windows-Vorinstallationsumgebung (Windows Pre-installation Environment, Windows PE) basiert. Wenn ein Computer nicht gestartet werden kann, erfolgt automatisch ein Übergang in diese Umgebung. Durch das Starthilfetool in Windows RE werden die Diagnose und Reparatur einer nicht startbaren Windows-Installation automatisiert. Windows RE enthält zudem die Treiber und Tools, die zum Entsperren eines durch BitLocker geschützten Volumes erforderlich sind, indem ein Wiederherstellungsschlüssel oder -kennwort angegeben wird. Um Windows RE zusammen mit BitLocker zu verwenden, muss sich das Windows RE-Startimage auf einem Volume befinden, das nicht durch BitLocker geschützt ist.
Windows RE kann auch über ein Startmedium verwendet werden, das sich von der lokalen Festplatte unterscheidet. Wenn Sie auswählen, Windows RE nicht auf der lokalen Festplatte der BitLocker-fähigen Computer zu installieren, können Sie alternative Startmethoden wie die Windows-Bereitstellungsdienste, eine CD-ROM oder einen USB-Speicherstick für die Wiederherstellung verwenden.
BitLocker-Bereitstellung
In Windows Vista und Windows 7 wurde BitLocker über die Befehlszeilenschnittstelle „manage-bde“ oder die Systemsteuerungs-Benutzeroberfläche nach der Installation für System- und Datenvolumes bereitgestellt. Bei neueren Betriebssystemen kann BitLocker einfach bereitgestellt werden, bevor das Betriebssystem installiert wird. Für die Vorabbereitstellung muss der Computer über ein TPM verfügen.
Um den BitLocker-Status eines bestimmten Volumes zu prüfen, können Administratoren den Status des Datenträgers im BitLocker-Systemsteuerungs-Applet oder im Windows-Explorer anzeigen. So bedeutet der Status „Auf Aktivierung warten“ mit einem gelben Ausrufesymbol, dass der Datenträger vorab für BitLocker bereitgestellt wurde. Dieser Status besagt, dass nur eine eindeutige Schutzvorrichtung verwendet wurde, als das Volume verschlüsselt wurde. In diesem Fall ist das Volume nicht geschützt. Dem Volume muss also ein sicherer Schlüssel hinzugefügt werden, bevor der Datenträger als vollständig geschützt erachtet wird. Administratoren können die Systemsteuerungsoptionen, das Tool „manage-bde“ oder WMI-APIs verwenden, um eine entsprechende Schlüsselschutzvorrichtung hinzuzufügen, und der Volumestatus wird aktualisiert.
Beim Verwenden von Systemsteuerungsoptionen können Administratoren BitLocker aktivieren auswählen und die Schritte des Assistenten befolgen, um eine Schutzvorrichtung, beispielsweise eine PIN für ein Betriebssystemvolume (oder ein Kennwort, wenn kein TPM vorhanden ist), oder ein Kennwort oder eine Smartcard-Schutzvorrichtung zu einem Datenvolume hinzuzufügen. Anschließend wird das Datenträgersicherheitsfenster angezeigt, bevor der Volumestatus geändert wird.
Administratoren können über WinPE BitLocker vor der Betriebssystembereitstellung aktivieren. Dies erfolgt anhand einer zufällig genierten eindeutigen Schlüsselschutzvorrichtung, die auf das formatierte Volume angewendet wird und das Volume verschlüsselt, bevor der Windows Setup-Prozess ausgeführt wird. Wenn durch die Verschlüsselung die Option „Nur verwendeten Speicherplatz verschlüsseln“ verwendet wird, dauert dieser Schritt einige Sekunden, was sich gut in den regulären Bereitstellungsprozess einfügt.
Verschlüsselungsoption „Nur verwendeten Speicherplatz verschlüsseln“
Mit dem BitLocker-Setup-Assistenten können Administratoren die Methode „Nur verwendeten Speicherplatz verschlüsseln“ oder die vollständige Laufwerksverschlüsselung auswählen, wenn sie BitLocker für ein Volume aktivieren. Administratoren können die neue BitLocker-Gruppenrichtlinieneinstellung verwenden, um „Nur verwendeten Speicherplatz verschlüsseln“ oder die vollständige Laufwerksverschlüsselung zu erzwingen.
Durch das Starten des BitLocker-Setup-Assistenten werden Sie aufgefordert, die zu verwendende Authentifizierungsmethode auszuwählen (Kennwörter und Smartcards sind für Datenvolumes verfügbar). Nach dem Auswählen der Methode und dem Speichern des Wiederherstellungsschlüssels werden Sie aufgefordert, den Datenträgerverschlüsselungstyp auszuwählen, also „Nur verwendeten Speicherplatz verschlüsseln“ oder die vollständige Laufwerksverschlüsselung.
