BitLocker: Übersicht
Betrifft: Windows Server 2012, Windows 8
Dieses Thema enthält eine allgemeine Übersicht über BitLocker sowie eine Liste der neuen und geänderten Features, Systemanforderungen, praktische Anwendungsfälle und veraltete Features. In diesem Thema finden Sie auch Links zu weiteren Informationen für die Arbeit mit BitLocker.
Meinten Sie…
Featurebeschreibung
Die BitLocker-Laufwerkverschlüsselung ist ein Betriebssystemfeature zum Schutz von Daten, das zuerst in Windows Vista verfügbar war. In den folgenden Betriebssystemversionen wurde die Sicherheit von BitLocker weiter verbessert, damit der Schutz durch BitLocker für mehr Laufwerke und Geräte bereitgestellt werden kann. Durch die Integration von BitLocker im Betriebssystem wird Bedrohungen durch Datendiebstahl oder Folgen bei verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Computern entgegengewirkt. Mit dem Befehlszeilentool "Manage-bde" können Sie ebenfalls Aufgaben auf dem Computer mit BitLocker ausführen. Wenn Sie die optionale BitLocker-Komponente auf einem Server installieren, müssen Sie auch das Feature „Erweitertes Speichern“ installieren, das für Laufwerke mit Hardwareverschlüsselung verwendet wird. Auf Servern gibt es ein weiteres BitLocker-Feature, das installiert werden kann, die BitLocker-Netzwerkentsperrung. Computer mit Windows RT, Windows RT 8.1 oder Windows 8.1 können durch Geräteverschlüsselung geschützt werden, eine angepasste Version von BitLocker.
Sie erzielen den besten Schutz mit BitLocker, wenn dieses Feature mit einem Trusted Platform Module (TPM) Version 1.2 oder höher verwendet wird. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet wurde.
Auf Computern, die nicht über das TPM Version 1.2 oder höher verfügen, können Sie mit BitLocker trotzdem das Windows-Betriebssystemlaufwerk verschlüsseln. Für diese Implementierung muss der Benutzer aber einen USB-Systemstartschlüssel zum Starten des Computers oder Aktivieren aus dem Ruhezustand anschließen. In Windows 8 kann das Betriebssystemvolume auf einem Computer ohne TPM auch mit einem Kennwort geschützt werden. Bei beiden Optionen erfolgt keine Überprüfung der Systemintegrität vor dem Start, die von BitLocker mit einem TPM angeboten wird.
Darüber hinaus kann mit BitLocker der normale Systemstart solange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein Wechselmedium (z. B. einen USB-Speicherstick) mit einem Systemstartschlüssel anschließt. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.
Praktische Anwendung
Daten auf einem verloren gegangenen oder gestohlenen Computer sind nicht autorisierten Zugriffen durch die Ausführung von Softwareangriffstools oder das Kopieren der Festplatte auf einen anderen Computer schutzlos ausgesetzt. Mit BitLocker können Sie das Risiko von nicht autorisiertem Datenzugriff durch die Verbesserung des Datei- und Computerschutzes verringern. BitLocker kann auch verwendet werden, um Daten unzugänglich zu machen, wenn mit BitLocker geschützte Computer außer Betrieb gesetzt oder wiederverwendet werden.
Zum Verwalten von BitLocker stehen in den Remoteserver-Verwaltungstools zwei weitere Tools zur Verfügung.
BitLocker-Wiederherstellungskennwort-Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie Wiederherstellungskennwörter für die BitLocker-Laufwerkverschlüsselung finden und abrufen, die mithilfe der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gesichert wurden. Sie können dieses Tool zum Wiederherstellen von Daten verwenden, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung des MMC-Snap-Ins (Microsoft Management Console) Active Directory-Benutzer und -Computer.
