BitLocker-Laufwerkverschlüsselung in Windows 10 für OEMs

BitLocker-Laufwerkverschlüsselung bietet Offlinedaten- und Betriebssystemschutz, indem sichergestellt wird, dass das Laufwerk nicht manipuliert wird, während das Betriebssystem offline ist. BitLocker-Laufwerkverschlüsselung verwendet ein TPM, entweder diskret oder firmware, das den statischen Stamm der Vertrauensmessung unterstützt, wie von der Trusted Computing Group definiert.

Hardwareanforderungen für BitLocker-Laufwerkverschlüsselung

Die BitLocker-Laufwerkverschlüsselung verwendet eine Systempartition, die von der Windows Partition getrennt ist. Die BitLocker-Systempartition muss die folgenden Anforderungen erfüllen.

  • Die BitLocker-Systempartition wird als aktive Partition konfiguriert.
  • Die BitLocker-Systempartition darf nicht verschlüsselt werden.
  • Die BitLocker-Systempartition muss mindestens 250 MB freien Speicherplatz aufweisen, über und über jedem Speicherplatz hinaus, der von erforderlichen Dateien verwendet wird. Diese zusätzliche Systempartition kann verwendet werden, um Windows Wiederherstellungsumgebung (RE) und OEM-Tools (bereitgestellt vom OEM) zu hosten, solange die Partition weiterhin die 250 MB-Freiraumanforderung erfüllt.

Weitere Informationen finden Sie unter System.Client.SystemPartitionund Festplatten und Partitionen.

BitLocker automatische Geräteverschlüsselung

BitLocker automatische Geräteverschlüsselung verwendet BitLocker-Laufwerkverschlüsselungstechnologie, um interne Laufwerke automatisch zu verschlüsseln, nachdem der Benutzer die Out Of Box Experience (OOBE) auf moderner Standby - oder HSTI-kompatibler Hardware abgeschlossen hat.

Hinweis: BitLocker automatische Geräteverschlüsselung beginnt während der Out-of-Box(OOBE)-Erfahrung. Der Schutz ist jedoch nur aktiviert (bewaffnet), nachdem sich Benutzer mit einem Microsoft-Konto oder einem Azure Active Directory-Konto anmelden. Bis dazu wird der Schutz angehalten und Daten sind nicht geschützt. Die automatische BitLocker-Geräteverschlüsselung ist nicht mit lokalen Konten aktiviert, in diesem Fall kann BitLocker mithilfe der BitLocker-Systemsteuerung manuell aktiviert werden.

Hardwareanforderungen für die automatische Geräteverschlüsselung von BitLocker

Die automatische BitLocker-Geräteverschlüsselung ist aktiviert, wenn:

  • Das Gerät enthält ein TPM (Trusted Platform Module), entweder TPM 1.2 oder TPM 2.0.
  • Der sichere UEFI-Start ist aktiviert. Weitere Informationen finden Sie unter "Sicherer Start ".
  • Der sichere Start der Plattform ist aktiviert.
  • Der Schutz für den direkten Speicherzugriff (DMA) ist aktiviert.

Die folgenden Tests müssen übergeben werden, bevor Windows 10 die Automatische BitLocker-Geräteverschlüsselung aktiviert. Wenn Sie Hardware erstellen möchten, die diese Funktion unterstützt, müssen Sie überprüfen, ob Ihr Gerät diese Tests übergibt.

  1. TPM: Das Gerät muss ein TPM mit PCR 7-Unterstützung enthalten. Siehe System.Fundamentals.TPM20.TPM20.TPM20.

    • Wenn die Anwesenheit erweiterter Karten zu OROM UEFI-Treibern führt, die während des Starts von UEFI BIOS geladen werden, verwendet BitLocker keine PCR7-Bindung.
    • Wenn Sie ein Gerät ausführen, das nicht an PCR7 gebunden ist und Bitlocker aktiviert ist, gibt es keine Sicherheitsabschläge, da BitLocker weiterhin sicher ist, wenn ein reguläres UEFI-PCR-Profil (0,2.4.11) verwendet wird.
    • Jeder zusätzliche CA-Hash (auch Windows Prod CA) vor dem endgültigen Startmgr Windows Prod CA verhindert, dass BitLocker pcR7 verwendet. Es ist nicht wichtig, ob sich die zusätzlichen Hash- oder Hashes aus UEFI CA (aka) befinden. Microsoft 3rd Party CA) oder einige andere CA.
  2. Sicherer Start: UEFI Secure Boot ist aktiviert. Siehe System.Fundamentals.Firmware.UEFISecureBoot.

