Grundlegende Bereitstellung von BitLocker
Dieses Thema richtet sich an IT-Experten und beschreibt die Verwendung von BitLocker-Features für den Schutz Ihrer Daten mithilfe von Laufwerkverschlüsselung.
Die folgenden Abschnitte enthalten Informationen, die Sie bei der Entwicklung Ihres Standardbereitstellungsplans unterstützen, um BitLocker in Ihrem Unternehmen zu implementieren.
Verwenden von BitLocker zum Verschlüsseln von Volumes
Abwärtskompatibilität
Verwenden von manage-bde zum Verschlüsseln von Volumes mit BitLocker
Verwenden der PowerShell zum Verschlüsseln von Volumes mit BitLocker
Verwenden von BitLocker zum Verschlüsseln von Volumes
BitLocker stellt Betriebssystemen sowie eingebauten und austauschbaren Datenvolumes eine vollständige Volumeverschlüsselung (Full Volume Encryption, FVE) bereit. Um vollständig verschlüsselte Betriebssystemvolumes zu unterstützen, verwendet BitLocker ein nichtverschlüsseltes Systemvolume für die Dateien, die zum Starten, Entschlüsseln und Laden des Betriebssystems erforderlich sind. Dieses Volume wird während einer Neuinstallation von Client und Server-Betriebssystemen automatisch erstellt.
Wenn das Laufwerk als einzelner zusammenhängender Speicherplatz vorbereitet wurde, benötigt BitLocker ein neues Volume für die Startdateien. BdeHdCfg.exe kann diese Volumes erstellen.
Hinweis
Weitere Informationen zur Verwendung dieses Tools finden Sie unter Bdehdcfg in der Befehlszeilenreferenz.
Die BitLocker-Verschlüsselung erfolgt mithilfe der folgenden Methoden:
BitLocker-Systemsteuerung
Windows-Explorer
manage-bde-Befehlszeilenschnittstelle
BitLocker-Cmdlets für Windows PowerShell
Verschlüsseln von Volumes mithilfe der BitLocker-Systemsteuerung
Das Verschlüsseln von Volumes mithilfe der BitLocker-Systemsteuerung ist die Methode, die von zahlreichen Benutzern verwendet werden wird. Der Name der BitLocker-Systemsteuerung ist BitLocker-Laufwerkverschlüsselung. Die BitLocker-Systemsteuerung unterstützt das Verschlüsseln von Betriebssystemen, eingebauten Datenvolumes und austauschbaren Datenvolumes. Die BitLocker-Systemsteuerung organisiert die verfügbaren Laufwerke in der entsprechenden Kategorie basierend darauf, wie sich das Gerät bei Windows meldet. Im BitLocker-Systemsteuerungsapplet werden nur formatierte Volumes mit zugewiesenen Laufwerkbuchstaben korrekt angezeigt.
Um die Verschlüsselung eines Volumes zu starten, wählen Sie für das entsprechende Laufwerk BitLocker aktivieren aus, um den Assistenten für die BitLocker-Laufwerkverschlüsselung zu initialisieren. Die im Assistenten für die BitLocker-Laufwerkverschlüsselung verfügbaren Optionen sind vom Typ des Volumes abhängig (Betriebssystem- oder Datenvolume).
Betriebssystemvolume
Nach dem Start überprüft der Assistent für die BitLocker-Laufwerkverschlüsselung, ob der Computer die BitLocker-Systemanforderungen für die Verschlüsselung eines Betriebssystemvolumes erfüllt. Standardmäßig sind die Systemanforderungen folgende:
| Anforderung | Beschreibung |
|---|---|
Hardwarekonfiguration |
Der Computer muss die Mindestanforderungen für die unterstützten Windows-Versionen erfüllen. |
Betriebssystem |
BitLocker ist ein optionales Feature, das vom Server-Manager auf Windows Server 2012 und höher installiert werden kann. |
Hardware-TPM |
TPM-Version 1.2 oder 2.0 Für BitLocker ist kein TPM erforderlich. Nur Computer mit einem TPM können jedoch die zusätzliche Sicherheit durch die Überprüfung der Systemintegrität vor dem Start und die mehrstufige Authentifizierung bereitstellen. |
BIOS-Konfiguration |
|
Dateisystem |
Bei Computern, die sytemeigen mit UEFI-Firmware gestartet werden, müssen mindestens eine FAT32-Partition für das Systemlaufwerk und eine NTFS-Partition für das Betriebssystemlaufwerk vorhanden sein. Bei Computern mit älterer BIOS-Firmware müssen mindestens zwei NTFS-Partitionen vorhanden sein, eine für das Systemlaufwerk und eine für das Betriebssystemlaufwerk. Für beide Firmwaretypen muss die Partition für das Systemlaufwerk eine Größe von mindestens 350 Megabyte (MB) haben und als aktive Partition festgelegt worden sein. |
Anforderungen für hardwareverschlüsselte Laufwerke (optional) |
Um ein hardwareverschlüsseltes Laufwerk als Startlaufwerk zu verwenden, muss sich das Laufwerk im nichtinitialisierten Status und im inaktiven Sicherheitsstatus befinden. Darüber hinaus muss das System stets mit der systemeigenen UEFI-Version 2.3.1 oder höher gestartet werden, und der CSM muss deaktiviert sein (wenn vorhanden). |
Nach erfolgreicher Erstkonfiguration müssen die Benutzer ein Kennwort für das Volume eingeben. Wenn die Erstkonfiguration des Volumes für BitLocker nicht erfolgreich ist, wird dem Benutzer ein Fehlerdialogfeld angezeigt, in dem die Aktionen beschrieben werden, die ausgeführt werden müssen.
