BitLockerBitLocker

BetrifftApplies to

  • Windows 10Windows10

Dieses Thema enthält eine grobe Übersicht über BitLocker, einschließlich einer Liste der Systemanforderungen, praktischer Anwendungen und veralteter Features.This topic provides a high-level overview of BitLocker, including a list of system requirements, practical applications, and deprecated features.

BitLocker-ÜbersichtBitLocker overview

Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.

BitLocker bietet den größten Schutz bei Verwendung mit einem Trusted Platform Module (TPM) 1.2 oder höher.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.

Auf Computern ohne TPM-Version 1.2 oder höher können Sie BitLocker dennoch verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Allerdings muss der Benutzer für diese Implementierung einen USB-Systemstartschlüssel zum Starten des Computers oder Fortsetzen aus dem Ruhezustand einsetzen.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. Ab Windows 8 können Sie ein Betriebssystem-Volumekennwort verwenden, um das Betriebssystemvolume auf einem Computer ohne TPM zu schützen.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Beide Optionen bieten nicht die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM anbietet.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.

Zusätzlich zu den TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Wechselmedium einführt, z. B. einen USB-Speicherstick, der einen Systemstartschlüssel enthält.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und sorgen dafür, dass der Computer nicht startet oder den Betrieb aus dem Ruhezustand fortsetzt, bis die richtige PIN oder ein Systemstartschlüssel bereitgestellt wird.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.

Praktische AnwendungsfällePractical applications

Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer's hard disk to a different computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

Es gibt zwei zusätzliche Tools in den Remoteserver-Verwaltungstools, die Sie zum Verwalten von BitLocker verwenden können.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

  • BitLocker-Wiederherstellungskennwort-Viewer.BitLocker Recovery Password Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie die BitLocker-Laufwerksverschlüsselungswiederherstellungskennwörter auffinden und anzeigen, die in den Active Directory-Domänendiensten (AD DS) gesichert wurden.The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). Sie können mit diesem Tool Daten wiederherstellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung für Active Directory-Benutzer und das MMC-Snap-In.The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. Mit diesem Tool können Sie das Dialogfeld Eigenschaften eines Computerobjekts überprüfen, um die entsprechenden BitLocker-Wiederherstellungskennwörter anzuzeigen.By using this tool, you can examine a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords. Darüber hinaus können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann über alle Domänen in der Active Directory-Gesamtstruktur hinweg nach einem BitLocker-Wiederherstellungskennwort suchen.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Zum Anzeigen von Wiederherstellungskennwörtern müssen Sie ein Domänenadministrator sein oder von einem Domänenadministrator entsprechende Berechtigungen delegiert bekommen.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

  • Tools zur BitLocker-Laufwerkverschlüsselung.BitLocker Drive Encryption Tools. BitLocker-Laufwerksverschlüsselungstools umfassen die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Sowohl manage-bde als auch die BitLocker-Cmdlets können zum Ausführen von Aufgaben verwendet werden, die über die BitLocker-Systemsteuerung ausgeführt werden können und sie sind für automatisierte Bereitstellungen und andere Scripting-Szenarien geeignet.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Repair-bde wird für Notfallwiederherstellungsszenarien bereitgestellt, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mithilfe der Wiederherstellungskonsole entsperrt werden kann.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

Neue und geänderte FunktionalitätNew and changed functionality

Informationen zu den Neuerungen in BitLocker für Windows10, wie die Unterstützung des XTS-AES-Verschlüsselungsalgorithmus, finden Sie im Abschnitt BitLocker unter "Neuerungen in Windows 10".To find out what's new in BitLocker for Windows10, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."  

SystemanforderungenSystem requirements

BitLocker hat die folgenden Hardwareanforderungen:BitLocker has the following hardware requirements:

Damit BitLocker die Systemintegritätsprüfung verwendet, die von einem Trusted Platform Module (TPM) bereitgestellt wird, muss der Computer über TPM 1.2 oder höher verfügen.For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM1.2 or later. Wenn Ihr Computer nicht über ein TPM verfügt, ist es für die Aktivierung von Bitlocker erforderlich, dass Sie einen Systemstartschlüssel auf einem Wechselmedium speichern, z. B. einem USB-Flashlaufwerk.If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

Ein Computer mit einem TPM muss außerdem eine Trusted Computing Group (TCG)-kompatible BIOS und UEFI-Firmware besitzen.A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. Die BIOS- oder UEFI-Firmware stellt eine Vertrauenskette für vor dem Betriebssystemstart her, und die Unterstützung für TCG-spezifische Static Root of Trust Measurement TCG umfassen.The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. Bei einem Computer ohne TPM ist keine TCG-konforme Firmware erforderlich.A computer without a TPM does not require TCG-compliant firmware.