  3. Moderne Standbyanforderungen oder HSTI-Validierung . Diese Anforderung wird durch eine der folgenden Erfüllt:

    • Moderne Standbyanforderungen werden implementiert. Dazu gehören Anforderungen für den sicheren Start von UEFI und schutz vor nicht autorisiertem DMA.
    • Ab Windows 10, Version, 1703, kann diese Anforderung über den HSTI-Test erfüllt werden:
      1. Platform Secure Boot Self-Test (oder zusätzliche Selbsttests wie in der Registrierung konfiguriert) müssen von HSTI als implementiert und übergeben werden.
      2. Ohne Thunderbolt muss HSTI keine nicht zulässigen DMA-Busse melden.
      3. Wenn Thunderbolt vorhanden ist, muss HSTI melden, dass Thunderbolt sicher konfiguriert ist (Sicherheitsstufe muss SL1 – "Benutzerberechtigung" oder höher sein).
  4. Sie müssen über 250 MB freien Speicherplatz über alles verfügen, was Sie zum Starten benötigen (und Windows wiederherstellen, wenn Sie WinRE auf die Systempartition setzen). Weitere Informationen finden Sie unter System.Client.SystemPartition.

Wenn die oben aufgeführten Anforderungen erfüllt sind, unterstützt Systeminformationen das System die automatische Geräteverschlüsselung von BitLocker. Diese Funktionalität ist in Windows 10, Version 1703 oder nach verfügbar. Hier erfahren Sie, wie Sie Systeminformationen überprüfen.

  1. Klicken Sie auf "Start" und geben Sie Systeminformationen ein.
  2. Klicken Sie mit der rechten Maustaste auf Systeminformationen App, und klicken Sie auf "Als Administrator öffnen". Zulassen, dass die App Änderungen an Ihrem Gerät vornehmen kann, indem Sie auf "Ja" klicken. Einige Geräte erfordern möglicherweise erhöhte Berechtigungen, um die Verschlüsselungseinstellungen anzuzeigen.
  3. In der Systemzusammenfassung finden Sie die Geräteverschlüsselungsunterstützung. Der Wert gibt an, ob das Gerät verschlüsselt ist oder nicht, warum es deaktiviert ist.

Anwenden von Firmwareupdates auf Geräte

Zusätzlich zur Ausführung von HLK-Tests müssen OEMs Firmwareupdates mit aktiviertem BitLocker testen. Um zu verhindern, dass Geräte die Wiederherstellung unnötig starten, befolgen Sie diese Richtlinien, um Firmwareupdates anzuwenden:

  1. Anhalten von BitLocker (erforderlich für Geräte, die an PCR[07] gebunden sind) nur, wenn das Firmwareupdate die Sichere Startrichtlinie ändert)
  2. Anwenden des Updates
  3. Neustart des Geräts
  4. Fortsetzen von BitLocker

Das Firmwareupdate sollte das Gerät erfordern, Bitlocker nur für kurze Zeit anzuhalten, und das Gerät sollte so schnell wie möglich neu gestartet werden. BitLocker kann programmgesteuert angehalten werden, bevor sie heruntergefahren werden, indem Sie die DisableKeyProtectors-Methode in Windows Verwaltungsinstrumentation (WMI) verwenden.

Nicht zulässige DMA-fähige Bus/Geräte(n) erkannt

Dieser Systeminformationen Status in der Geräteverschlüsselungsunterstützung bedeutet, dass Windows mindestens ein potenzielles externes DMA-fähiges Bus- oder Gerät erkannt hat, das eine DMA-Bedrohung verfügbar macht.

Um dieses Problem zu beheben, wenden Sie sich an die IHV(n), um festzustellen, ob dieses Gerät keine externen DMA-Ports aufweist. Wenn von den IHVs bestätigt wird, dass der Bus oder das Gerät nur über interne DMA verfügt, kann der OEM dies zur zulässigen Liste hinzufügen.

Zum Hinzufügen eines Buss oder Geräts zur zulässigen Liste müssen Sie einem Registrierungsschlüssel einen Wert hinzufügen. Dazu müssen Sie zuerst den Registrierungsschlüssel " AllowedBuses " übernehmen. Führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zum Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

  2. Klicken Sie mit der rechten Maustaste auf den Registrierungsschlüssel, und wählen Sie "Berechtigungen" aus.

  3. Klicken Sie auf "Erweitert", klicken Sie im Feld "Besitzer" auf den Link "Ändern", geben Sie Ihren Benutzernamen ein, klicken Sie auf "Namen überprüfen", und klicken Sie dann dreimal auf "OK", um alle Berechtigungsdialogfelder zu schließen.