„Nur verwendeten Speicherplatz verschlüsseln“ bedeutet, dass nur eine Teilmenge des Daten enthaltenden Laufwerks verschlüsselt wird. Demgegenüber wird der nicht verwendete Speicherplatz nicht verschlüsselt. Dadurch ist der Verschlüsselungsprozess wesentlich schnell, insbesondere für neue PCs und Datenlaufwerke. Wenn BitLocker mit dieser Methode aktiviert ist, während dem Laufwerk Daten hinzugefügt werden, wird die durch das Laufwerk verwendete Teilmenge verschlüsselt. Demzufolge liegen niemals nicht verschlüsselte Daten auf dem Laufwerk vor.
Bei der vollständigen Laufwerksverschlüsselung wird das gesamte Laufwerk verschlüsselt, und zwar unabhängig davon, ob darauf Daten gespeichert sind. Dies eignet sich für umfunktionierte Laufwerke, die möglicherweise Restdaten ihrer vorherigen Verwendung aufweisen.
Hinweise zu den Active Directory-Domänendiensten
BitLocker wird in die Active Directory-Domänendienste (AD DS) integriert, um eine zentralisierte Schlüsselverwaltung bereitzustellen. Standardmäßig werden keine Wiederherstellungsinformationen in Active Directory gesichert. Administratoren können Gruppenrichtlinieneinstellungen so konfigurieren, um die Sicherung von BitLocker oder TPM-Wiederherstellungsinformationen zu aktivieren. Überprüfen Sie vor dem Konfigurieren dieser Einstellungen, ob Zugriffsberechtigungen zum Ausführen der Sicherung erteilt wurden.
Standardmäßig sind Domänenadministratoren die einzigen Benutzer mit Zugriff auf die BitLocker-Wiederherstellungsinformationen. Definieren Sie beim Planen Ihres Supportprozesses welche Teile Ihrer Organisation auf die BitLocker-Wiederherstellungsinformationen zugreifen müssen. Verwenden Sie diese Informationen, um zu definieren, wie die entsprechenden Rechte in Ihrer AD DS-Umgebung delegiert werden.
Sie sollten die Sicherung von Wiederherstellungsinformationen für das TPM und BitLocker in AD DS anfordern. Sie können diese bewährte Methode implementieren, indem Sie unten die Gruppenrichtlinieneinstellungen für Ihre BitLocker-geschützten Computer konfigurieren.
| BitLocker-Gruppenrichtlinieneinstellung | Konfiguration |
|---|---|
BitLocker-Laufwerksverschlüsselung: BitLocker-Sicherung in Active Directory-Domänendienste aktivieren |
BitLocker-Sicherung in AD DS erforderlich (Kennwörter und Schlüsselpakete) |
Trusted Platform Module-Dienste: TPM-Sicherung in den Active Directory-Domänendiensten aktivieren |
TPM-Sicherung in AD DS anfordern |
Die folgenden Wiederherstellungsdaten werden für jedes Computerobjekt gespeichert:
Wiederherstellungskennwort
Ein zum Wiederherstellen eines BitLocker-geschützten Volumes verwendetes aus 48 Ziffern bestehendes Wiederherstellungskennwort. Benutzer geben dieses Kennwort ein, um ein Volume zu entsperren, wenn BitLocker in den Wiederherstellungsmodus wechselt.
Schlüsselpaketdaten
Mit diesem Schlüsselpaket und den Wiederherstellungskennwort können Sie Teilmengen eines BitLocker-geschützten Volumes entschlüsselt, selbst wenn der Datenträger erheblich beschädigt ist. Jedes Schlüsselpaket funktioniert nur für das Volume, für das es erstellt wurde. Dies lässt sich anhand der entsprechenden Volume-ID bestimmen.
TPM-Benutzerautorisierungs-Kennworthashwert
Wenn der Besitz des TPMs übernommen wird, kann ein Hashwert des Besitzerkennworts übernommen und in AD DS gespeichert werden. Diese Informationen können dann verwendet werden, um den Besitz des TPMs zurückzusetzen.
Ab Windows 8 wurde im AD DS-Schema eine Änderung im Hinblick darauf implementiert, wie der Wert für die TPM-Besitzerautorisierung in AD DS gespeichert wird. Der Wert für die TPM-Besitzerautorisierung wird jetzt in einem separaten Objekt gespeichert, das mit dem Computer-Objekt verknüpft ist. Für Windows Server 2008 R2-Standard- und späteren Schemas wurde dieser Wert als Eigenschaft im Computerobjekt selbst gespeichert.
