Übersicht über die BitLocker-Wiederherstellung

Die BitLocker-Wiederherstellung ist der Prozess, mit dem der Zugriff auf ein durch BitLocker geschütztes Laufwerk wiederhergestellt werden kann, wenn das Laufwerk nicht mithilfe des Standardmäßigen Entsperrmechanismus entsperrt wird.

In diesem Artikel werden Szenarien beschrieben, die die BitLocker-Wiederherstellung auslösen, das Konfigurieren von Geräten zum Speichern von Wiederherstellungsinformationen und die Optionen zum Wiederherstellen des Zugriffs auf ein gesperrtes Laufwerk.

BitLocker-Wiederherstellungsszenarien

Die folgende Liste enthält Beispiele für häufige Ereignisse, die dazu führen, dass ein Gerät beim Starten von Windows in den BitLocker-Wiederherstellungsmodus wechselt:

  • Falsche PIN zu oft eingeben
  • Deaktivieren der Unterstützung für das Lesen des USB-Geräts in der Preboot-Umgebung aus der BIOS- oder UEFI-Firmware, wenn USB-basierte Schlüssel anstelle eines TPM verwendet werden
  • Das CD- oder DVD-Laufwerk vor der Festplatte in der BIOS-Startreihenfolge (üblich bei virtuellen Computern)
  • Andocken oder Ausdocken eines tragbaren Computers
  • Änderungen an der NTFS-Partitionstabelle auf dem Datenträger
  • Änderungen am Start-Manager
  • Deaktivieren, Deaktivieren, Deaktivieren oder Löschen des TPM
  • TPM-Selbsttestfehler
  • Upgrade der Hauptplatine auf eine neue mit einem neuen TPM
  • Aktualisieren wichtiger Komponenten für den frühen Start, z. B. ein BIOS- oder UEFI-Firmwareupgrade
  • Ausblenden des TPM vor dem Betriebssystem
  • Ändern der vom TPM-Validierungsprofil verwendeten Plattformkonfigurationsregister (PCRs)
  • Verschieben eines durch BitLocker geschützten Laufwerks auf einen neuen Computer
  • Ändern der Reihenfolge des BIOS- oder Firmwarestartgeräts auf Geräten mit TPM 1.2

Im Rahmen des BitLocker-Wiederherstellungsprozesses wird empfohlen, zu bestimmen, was dazu geführt hat, dass ein Gerät in den Wiederherstellungsmodus wechselt. Die Ursachenanalyse kann dazu beitragen, zu verhindern, dass das Problem in Zukunft erneut auftritt. Wenn Sie instance feststellen, dass ein Angreifer ein Gerät geändert hat, indem er physischen Zugriff erhält, können Sie neue Sicherheitsrichtlinien implementieren, um zu verfolgen, wer physisch vorhanden ist.

Bei geplanten Szenarien, z. B. bei bekannten Hardware- oder Firmwareupgrades, kann das Initiieren der Wiederherstellung vermieden werden, indem der BitLocker-Schutz vorübergehend ausgesetzt wird. Durch das Anhalten von BitLocker wird das Laufwerk vollständig verschlüsselt, und der Administrator kann den BitLocker-Schutz nach Abschluss der geplanten Aufgabe schnell fortsetzen. Wenn Sie anhalten und fortsetzen verwenden , wird auch der Verschlüsselungsschlüssel erneut verwendet, ohne dass die Eingabe des Wiederherstellungsschlüssels erforderlich ist.

Hinweis

Wenn das Gerät angehalten wird, setzt BitLocker den Schutz automatisch fort, wenn das Gerät neu gestartet wird, es sei denn, eine Neustartanzahl wird mithilfe von PowerShell oder dem manage-bde.exe Befehlszeilentool angegeben. Weitere Informationen zum Anhalten von BitLocker finden Sie im BitLocker-Betriebshandbuch.

Tipp

Die Wiederherstellung wird im Kontext eines ungeplanten oder unerwünschten Verhaltens beschrieben. Die Wiederherstellung kann jedoch auch als beabsichtigtes Produktionsszenario verursacht werden, z. B. um die Zugriffssteuerung zu verwalten. Wenn Geräte für andere Abteilungen oder Mitarbeiter im organization erneut bereitgestellt werden, kann BitLocker zur Wiederherstellung gezwungen werden, bevor das Gerät an einen neuen Benutzer übermittelt wird.

BitLocker-Wiederherstellungsoptionen

In einem Wiederherstellungsszenario sind abhängig von den auf die Geräte angewendeten Richtlinieneinstellungen möglicherweise die folgenden Optionen zum Wiederherstellen des Zugriffs auf das Laufwerk verfügbar:

  • Wiederherstellungskennwort: Eine 48-stellige Nummer, die verwendet wird, um ein Volume zu entsperren, wenn es sich im Wiederherstellungsmodus befindet. Das Wiederherstellungskennwort kann als Textdatei gespeichert, gedruckt oder in Microsoft Entra ID oder Active Directory gespeichert werden. Der Benutzer kann ggf. ein Wiederherstellungskennwort angeben.

Screenshot des Standardmäßigen BitLocker-Wiederherstellungsbildschirms mit der Aufforderung zur Eingabe des Wiederherstellungskennworts.

  • Wiederherstellungsschlüssel: Ein Verschlüsselungsschlüssel, der auf Wechselmedien gespeichert ist und zum Wiederherstellen von Daten verwendet werden kann, die auf einem BitLocker-Volume verschlüsselt sind. Der Dateiname hat das Format <protector_id>.bek. Für das Betriebssystemlaufwerk kann der Wiederherstellungsschlüssel verwendet werden, um Zugriff auf das Gerät zu erhalten, wenn BitLocker eine Bedingung erkennt, die verhindert, dass das Laufwerk beim Starten des Geräts entsperrt wird. Ein Wiederherstellungsschlüssel kann auch verwendet werden, um Zugriff auf Festplattenlaufwerke und Wechseldatenträger zu erhalten, die mit BitLocker verschlüsselt sind, wenn das Kennwort aus irgendeinem Grund vergessen wird oder das Gerät nicht auf das Laufwerk zugreifen kann.

Screenshot des BitLocker-Wiederherstellungsbildschirms mit der Aufforderung, ein USB-Laufwerk mit dem Wiederherstellungsschlüssel zu verbinden.

  • Schlüsselpaket: Entschlüsselungsschlüssel, der mit dem BitLocker-Reparaturtool verwendet werden kann, um kritische Teile eines Laufwerks zu rekonstruieren und wiederherstellbare Daten zu retten. Mit dem Schlüsselpaket und dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel können Teile eines beschädigten bitLocker-geschützten Laufwerks entschlüsselt werden. Jedes Schlüsselpaket funktioniert nur für ein Laufwerk, das über den entsprechenden Laufwerkbezeichner verfügt. Ein Schlüsselpaket wird nicht automatisch generiert und kann in einer Datei oder in Active Directory Domain Services gespeichert werden. Ein Schlüsselpaket kann nicht in Microsoft Entra ID gespeichert werden.
  • Datenwiederherstellungs-Agent-Zertifikat: Ein Datenwiederherstellungs-Agent (DRA) ist ein Zertifikattyp, der einem Active Directory-Sicherheitsprinzipal zugeordnet ist und für den Zugriff auf alle mit BitLocker verschlüsselten Laufwerke verwendet werden kann, die mit dem entsprechenden öffentlichen Schlüssel konfiguriert sind. DRAs können ihre Anmeldeinformationen verwenden, um das Laufwerk zu entsperren. Wenn es sich bei dem Laufwerk um ein Betriebssystemlaufwerk handelt, muss das Laufwerk als Datenlaufwerk auf einem anderen Gerät bereitgestellt werden, damit der DRA es entsperren kann.

Tipp

Sowohl das Wiederherstellungskennwort als auch der Wiederherstellungsschlüssel können von Benutzern im Systemsteuerung Applet (für Daten- und Wechseldatenträger) oder im Bildschirm für die Wiederherstellung vor dem Start angegeben werden. Es wird empfohlen, Richtlinieneinstellungen zu konfigurieren, um den Wiederherstellungsbildschirm vor dem Start anzupassen, z. B. durch Hinzufügen einer benutzerdefinierten Nachricht, URL und Helpdesk-Kontaktinformationen. Weitere Informationen finden Sie im Artikel BitLocker preboot recovery screen .For more information, the article BitLocker preboot recovery screen.

Wenn Sie den BitLocker-Wiederherstellungsprozess planen, lesen Sie zunächst die aktuellen bewährten Methoden der organization zum Wiederherstellen vertraulicher Informationen. Zum Beispiel:

☑️ Frage
🔲 Wie behandelt die organization verlorene oder vergessene Kennwörter?
🔲 Wie führt das organization smarte Karte PIN-Zurücksetzungen durch?
🔲 Dürfen Benutzer Wiederherstellungsinformationen für die Geräte speichern oder abrufen, die sie besitzen?
🔲 Wie stark möchten Sie, dass Benutzer am BitLocker-Konfigurationsprozess beteiligt werden? Möchten Sie, dass Benutzer mit dem Prozess interagieren, im Hintergrund arbeiten oder beides?
🔲 Wo möchten Sie die BitLocker-Wiederherstellungsschlüssel speichern?
🔲 Möchten Sie die Rotation des Wiederherstellungskennworts aktivieren?

