BitLocker und Distributed Key Manager (DKM) für die Verschlüsselung

Microsoft-Server verwenden BitLocker zum Verschlüsseln der Datenträgerlaufwerke, die ruhenden Kundendaten auf Volumeebene enthalten. BitLocker-Verschlüsselung ist eine Datenverschlüsselungsfunktion, die in Windows integriert ist. BitLocker ist eine der Technologien, die zum Schutz vor Bedrohungen verwendet werden, falls andere Prozesse oder Steuerelemente hinfällig werden (z. B. Zugriffssteuerung oder Access Control oder Recycling von Hardware), sodass andere Personen möglicherweise physischen Zugriff auf Laufwerke mit Kundendaten erlangen könnten. In diesem Fall eliminiert BitLocker das potenzielle Risiko für Datendiebstahl oder Offenlegung aufgrund von verloren gegangener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer und Datenträger.

BitLocker wird mit advanced Encryption Standard (AES) 256-Bit-Verschlüsselung auf Datenträgern bereitgestellt, die Kundendaten in Exchange Online, SharePoint Online und Skype for Business enthalten. Datenträgerbereiche werden mit einem Vollvolumeverschlüsselungsschlüssel (Full Volume Encryption Key, FVEK) verschlüsselt, der mit dem Volumehauptschlüssel (Volume Master Key, VMK) verschlüsselt wird, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. Das VMK schützt das FVEK direkt und daher wird der Schutz des VMK wichtig. Die folgende Abbildung zeigt ein Beispiel für die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall unter Verwendung eines Exchange Online Servers).

In der folgenden Tabelle wird die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall ein Exchange Online Server) beschrieben.

SCHLÜSSELSCHUTZ GRANULARITÄT WIE GENERIERT? WO WIRD ES GESPEICHERT? SCHUTZ
Externer AES-256-Bit-Schlüssel Pro Server BitLocker-APIs TPM- oder geheime Tresor Lockbox/Zugriffssteuerung
Postfachserverregistrierung TPM-verschlüsselt
48-stelliges numerisches Kennwort Pro Datenträger BitLocker-APIs Active Directory Lockbox/Zugriffssteuerung
X.509-Zertifikat als Datenwiederherstellungs-Agent (Data Recovery Agent, DRA) auch als Public Key Protector bezeichnet Umgebung (z. B. Exchange Online multitenant) Microsoft-Zertifizierungsstelle Buildsystem Kein Benutzer hat das vollständige Kennwort für den privaten Schlüssel. Das Kennwort unterliegt dem physischen Schutz.

Die BitLocker-Schlüsselverwaltung umfasst die Verwaltung von Wiederherstellungsschlüsseln, die zum Entsperren/Wiederherstellen verschlüsselter Datenträger in einem Microsoft-Rechenzentrum verwendet werden. Microsoft 365 speichert die Hauptschlüssel in einer gesicherten Freigabe, auf die nur Personen zugreifen können, die überprüft und genehmigt wurden. Die Anmeldeinformationen für die Schlüssel werden in einem gesicherten Repository für Zugriffssteuerungsdaten gespeichert (was wir als "geheimer Speicher" bezeichnen), was ein hohes Maß an Erweiterungs- und Verwaltungsgenehmigungen für den Zugriff mithilfe eines Just-in-Time-Zugriffserweiterungstools erfordert.

BitLocker unterstützt Schlüssel, die in zwei Verwaltungskategorien fallen:

  • Von BitLocker verwaltete Schlüssel, die in der Regel kurzlebig sind und an die Lebensdauer einer Betriebssysteminstanz auf einem Server oder einem bestimmten Datenträger gebunden sind. Diese Schlüssel werden während der Serverneuinstallation oder der Datenträgerformatierung gelöscht und zurückgesetzt.

  • BitLocker-Wiederherstellungsschlüssel, die außerhalb von BitLocker verwaltet, aber für die Datenträgerentschlüsselung verwendet werden. BitLocker verwendet Wiederherstellungsschlüssel für Szenarien, in denen ein Betriebssystem neu installiert wird, und bereits verschlüsselte Datenträger mit Daten vorhanden sind. Wiederherstellungsschlüssel werden auch von Überwachungstests für die verwaltete Verfügbarkeit in Exchange Online verwendet, in denen ein Reagierender ggf. einen Datenträger entsperren muss.

BitLocker-geschützte Volumes werden mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der wiederum mit einem Volumehauptschlüssel verschlüsselt wird. BitLocker verwendet FIPS-kompatible Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals im Klartext gespeichert oder über das Kabel gesendet werden. Die Microsoft 365-Implementierung des Schutzes von ruhenden Kundendaten weicht nicht von der BitLocker-Standardimplementierung ab.