BitLocker
Dieses Thema enthält eine grobe Übersicht über BitLocker, einschließlich einer Liste der Systemanforderungen, praktischer Anwendungen und veraltete Features.
Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.
BitLocker bietet den größten Schutz bei Verwendung mit einem Trusted Platform Module (TPM) 1.2 oder höher. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.
Auf Computern ohne TPM-Version 1.2 oder höher können Sie BitLocker dennoch verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Allerdings muss der Benutzer für diese Implementierung einen USB-Systemstartschlüssel zum Starten des Computers oder Fortsetzen aus dem Ruhezustand einsetzen. Ab Windows 8 können Sie ein Betriebssystem-Volumekennwort verwenden, um das Betriebssystemvolume auf einem Computer ohne TPM zu schützen. Beide Optionen bieten nicht die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM anbietet.
Zusätzlich zu den TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Wechselmedium einführt, z. B. einen USB-Speicherstick, der einen Systemstartschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und sorgen dafür, dass der Computer nicht startet oder den Betrieb aus dem Ruhezustand fortsetzt, bis die richtige PIN oder ein Systemstartschlüssel bereitgestellt wird.
Praktische Anwendungsfälle
Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.
Es gibt zwei zusätzliche Tools in den Remoteserver-Verwaltungstools, die Sie zum Verwalten von BitLocker verwenden können.
BitLocker-Wiederherstellungskennwort-Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie die BitLocker-Laufwerksverschlüsselungswiederherstellungskennwörter auffinden und anzeigen, die in den Active Directory-Domänendiensten (AD DS) gesichert wurden. Sie können mit diesem Tool Daten wiederherstellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung für Active Directory-Benutzer und das MMC-Snap-In.
Mit diesem Tool können Sie das Dialogfeld Eigenschaften eines Computerobjekts überprüfen, um die entsprechenden BitLocker-Wiederherstellungskennwörter anzuzeigen. Darüber hinaus können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann über alle Domänen in der Active Directory-Gesamtstruktur hinweg nach einem BitLocker-Wiederherstellungskennwort suchen. Zum Anzeigen von Wiederherstellungskennwörtern müssen Sie ein Domänenadministrator sein oder von einem Domänenadministrator entsprechende Berechtigungen delegiert bekommen.
Tools zur BitLocker-Laufwerkverschlüsselung. BitLocker-Laufwerksverschlüsselungstools umfassen die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell. Sowohl manage-bde als auch die BitLocker-Cmdlets können zum Ausführen von Aufgaben verwendet werden, die über die BitLocker-Systemsteuerung ausgeführt werden können und sie sind für automatisierte Bereitstellungen und andere Scripting-Szenarien geeignet. Repair-bde wird für Notfallwiederherstellungsszenarien bereitgestellt, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mithilfe der Wiederherstellungskonsole entsperrt werden kann.
Neue und geänderte Funktionen
Die Neuerungen in BitLocker für Windows 10 finden Sie unter Neuerungen in BitLocker
Systemanforderungen
BitLocker besitzt folgende Hardwareanforderungen:
Damit BitLocker die von einem Trusted Platform Module (TPM) bereitgestellte Überprüfung der Systemintegrität verwenden kann, muss auf dem Computer TPM 1.2 oder höher installiert sein. Wenn Ihr Computer nicht über ein TPM verfügt, ist es für die Aktivierung von Bitlocker erforderlich, dass Sie einen Systemstartschlüssel auf einem Wechselmedium speichern, z. B. einem USB-Flashlaufwerk.
Ein Computer mit einem TPM muss außerdem eine Trusted Computing Group (TCG)-kompatible BIOS und UEFI-Firmware besitzen. Die BIOS- oder UEFI-Firmware stellt eine Vertrauenskette für vor dem Betriebssystemstart her, und die Unterstützung für TCG-spezifische Static Root of Trust Measurement TCG umfassen. Bei einem Computer ohne TPM ist keine TCG-konforme Firmware erforderlich.