Nach der Erstellung eines sicheren Kennworts für das Volume wird ein Wiederherstellungsschlüssel generiert. Der Assistent für die BitLocker-Laufwerkverschlüsselung fordert zur Angabe eines Speicherorts für diesen Schlüssel auf. Ein BitLocker-Wiederherstellungsschlüssel ist ein spezieller Schlüssel, den Sie erstellen können, wenn Sie die BitLocker-Laufwerkverschlüsselung auf den Laufwerken, die von Ihnen verschlüsselt werden, zum ersten Mal aktivieren. Sie können den Wiederherstellungsschlüssel verwenden, um auf Ihren Computer zuzugreifen, wenn das Laufwerk, auf dem Windows installiert ist (das Betriebssystemlaufwerk) mit BitLocker-Laufwerkverschlüsselung verschlüsselt ist und BitLocker eine Bedingung erkennt, die verhindert, dass das Laufwerk beim Starten des Computers entsperrt wird. Ein Wiederherstellungsschlüssel kann auch verwendet werden, um auf Dateien und Ordner auf einem mit BitLocker To Go verschlüsselten Wechseldatenträger (z. B. einer externen Festplatte oder einem USB-Speicherstick) zuzugreifen, wenn Sie das Kennwort vergessen haben oder Ihr Computer nicht auf das Laufwerk zugreifen kann.
Bewahren Sie den Wiederherstellungsschlüssel auf, indem Sie ihn ausdrucken, auf Wechselmedien speichern oder als Datei in einem Netzwerkordner, auf OneDrive oder auf einem anderen Laufwerk Ihres Computers speichern, das Sie nicht verschlüsseln. Sie können den Wiederherstellungsschlüssel nicht im Stammverzeichnis eines eingebauten Laufwerks oder auf dem verschlüsselten Volume speichern. Sie können den Wiederherstellungsschlüssel für einen Wechseldatenträger (z. B. einen USB-Speicherstick) nicht auf Wechselmedien speichern. Idealerweise sollten Sie den Wiederherstellungsschlüssel getrennt von Ihrem Computer speichern. Nach dem Erstellen eines Wiederherstellungsschlüssels können Sie in der BitLocker-Systemsteuerung zusätzliche Kopien erstellen.
Wenn der Wiederherstellungsschlüssel ordnungsgemäß gespeichert wurde, fordert der Assistent für die BitLocker-Laufwerkverschlüsselung den Benutzer auf, zu entscheiden, wie das Laufwerk verschlüsselt werden soll. Es gibt zwei Möglichkeiten:
Nur verwendeten Speicherplatz verschlüsseln – verschlüsselt nur Speicherplatz, der Daten enthält
Gesamtes Laufwerk verschlüsseln – verschlüsselt das gesamte Volume einschließlich des freien Speicherplatzes
Es wird empfohlen, für Laufwerke, die nur wenige oder keine Daten enthalten, die Verschlüsselungsoption Nur verwendeten Speicherplatz verschlüsseln zu verwenden, und für Laufwerke, die Daten oder ein Betriebssystem enthalten, die Option Gesamtes Laufwerk verschlüsseln zu verwenden.
Hinweis
Gelöschte Dateien werden dem Dateisystem als freier Speicherplatz angezeigt, der nicht mittels der Option Nur verwendeten Speicherplatz verschlüsseln verschlüsselt wird. Solange sie nicht endgültig gelöscht oder überschrieben werden, enthalten gelöschte Dateien Informationen, die mit allgemein verwendeten Datenforensiktools wiederhergestellt werden können.
Nach Auswahl eines Verschlüsselungstyps und Klicken auf Weiter kann der Benutzer eine BitLocker-Systemprüfung ausführen (standardmäßig aktiviert). Dies stellt sicher, dass BitLocker ordnungsgemäß auf die Wiederherstellungs- und Verschlüsselungsschlüssel zugreifen kann, bevor die Volumeverschlüsselung gestartet wird. Es wird empfohlen, diese Systemprüfung vor dem Starten des Verschlüsselungsvorgangs auszuführen. Wenn die Systemprüfung nicht ausgeführt wird und ein Problem auftritt, wenn das Betriebssystem versucht, zu starten, muss der Benutzer den Wiederherstellungsschlüssel bereitstellen, um Windows zu starten.
Nach Abschluss der der Systemprüfung (wenn aktiviert) startet der Assistent für die BitLocker-Laufwerkverschlüsselung den Computer neu, um die Verschlüsselung zu starten. Benutzer müssen nach dem Neustart das gewählte Kennwort eingeben, um zum Betriebssystemvolume zu starten. Benutzer können den Verschlüsselungsstatus im Systeminfobereich oder in der BitLocker-Systemsteuerung überprüfen.
Bis zum Abschluss der Verschlüsselung sind lediglich die BitLocker-Verwaltungsoptionen für die Bearbeitung des Kennworts zum Schutz des Betriebssystemvolumes, für die Sicherung des Wiederherstellungsschlüssels und für die Deaktivierung von BitLocker verfügbar.
Datenvolume
Die Verschlüsselung von Datenvolumes mittels der BitLocker-Systemsteuerungsoberfläche funktioniert ähnlich wie die Verschlüsselung von Betriebssystemvolumes. Um den Assistenten für die BitLocker-Laufwerkverschlüsselung zu starten, wählen Benutzer in der Systemsteuerung BitLocker aktivieren aus.
Im Gegensatz zu Betriebssystemvolumes müssen Datenvolumes keine Konfigurationstests bestehen, damit der Assistent den Vorgang fortsetzt. Nach dem Starten des Assistenten werden verschiedene Authentifizierungsmethoden zum Entsperren des Laufwerks angezeigt. Die verfügbaren Optionen sind Kennwort und Smartcard und Laufwerk auf diesem Computer automatisch entsperren. Die zweite Option ist standardmäßig deaktiviert und entsperrt das Datenvolume, ohne dass der Benutzer eingreift, wenn das Betriebssystemvolume entsperrt wird.
Nach Auswahl der gewünschten Authentifizierungsmethode und von Weiter zeigt der Assistent Optionen für die Speicherung des Wiederherstellungsschlüssels an. Diese Optionen sind mit den Optionen für Betriebssystemvolumes identisch.
Nach dem Speichern des Wiederherstellungsschlüssels und der Auswahl von Weiter im Assistenten werden die verfügbaren Verschlüsselungsoptionen angezeigt. Diese Optionen sind mit den Optionen für Betriebssystemvolumes identisch: Nur verwendeten Speicherplatz verschlüsseln und Gesamtes Laufwerk verschlüsseln. Wenn das Volume, das verschlüsselt wird, neu oder leer ist, wird empfohlen, die Option „Nur verwendeten Speicherplatz verschlüsseln“ auszuwählen.
Nach Auswahl der Verschlüsselungsmethode wird ein abschließender Bestätigungsbildschirm angezeigt, bevor der Verschlüsselungsvorgang gestartet wird. Durch die Auswahl von Verschlüsselung starten wird die Verschlüsselung gestartet.
Der Verschlüsselungsstatus wird im Infobereich oder innerhalb der BitLocker-Systemsteuerung angezeigt.
OneDrive-Option
Es ist eine neue Option zum Speichern des BitLocker-Wiederherstellungsschlüssels mittels OneDrive verfügbar. Um diese Option verwenden zu können, darf der Computer nicht Mitglied einer Domäne sein, und der Benutzer muss ein Microsoft-Konto verwenden. Die Verwendung von OneDrive über lokale Konten ist nicht möglich. Die Verwendung der OneDrive-Option ist im Fall von Computern, die keiner Domäne angeschlossen sind, die standardmäßige und empfohlene Speichermethode für Wiederherstellungsschlüssel.
Benutzer können überprüfen, ob der Wiederherstellungsschlüssel ordnungsgemäß gespeichert wurde, indem sie auf OneDrive den BitLocker-Ordner suchen, der während des Speichervorgangs automatisch erstellt wird. Der Ordner enthält zwei Dateien: eine readme.txt und den Wiederherstellungsschlüssel. Benutzer, die mehr als ein Wiederherstellungskennwort auf OneDrive speichern, können den erforderlichen Wiederherstellungsschlüssel anhand des Dateinamens identifizieren. Die ID des Wiederherstellungsschlüssels wird am Ende des Dateinamens angehängt.
Verwenden von BitLocker innerhalb von Windows-Explorer
Benutzer können den Assistenten für die BitLocker-Laufwerkverschlüsselung in Windows-Explorer starten, indem sie mit der rechten Maustaste auf ein Volume klicken und BitLocker aktivieren auswählen. Diese Option ist auf Clientcomputern standardmäßig verfügbar. Auf Servern müssen Sie zunächst die BitLocker- und Desktopdarstellungsfeatures installieren, damit diese Option verfügbar wird. Nach der Auswahl von BitLocker aktivieren funktioniert der Assistent genau wie beim Start über die BitLocker-Systemsteuerung.