Um von dieser Integration zu profitieren, müssen Sie Ihre Domänencontroller auf Windows Server 2012 aktualisieren oder das Active Directory-Schema erweitern und BitLocker-spezifische Gruppenrichtlinienobjekte konfigurieren.
Hinweis
Das zum Aktualisieren des Active Directory-Schemas verwendete Konto muss ein Mitglied der Gruppe „Schema-Admins“ sein.
Windows Server 2012-Domänencontroller verfügen über das Standardschema zum Sichern der TPM-Besitzerautorisierungsinformationen im separaten Objekt. Wenn Sie für Ihren Domänencontroller kein Upgrade auf Windows Server 2012 ausführen, müssen Sie das Schema erweitern, damit diese Neuerung unterstützt wird.
So unterstützen Sie Computer unter Windows 8 und höher, die durch einen Windows Server 2003- oder Windows Server 2008-Domänencontroller unterstützt werden
Es gibt zwei Schemaerweiterungen, die Sie sich notieren und zu Ihrem AD DS-Schema hinzufügen können:
TpmSchemaExtension.ldf
Diese Schemaerweiterung führt zu einer Gleichheit mit dem Windows Server 2012-Schema. Mit dieser Änderungen können die TPM-Besitzerautorisierungsinformationen in einem separaten TPM-Objekt gespeichert werden, das mit dem entsprechenden Computerobjekt verknüpft ist. Nur das Computerobjekt, welches das TPM-Objekt erstellt hat, kann es aktualisieren. In Dual-Boot-Szenarien oder bei Computern mit einem neu erstellten Image führt dies folglich dazu, dass nachfolgende Aktualisierungen von TPM-Objekten zur Erstellung eines neuen AD-Computerobjekts führen. Zum Unterstützen derartiger Szenarien wurde eine Aktualisierung zum Schema erstellt.
TpmSchemaExtensionACLChanges.ldf
Durch diese Schemaaktualisierung werden die ACLs für das TPM-Objekt in eine weniger restriktive Version geändert. Dadurch kann der Besitzerautorisierungswert in AD DS von nachfolgenden Betriebssystemen aktualisiert werden, die das Computerobjekt in Besitz nehmen. Dies ist jedoch weniger sicher, da jeder Computer in der Domäne nur das „OwnerAuth“-Element des TPM-Objekts (auch wenn das „OwnerAuth“-Element dadurch nicht gelesen werden kann) aktualisieren kann. Zudem können dadurch DOS-Angriffe im Unternehmen vorgenommen werden. Die empfohlene Risikominderung in einem derartigen Szenario besteht darin, eine reguläre Sicherung der TPM-Objekte auszuführen und die Überwachung zu aktivieren, um die Änderungen für diese Objekte nachzuverfolgen.
Informationen über das Herunterladen von Schemaerweiterungen finden Sie unter AD DS-Schemaerweiterungen zur Unterstützung der TPM-Sicherung.
Wenn Sie über einen Windows Server 2012-Domänencontroller in Ihrer Umgebung verfügen, sind die Schemaerweiterungen bereits vorhanden und müssen nicht aktualisiert werden.
Achtung
Damit die Gruppenrichtlinienobjekte für das Sichern der TPM- und BitLocker-Informationen in AD DS konfiguriert werden können, muss auf mindestens einem Domänencontroller in Ihrer Gesamtstruktur Windows Server 2008 R2 oder höher ausgeführt werden.
Wenn die Active Directory-Sicherung des TPM-Besitzerautorisierungswerts in einer Umgebung ohne die erforderlichen Schemaerweiterungen aktiviert ist, tritt bei der TPM-Bereitstellung ein Fehler auf, und das TPM weist für Computer unter Windows 8 und höher weiterhin den Status „Nicht bereit“ auf.
Festlegen der richtigen Berechtigungen in AD DS
Um das TPM erfolgreich zu initialisieren, damit Sie BitLocker aktivieren können, müssen die richtigen Berechtigungen für das SELF-Konto in AD DS für das Attribut ms-TPMOwnerInformation festgelegt sein. So legen Sie diese Berechtigungen gemäß BitLocker-Anforderung fest
Öffnen Sie Active Directory-Benutzer und -Computer.
Wählen Sie die Organisationseinheit (OU) ein, die die Computerkonten enthält, bei denen BitLocker aktiviert ist.
Klicken Sie mit der rechten Maustaste auf die OU, und klicken Sie auf Objektverwaltung zuweisen, um den Assistenten zum Zuweisen der Objektverwaltung zu öffnen.
Klicken Sie auf Weiter, um zur Seite Benutzer oder Gruppen zu wechseln, und klicken Sie dann auf Hinzufügen.
