BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das unter Windows Server 2008 R2 und in einigen Versionen von Windows 7 zur Verfügung steht. Durch die Integration von BitLocker im Betriebssystem wird Bedrohungen durch Datendiebstahl oder Folgen bei verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Computern entgegengewirkt.

Daten auf einem verloren gegangenen oder gestohlenen Computer sind nicht autorisierten Zugriffen durch die Ausführung von Softwareangriffstools oder das Kopieren der Festplatte auf einen anderen Computer schutzlos ausgesetzt. Mit BitLocker können Sie das Risiko von nicht autorisiertem Datenzugriff durch die Verbesserung des Datei- und Computerschutzes verringern. BitLocker kann auch verwendet werden, um Daten unzugänglich zu machen, wenn mit BitLocker geschützte Computer außer Betrieb gesetzt oder wiederverwendet werden.

Bei Verwendung mit einem Trusted Platform Module (TPM), Version 1.2, bietet BitLocker größtmöglichen Schutz. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet wurde.

Auf Computern, die nicht über das TPM (Version 1.2) verfügen, können Sie dennoch BitLocker verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Diese Implementierung erfordert jedoch den Anschluss eines USB-Geräts mit Systemstartschlüssel, damit der Computer gestartet wird bzw. seinen Betrieb aus dem Ruhezustand aufnimmt. Die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM bietet, steht in diesem Fall nicht zur Verfügung.

Darüber hinaus kann mit BitLocker der normale Systemstart solange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein Wechselmedium (z. B. ein USB-Flashlaufwerk) mit einem Systemstartschlüssel anschließt. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.

Systemintegritätsprüfung

BitLocker kann ein TPM verwenden, um die Integrität von Komponenten für den frühen Start und Startkonfigurationsdaten zu überprüfen. Dadurch wird sichergestellt, dass BitLocker nur dann den Zugriff auf das verschlüsselte Laufwerk zulässt, wenn diese Komponenten nicht manipuliert wurden und sich das verschlüsselte Laufwerk im ursprünglichen Computer befindet.

Mit den folgenden Aktionen wird die Integrität des Startprozesses von BitLocker sichergestellt:

  • BitLocker bietet eine Methode zum Überprüfen, ob die Integrität von Dateien für den frühen Start bewahrt wird, und zum Sicherstellen, dass diese Dateien nicht manipuliert wurden (z. B. mit Startsektorviren oder Rootkits).

  • BitLocker bietet einen verbesserten Schutz, um das Risiko softwarebasierter Angriffe im Offlinemodus zu verringern. Jeglicher alternativer Software, mit der das System gestartet werden könnte, wird der Zugriff auf die Entschlüsselungsschlüssel für das Windows-Betriebssystemlaufwerk verweigert.

  • BitLocker sperrt das System bei Manipulation. Wenn überwachte Dateien manipuliert wurden, wird das System nicht gestartet. Dadurch wird der Benutzer auf die Manipulation aufmerksam gemacht, da das System nicht normal gestartet werden kann. Im Fall einer Systemsperrung bietet BitLocker ein einfaches Wiederherstellungsverfahren.

Hardware-, Firmware- und Softwareanforderungen

Wenn Sie BitLocker verwenden möchten, muss der Computer bestimmte Anforderungen erfüllen:

  • Damit BitLocker die durch ein TPM bereitgestellte Systemintegritätsprüfung verwenden kann, muss der Computer über ein TPM der Version 1.2 verfügen. Wenn der Computer nicht über ein TPM verfügt, müssen Sie einen Systemstartschlüssel auf einem Wechselmedium (z. B. einem USB-Flashlaufwerk) speichern, um BitLocker zu aktivieren.

  • Auf einem Computer mit einem TPM muss darüber hinaus ein TCG-konformes (Trusted Computing Group) BIOS installiert sein. Das BIOS erstellt eine Vertrauenskette für den Betriebssystemstart und muss Unterstützung für TCG-spezifiziertes Static Root of Trust Measurement einschließen. Auf einem Computer ohne ein TPM muss kein TCG-konformes BIOS installiert sein.