Die Beantwortung der Fragen hilft, den besten BitLocker-Wiederherstellungsprozess für die organization zu bestimmen und die BitLocker-Richtlinieneinstellungen entsprechend zu konfigurieren. Wenn der organization beispielsweise über einen Prozess zum Zurücksetzen von Kennwörtern verfügt, kann ein ähnlicher Prozess für die BitLocker-Wiederherstellung verwendet werden. Wenn Benutzer keine Wiederherstellungsinformationen speichern oder abrufen dürfen, kann die organization datenwiederherstellungs-Agents (DRAs) verwenden oder wiederherstellungsinformationen automatisch sichern.

Die folgenden Richtlinieneinstellungen definieren die Wiederherstellungsmethoden, die zum Wiederherstellen des Zugriffs auf ein bitLocker-geschütztes Laufwerk verwendet werden können:

Tipp

Wählen Sie in jeder dieser Richtlinien BitLocker-Wiederherstellungsinformationen speichern aus, um Active Directory Domain Services, und wählen Sie dann aus, welche BitLocker-Wiederherstellungsinformationen in AD DS gespeichert werden sollen. Verwenden Sie die Option BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS gespeichert sind, um zu verhindern, dass Benutzer BitLocker aktivieren, es sei denn, die Sicherung der BitLocker-Wiederherstellungsinformationen für das Laufwerk Microsoft Entra ID oder AD DS ist erfolgreich.

BitLocker-Wiederherstellungskennwort

Um BitLocker wiederherzustellen, kann ein Benutzer ein Wiederherstellungskennwort verwenden, sofern verfügbar. Das BitLocker-Wiederherstellungskennwort ist für das Gerät eindeutig, auf dem es erstellt wurde, und kann auf unterschiedliche Weise gespeichert werden. Abhängig von den konfigurierten Richtlinieneinstellungen kann das Wiederherstellungskennwort wie folgt lauten:

  • Gespeichert in Microsoft Entra ID für Microsoft Entra
  • Gespeichert in AD DS für Geräte, die mit Active Directory verknüpft sind
  • In Textdatei gespeichert
  • Gedruckt

Der Zugriff auf das Wiederherstellungskennwort ermöglicht es dem Inhaber, ein bitLocker-geschütztes Volume zu entsperren und auf alle seine Daten zuzugreifen. Daher ist es wichtig, dass Ihre organization Verfahren einrichten, um den Zugriff auf Wiederherstellungskennwörter zu steuern und sicherzustellen, dass sie sicher und getrennt von den Geräten gespeichert werden, die sie schützen.

Hinweis

Es gibt eine Option zum Speichern des BitLocker-Wiederherstellungsschlüssels im Microsoft-Konto eines Benutzers. Die Option ist für Geräte verfügbar, die keine Mitglieder einer Domäne sind und der Benutzer ein Microsoft-Konto verwendet. Das Speichern des Wiederherstellungskennworts in einem Microsoft-Konto ist die empfohlene Standardspeichermethode für den Wiederherstellungsschlüssel für Geräte, die nicht Microsoft Entra oder in Active Directory eingebunden sind.

Die Sicherung des Wiederherstellungskennworts sollte vor der Aktivierung von BitLocker konfiguriert werden, kann aber auch nach der Verschlüsselung erfolgen, wie im BitLocker-Betriebsleitfaden beschrieben.
Die bevorzugte Sicherungsmethodik in einer organization besteht darin, BitLocker-Wiederherstellungsinformationen automatisch an einem zentralen Ort zu speichern. Abhängig von den Anforderungen der organization können die Wiederherstellungsinformationen in Microsoft Entra ID, AD DS oder Dateifreigaben gespeichert werden.

Es wird empfohlen, die folgenden BitLocker-Sicherungsmethoden zu verwenden:

  • Speichern Sie für Microsoft Entra verbundene Geräte den Wiederherstellungsschlüssel in Microsoft Entra ID
  • Speichern Sie den Wiederherstellungsschlüssel für in Active Directory eingebundene Geräte in AD DS.

Hinweis

Es gibt keine automatische Möglichkeit, den Wiederherstellungsschlüssel für Wechseldatenträger in Microsoft Entra ID oder AD DS zu speichern. Sie können hierzu jedoch PowerShell oder den manage.bde.exe Befehl verwenden. Weitere Informationen und Beispiele finden Sie im BitLocker-Betriebshandbuch.