Geben Sie im Dialogfeld für das Auswählen von Benutzern, Computern oder Gruppen den Text SELF als Objektnamen ein, und klicken Sie dann auf OK. Nach der Überprüfung des Objekts werden Sie zur Assistentenseite Benutzer oder Gruppen zurückgeleitet, und das SELF-Konto wird aufgeführt. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Zuzuweisende Aufgaben die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen aus, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Active Directory-Objekttyp die Option Folgenden Objekten im Ordner aus, aktivieren Sie Computerobjekte, und klicken Sie dann auf Weiter.
Aktivieren Sie auf der Seite Berechtigungen für Diese Berechtigungen anzeigen die Optionen Allgemein, Eigenschaftenspezifisch und Erstellen/Löschen der Berechtigungen von bestimmten untergeordneten Objekten. Scrollen Sie die Liste Berechtigungen nach unten, aktivieren Sie Write msTPM-OwnerInformation und Write msTPM-TpmInformationForComputer, und klicken Sie auf Weiter.
Klicken Sie auf Finish, um die Berechtigungseinstellungen anzuwenden.
FIPS-Unterstützung für den Wiederherstellungskennwortschutz
Durch die in Windows Server 2012 R2 und Windows 8.1 eingeführte Funktion ist BitLocker im FIPS-Modus vollständig funktional.
Hinweis
Der US-amerikanische Federal Information Processing Standard (FIPS) definiert die Sicherheits- und Interoperabilitätsanforderungen für Computersysteme, die durch die Bundesregierung der USA verwendet werden. Der FIPS 140-Standard definiert genehmigte kryptografische Algorithmen. Der FIPS 140-Standard legt zudem Anforderungen für die Schlüsselgenerierung und für die Schlüsselverwaltung dar. Das National Institute of Standards and Technology (NIST) verwendet das Cryptographic Module Validation Program (CMVP), um zu bestimmen, ob eine bestimmte Implementierung eines kryptografischen Algorithmus mit dem FIPS 140-Standard konform ist. Eine Implementierung eines kryptografischen Algorithmus wird nur als FIPS 140-konform erachtet, wenn sie für die NIST-Überprüfung übermittelt wurde und diese bestanden hat. Ein nicht übermittelter Algorithmus kann nicht als FIPS-konform erachtet werden, selbst wenn die Implementierung identische Daten wie die überprüfte Implementierung desselben Algorithmus generiert.
Vor diesen unterstützten Versionen von Windows verhinderte BitLocker, wenn sich Windows im FIPS-Modus befand das Erstellen oder Verwenden von Wiederherstellungskennwörtern. Vielmehr wurden die Benutzer in diesen Szenarien gezwungen, Wiederherstellungsschlüssel zu verwenden. Weitere Informationen über diese Probleme finden Sie im Supportartikel KB947249.
Auf Computern unter diesen unterstützten Systemen mit aktiviertem BitLocker ist jedoch Folgendes möglich:
FIPS-konforme Wiederherstellungskennwortschutzvorrichtungen können erstellt werden, wenn sich Windows im FIPS-Modus befindet. Diese Schutzvorrichtungen verwenden den FIPS 140 NIST SP800-132-Algorithmus.
Im FIPS-Modus auf Windows 8.1 erstellte Wiederherstellungskennwörter lassen sich von Wiederherstellungskennwörtern unterscheiden, die auf anderen Systemen erstellt wurden.
Die Wiederherstellungsentsperrung mithilfe des FIPS-konformen Algorithmus auf Grundlage der Wiederherstellungskennwortschutzvorrichtungen funktioniert in allen Fällen, die derzeit für Wiederherstellungskennwörter funktionieren.
Wenn durch FIPS-konforme Wiederherstellungskennwörter Volumes entsperrt werden, wird das Volume auch im FIPS-Modus im Lese-/Schreibzugriff entsperrt.
FIPS-konforme Wiederherstellungskennwortschutzvorrichtungen können nach AD exportiert und darin gespeichert werden, während der FIPS-Modus aktiv ist.
Die BitLocker-Gruppenrichtlinieneinstellungen für Wiederherstellungskennwörter funktionieren für alle Windows-Versionen gleich, die BitLocker unterstützen, und zwar unabhängig davon, ob der FIPS-Modus aktiv ist.
Sie können jedoch keine Wiederherstellungskennwörter verwenden, die auf Systemen vor Windows Server 2012 R2 und Windows 8.1 im FIPS-Modus generiert wurden, Auf Windows Server 2012 R2 und Windows 8.1 erstellte Wiederherstellungskennwörter sind mit BitLocker auf Betriebssystemen vor Windows Server 2012 R2 und Windows 8.1 inkompatibel. Daher sollten stattdessen Wiederherstellungsschlüssel verwendet werden.
Weitere Informationen
TPM-Gruppenrichtlinieneinstellungen
Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker