BitLocker

Betrifft

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Dieses Thema enthält eine grobe Übersicht über BitLocker, einschließlich einer Liste der Systemanforderungen, praktischer Anwendungen und veralteter Features.

BitLocker-Übersicht

Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.

BitLocker bietet den maximalen Schutz, wenn es mit einem Trusted Platform Module (TPM) Version 1.2 oder höher verwendet wird. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird. Es dient In Kombination mit BitLocker zum Schutz der Benutzerdaten und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet war.

Auf Computern ohne TPM-Version 1.2 oder höher können Sie weiterhin BitLocker verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Diese Implementierung erfordert jedoch, dass der Benutzer einen USB-Startschlüssel einlegen muss, um den Computer zu starten oder aus dem Ruhezustand fortzusetzen. Ab Windows 8 können Sie ein Betriebssystem-Volumekennwort verwenden, um das Betriebssystemvolume auf einem Computer ohne TPM zu schützen. Beide Optionen bieten nicht die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM anbietet.

Zusätzlich zu den TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Wechselmedium einführt, z. B. einen USB-Speicherstick, der einen Systemstartschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und sorgen dafür, dass der Computer nicht startet oder den Betrieb aus dem Ruhezustand fortsetzt, bis die richtige PIN oder ein Systemstartschlüssel bereitgestellt wird.

Praktische Anwendungsfälle

Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.

Es gibt zwei zusätzliche Tools in den Remoteserver-Verwaltungstools, mit denen Sie BitLocker verwalten können.

  • BitLocker-Wiederherstellungskennwort-Viewer. Mit dem BitLocker-Wiederherstellungskennwort-Viewer können Sie die BitLocker-Laufwerksverschlüsselungswiederherstellungskennwörter auffinden und anzeigen, die in den Active Directory-Domänendiensten (AD DS) gesichert wurden. Sie können mit diesem Tool Daten wiederherstellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung für Active Directory-Benutzer und das MMC-Snap-In. Mit diesem Tool können Sie das Dialogfeld Eigenschaften eines Computerobjekts überprüfen, um die entsprechenden BitLocker-Wiederherstellungskennwörter anzuzeigen. Darüber hinaus können Sie mit der rechten Maustaste auf einen Domänencontainer klicken und dann über alle Domänen in der Active Directory-Gesamtstruktur hinweg nach einem BitLocker-Wiederherstellungskennwort suchen. Zum Anzeigen von Wiederherstellungskennwörtern müssen Sie ein Domänenadministrator sein oder von einem Domänenadministrator entsprechende Berechtigungen delegiert bekommen.

  • Tools zur BitLocker-Laufwerkverschlüsselung. BitLocker-Laufwerksverschlüsselungstools umfassen die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell. Sowohl manage-bde als auch die BitLocker-Cmdlets können verwendet werden, um jede Aufgabe auszuführen, die über die BitLocker-Systemsteuerung ausgeführt werden kann, und sie sind für automatisierte Bereitstellungen und andere Skriptszenarien geeignet. Repair-bde wird für Notfallwiederherstellungsszenarien bereitgestellt, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mithilfe der Wiederherstellungskonsole entsperrt werden kann.

Neue und geänderte Funktionalität

Um herauszufinden, was neu in BitLocker für Windows ist, wie z.B. die Unterstützung für den XTS-AES-Verschlüsselungsalgorithmus, lesen Sie den Abschnitt BitLocker in „Was ist neu in Windows 10“.

Systemanforderungen

BitLocker hat die folgenden Hardwareanforderungen:

Damit BitLocker die von einem TPM bereitgestellte Systemintegritätsprüfung verwenden kann, muss der Computer über TPM 1.2 oder höhere Versionen verfügen. Wenn Ihr Computer nicht über ein TPM verfügt, müssen Sie durch Aktivieren von BitLocker einen Startschlüssel auf einem Wechselmedium speichern, z. B. auf einem USB-Speicherstick.

Ein Computer mit einem TPM muss außerdem eine Trusted Computing Group (TCG)-kompatible BIOS und UEFI-Firmware besitzen. Die BIOS- oder UEFI-Firmware stellt eine Vertrauenskette für vor dem Betriebssystemstart her, und die Unterstützung für TCG-spezifische Static Root of Trust Measurement TCG umfassen. Bei einem Computer ohne TPM ist keine TCG-konforme Firmware erforderlich.

Die System-BIOS- oder UEFI-Firmware (für Computer mit und ohne TPM) muss die Geräteklasse für USB-Massenspeicher unterstützen, einschließlich des Lesens kleiner Dateien auf einem USB-Speicherstick in der Vorabbetriebssystemumgebung.

Wichtig

Unter Windows 7 können Sie ein Betriebssystemlaufwerk ohne TPM- und USB-Flashlaufwerk verschlüsseln. Informationen zu diesem Verfahren finden Sie unter Tipp des Tages: Bitlocker ohne TPM oder USB.

Hinweis

TPM 2.0 wird im Legacy- und CsM-Modus (Compatibility Support Module) des BIOS nicht unterstützt. Für Geräte mit TPM 2.0 muss der BIOS-Modus nur als native UEFI konfiguriert sein. Die Legacy- und CSM-Optionen müssen deaktiviert sein. Um die Sicherheit zu erhöhen, aktivieren Sie das Feature für den sicheren Start.

Das installierte Betriebssystem auf Hardware im Legacymodus verhindert, dass das Betriebssystem gestartet wird, wenn der BIOS-Modus in UEFI geändert wird. Verwenden Sie das Tool MBR2GPT , bevor Sie den BIOS-Modus ändern, der das Betriebssystem und den Datenträger auf die Unterstützung von UEFI vorbereitet.

Die Festplatte muss mit mindestens zwei Laufwerken partitioniert werden:

  • Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und unterstützende Dateien. Es muss mit dem NTFS-Dateisystem formatiert sein.
  • Das Systemlaufwerk enthält die Dateien, die benötigt werden, um Windows zu laden, nachdem die Firmware die Systemhardware vorbereitet hat. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker funktioniert, darf das Systemlaufwerk nicht verschlüsselt sein, muss vom Betriebssystemlaufwerk abweichen und auf Computern mit dem FAT32-Dateisystem formatiert sein, die UEFI-basierte Firmware verwenden oder auf Computern mit dem NTFS-Dateisystem formatiert sein, die BIOS-Firmware verwenden. Wir empfehlen, dass das Systemlaufwerk ungefähr 350 MB groß ist. Nachdem BitLocker aktiviert wurde, sollte es ungefähr 250 MB freien Speicherplatz haben.

Bei der Installation auf einem neuen Computer erstellt Windows automatisch die Partitionen, die für BitLocker erforderlich sind.

Eine Partition, die einer Verschlüsselung unterliegt, kann nicht als aktive Partition markiert werden (dies gilt für das Betriebssystem, feste Daten und austauschbare Datenlaufwerke).

Wenn Sie die optionale BitLocker-Komponente auf einem Server installieren, müssen Sie auch das Feature "Erweiterter Speicher" installieren, das zur Unterstützung von hardwareverschlüsselten Laufwerken verwendet wird.

Inhalt dieses Abschnitts

Thema Beschreibung
Übersicht über die BitLocker-Geräteverschlüsselung in Windows 10 Dieses Thema bietet eine Übersicht über die Möglichkeiten, mit denen die BitLocker-Geräteverschlüsselung Daten auf Geräten schützen kann, auf denen Windows 10 ausgeführt wird.
Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker In diesem Thema werden häufig gestellte Fragen zu den Anforderungen für die Verwendung, das Upgrade, die Bereitstellung und die Verwaltung von Schlüsselverwaltungsrichtlinien für BitLocker beantwortet.
Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien In diesem Thema wird das Verfahren erläutert, mit dem Sie Ihre BitLocker-Bereitstellung planen können.
Grundlegende BitLocker-Bereitstellung In diesem Thema wird erläutert, wie BitLocker-Features verwendet werden können, um Ihre Daten durch Laufwerkverschlüsselung zu schützen.
BitLocker: Bereitstellen unter Windows Server In diesem Thema wird erläutert, wie BitLocker unter Windows Server bereitgestellt wird.
BitLocker: Aktivieren der Netzwerkentsperrung In diesem Thema wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und wie sie konfiguriert wird.
BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLocker In diesem Thema wird beschrieben, wie Sie Tools zum Verwalten von BitLocker verwenden.
BitLocker: Verwenden des BitLocker-Wiederherstellungskennwort-Viewers In diesem Thema wird die Verwendung des BitLocker-Wiederherstellungskennwort-Viewers beschrieben.
BitLocker-Gruppenrichtlinieneinstellungen In diesem Thema werden die Funktion, der Speicherort und die Auswirkung der einzelnen Gruppenrichtlinieneinstellungen beschrieben, die zum Verwalten von BitLocker verwendet werden.
BCD-Einstellungen und BitLocker In diesem Thema werden die BCD-Einstellungen beschrieben, die von BitLocker verwendet werden.
BitLocker-Wiederherstellungsleitfaden In diesem Thema wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden.
Schützen von BitLocker vor Angriffen vor dem Start Dieser ausführliche Leitfaden hilft Ihnen, die Umstände zu verstehen, unter denen die Verwendung der Vorabstartauthentifizierung für Geräte empfohlen wird, auf denen Windows 10, Windows 8.1, Windows 8 oder Windows 7 ausgeführt wird, und wann sie in der Konfiguration eines Geräts sicher weggelassen werden kann.
Problembehandlung für BitLocker In diesem Handbuch werden die Ressourcen beschrieben, mit denen Sie BitLocker-Probleme beheben können, und es werden Lösungen für mehrere häufig auftretende BitLocker-Probleme bereitgestellt.
Schützen von freigegebenen Clustervolumes und Speicherbereichsnetzwerken mit BitLocker In diesem Thema wird beschrieben, wie Sie CSVs und SANs mit BitLocker schützen.
Aktivieren von Secure Boot und BitLocker-Geräteverschlüsselung unter Windows IoT Core In diesem Thema wird beschrieben, wie BitLocker mit Windows IoT Core verwendet wird.