Abwärtskompatibilität
Die folgende Tabelle zeigt die Kompatibilitätsmatrix für Systeme, für die BitLocker aktiviert wurde und die anschließend zu einer anderen Version von Windows migriert wurden.
Tabelle 1: Kompatibilität zwischen verschlüsselten Windows 10-, Windows 8.1-, Windows 8- und Windows 7-Volumes
Verschlüsselungstyp |
Windows 10 und Windows 8.1 |
Windows 8 |
Windows 7 |
„Vollständig verschlüsselt“ auf Windows 8 |
Als „Vollständig verschlüsselt“ angezeigt |
Nicht verfügbar |
Als „Vollständig verschlüsselt“ angezeigt |
„Nur verwendeter Speicherplatz verschlüsselt“ auf Windows 8 |
Als „Verschlüsselung beim Schreiben“ angezeigt |
Nicht verfügbar |
Als „Vollständig verschlüsselt“ angezeigt |
Vollständig verschlüsseltes Volume in Windows 7 |
Als „Vollständig verschlüsselt“ angezeigt |
Als „Vollständig verschlüsselt“ angezeigt |
Nicht verfügbar |
"Teilweise verschlüsseltes Volume“ in Windows 7 |
Windows 10 und Windows 8.1 führen die Verschlüsselung unabhängig von Richtlinien durch. |
Windows 8 führt die Verschlüsselung unabhängig von Richtlinien durch. |
Nicht verfügbar |
Verschlüsseln von Volumes über die manage-bde-Befehlszeilenschnittstelle
Manage-bde ist ein Befehlszeilenhilfsprogramm, das für das Scripting von BitLocker-Vorgängen verwendet werden kann. Manage-bde bietet zusätzliche Optionen, die in der BitLocker-Systemsteuerung nicht angezeigt werden. Eine vollständige Liste der Optionen finden Sie unter Manage-bde.
Manage-bde bietet eine Vielzahl weiterer Optionen zum Konfigurieren von BitLocker. Das bedeutet, dass die Verwendung der Befehlssyntax vorsichtig erfolgen sollte und möglicherweise später Anpassungen durch den Benutzer erforderlich werden. Verwenden Sie z. B. nur den manage-bde -on-Befehl bei einem Datenvolume, so wird das Volume vollständig ohne Authentifizierungschutzvorrichtungen verschlüsselt. Ein auf diese Weise verschlüsseltes Volume erfordert dennoch eine Benutzerinteraktion, damit der BitLocker-Schutz aktiviert wird, obwohl der Befehl erfolgreich ausgeführt wurde, da eine Authentifizierungsmethode zum Volume hinzugefügt werden muss, damit es vollständig geschützt ist.
Befehlszeilenbenutzer müssen die richtige Syntax für eine bestimmte Situation ermitteln. Im folgenden Abschnitt wird die Verschlüsselung von Betriebssystemvolumes und Datenvolumes allgemein beschrieben.
Betriebssystemvolume
Unten sind Beispiele für grundlegende gültige Befehle für Betriebssystemvolumes aufgeführt. Allgemein wird durch die alleinige Verwendung des Befehls manage-bde -on <drive letter> das Betriebssystemvolume mit einem reinen TPM-Schutz und ohne Wiederherstellungsschlüssel verschlüsselt. Zahlreiche Umgebungen erfordern jedoch weitere sicherere Schutzvorrichtungen wie Kennwörter oder eine PIN und erwarten, dass Informationen mit einem Wiederherstellungsschlüssel wiederhergestellt werden können.
Ermitteln des Volumestatus
Es ist ratsam beim Verwenden von manage-bde den Volumestatus auf dem Zielsystem zu ermitteln. Verwenden Sie zum Ermitteln des Volumestatus den folgenden Befehl:
manage-bde -status
Dieser Befehl gibt die Volumes auf dem Ziel, den aktuellen Verschlüsselungsstatus und den Volumetyp (Betriebssystem oder Daten) für jedes Volume zurück. Mithilfe dieser Informationen können Benutzer die beste Verschlüsselungsmethode für ihre Umgebung ermitteln.