  4. Klicken Sie mit der rechten Maustaste auf den Registrierungsschlüssel, und wählen Sie " Berechtigungen" erneut aus.

  5. Klicken Sie auf die Schaltfläche "Hinzufügen... ", fügen Sie Ihr Benutzerkonto hinzu, klicken Sie auf "Namen überprüfen", und klicken Sie dann auf "OK". Aktivieren Sie dann das Kontrollkästchen unter "Vollzugriff zulassen". Klicken Sie dann auf „OK“.

Fügen Sie dann unter der Taste "AllowedBuses " Zeichenfolgen (REG_SZ) Name/Wertpaare für jeden gekennzeichneten DMA-fähigen Bus hinzu, der sicher sein soll:

  • Schlüssel:Beschreibung des Gerätefreundlichkeitsnamens /
  • Wert: PCI\VEN_ID DEV_ID&.

Stellen Sie sicher, dass die IDs mit der Ausgabe aus dem HLK-Test übereinstimmen. Wenn Sie beispielsweise über ein sicheres Gerät mit einem Anzeigenamen von "Contoso PCI Express Root Port", Anbieter-ID 1022 und Geräte-ID 157C verfügen, würden Sie einen Registrierungseintrag namens Contoso PCI Express Root Port als REG_SZ Datentyp erstellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Wo der Wert = "PCI\VEN_1022&DEV_157C"

Deaktivieren der automatischen Geräteverschlüsselung von BitLocker

OEMs können die Geräteverschlüsselung deaktivieren und stattdessen ihre eigene Verschlüsselungstechnologie auf einem Gerät implementieren. Um die automatische BitLocker-Geräteverschlüsselung zu deaktivieren, können Sie eine Unattend-Datei verwenden und "PreventDeviceEncryption " auf "True" festlegen. Alternativ können Sie diesen Registrierungsschlüssel aktualisieren: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker Wert: PreventDeviceEncryption gleich True (1).

Problembehandlung bei BitLocker HLK-Tests

Triage ist viel einfacher, wenn Sie die folgenden Informationen über das Gerät unter Test kennen:

  1. TPM-Spezifikation (z. B. 1.2, 2.0)
  2. BitLocker PCR-Profil (z. B. 7, 11 oder 0, 2, 4, 11)
  3. Ob der Computer nicht AOAC oder AOAC ist (z. B. Surface-Geräte sind AOAC-Computer)

Beachten Sie, dass diese Informationen empfohlen werden, aber nicht zum Ausführen von Triage erforderlich sind.

BitLocker HLK-Probleme beziehen sich in der Regel auf eine der folgenden Probleme: Falschinterinterpretieren von Testergebnissen oder PCR7-Bindungsproblemen.

Falschinterpretieren von Testergebnissen

Ein HLK-Test besteht aus mehreren Testschritten. Einige Testschritte können fehlschlagen, ohne sich auf den Erfolg/Fehler des Gesamttestes zu auswirken. Weitere Informationen zum Interpretieren der Ergebnisseite finden Sie hier. Wenn einige Testschritte fehlgeschlagen sind, aber die Gesamttestläufe (wie durch eine grüne Überprüfung neben dem Testnamen angegeben), beenden Sie hier. Der Test wurde erfolgreich ausgeführt und es ist keine weitere Aktion erforderlich.

Triaging-Schritte:

  1. Bestätigen Sie, dass Sie den richtigen Test auf dem Computer ausführen. Klicken Sie mit der rechten Maustaste auf einen beliebigen Schritt der fehlgeschlagenen Testinfrastruktur-Gatherer-Protokolle >>> , die sich in RUNTIMEBLOCK.xml für das Element IsAOAC befinden. Wenn IsAOAC=true und Sie einen Nicht-AOAC-Test ausführen, ignorieren Sie den Fehler, und führen Sie diesen Test nicht auf dem Computer aus. Wenden Sie sich bei Bedarf an das Microsoft-Support Team für eine Errata zum Übergeben der Wiedergabeliste.

    Screenshot of the failing test. The item Is A O A C is selected.

  2. Bestimmen Sie, ob ein Filter auf den Test angewendet wird. HLK kann automatisch einen Filter für einen falsch zugeordneten Test vorschlagen. Ein Filter wird als grünes Häkchen in einem Kreis neben einem Testschritt angezeigt. (Beachten Sie, dass einige Filter möglicherweise zeigen, dass die nachfolgenden Testschritte fehlgeschlagen oder abgebrochen wurden.) Untersuchen Sie die erweiterten Informationen zum Filter, indem Sie den Testschritt mit dem speziellen Symbol erweitern. Wenn der Filter sagt, dass der Testfehler ignoriert wird, beenden Sie hier.

