BitLocker und Distributed Key Manager (DKM) für die Verschlüsselung

Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke zu verschlüsseln, die ruhende Kundendaten auf Volumeebene enthalten. BitLocker-Verschlüsselung ist eine Datenverschlüsselungsfunktion, die in Windows integriert ist. BitLocker ist eine der Technologien, die zum Schutz vor Bedrohungen verwendet werden, falls andere Prozesse oder Steuerelemente hinfällig werden (z. B. Zugriffssteuerung oder Access Control oder Recycling von Hardware), sodass andere Personen möglicherweise physischen Zugriff auf Laufwerke mit Kundendaten erlangen könnten. In diesem Fall eliminiert BitLocker das potenzielle Risiko für Datendiebstahl oder Offenlegung aufgrund von verloren gegangener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer und Datenträger.

BitLocker wird mit der 256-Bit-Verschlüsselung (Advanced Encryption Standard, AES) auf Datenträgern bereitgestellt, die Kundendaten in Exchange Online, SharePoint Online und Skype for Business enthalten. Datenträgersektoren werden mit einem Vollständigen Volumeverschlüsselungsschlüssel (Full Volume Encryption Key, FVEK) verschlüsselt, der mit dem Volumehauptschlüssel (Volume Master Key, VMK) verschlüsselt wird, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. Die VMK schützt den FVEK direkt und daher wird der Schutz des VMK kritisch. Die folgende Abbildung veranschaulicht ein Beispiel für die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall unter Verwendung eines Exchange Online Servers).

In der folgenden Tabelle wird die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall ein Exchange Online Server) beschrieben.

SCHLÜSSELSCHUTZ GRANULARITÄT WIE GENERIERT? WO WIRD ES GESPEICHERT? SCHUTZ
AES 256-Bit-Externer Schlüssel Pro Server BitLocker-APIs TPM oder geheimer Safe Lockbox/Access Control
Postfachserverregistrierung TPM verschlüsselt
Numerisches Kennwort mit 48 Ziffern Pro Datenträger BitLocker-APIs Active Directory Lockbox/Access Control
X.509-Zertifikat als Datenwiederherstellungs-Agent (DRA) auch als Public Key Protector bezeichnet Umgebung (z. B. Exchange Online multitenant) Microsoft CA Buildsystem Niemand hat das vollständige Kennwort für den privaten Schlüssel. Das Kennwort unterliegt dem physischen Schutz.

Die BitLocker-Schlüsselverwaltung umfasst die Verwaltung von Wiederherstellungsschlüsseln, die zum Entsperren/Wiederherstellen verschlüsselter Datenträger in einem Microsoft-Rechenzentrum verwendet werden. Microsoft 365 speichert die Hauptschlüssel in einer gesicherten Freigabe, auf die nur Personen zugreifen können, die überprüft und genehmigt wurden. Die Anmeldeinformationen für die Schlüssel werden in einem gesicherten Repository für Zugriffssteuerungsdaten (was wir als "geheimer Speicher" bezeichnen) gespeichert, wodurch ein hohes Maß an Erhöhungs- und Verwaltungsgenehmigungen für den Zugriff mithilfe eines Just-in-Time-Zugriffserweiterungstools erforderlich ist.

BitLocker unterstützt Schlüssel, die in zwei Verwaltungskategorien fallen:

  • Von BitLocker verwaltete Schlüssel, die in der Regel kurzlebig sind und an die Lebensdauer einer Betriebssysteminstanz auf einem Server oder einem bestimmten Datenträger gebunden sind. Diese Schlüssel werden während der Serverneuinstallation oder der Datenträgerformatierung gelöscht und zurückgesetzt.

  • BitLocker-Wiederherstellungsschlüssel, die außerhalb von BitLocker verwaltet werden, aber für die Datenträgerentschlüsselung verwendet werden. BitLocker verwendet Wiederherstellungsschlüssel für Szenarien, in denen ein Betriebssystem neu installiert wird, und bereits verschlüsselte Datenträger mit Daten vorhanden sind. Wiederherstellungsschlüssel werden auch von Überwachungstests für die verwaltete Verfügbarkeit in Exchange Online verwendet, in denen ein Reagierender ggf. einen Datenträger entsperren muss.

BitLocker-geschützte Volumes werden mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der wiederum mit einem Volumehauptschlüssel verschlüsselt wird. BitLocker verwendet FIPS-kompatible Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals im Klartext gespeichert oder über das Kabel gesendet werden. Die Microsoft 365-Implementierung des Schutzes von ruhenden Kundendaten weicht nicht von der BitLocker-Standardimplementierung ab.