Aktivieren von BitLocker ohne einen TPM
Angenommen, Sie möchten BitLocker auf einem Computer ohne TPM-Chip aktivieren. Um BitLocker ordnungsgemäß für das Betriebssystemvolume zu aktivieren, müssen Sie einen USB-Speicherstick als Systemstartschlüssel zum Starten verwenden (in diesem Beispiel den Laufwerkbuchstaben E). Erstellen Sie zunächst mittels der Option -protectors den für die Verwendung von BitLocker benötigten Systemstartschlüssel, und speichern Sie diesen auf dem USB-Laufwerk unter E:. Starten Sie anschließend den Verschlüsselungsvorgang. Wenn Sie aufgefordert werden, die Verschlüsselung abzuschließen, müssen Sie den Computer neu starten.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Aktivieren von BitLocker nur mit einem TPM
Es ist möglich, das Betriebssystemvolume mittels manage-bde zu verschlüsseln, ohne definierte Schutzvorrichtungen zu verwenden. Geben Sie zu diesem Zweck folgenden Befehl ein:
manage-bde -on C:
Dadurch wird das Laufwerk mithilfe des TPM als Schutzvorrichtung verschlüsselt. Wenn sich ein Benutzer hinsichtlich der Schutzvorrichtung für ein Volume nicht sicher ist, kann er mittels der Option -protectors in manage-bde diese Informationen über folgenden Befehl anzeigen:
manage-bde -protectors -get <volume>
Bereitstellung von BitLocker mit zwei Schutzvorrichtungen
Ein weiteres Beispiel sind Benutzer mit Hardware ohne TPM-Funktionalität, die dem Betriebssystemvolume eine Kennwort- und SID-basierte Schutzvorrichtung hinzufügen möchten. In diesem Fall fügt der Benutzer zunächst die Schutzvorrichtungen hinzu. Dies erfolgt mit folgendem Befehl:
manage-bde -protectors -add C: -pw -sid <user or group>
Dieser Befehl erfordert, dass der Benutzer die Kennwortschutzvorrichtungen eingibt und bestätigt, bevor diese dem Volume hinzufügt werden. Nach der Aktivierung der Schutzvorrichtungen auf dem Volume muss der Benutzer nur noch BitLocker aktivieren.
Datenvolume
Datenvolumes verwenden für die Verschlüsselung die gleiche Syntax wie Betriebssystemvolumes, sie benötigen zum Abschließen des Vorgangs jedoch keine Schutzvorrichtungen. Die Verschlüsselung von Datenvolumes kann mittels des Basisbefehls manage-bde -on <drive letter> erfolgen. Alternativ können Benutzer dem Volume Schutzvorrichtungen hinzufügen. Es wird empfohlen, mindestens einen primären Schutz und einen Wiederherstellungsschutz zu einem Datenvolume hinzuzufügen.
Aktivieren von BitLocker mit einem Kennwort
Ein allgemeiner Schutz für ein Datenvolume ist der Kennwortschutz. Im folgenden Beispiel wird ein Kennwortschutz zum Volume hinzugefügt und BitLocker aktiviert.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Verwenden von manage-bde zum Verschlüsseln von Volumes mit BitLocker
Verschlüsseln von Volumes mit den BitLocker-Cmdlets für Windows PowerShell
Windows PowerShell-Cmdlets bieten eine alternative Möglichkeit zum Arbeiten mit BitLocker. Mit den Windows PowerShell-Scriptingfunktionen können Administratoren problemlos BitLocker-Optionen in vorhandene Skripts integrieren. Die folgende Liste enthält die verfügbaren BitLocker-Cmdlets.
Name |
Parameter |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
Ähnlich wie bei manage-bde bieten die Windows PowerShell-Cmdlets Konfigurationsoptionen, die über die in der Systemsteuerung bereitgestellten Optionen hinaus gehen. Wie bei manage-bde müssen Benutzer die spezifischen Anforderungen des zu verschlüsselnden Volumes berücksichtigen, bevor sie Windows PowerShell-Cmdlets ausführen.
Ein guter erster Schritt besteht darin, den aktuellen Zustand der Volumes auf dem Computer zu ermitteln. Verwenden Sie hierzu das Get-BitLocker-Volume-Cmdlet. Die Ausgabe dieses Cmdlets enthält Informationen zum Typ des Volumes, zu den Schutzvorrichtungen und zum Schutzstatus sowie weitere nützliche Informationen.
Gelegentlich werden bei der Verwendung von Get-BitLockerVolume aufgrund von fehlendem Platz in der Ausgabeanzeige möglicherweise nicht alle Schutzmechanismen angezeigt. Wenn Ihnen für ein Volume nicht alle Schutzvorrichtungen angezeigt werden, können Sie den Pipebefehl (|) in Windows PowerShell verwenden, um eine Liste der Schutzvorrichtungen zu formatieren.
Hinweis
Wenn es für ein Volume mehr als vier Schutzvorrichtungen gibt, ist möglicherweise nicht genügend Anzeigeplatz für den Pipebefehl vorhanden. Verwenden Sie für Volumes mit mehr als vier Schutzvorrichtungen die im folgenden Abschnitt beschriebene Methode, um eine Liste aller Schutzmechanismen mit Schutzvorrichtungs-ID zu generieren.
Get-BitLockerVolume C: | fl
Wenn Sie die vorhandenen Schutzvorrichtungen vor der Bereitstellung von BitLocker auf dem Volume entfernen möchten, können Sie das Cmdlet Remove-BitLockerKeyProtector verwenden. Dafür muss die GUID entfernt werden, die der Schutzvorrichtung zugewiesen ist.