    Screenshot of filters

PCR7-Probleme

Ein häufiges BitLocker-Problem, das für die beiden PCR7-Tests spezifisch ist, ist ein Fehler bei der Bindung an PCR7.

Triaging-Schritte:

  1. Suchen Sie die Fehlermeldung in den HLK-Protokollen. Erweitern Sie den fehlgeschlagenen Testschritt, und überprüfen Sie das Te.wtl-Protokoll. (Sie können auch auf dieses Protokoll zugreifen, indem Sie mit der rechten Maustaste auf einen Testschritt > "Vorgangsprotokolle > Te.wtl" klicken) Führen Sie die folgenden Triageschritte aus, wenn dieser Fehler angezeigt wird:

Screenshot of the error message in H L K logs.

  1. Führen Sie msinfo32 als Administrator aus, und überprüfen Sie die Sichere Startstatus-/PCR7-Konfiguration. Der Test sollte mit sicherem Start ausgeführt werden. Wenn die PCR7-Bindung nicht unterstützt wird, führen Sie stattdessen den entsprechenden Legacy PCR HLK-Test aus. Wenn die PCR7-Bindung nicht möglich ist, fahren Sie mit den Triageschritten fort.
  2. Überprüfen Sie die Fehlerprotokolle. Klicken Sie mit der rechten Maustaste auf die Testaufgabe > Weitere Dateien. In der Regel ist das PcR7-Bindungsproblem ein Ergebnis falscher Messungen in PCR7.
    1. Ereignisprotokolle: Das Microsoft-BitLocker-Management-Protokoll enthält wertvolle Fehlerinformationen darüber, warum PCR7 nicht verwendet werden kann. BitLocker HLK-Test sollte nur auf einem Computer ausgeführt werden, auf dem BitLocker installiert ist. Ereignisprotokolle werden auf dem Computer überprüft, auf dem sie generiert werden.
    2. Gemessene Startprotokolle. Dies finden Sie auch unter C:\Windows\Logs\MeasuredBoot
  3. Analysieren Sie das gemessene Startprotokoll mithilfe TBSLogGenerator.exe oder gleichwertigen Startprotokolls. Auf dem HLK-Controller wird TBSLogGenerator.exe unter dem HLK-Testverzeichnis gefunden, in dem Sie HLK installiert haben, z. B. C:\Program Files (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe."
    1. TBSLogGenerator.exe -lf-Pfad <zum gemessenen Startprotokoll>> OutputLog.txt
    2. Suchen Sie in OutputLog.txt nach "PCR[07]" und untersuchen Sie die Messungen, die in der Reihenfolge aufgeführt sind. Die erste Messung sollte wie folgt aussehen:

Screenshot of the measurements list in Output Log dot t x t.

BitLocker erwartet bestimmte statische Stamm von Vertrauensmessungen, die statische Stamm von Vertrauensmessungen in PCR7, und jede Variation in diesen Messungen verbietet häufig die Bindung an PCR7. Die folgenden Werte sollten gemessen werden (in der Reihenfolge und ohne zusätzliche Messungen zwischen) in PCR7:

  • Der Inhalt der SecureBoot-Variable
  • Der Inhalt der PK-Variable
  • Der Inhalt der KEK-Variable
  • Der Inhalt der EFI_IMAGE_SECURITY_DATABASE Variablen (DB)
  • Der Inhalt der EFI_IMAGE_SECURITY_DATABASE1 Variable (DBX)
  • (optional, aber häufig EV_SEPARATOR)
  • Einträge in den EFI_IMAGE_SECURITY_DATABASE, die verwendet werden, um EFI-Treiber oder EFI-Startanwendungen im Startpfad zu überprüfen. BitLocker erwartet hier nur einen Eintrag.

Häufige Probleme mit dem gemessenen Startprotokoll:

  • UEFI-Debugmodus auf
  • Fehlende PK- oder KEK-Variablen: PK/KEK-Messung verfügt über keine Daten (z. B. 4 Bytes von 0)
  • Nicht vertrauenswürdige UEFI CA-Signator

Einige gemessene Startprobleme, z. B. die Ausführung mit dem UEFI-Debugmodus, können vom Tester behoben werden. Andere Probleme erfordern möglicherweise eine Errata, in diesem Fall sollten Sie sich an das Microsoft-Support Team wenden, um Anleitungen zu erhalten.

Windows 10-Sicherheitsfeatures und -anforderungen für OEMs