Datenwiederherstellungs-Agents

DRAs können verwendet werden, um Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger wiederherzustellen. Bei Verwendung zum Wiederherstellen von Betriebssystemlaufwerken muss das Betriebssystemlaufwerk jedoch auf einem anderen Gerät als Datenlaufwerk bereitgestellt werden, damit der DRA das Laufwerk entsperren kann. Datenwiederherstellungs-Agents werden dem Laufwerk hinzugefügt, wenn es verschlüsselt ist, und können nach der Verschlüsselung aktualisiert werden.

Der Vorteil der Verwendung eines DRA gegenüber der Kennwort- oder Schlüsselwiederherstellung besteht darin, dass der DRA als master Schlüssel für BitLocker fungiert. Mit einem DRA können Sie jedes volume wiederherstellen, das durch die Richtlinie geschützt ist, ohne ein bestimmtes Kennwort oder Schlüssel für jedes einzelne Volume finden zu müssen.

Zum Konfigurieren von DRAs für Geräte, die in eine Active Directory-Domäne eingebunden sind, sind die folgenden Schritte erforderlich:

  1. Rufen Sie ein DRA-Zertifikat ab. Die folgenden Schlüsselverwendungs- und erweiterten Schlüsselverwendungsattribute werden von BitLocker überprüft, bevor das Zertifikat verwendet wird.
    1. Wenn ein Schlüsselverwendungsattribut vorhanden ist, muss folgendes sein:
      • CERT_DATA_ENCIPHERMENT_KEY_USAGE
      • CERT_KEY_AGREEMENT_KEY_USAGE
      • CERT_KEY_ENCIPHERMENT_KEY_USAGE
    2. Wenn ein EKU-Attribut (Enhanced Key Usage, erweiterte Schlüsselverwendung) vorhanden ist, muss folgendes sein:
      • Wie in der Richtlinieneinstellung oder in der Standardeinstellung angegeben 1.3.6.1.4.1.311.67.1.1
      • Alle EKU-Objektbezeichner, die von Ihrer Zertifizierungsstelle (CA) unterstützt werden
  2. Fügen Sie den DRA über eine Gruppenrichtlinie mithilfe des Pfads hinzu: Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Public Key-Richtlinien>BitLocker-Laufwerkverschlüsselung
  3. Konfigurieren Sie die Einstellung Geben Sie die eindeutigen Bezeichner für Ihre organization Richtlinien an, um einem neuen Laufwerk, das mit BitLocker aktiviert ist, einen eindeutigen Bezeichner zuzuordnen. Ein Identifikationsfeld ist eine Zeichenfolge, die verwendet wird, um eine Geschäftseinheit oder organization eindeutig zu identifizieren. Identifikationsfelder sind für die Verwaltung von Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert DRAs nur, wenn ein Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Gerät konfigurierten Wert identisch ist.
  4. Konfigurieren Sie die folgenden Richtlinieneinstellungen, um die Wiederherstellung mit einem DRA für jeden Laufwerktyp zu ermöglichen:

In Microsoft Entra ID gespeicherte BitLocker-Wiederherstellungsinformationen

Die BitLocker-Wiederherstellungsinformationen für Microsoft Entra eingebundene Geräte können in Microsoft Entra ID gespeichert werden. Der Vorteil der Speicherung der BitLocker-Wiederherstellungskennwörter in Microsoft Entra ID besteht darin, dass Benutzer die Kennwörter für die ihnen zugewiesenen Geräte problemlos aus dem Web abrufen können, ohne den Helpdesk einzubeziehen.

Der Zugriff auf Wiederherstellungskennwörter kann auch an den Helpdesk delegiert werden, um Supportszenarien zu vereinfachen.

Die bitLocker-Wiederherstellungskennwortinformationen, die in Microsoft Entra ID gespeichert sind, sind ein bitlockerRecoveryKey Ressourcentyp. Die Ressource kann aus dem Microsoft Entra Admin Center, dem Microsoft Intune Admin Center (für Geräte, die bei Microsoft Intune registriert sind), mithilfe von PowerShell oder mithilfe von Microsoft Graph abgerufen werden. Weitere Informationen finden Sie unter bitlockerRecoveryKey-Ressourcentyp.