  • Das System-BIOS (für Computer mit und ohne ein TPM) muss USB-Massenspeicher unterstützen. Dazu zählt auch das Lesen kleiner Dateien auf einem USB-Flashlaufwerk in der Umgebung vor dem Starten des Betriebssystems. Weitere Informationen (möglicherweise in englischer Sprache) zu USB finden Sie in den USB-Massenspeicher- und Massenspeicher-UFI-Befehlsspezifikationen auf der USB-Website https://go.microsoft.com/fwlink/?LinkId=83120.

  • Die Festplatte muss in mindestens zwei Laufwerke partitioniert werden:

    • Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und seine unterstützenden Dateien. Es muss mit dem NTFS-Dateisystem formatiert werden.

    • Das Systemlaufwerk enthält die Dateien, die zum Starten von Windows benötigt werden, nachdem die Systemhardware vom BIOS vorbereitet wurde. BitLocker ist auf diesem Laufwerk nicht aktiviert. Das Systemlaufwerk darf nicht verschlüsselt werden, muss sich von dem Betriebssystemlaufwerk unterscheiden und muss mit dem NTFS-Dateisystem formatiert werden, damit BitLocker verwendet werden kann. Das Systemlaufwerk sollte mindestens 1,5 Gigabyte (GB) groß sein.

Installation und Initialisierung

BitLocker wird automatisch als Teil der Betriebssysteminstallation installiert. BitLocker ist jedoch nicht automatisch aktiv. BitLocker wird mithilfe des BitLocker-Setup-Assistenten aktiviert, auf den über die Systemsteuerung oder durch Klicken mit der rechten Maustaste auf das Laufwerk in Windows-Explorer zugegriffen werden kann.

Der Systemadministrator kann nach der Installation und der anfänglichen Einrichtung des Betriebssystems den BitLocker-Setup-Assistenten jederzeit verwenden, um BitLocker zu initialisieren. Der Initialisierungsprozess besteht aus zwei Schritten:

  1. Initialisieren Sie auf Computern mit einem TPM das TPM, indem Sie den TPM-Initialisierungs-Assistenten oder die Option BitLocker-Laufwerkverschlüsselung in der Systemsteuerung verwenden oder ein entsprechendes Skript zur Initialisierung ausführen.

  2. Richten Sie BitLocker ein. Rufen Sie in der Systemsteuerung den BitLocker-Setup-Assistenten auf, der Sie durch das Setup führt und erweiterte Authentifizierungsoptionen bietet.

Wenn ein lokaler Administrator BitLocker initialisiert, sollte der Administrator auch ein Wiederherstellungskennwort oder einen Wiederherstellungsschlüssel erstellen. Ohne einen Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort kann auf die Daten auf dem verschlüsselten Laufwerk nicht zugegriffen werden. Zudem können sie nicht wiederhergestellt werden, wenn ein Problem mit dem von BitLocker geschützten Laufwerk auftritt.

Hinweis

Die BitLocker- und TPM-Initialisierung muss von einem Mitglied der lokalen Gruppe Administratoren auf dem Computer ausgeführt werden.

Detaillierte Informationen (möglicherweise in englischer Sprache) zum Konfigurieren und Bereitstellen von BitLocker finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (https://go.microsoft.com/fwlink/?LinkID=140225).

Unternehmensimplementierung

BitLocker kann die vorhandene Active Directory-Domänendienste-Infrastruktur (AD DS, Active Directory Domain Services) eines Unternehmens verwenden, um von einem Remotestandort aus Wiederherstellungsschlüssel zu speichern. BitLocker bietet einen Assistenten für das Setup und die Verwaltung sowie Erweiterbarkeit und Verwaltbarkeit über eine WMI-Schnittstelle (Windows Management Instrumentation) mit Skriptunterstützung. BitLocker verfügt zudem über eine Wiederherstellungskonsole, die in den Prozess für den frühen Start integriert ist, damit der Benutzer oder das Helpdeskpersonal den Zugriff auf einen gesperrten Computer wiederherstellen kann.

Weitere Informationen (möglicherweise in englischer Sprache) zum Schreiben von Skripts für BitLocker finden Sie unter Win32_EncryptableVolume https://go.microsoft.com/fwlink/?LinkId=85983.

Außerbetriebsetzen und Wiederverwenden von Computern

Viele Computer werden heutzutage von anderen Personen wiederverwendet, also nicht vom ursprünglichen Besitzer oder Benutzer. In Unternehmen werden Computer beispielsweise in anderen Abteilungen erneut bereitgestellt, oder sie werden im Rahmen einer standardmäßigen Erneuerung der Computerhardware erneuert.

Auf unverschlüsselten Laufwerken können Daten weiter lesbar bleiben, selbst wenn diese formatiert wurden. Unternehmen wenden oft mehrfache Überschreibvorgänge oder die physikalische Zerstörung an, um das Risiko zu verringern, dass auf Daten auf außer Betrieb gesetzten Laufwerken weiterhin zugegriffen werden kann.

Mit BitLocker können einfache und kostengünste Vorgänge zum Außerbetriebsetzen erstellt werden. Ein Unternehmen, in dem die Daten durch BitLocker weiterhin verschlüsselt werden und dann alle Schlüssel entfernt werden, kann dauerhaft das Risiko verringern, dass auf diese Daten weiterhin frei zugegriffen werden kann. Es ist nahezu unmöglich, auf BitLocker-verschlüsselte Daten zuzugreifen, nachdem alle BitLocker-Schlüssel entfernt wurden, da dann eine 128-Bit- bzw. 256-Bit-AES-Verschlüsselung geknackt werden müsste.

Überlegungen zur Sicherheit von BitLocker

BitLocker kann einen Computer nicht vor allen Angriffen schützen. Wenn beispielsweise böswillige Benutzer oder Programme wie Viren oder Rootkits Zugriff auf einen Computer haben, bevor dieser verloren geht oder gestohlen wird, besteht die Möglichkeit, dass diese Sicherheitslücken verursachen, über die sie später auf verschlüsselte Daten zugreifen können. Der BitLocker-Schutz kann beeinträchtigt werden, wenn der USB-Systemstartschlüssel nicht vom Computer entfernt wird oder die PIN bzw. das Windows-Anmeldekennwort nicht geheim gehalten werden.

Der ausschließliche TPM-Authentifizierungsmodus kann auf ganz einfache Weise bereitgestellt, verwaltet und verwendet werden. Er ist auch eher für Computer geeignet, die unbeaufsichtigt sind oder neu gestartet werden müssen, während sie unbeaufsichtigt sind. Der ausschließliche TPM-Modus bietet jedoch den geringsten Datenschutz. Wenn Teile Ihrer Organisation über hochsensible Daten auf mobilen Computern verfügen, sollten Sie BitLocker mit einer mehrstufigen Authentifizierung auf diesen Computern bereitstellen.

Weitere Informationen (möglicherweise in englischer Sprache) zu den Überlegungen zur Sicherheit von BitLocker finden Sie im Datenverschlüsselungstoolkit für mobile PCs https://go.microsoft.com/fwlink/?LinkId=85982.

Implementieren von BitLocker auf Servern

Für Server in einer freigegebenen oder potenziell unsicheren Umgebung (z. B. in einer Zweigniederlassung) kann BitLocker verwendet werden, um das Betriebssystemlaufwerk und weitere Datenlaufwerke auf demselben Server zu verschlüsseln.

BitLocker wird standardmäßig nicht mit Windows Server 2008 R2 installiert. Fügen Sie BitLocker mithilfe des Server-Managers unter Windows Server 2008 R2 hinzu. Sie müssen den Server nach der Installation von BitLocker neu starten. Wenn Sie WMI verwenden, können Sie BitLocker von einem Remotestandort aus aktivieren.

BitLocker wird auf Servern mit einer erweiterbaren Firmwareschnittstelle (Extensible Firmware Interface, EFI) unterstützt, die eine 64-Bit-Prozessorarchitektur verwenden.

Hinweis

BitLocker unterstützt keine Clusterkonfigurationen.

