BitLocker

Betrifft

  • Windows 10

Dieses Thema enthält eine grobe Übersicht über BitLocker, einschließlich einer Liste der Systemanforderungen, praktischer Anwendungen und veralteter Features.

Übersicht über BitLocker

Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.

BitLocker bietet den größten Schutz bei Verwendung mit einem Trusted Platform Module (TPM) 1.2 oder höher. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.

Auf Computern ohne TPM-Version 1.2 oder höher können Sie BitLocker dennoch verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Allerdings muss der Benutzer für diese Implementierung einen USB-Systemstartschlüssel zum Starten des Computers oder Fortsetzen aus dem Ruhezustand einsetzen. Ab Windows 8 können Sie ein Betriebssystem-Volumekennwort verwenden, um das Betriebssystemvolume auf einem Computer ohne TPM zu schützen. Beide Optionen bieten nicht die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM anbietet.

Zusätzlich zu den TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Wechselmedium einführt, z. B. einen USB-Speicherstick, der einen Systemstartschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und sorgen dafür, dass der Computer nicht startet oder den Betrieb aus dem Ruhezustand fortsetzt, bis die richtige PIN oder ein Systemstartschlüssel bereitgestellt wird.

Praktische Anwendungsfälle

Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.

Es gibt zwei zusätzliche Tools in den Remoteserver-Verwaltungstools, die Sie zum Verwalten von BitLocker verwenden können.

  • BitLocker-Wiederherstellungskennwort-Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie die BitLocker-Laufwerksverschlüsselungswiederherstellungskennwörter auffinden und anzeigen, die in den Active Directory-Domänendiensten (AD DS) gesichert wurden. Sie können mit diesem Tool Daten wiederherstellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung für Active Directory-Benutzer und das MMC-Snap-In. Mit diesem Tool können Sie das Dialogfeld Eigenschaften eines Computerobjekts überprüfen, um die entsprechenden BitLocker-Wiederherstellungskennwörter anzuzeigen. Darüber hinaus können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann über alle Domänen in der Active Directory-Gesamtstruktur hinweg nach einem BitLocker-Wiederherstellungskennwort suchen. Zum Anzeigen von Wiederherstellungskennwörtern müssen Sie ein Domänenadministrator sein oder von einem Domänenadministrator entsprechende Berechtigungen delegiert bekommen.

  • Tools zur BitLocker-Laufwerkverschlüsselung. BitLocker-Laufwerksverschlüsselungstools umfassen die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell. Sowohl manage-bde als auch die BitLocker-Cmdlets können zum Ausführen von Aufgaben verwendet werden, die über die BitLocker-Systemsteuerung ausgeführt werden können und sie sind für automatisierte Bereitstellungen und andere Scripting-Szenarien geeignet. Repair-bde wird für Notfallwiederherstellungsszenarien bereitgestellt, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mithilfe der Wiederherstellungskonsole entsperrt werden kann.

Neue und geänderte Funktionalität

Informationen zu den Neuerungen in BitLocker für Windows10, wie die Unterstützung des XTS-AES-Verschlüsselungsalgorithmus, finden Sie im Abschnitt BitLocker unter "Neuerungen in Windows 10".

Systemanforderungen

BitLocker hat die folgenden Hardwareanforderungen:

Damit BitLocker die Systemintegritätsprüfung verwendet, die von einem Trusted Platform Module (TPM) bereitgestellt wird, muss der Computer über TPM 1.2 oder höher verfügen. Wenn Ihr Computer nicht über ein TPM verfügt, ist es für die Aktivierung von Bitlocker erforderlich, dass Sie einen Systemstartschlüssel auf einem Wechselmedium speichern, z. B. einem USB-Flashlaufwerk.

Ein Computer mit einem TPM muss außerdem eine Trusted Computing Group (TCG)-kompatible BIOS und UEFI-Firmware besitzen. Die BIOS- oder UEFI-Firmware stellt eine Vertrauenskette für vor dem Betriebssystemstart her, und die Unterstützung für TCG-spezifische Static Root of Trust Measurement TCG umfassen. Bei einem Computer ohne TPM ist keine TCG-konforme Firmware erforderlich.

Die System-BIOS- oder UEFI-Firmware (für Computer mit und ohne TPM) muss die Geräteklasse für USB-Massenspeicher unterstützen, einschließlich des Lesens kleiner Dateien auf einem USB-Speicherstick in der Vorabbetriebssystemumgebung.