Ein einfaches Skript kann die Werte jeder Get-BitLockerVolume-Rückgabe folgendermaßen an eine andere Variable weiterreichen:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
So können Sie die Informationen in der Variablen $keyprotectors anzeigen, um die GUID der einzelnen Schutzvorrichtungen zu ermitteln.
Mithilfe dieser Informationen können Sie anschließend mit folgendem Befehl die Schlüsselschutzvorrichtung für ein bestimmtes Volume entfernen:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Hinweis
Für die Ausführung des BitLocker-Cmdlets muss die Schlüsselschutz-GUID in Anführungszeichen eingeschlossen werden. Stellen Sie sicher, dass die gesamte GUID inklusive der geschweiften Klammern in dem Befehl enthalten ist.
Betriebssystemvolume
Die Verwendung von BitLocker Windows PowerShell-Cmdlets ähnelt dem Arbeiten mit dem Tool manage-bde zur Verschlüsselung von Betriebssystemvolumes. Windows PowerShell bietet ein hohes Maß an Flexibilität. Benutzer können den gewünschten Schutz beispielsweise als Teilbefehl zum Verschlüsseln des Volumes hinzufügen. Im Folgenden werden Beispiele für häufige Benutzerszenarien und die für ihre Erstellung mittels der BitLocker-Cmdlets für Windows PowerShell erforderlichen Schritte aufgeführt.
Aktivieren von BitLocker nur mit TPM-Schutzvorrichtung Dies kann mithilfe des folgenden Befehls ausgeführt werden:
Enable-BitLocker C:
Im folgenden Beispiel wird eine zusätzliche Schutzvorrichtung hinzugefügt, die Systemstartschlüssel-Schutzvorrichtung, und der BitLocker-Hardwaretest wird übersprungen. In diesem Beispiel wird die Verschlüsselung sofort ohne die Notwendigkeit eines Neustarts gestartet.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Datenvolume
Die Verschlüsselung von Datenvolumes mithilfe von Windows PowerShell entspricht dem Vorgang für Betriebssystemvolumes. Sie sollten vor dem Verschlüsseln des Volumes die gewünschten Schutzvorrichtungen hinzufügen. Im folgenden Beispiel wird durch die Verwendung der Variablen $pw als Kennwort dem Volume E: eine Kennwortschutzvorrichtung hinzugefügt. Die Variable $pw wird als SecureString-Wert zum Speichern des benutzerdefinierten Kennworts verwendet. Schließlich wird die Verschlüsselung gestartet.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Verwenden einer SID basierten Schutzvorrichtung in Windows PowerShell
Die Schutzvorrichtung ADAccountOrGroup ist eine Active Directory-SID-basierte Schutzvorrichtung. Dieser Schutz kann zu Betriebssystem- und Datenvolumes hinzugefügt werden, obwohl dadurch keine Betriebssystemvolumes in der Pre-Boot-Umgebung entsperrt werden. Die Schutzvorrichtung setzt voraus, dass die SID für das Domänenkonto oder die Gruppe mit der Schutzvorrichtung verknüpft wird. BitLocker kann einen clusterfähigen Datenträger schützen, indem eine SID-basierte Schutzvorrichtung für das Clusternamenobjekt hinzugefügt wird, der einen ordnungsgemäßen Failover zulässt und von jedem Mitgliedscomputer des Clusters entsperrt werden kann.
Warnung
Die SID-basierte Schutzvorrichtung erfordert die Verwendung einer zusätzlichen Schutzvorrichtung (z. B. TPM, PIN, Wiederherstellungsschlüssel usw.), wenn sie auf Betriebssystemvolumes verwendet wird.
Um einem Volume eine ADAccountOrGroup-Schutzvorrichtung hinzuzufügen, müssen entweder der tatsächlichen Domänen-SID oder dem Gruppennamen die Domäne und ein umgekehrter Schrägstrich vorangestellt werden. Im folgenden Beispiel wird das Konto CONTOSO\Administrator dem Datenvolume G als Schutzvorrichtung hinzugefügt.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Der erste Schritt für Benutzer, die die SID für das Konto oder die Gruppe verwenden möchten, ist das Ermitteln der dem Konto zugeordneten SID. Verwenden Sie zum Abrufen der spezifischen SID für ein Benutzerkonto in Windows PowerShell den folgenden Befehl:
get-aduser -filter {samaccountname -eq "administrator"}
Hinweis
Für die Verwendung dieses Befehls ist das RSAT-AD-PowerShell-Feature erforderlich.
Tipp
Zusätzlich zum oben genannten Windows PowerShell-Befehl können Sie mithilfe des Befehls WHOAMI/all Informationen zum lokal angemeldeten Benutzer und zur Gruppenmitgliedschaft suchen. Dazu sind keine zusätzlichen Features erforderlich.