Schlüsselverwaltung

Wenn das Laufwerk mit BitLocker verschlüsselt und geschützt wurde, können lokale Administratoren und Domänenadministratoren mithilfe der Seite BitLocker verwalten der Option BitLocker-Laufwerkverschlüsselung in der Systemsteuerung das Kennwort zum Entsperren des Laufwerks ändern, das Kennwort vom Laufwerk entfernen, eine Smartcard zum Entsperren des Laufwerks hinzufügen, den Wiederherstellungsschlüssel erneut speichern oder drucken, das Laufwerk automatisch entsperren, Schlüssel duplizieren und die PIN zurücksetzen.

Hinweis

Die Schlüsseltypen, die auf einem Computer verwendet werden können, können mithilfe der Gruppenrichtlinie gesteuert werden. Weitere Informationen (möglicherweise in englischer Sprache) zur Verwendung von Gruppenrichtlinien mit BitLocker finden Sie im BitLocker-Bereitstellungshandbuch (https://go.microsoft.com/fwlink/?LinkID=140286).

Vorübergehendes Deaktivieren des BitLocker-Schutzes

In bestimmten Fällen muss ein Administrator BitLocker vorübergehend deaktivieren. Dies gilt für folgende Szenarien:

  • Neustart des Computers zur Wartung ohne Benutzereingaben (z. B. eine PIN oder ein Systemstartschlüssel)

  • Aktualisieren des BIOS

  • Installieren einer Hardwarekomponente, die einen optional schreibgeschützten Speicher (Options-ROM) hat

  • Aktualisierung wichtiger Komponenten für den frühen Start ohne Auslösen der BitLocker-Wiederherstellung Beispiel:

    • Installieren einer anderen Version des Betriebssystems oder eines anderen Betriebssystems, was zu einer Änderung des MBR (Master Boot Record) führen könnte

    • Erneute Partitionierung des Datenträgers, was zu einer Änderung der Partitionstabelle führen könnte

    • Ausführen weiterer Systemaufgaben, die die vom TMP überprüften Startkomponenten ändern

  • Erweitern des Motherboards, um das TPM ohne Auslösen einer BitLocker-Wiederherstellung zu ersetzen oder zu entfernen

  • Deaktivieren oder Löschen des TPM ohne Auslösen der BitLocker-Wiederherstellung

  • Verschieben eines mit BitLocker geschützten Datenträgers ohne Auslösen der BitLocker-Wiederherstellung

Diese Szenarien werden gemeinsam als Computeraktualisierungsszenario bezeichnet. BitLocker kann über die Option BitLocker-Laufwerkverschlüsselung in der Systemsteuerung aktiviert bzw. deaktiviert werden.

Die folgenden Schritte sind notwendig, um einen mit BitLocker geschützten Computer zu aktualisieren:

  1. Schalten Sie BitLocker vorübergehend aus, indem Sie es deaktivieren.

  2. Aktualisieren Sie das System oder das BIOS.

  3. Aktivieren Sie BitLocker erneut.

Wenn für BitLocker der deaktivierte Modus erzwungen wird, bleibt das Laufwerk verschlüsselt, der Laufwerkhauptschlüssel wird jedoch mit einem symmetrischen Schlüssel verschlüsselt, der unverschlüsselt auf der Festplatte gespeichert wird. Durch die Verfügbarkeit dieses unverschlüsselten Schlüssels wird der BitLocker-Datenschutz unwirksam. Auf diese Weise wird jedoch sichergestellt, dass nachfolgende Startvorgänge des Computers ohne weitere Benutzereingaben erfolgen können. Wenn BitLocker erneut aktiviert wird, wird der unverschlüsselte Schlüssel vom Datenträger entfernt, und der BitLocker-Schutz ist wieder aktiviert. Zusätzlich wird der Laufwerkhauptschlüssel neu erstellt und wieder verschlüsselt.

Das Verschieben des verschlüsselten Laufwerks (des physikalischen Datenträgers) auf einen anderen mit BitLocker geschützten Computer erfordert keine zusätzlichen Schritte, da der Schlüssel, der den Laufwerkhauptschlüssel schützt, unverschlüsselt auf dem Datenträger gespeichert ist.