Mit diesem Tool können Sie das Eigenschaften-Dialogfeld von Computerobjekten überprüfen, um entsprechende BitLocker-Wiederherstellungskennwörter aufzurufen. Zusätzlich können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann in allen Domänen in der Active Directory-Gesamtstruktur nach einem BitLocker-Wiederherstellungskennwort suchen. Wenn Sie Wiederherstellungskennwörter anzeigen möchten, müssen Sie als Domänenadministrator angemeldet sein oder entsprechende Berechtigungen von einem Domänenadministrator erhalten.
Tools für die BitLocker-Laufwerkverschlüsselung. Die Tools für die BitLocker-Laufwerkverschlüsselung beinhalten die Befehlszeilentools „manage-bde“ und „repair-bde“ und die BitLocker-Cmdlets für Windows PowerShell. Sowohl „manage-bde“ als auch die BitLocker-Cmdlets können für beliebige Aktionen verwendet werden, die über die BitLocker-Systemsteuerung durchgeführt werden können. Zudem sind sie für die automatische Bereitstellung und andere Skriptszenarios geeignet. „repair-bde“ ist für die Notfallwiederherstellung vorgesehen, wenn durch BitLocker geschützte Laufwerke nicht normal oder über die Wiederherstellungskonsole entsperrt werden können.
Neue und geänderte Funktionalität
In der folgenden Tabelle sind die neuen und die geänderten Features von BitLocker in Windows 8 und Windows Server 2012 aufgelistet. Besuchen Sie Neues in BitLocker.
Feature/Funktionalität |
Windows 7 |
Windows 8 und Windows Server 2012 |
|---|---|---|
Zurücksetzen der BitLocker-PIN oder des Kennworts |
Zum Zurücksetzen der BitLocker-PIN auf einem Betriebssystemlaufwerk und des Kennworts auf einem integrierten Datenlaufwerk oder einem Wechseldatenlaufwerk sind Administratorrechte erforderlich. |
Standardbenutzer können die BitLocker-PIN und das Kennwort auf Betriebssystemlaufwerken, integrierten Datenlaufwerken oder Wechseldatenlaufwerken zurücksetzen. |
Datenträgerverschlüsselung |
Der gesamte Datenträger ist verschlüsselt, wenn BitLocker aktiviert ist. |
Sie können entweder den gesamten Datenträger oder lediglich den verwendeten Speicherplatz verschlüsseln, wenn BitLocker aktiviert ist. Wenn Speicherplatz verwendet wird, wird der Datenträger verschlüsselt. |
Unterstützung von hardwareverschlüsselten Laufwerken |
Keine systemeigene Unterstützung durch BitLocker. |
BitLocker unterstützt Festplatten mit dem Windows-Logo, die werksseitig verschlüsselt sind. |
Entsperren mit einem Netzwerkschlüssel, um eine zweistufige Authentifizierung zu ermöglichen |
Nicht verfügbar. Die physische Anwesenheit am Computer war für eine zweistufige Authentifizierung erforderlich. |
Ein neuer Schlüsselschutzvorrichtungstyp ermöglicht die Verwendung eines speziellen Netzwerkschlüssels, um die PIN-Eingabeaufforderung in Situationen zu entsperren und zu überspringen, in denen Computer in vertrauenswürdigen kabelgebundenen Netzwerken neu gestartet werden. Hiermit ist eine Remotewartung von Computern möglich, die außerhalb von Arbeitszeiten per PIN geschützt sind. Zudem bietet es eine zweistufige Authentifizierung, ohne dass die Anwesenheit am Computer zwingend nötig ist, während die Benutzerauthentifizierung auch weiterhin erzwungen wird, wenn der Computer nicht an ein vertrauenswürdiges Netzwerk angeschlossen ist. |
Schutz für Cluster |
Nicht verfügbar. |
Windows Server 2012 enthält BitLocker-Unterstützung für freigegebene Windows-Clustervolumes und Windows-Failovercluster, die in einer von einem Windows Server 2012-Domänencontroller mit aktiviertem Dienst des Kerberos-Schlüsselverteilungscenters eingerichteten Domäne ausgeführt werden. |
Verknüpfen einer BitLocker-Schlüsselschutzvorrichtung mit einem Active Directory-Konto |
Nicht verfügbar. |
Ermöglicht die Verknüpfung einer BitLocker-Schlüsselschutzvorrichtung mit einen Benutzer, einer Gruppe oder einen Computerkonto in Active Directory. Mit dieser Schlüsselschutzvorrichtung können von BitLocker geschützte Datenvolumes entsperrt werden, wenn sich ein Benutzer mit den korrekten Anmeldeinformationen bei BitLocker oder einem Computer angemeldet hat. |
Entfernte oder veraltete Funktionen
Die Option "Diffusor" kann dem AES-Verschlüsselungsalgorithmus (Advanced Encryption Standard) nicht mehr hinzugefügt werden.