Im folgenden Beispiel möchte der Benutzer dem zuvor verschlüsselten Betriebssystemvolume eine Domänen-SID-basierte Schutzvorrichtung hinzufügen. Der Benutzer kennt die SID für das Benutzerkonto oder die Gruppe, die er hinzufügen möchte, und verwendet den folgenden Befehl:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
Hinweis
Active Directory-basierte Schutzvorrichtungen werden normalerweise verwendet, um Failovercluster-kompatible Volumes zu entsperren.
Verwenden der PowerShell zum Verschlüsseln von Volumes mit BitLocker
Überprüfen des Status von BitLocker
Um den BitLocker-Status eines bestimmten Volumes zu prüfen, können Administratoren den Status des Laufwerks im BitLocker-Systemsteuerungsapplet, im Windows-Explorer, im manage-bde-Befehlszeilentool oder in Windows PowerShell-Cmdlets anzeigen. Jede Option bietet verschiedene Ebenen von Details und Benutzerfreundlichkeit. Wir werden die einzelnen verfügbaren Methoden im folgenden Abschnitt betrachten.
Prüfen des BitLocker-Status mit der Systemsteuerung
Die Prüfung des BitLocker-Status mit der Systemsteuerung ist die Methode, die von der Mehrzahl der Benutzer am häufigsten verwendet wird. Nach dem Öffnen wird der Status der einzelnen Volumes neben der Beschreibung des Volumes und dem Laufwerkbuchstaben angezeigt. Die Rückgabewerte für die verfügbaren Status bei Verwendung der Systemsteuerung sind:
Status |
Beschreibung |
Ein |
BitLocker ist für dieses Volume aktiviert. |
Aus |
BitLocker ist für dieses Volume nicht aktiviert. |
Angehalten |
BitLocker wurde angehalten und schützt das Volume nicht aktiv. |
Auf Aktivierung warten |
BitLocker ist mit einem unverschlüsselten Schutzvorrichtungsschlüssel aktiviert und erfordert weitere Aktionen, um vollständigen Schutz zu bieten. |
Wenn ein Laufwerk vorab mit BitLocker bereitgestellt wird, wird der Status „Auf Aktivierung warten“ mit einem gelben Ausrufezeichensymbol für Laufwerk E angezeigt. Dieser Status bedeutet, dass beim Verschlüsseln des Volumes lediglich eine unverschlüsselter Schutzvorrichtung verwendet wurde. In diesem Fall befindet sich das Volume nicht in einem geschützten Status und ihm muss ein sicherer Schlüssel hinzugefügt werden, damit der Datenträger vollständig geschützt ist. Administratoren können die Systemsteuerung, das manage-bde-Tool oder WMI-APIs verwenden, um eine entsprechende Schutzvorrichtung hinzuzufügen. Nach Abschluss des Vorgangs wird die Systemsteuerung entsprechend dem neuen Status aktualisiert.
Administratoren können in der Systemsteuerung BitLocker aktivieren auswählen, um den Assistenten für die BitLocker-Laufwerkverschlüsselung zu starten und einem Datenvolume eine Schutzvorrichtung wie eine PIN für ein Betriebssystemvolume (oder ein Kennwort, wenn kein TPM vorhanden ist), ein Kennwort oder eine Smartcard hinzuzufügen.
Vor dem Ändern des Volumestatus wird das Fenster für die Laufwerksicherheit angezeigt. Durch Auswahl von BitLocker aktivieren wird der Verschlüsselungsvorgang abgeschlossen.
Nach Abschluss der BitLocker-Aktivierung wird der Hinweis zum Abschluss angezeigt.
Prüfen des BitLocker-Status mit manage-bde
Administratoren, die eine Befehlszeilenschnittstelle bevorzugen, können den Volumenstatus mithilfe von manage-bde prüfen. manage-bde kann eine größere Zahl von Informationen über das Volume als die grafischen Benutzeroberflächentools in der Systemsteuerung zurückgeben. Beispielsweise kann manage-bde die verwendete BitLocker-Version, den Verschlüsselungstyp und die dem Volume zugeordneten Schutzvorrichtungen anzeigen.
Um den Status eines Volumes mit manage-bde zu prüfen, verwenden Sie den folgenden Befehl:
manage-bde -status <volume>
Hinweis
Wenn dem Befehl -status kein Volumebuchstabe zugeordnet ist, wird der Status aller Volumes auf dem Computer angezeigt.
Prüfen des BitLocker-Status mit Windows PowerShell
Windows PowerShell-Befehle bieten eine weitere Möglichkeit, den BitLocker-Status von Volumes abzufragen. Wie manage-bde bietet Windows PowerShell den Vorteil, dass der Status eines Volumes auf einem Remotecomputer geprüft werden kann.
Bei Verwendung des Cmdlets „Get-BitLockerVolume“ wird für jedes Volume auf dem System der aktuelle BitLocker-Status angezeigt. Um detailliertere Informationen zu einem spezifischen Volume abzurufen, verwenden Sie den folgenden Befehl:
Get-BitLockerVolume <volume> -Verbose | fl
Mit diesem Befehl werden Informationen über die Verschlüsselungsmethode, den Volumetyp, wichtige Schutzvorrichtungen usw. angezeigt.