Vorsicht

Das Verfügbarmachen des Laufwerkhauptschlüssels - sei es auch nur für einen kurzen Zeitraum - stellt ein Sicherheitsrisiko dar, da es möglich ist, dass ein Angreifer auf den Laufwerkhauptschlüssel und den Schlüssel zur vollständigen Laufwerkverschlüsselung zugegriffen hat, als diese Schlüssel durch den unverschlüsselten Schlüssel verfügbar gemacht wurden.

Detaillierte Informationen (möglicherweise in englischer Sprache) zum Deaktivieren von BitLocker finden Sie in der schrittweisen Anleitung zur Windows BitLocker-Laufwerkverschlüsselung (https://go.microsoft.com/fwlink/?LinkID=140225).

Systemwiederherstellung

Zahlreiche Szenarien können einen Wiederherstellungsprozess auslösen. Beispiele:

  • Verschieben des mit BitLocker geschützten Laufwerks auf einen neuen Computer

  • Installieren eines neuen Motherboards mit einem neuen TPM

  • Ausschalten, Deaktivieren oder Löschen des TPM

  • Aktualisieren des BIOS

  • Aktualisieren des Options-ROMs

  • Aktualisieren wichtiger Komponenten für den frühen Start, die Fehler bei der Prüfung der Systemintegrität verursachen

  • Vergessen der PIN, wenn die PIN-Authentifizierung aktiviert ist

  • Verlieren des USB-Flashlaufwerks mit dem Systemstartschlüssel, wenn die Authentifizierung mit einem Systemstartschlüssel aktiviert ist

Ein Administrator kann die Wiederherstellung auch als einen Zugriffsteuerungsmechanismus auslösen (z. B. bei der erneuten Bereitstellung eines Computers). Ein Administrator kann ein verschlüsseltes Laufwerk sperren, wodurch Benutzer gezwungen werden, BitLocker-Wiederherstellungsinformationen anzufordern, um die Sperre des Laufwerks aufzuheben.

Einrichten der Wiederherstellung

IT-Administratoren können mithilfe einer Gruppenrichtlinie auswählen, welche Wiederherstellungsmethoden für Benutzer, die BitLocker aktivieren, erforderlich, nicht zulässig oder optional anwendbar sind. Das Wiederherstellungskennwort kann in AD DS gespeichert werden, und der Administrator kann diese Option für jeden Benutzer des Computers als verbindlich, unzulässig oder optional festlegen. Die Wiederherstellungsdaten können zusätzlich auf einem USB-Flashlaufwerk gespeichert werden.

Wiederherstellungskennwort

Das Wiederherstellungskennwort ist eine 48-stellige zufällig generierte Zahl, die bei der Installation von BitLocker erstellt werden kann. Wenn der Computer in den Wiederherstellungsmodus wechselt, wird der Benutzer aufgefordert, dieses Kennwort mithilfe der Funktionstasten (F0 bis F9) einzugeben. Das Wiederherstellungskennwort kann nach der Aktivierung von BitLocker verwaltet und kopiert werden. Über die Seite BitLocker verwalten der Option BitLocker-Laufwerkverschlüsselung in der Systemsteuerung kann das Wiederherstellungskennwort für eine spätere Verwendung gedruckt oder in einer Datei gespeichert werden.

Ein Domänenadministrator kann Gruppenrichtlinien konfigurieren, damit Wiederherstellungskennwörter automatisch generiert und in AD DS gesichert werden, sobald BitLocker aktiviert wird. Der Domänenadministrator kann BitLocker auch daran hindern, ein Laufwerk zu verschlüsseln, es sei denn, der Computer ist mit dem Netzwerk verbunden und die AD DS-Sicherung des Wiederherstellungskennworts ist erfolgreich.

Wiederherstellungsschlüssel

Der Wiederherstellungsschlüssel kann bei der Installation von BitLocker erstellt und auf einem USB-Flashlaufwerk gespeichert werden. Nach der Aktivierung von BitLocker kann der Wiederherstellungsschlüssel auch verwaltet und kopiert werden. Wenn der Computer in den Wiederherstellungsmodus wechselt, wird der Benutzer aufgefordert, den Wiederherstellungsschlüssel an den Computer anzuschließen.


Inhaltsverzeichnis