Die Gruppenrichtlinie „TPM-Validierungsprofil konfigurieren“ ist in Windows 8 und Windows Server 2012 veraltet. Sie wurde durch spezifische Systemrichtlinien für BIOS- und UEFI-basierte Computer ersetzt.
Die Option –tpm wird von manage-bde nicht mehr unterstützt.
System requirements (Systemanforderungen)
BitLocker hat die folgenden Hardwareanforderungen:
Damit BitLocker die durch ein Trusted Platform Module (TPM) bereitgestellte Systemintegritätsprüfung verwenden kann, muss auf dem Computer TPM 1.2 oder TPM 2.0 verfügbar sein. Wenn der Computer nicht über TPM verfügt, müssen Sie zur Aktivierung von BitLocker einen Systemstartschlüssel auf einem Wechselmedium (z. B. einem USB-Speicherstick) speichern.
Auf einem Computer mit einem TPM muss darüber hinaus ein TCG-konformes (Trusted Computing Group) BIOS oder UEFI-Firmware installiert sein. Das BIOS oder die UEFI-Firmware erstellt eine Vertrauenskette für den Betriebssystemstart und muss Unterstützung für TCG-spezifiziertes Static Root of Trust Measurement bieten. Auf einem Computer ohne ein TPM muss keine TCG-konforme Firmware installiert sein.
Das System-BIOS oder die UEFI-Firmware (für Computer mit und ohne ein TPM) muss USB-Massenspeicher unterstützen. Dazu zählt auch das Lesen kleiner Dateien auf einem USB-Speicherstick in der Umgebung vor dem Starten des Betriebssystems. Weitere Informationen zu USB finden Sie in den USB-Massenspeicher- und Massenspeicher-UEFI-Befehlsspezifikationen auf der USB-Website.
Die Festplatte muss in mindestens zwei Laufwerke partitioniert werden:
Das Systemlaufwerk bzw. Startlaufwerk enthält das Betriebssystem und die zugehörigen Supportdateien. Es muss im NTFS-Dateisystem formatiert sein.
Das Systemlaufwerk enthält die Dateien, die zum Starten von Windows benötigt werden, nachdem die Systemhardware von der Firmware vorbereitet wurde. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker ordnungsgemäß ausgeführt werden kann, darf das Systemlaufwerk nicht verschlüsselt sein, es darf nicht das Betriebssystem enthalten und muss außerdem bei Computern mit UEFI-basierter Firmware mit dem FAT32-Dateisystem und bei Computern mit BIOS-Firmware mit dem NTFS-Dateisystem formatiert sein. Das Systemlaufwerk sollte ungefähr 350 MB groß sein. Nach Aktivierung von BitLocker sollten ca. 250 MB freier Speicherplatz verfügbar sein.
Wenn Windows auf einem neuen Computer installiert wird, werden die für BitLocker erforderlichen Partitionen automatisch erstellt.
In dieser Bibliothek
Neuigkeiten in BitLocker für Windows 8 und Windows Server 2012 [umgeleitet]
BitLocker: Vorgehensweise: Aktivieren der Netzwerkentsperrung
BitLocker: Verwenden BitLocker Drive Encryption-Tools zum Verwalten von BitLocker
BitLocker: Verwenden Sie BitLocker-Wiederherstellungskennwort-Viewer
Der Schutz von freigegebenen Volumes und Storage Area Networks mit BitLocker