Bereitstellen von BitLocker während einer Betriebssystembereitstellung
Administratoren können BitLocker vor der Betriebssystembereitstellung in der Windows-Vorinstallationsumgebung (WinPE) aktivieren. Dies erfolgt anhand einer zufällig genierten eindeutigen Schlüsselschutzvorrichtung, die auf das formatierte Volume angewendet wird und das Volume verschlüsselt, bevor der Windows Setup-Prozess ausgeführt wird. Wenn die Verschlüsselung die später in diesem Dokument beschriebene Option „Nur verwendeten Speicherplatz verschlüsseln“ verwendet, dauert dieser Schritt nur einige wenige Sekunden und kann gut in den regulären Bereitstellungsprozess integriert werden.
Entschlüsseln von BitLocker-Volumes
Durch das Entschlüsseln von Volumes werden BitLocker und alle zugeordneten Schutzvorrichtungen von den Volumes entfernt. Die Entschlüsselung sollte erfolgen, wenn kein Schutz mehr benötigt wird. Die BitLocker-Entschlüsselung sollte nicht im Rahmen einer Problembehandlung verwendet werden. BitLocker kann mithilfe des BitLocker-Systemsteuerungsapplets, von manage-bde oder von Windows PowerShell-Cmdlets von einem Volume entfernt werden. Die einzelnen Methoden werden weiter unten behandelt.
Entschlüsseln von Volumes über das BitLocker-Systemsteuerungsapplet
Die BitLocker-Entschlüsselung über die Systemsteuerung wird mithilfe eines Assistenten durchgeführt. Die Systemsteuerung kann über den Windows-Explorer oder direkt geöffnet werden. Nach dem Öffnen der BitLocker-Systemsteuerung wählen die Benutzer die Option „BitLocker deaktivieren“ aus, um den Vorgang zu starten.
Nach Auswahl dieser Option setzt der Benutzer den Vorgang fort, indem er den Vorgang im Bestätigungsdialogfeld bestätigt. Nachdem die Deaktivierung von BitLocker bestätigt wurde, wird der Vorgang zur Laufwerkentschlüsselung gestartet, und der Status wird der Systemsteuerung gemeldet.
Die Entschlüsselungsfortschritte werden nicht in der Systemsteuerung, sondern im Infobereich auf der Taskleiste angezeigt. Nach Auswahl des Infobereichsymbols wird ein modales Dialogfeld geöffnet, in dem die Fortschritte angezeigt werden.
Nach Abschluss der Entschlüsselung wird der Laufwerkstatus in der Systemsteuerung aktualisiert, und das Laufwerk kann verschlüsselt werden.
Entschlüsseln von Volumes über die manage-bde-Befehlszeilenschnittstelle
Das Entschlüsseln von Volumes mithilfe von manage-bde ist sehr einfach. Die Entschlüsselung mithilfe von manage-bde bietet den Vorteil, dass keine Bestätigung durch den Benutzer erforderlich ist, um den Vorgang zu starten. Manage-bde verwendet den Befehl -off, um den Entschlüsselungsvorgang zu starten. Ein Beispielbefehl für die Entschlüsselung ist:
manage-bde -off C:
Dieser Befehl deaktiviert während der Entschlüsselung des Volumes Schutzvorrichtungen und entfernt nach Abschluss der Entschlüsselung alle Schutzvorrichtungen. Benutzer können den Status der Entschlüsselung mittels des folgenden Befehls prüfen:
manage-bde -status C:
Entschlüsseln von Volumes über die BitLocker-Cmdlets für Windows PowerShell
Das Entschlüsseln mithilfe von Windows PowerShell-Cmdlets ist einfach und der Entschlüsselung mithilfe von manage-bde vergleichbar. Windows PowerShell bietet den zusätzlichen Vorteil, dass mehrere Laufwerke in einem Durchgang entschlüsselt werden können. Im folgenden Beispiel möchte der Benutzer drei verschlüsselte Volumes entschlüsseln.
Mithilfe des Befehls „BitLocker deaktivieren“ kann er alle Schutzvorrichtungen und die Verschlüsselung gleichzeitig entfernen, ohne dass zusätzliche Befehle erforderlich sind. Ein Beispiel für diesen Befehl ist:
DisableBitLocker
Wenn ein Benutzer die einzelnen Bereitstellungspunkte nicht einzeln eingeben möchte, kann mithilfe des Parameters -MountPoint in einem Array der gleiche Befehl in einer einzigen Zeile sequenziert werden, ohne dass zusätzliche Benutzereingaben erforderlich sind. Ein Beispielbefehl ist:
Disable-BitLocker -MountPoint E:,F:,G:
Weitere Informationen
Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien
BitLocker-Wiederherstellungsleitfaden