Die System-BIOS- oder UEFI-Firmware (für Computer mit und ohne TPM) muss die Geräteklasse für USB-Massenspeicher unterstützen, einschließlich des Lesens kleiner Dateien auf einem USB-Speicherstick in der Vorabbetriebssystemumgebung.
Die Festplatte muss mit mindestens zwei Laufwerken partitioniert werden:
Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und unterstützende Dateien. Es muss mit dem NTFS-Dateisystem formatiert sein.
Das Systemlaufwerk enthält die Dateien, die benötigt werden, um Windows zu laden, nachdem die Firmware die Systemhardware vorbereitet hat. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker funktioniert, darf das Systemlaufwerk nicht verschlüsselt sein, muss vom Betriebssystemlaufwerk abweichen und auf Computern mit dem FAT32-Dateisystem formatiert sein, die UEFI-basierte Firmware verwenden oder auf Computern mit dem NTFS-Dateisystem formatiert sein, die BIOS-Firmware verwenden. Wir empfehlen, dass das Systemlaufwerk ungefähr 350 MB groß ist. Nachdem BitLocker aktiviert ist, sollten etwa 250 MB Speicherplatz frei sein.
Bei der Installation auf einem neuen Computer erstellt Windows die Partitionen automatisch, die für BitLocker erforderlich sind.
Bei der Installation der optionalen BitLocker-Komponente auf einem Server müssen Sie außerdem das Erweiterte Speicher-Feature installieren, das für die Unterstützung hardwareverschlüsselter Laufwerke verwendet wird.
Inhalt dieses Abschnitts
| Thema | Beschreibung |
|---|---|
Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker |
In diesem Thema für die IT-Spezialisten werden häufig gestellte Fragen zu den Anforderungen für die Verwendung, Aktualisierung und Bereitstellung von BitLocker sowie zu den Schlüsselverwaltungsrichtlinien für BitLocker beantwortet. |
Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien |
In diesem Thema, das sich an IT-Experten richtet, wird erläutert, wie Sie Ihre BitLocker-Bereitstellung planen können. |
Dieses Thema richtet sich an IT-Experten und beschreibt die Verwendung von BitLocker-Features für den Schutz Ihrer Daten mithilfe von Laufwerkverschlüsselung. |
|
In diesem Thema für IT-Experten wird erläutert, wie BitLocker und Windows Server 2012 und höher bereitgestellt werden. |
|
In diesem Thema für IT-Experten wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und konfiguriert wird. |
|
BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLocker |
In diesem Thema für IT-Spezialisten werden die Tools zum Verwalten von BitLocker beschrieben. |
BitLocker: Verwenden des BitLocker-Wiederherstellungskennwort-Viewers |
In diesem Thema für IT-Experten wird beschrieben, wie der BitLocker-Wiederherstellungskennwort-Viewer verwendet wird. |
In diesem Thema für IT-Experten werden die Funktion, Position und der Effekt der einzelnen Gruppenrichtlinieneinstellungen zum Verwalten der BitLocker-Laufwerksverschlüsselung beschrieben. |
|
Dieses Thema für IT-Experten beschreibt die BCD-Einstellungen, die von BitLocker verwendet werden. |
|
In diesem Thema für IT-Experten wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden. |
|
In diesem ausführlichen Handbuch erfahren Sie mehr über die Umstände, unter denen die Verwendung der Authentifizierung vor dem Start für Geräte unter Windows 10, Windows 8.1, Windows 8 oder Windows 7 empfohlen wird und wann sie in der Konfiguration eines Geräts sicher darauf verzichten werden kann. |
|
Schützen freigegebener Clustervolumes und SANs (Storage Area Networks) mit BitLocker |
In diesem Thema für IT-Experten wird beschrieben, wie der Schutz von CSVs (Cluster Shared Volumes, freigegebene Clustervolumes) und SANs mit BitLocker erfolgt. |