In AD DS gespeicherte BitLocker-Wiederherstellungsinformationen

Die BitLocker-Wiederherstellungsinformationen für ein Gerät, das mit einer Active Directory-Domäne verknüpft ist, können in AD DS gespeichert werden. Die Informationen werden in einem untergeordneten Objekt des Computerobjekts selbst gespeichert. Jedes BitLocker-Wiederherstellungsobjekt enthält das Wiederherstellungskennwort und andere Wiederherstellungsinformationen. Unter jedem Computerobjekt können mehrere BitLocker-Wiederherstellungsobjekte vorhanden sein, da einem BitLocker-fähigen Volume mehrere Wiederherstellungskennwörter zugeordnet sein können.

Der Name des BitLocker-Wiederherstellungsobjekts enthält eine GUID (Globally Unique Identifier) sowie Datums- und Uhrzeitinformationen für eine feste Länge von 63 Zeichen. Die Syntax ist <Object Creation Date and Time><Recovery GUID>.

Hinweis

Active Directory verwaltet den Verlauf aller Wiederherstellungskennwörter für ein Computerobjekt. Alte Wiederherstellungsschlüssel werden nicht automatisch aus AD DS entfernt, es sei denn, das Computerobjekt wird gelöscht.

Der allgemeine Name (cn) für das BitLocker-Wiederherstellungsobjekt lautet ms-FVE-RecoveryInformation. Jedes ms-FVE-RecoveryInformation Objekt verfügt über die folgenden Attribute:

Attributname Beschreibung
ms-FVE-RecoveryPassword Das 48-stellige Wiederherstellungskennwort, das zum Wiederherstellen eines mit BitLocker verschlüsselten Datenträgervolumes verwendet wird.
ms-FVE-RecoveryGuid GUID, die einem BitLocker-Wiederherstellungskennwort zugeordnet ist. Im Wiederherstellungsmodus von BitLocker wird dem Benutzer die GUID angezeigt, sodass das richtige Wiederherstellungskennwort gefunden werden kann, um das Volume zu entsperren. Die GUID ist auch im Namen des Wiederherstellungsobjekts enthalten.
ms-FVE-VolumeGuid GUID, die einem von BitLocker unterstützten Datenträgervolume zugeordnet ist. Während das Kennwort (gespeichert in ms-FVE-RecoveryGuid) für jedes Wiederherstellungskennwort eindeutig ist, ist der Volumebezeichner für jedes mit BitLocker verschlüsselte Volume eindeutig.
ms-FVE-KeyPackage Der BitLocker-Verschlüsselungsschlüssel des Volumes, der durch das entsprechende Wiederherstellungskennwort geschützt ist. Mit diesem Schlüsselpaket und dem Wiederherstellungskennwort (gespeichert in ms-FVE-RecoveryPassword) können Teile eines durch BitLocker geschützten Volumes entschlüsselt werden, wenn der Datenträger beschädigt ist. Jedes Schlüsselpaket funktioniert nur für ein Volume mit dem entsprechenden Volumebezeichner (gespeichert in ms-FVE-VolumeGuid). Das BitLocker-Reparaturtool kann verwendet werden, um das Schlüsselpaket zu verwenden.

Weitere Informationen zu den in AD DS gespeicherten BitLocker-Attributen finden Sie in den folgenden Artikeln:

Das BitLocker-Schlüsselpaket wird nicht standardmäßig gespeichert. Um das Paket zusammen mit dem Wiederherstellungskennwort in AD DS zu speichern, muss in der Richtlinie, die die Wiederherstellungsmethode steuert, die Einstellung Sicherungswiederherstellungskennwort und Schlüsselpaketrichtlinie ausgewählt werden. Das Schlüsselpaket kann auch aus einem Arbeitsvolume exportiert werden.

Wenn Die Wiederherstellungsinformationen nicht in AD DS gesichert werden oder Sie ein Schlüsselpaket an einem anderen Speicherort speichern möchten, verwenden Sie den folgenden Befehl, um ein Schlüsselpaket für ein Volume zu generieren:

manage-bde.exe -KeyPackage C: -id <id> -path <path>

Eine Datei mit dem Dateinamenformat wird BitLocker Key Package {<id>}.KPG im angegebenen Pfad erstellt.

Hinweis

Um ein neues Schlüsselpaket aus einem entsperrten, bitLocker-geschützten Volume zu exportieren, ist lokaler Administratorzugriff auf das Arbeitsvolume erforderlich, bevor es zu Schäden am Volume kommt.

Nächste Schritte

Erfahren Sie, wie Sie BitLocker-Wiederherstellungsinformationen für Microsoft Entra eingebundene, Microsoft Entra hybrid eingebundene und in Active Directory eingebundene Geräte abrufen und den Zugriff auf ein gesperrtes Laufwerk wiederherstellen:

BitLocker-Wiederherstellungsprozess >