Die Festplatte muss mit mindestens zwei Laufwerken partitioniert werden:

  • Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und unterstützende Dateien. Es muss mit dem NTFS-Dateisystem formatiert sein.
  • Das Systemlaufwerk enthält die Dateien, die benötigt werden, um Windows zu laden, nachdem die Firmware die Systemhardware vorbereitet hat. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker funktioniert, darf das Systemlaufwerk nicht verschlüsselt sein, muss vom Betriebssystemlaufwerk abweichen und auf Computern mit dem FAT32-Dateisystem formatiert sein, die UEFI-basierte Firmware verwenden oder auf Computern mit dem NTFS-Dateisystem formatiert sein, die BIOS-Firmware verwenden. Wir empfehlen, dass das Systemlaufwerk ungefähr 350 MB groß ist. Nachdem BitLocker aktiviert ist, sollten etwa 250 MB Speicherplatz frei sein.

Bei der Installation auf einem neuen Computer erstellt Windows die Partitionen automatisch, die für BitLocker erforderlich sind.

Bei der Installation der optionalen BitLocker-Komponente auf einem Server müssen Sie außerdem das Feature „Erweitertes Speichern“ installieren, das für die Unterstützung hardwareverschlüsselter Laufwerke verwendet wird.

Inhalt dieses Abschnitts

Thema Beschreibung
Übersicht über die BitLocker-Geräteverschlüsselung in Windows10 Dieses Thema für IT-Spezialisten bietet eine Übersicht über die verschiedenen Möglichkeiten, mit denen Daten auf Geräten unter Windows10 mit BitLocker-Geräteverschlüsselung geschützt werden können.
Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker In diesem Thema für IT-Spezialisten werden häufig gestellte Fragen zu den Anforderungen für die Verwendung, Aktualisierung, Bereitstellung und Verwaltung von BitLocker sowie zu den Schlüsselverwaltungsrichtlinien für BitLocker beantwortet.
Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien In diesem Thema, das sich an IT-Experten richtet, wird erläutert, wie Sie Ihre BitLocker-Bereitstellung planen können.
Grundlegende Bereitstellung von BitLocker Dieses Thema richtet sich an IT-Experten und beschreibt die Verwendung von BitLocker-Features für den Schutz Ihrer Daten mithilfe von Laufwerkverschlüsselung.
BitLocker: Bereitstellen unter Windows Server In diesem Thema für IT-Experten wird erläutert, wie BitLocker auf Windows Server bereitgestellt wird.
BitLocker: Aktivieren der Netzwerkentsperrung In diesem Thema für IT-Experten wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und konfiguriert wird.
BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLocker In diesem Thema für IT-Spezialisten werden die Tools zum Verwalten von BitLocker beschrieben.
BitLocker: Verwenden des BitLocker-Wiederherstellungskennwort-Viewers In diesem Thema für IT-Experten wird beschrieben, wie der BitLocker-Wiederherstellungskennwort-Viewer verwendet wird.
BitLocker-Gruppenrichtlinieneinstellungen In diesem Thema für IT-Experten werden die Funktion, Position und der Effekt der einzelnen Gruppenrichtlinieneinstellungen zum Verwalten von BitLocker beschrieben.
BCD-Einstellungen und BitLocker Dieses Thema für IT-Experten beschreibt die BCD-Einstellungen, die von BitLocker verwendet werden.
BitLocker-Wiederherstellungsleitfaden In diesem Thema für IT-Experten wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden.
Schützen von BitLocker vor Angriffen vor dem Start Dieser detaillierte Leitfaden hilft Ihnen, die Umstände zu verstehen, unter denen die Verwendung der Pre-Boot-Authentifizierung für Geräte mit Windows10, Windows 8,1, Windows 8 oder Windows 7 empfohlen wird. und wenn Sie sicher von der Konfiguration eines Geräts weggelassen werden kann.
Schützen freigegebener Clustervolumes und SANs (Storage Area Networks) mit BitLocker In diesem Thema für IT-Experten wird beschrieben, wie der Schutz von CSVs (Cluster Shared Volumes, freigegebene Clustervolumes) und SANs mit BitLocker erfolgt.
Sicherer Start und BitLocker-Geräteverschlüsselung unter Windows10 IoT Core aktivieren In diesem Thema wird erläutert, wie Sie BitLocker mit Windows10 IoT Core verwenden