Die System-BIOS- oder UEFI-Firmware (für Computer mit und ohne TPM) muss die Geräteklasse für USB-Massenspeicher unterstützen, einschließlich des Lesens kleiner Dateien auf einem USB-Speicherstick in der Vorabbetriebssystemumgebung.The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Wichtig

Unter Windows 7 können Sie ein Betriebssystemlaufwerk ohne TPM und USB-Flashlaufwerk verschlüsseln.From Windows 7, you can encrypt an OS drive without a TPM and USB flash drive. Dieses Verfahren finden Sie unter Tipp des Tages: BitLocker ohne TPM oder USB.For this procedure, see Tip of the Day: Bitlocker without TPM or USB.

Hinweis

TPM 2,0 wird im Legacy-und CSM-Modus des BIOS nicht unterstützt.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Bei Geräten mit TPM 2,0 muss der BIOS-Modus nur als systemeigener UEFI konfiguriert sein.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Die Optionen für Legacy-und Kompatibilitäts Unterstützungs Module (CSM) müssen deaktiviert sein.The Legacy and Compatibility Support Module (CSM) options must be disabled. Für zusätzliche Sicherheit aktivieren Sie das Feature für sicheres Booten.For added security Enable the Secure Boot feature.

Das installierte Betriebs System auf der Hardware im Legacy Modus verhindert das Booten des Betriebssystems, wenn der BIOS-Modus in UEFI geändert wird.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. Verwenden Sie das Tool MBR2GPT , bevor Sie den BIOS-Modus ändern, der das Betriebssystem und den Datenträger zur Unterstützung von UEFI vorbereitet.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

Die Festplatte muss mit mindestens zwei Laufwerken partitioniert werden:The hard disk must be partitioned with at least two drives:

  • Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und unterstützende Dateien.The operating system drive (or boot drive) contains the operating system and its support files. Es muss mit dem NTFS-Dateisystem formatiert sein.It must be formatted with the NTFS file system.
  • Das Systemlaufwerk enthält die Dateien, die benötigt werden, um Windows zu laden, nachdem die Firmware die Systemhardware vorbereitet hat.The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. BitLocker ist auf diesem Laufwerk nicht aktiviert.BitLocker is not enabled on this drive. Damit BitLocker funktioniert, darf das Systemlaufwerk nicht verschlüsselt sein, muss vom Betriebssystemlaufwerk abweichen und auf Computern mit dem FAT32-Dateisystem formatiert sein, die UEFI-basierte Firmware verwenden oder auf Computern mit dem NTFS-Dateisystem formatiert sein, die BIOS-Firmware verwenden.For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. Wir empfehlen, dass das Systemlaufwerk ungefähr 350 MB groß ist.We recommend that system drive be approximately 350 MB in size. Nachdem BitLocker aktiviert ist, sollten etwa 250 MB Speicherplatz frei sein.After BitLocker is turned on it should have approximately 250 MB of free space.

Bei der Installation auf einem neuen Computer erstellt Windows die Partitionen automatisch, die für BitLocker erforderlich sind.When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

Bei der Installation der optionalen BitLocker-Komponente auf einem Server müssen Sie außerdem das Feature „Erweitertes Speichern“ installieren, das für die Unterstützung hardwareverschlüsselter Laufwerke verwendet wird.When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

Inhalt dieses AbschnittsIn this section

ThemaTopic BeschreibungDescription
Übersicht über die BitLocker-Geräteverschlüsselung in Windows10Overview of BitLocker Device Encryption in Windows 10 Dieses Thema für IT-Spezialisten bietet eine Übersicht über die verschiedenen Möglichkeiten, mit denen Daten auf Geräten unter Windows10 mit BitLocker-Geräteverschlüsselung geschützt werden können.This topic for the IT professional provides an overview of the ways that BitLocker Device Encryption can help protect data on devices running Windows 10.
Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLockerBitLocker frequently asked questions (FAQ) In diesem Thema für IT-Spezialisten werden häufig gestellte Fragen zu den Anforderungen für die Verwendung, Aktualisierung, Bereitstellung und Verwaltung von BitLocker sowie zu den Schlüsselverwaltungsrichtlinien für BitLocker beantwortet.This topic for the IT professional answers frequently asked questions concerning the requirements to use, upgrade, deploy and administer, and key management policies for BitLocker.
Vorbereiten Ihrer Organisation auf BitLocker: Planung und RichtlinienPrepare your organization for BitLocker: Planning and policies In diesem Thema, das sich an IT-Experten richtet, wird erläutert, wie Sie Ihre BitLocker-Bereitstellung planen können.This topic for the IT professional explains how can you plan your BitLocker deployment.
Grundlegende Bereitstellung von BitLockerBitLocker basic deployment Dieses Thema richtet sich an IT-Experten und beschreibt die Verwendung von BitLocker-Features für den Schutz Ihrer Daten mithilfe von Laufwerkverschlüsselung.This topic for the IT professional explains how BitLocker features can be used to protect your data through drive encryption.
BitLocker: Bereitstellen unter Windows ServerBitLocker: How to deploy on Windows Server In diesem Thema für IT-Experten wird erläutert, wie BitLocker auf Windows Server bereitgestellt wird.This topic for the IT professional explains how to deploy BitLocker on Windows Server.
BitLocker: Aktivieren der NetzwerkentsperrungBitLocker: How to enable Network Unlock In diesem Thema für IT-Experten wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und konfiguriert wird.This topic for the IT professional describes how BitLocker Network Unlock works and how to configure it.
BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLockerBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker In diesem Thema für IT-Spezialisten werden die Tools zum Verwalten von BitLocker beschrieben.This topic for the IT professional describes how to use tools to manage BitLocker.
BitLocker: Verwenden des BitLocker-Wiederherstellungskennwort-ViewersBitLocker: Use BitLocker Recovery Password Viewer In diesem Thema für IT-Experten wird beschrieben, wie der BitLocker-Wiederherstellungskennwort-Viewer verwendet wird.This topic for the IT professional describes how to use the BitLocker Recovery Password Viewer.
BitLocker-GruppenrichtlinieneinstellungenBitLocker Group Policy settings In diesem Thema für IT-Experten werden die Funktion, Position und der Effekt der einzelnen Gruppenrichtlinieneinstellungen zum Verwalten von BitLocker beschrieben.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker.
BCD-Einstellungen und BitLockerBCD settings and BitLocker Dieses Thema für IT-Experten beschreibt die BCD-Einstellungen, die von BitLocker verwendet werden.This topic for IT professionals describes the BCD settings that are used by BitLocker.
BitLocker-WiederherstellungsleitfadenBitLocker Recovery Guide In diesem Thema für IT-Experten wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden.This topic for IT professionals describes how to recover BitLocker keys from AD DS.
Schützen von BitLocker vor Angriffen vor dem StartProtect BitLocker from pre-boot attacks Dieser detaillierte Leitfaden hilft Ihnen, die Umstände zu verstehen, unter denen die Verwendung der Pre-Boot-Authentifizierung für Geräte mit Windows10, Windows 8,1, Windows 8 oder Windows 7 empfohlen wird. und wenn Sie sicher von der Konfiguration eines Geräts weggelassen werden kann.This detailed guide will help you understand the circumstances under which the use of pre-boot authentication is recommended for devices running Windows10, Windows 8.1, Windows 8, or Windows 7; and when it can be safely omitted from a device’s configuration.
Problembehandlung für BitLockerTroubleshoot BitLocker In diesem Leitfaden werden die Ressourcen beschrieben, die Ihnen bei der Behandlung von BitLocker-Problemen helfen können, und es werden Lösungen für verschiedene häufige BitLocker-Probleme bereitgestellt.This guide describes the resources that can help you troubleshoot BitLocker issues, and provides solutions for several common BitLocker issues.
Schützen freigegebener Clustervolumes und SANs (Storage Area Networks) mit BitLockerProtecting cluster shared volumes and storage area networks with BitLocker In diesem Thema für IT-Experten wird beschrieben, wie der Schutz von CSVs (Cluster Shared Volumes, freigegebene Clustervolumes) und SANs mit BitLocker erfolgt.This topic for IT pros describes how to protect CSVs and SANs with BitLocker.
Sicherer Start und BitLocker-Geräteverschlüsselung unter Windows10 IoT Core aktivierenEnabling Secure Boot and BitLocker Device Encryption on Windows 10 IoT Core In diesem Thema wird erläutert, wie Sie BitLocker mit Windows10 IoT Core verwendenThis topic covers how to use BitLocker with Windows 10 IoT Core