BitLocker und Distributed Key Manager (DKM) für die Verschlüsselung
Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke mit ruhenden Kundendaten auf Volumeebene zu verschlüsseln. BitLocker-Verschlüsselung ist eine Datenverschlüsselungsfunktion, die in Windows integriert ist. BitLocker ist eine der Technologien, die zum Schutz vor Bedrohungen verwendet werden, falls andere Prozesse oder Steuerelemente hinfällig werden (z. B. Zugriffssteuerung oder Access Control oder Recycling von Hardware), sodass andere Personen möglicherweise physischen Zugriff auf Laufwerke mit Kundendaten erlangen könnten. In diesem Fall eliminiert BitLocker das potenzielle Risiko für Datendiebstahl oder Offenlegung aufgrund von verloren gegangener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer und Datenträger.
BitLocker wird mit advanced Encryption Standard (AES) 256-Bit-Verschlüsselung auf Datenträgern bereitgestellt, die Kundendaten in Exchange Online, SharePoint Online und Skype for Business enthalten. Datenträgersektoren werden mit einem vollständigen Volumeverschlüsselungsschlüssel (Full Volume Encryption Key, FVEK) verschlüsselt, der mit dem Volume Master Key (VMK) verschlüsselt wird, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. Der VMK schützt das FVEK direkt, sodass der Schutz des VMK von entscheidender Bedeutung wird. Die folgende Abbildung zeigt ein Beispiel für die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall mithilfe eines Exchange Online Servers).
In der folgenden Tabelle wird die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall ein Exchange Online Server) beschrieben.
| SCHLÜSSELSCHUTZVORRICHTUNG | GRANULARITÄT | WIE GENERIERT? | WO WIRD ES GESPEICHERT? | SCHUTZ |
|---|---|---|---|---|
| Externer AES-256-Bit-Schlüssel | Pro Server | BitLocker-APIs | TPM oder Geheimnissicher | Lockbox/Access Control |
| Postfachserverregistrierung | TPM verschlüsselt | |||
| 48-stelliges numerisches Kennwort | Pro Datenträger | BitLocker-APIs | Active Directory | Lockbox/Access Control |
| X.509-Zertifikat als Datenwiederherstellungs-Agent (DRA), auch als Schutzvorrichtung für öffentliche Schlüssel bezeichnet | Umgebung (z. B. Exchange Online mehrinstanzenfähig) | Microsoft-Zertifizierungsstelle | Buildsystem | Kein Benutzer verfügt über das vollständige Kennwort für den privaten Schlüssel. Das Kennwort steht unter physischem Schutz. |
Die BitLocker-Schlüsselverwaltung umfasst die Verwaltung von Wiederherstellungsschlüsseln, die zum Entsperren/Wiederherstellen verschlüsselter Datenträger in einem Microsoft-Rechenzentrum verwendet werden. Microsoft 365 speichert die Hauptschlüssel in einer gesicherten Freigabe, auf die nur Personen zugreifen können, die überprüft und genehmigt wurden. Die Anmeldeinformationen für die Schlüssel werden in einem geschützten Repository für Zugriffssteuerungsdaten (was wir als "Geheimnisspeicher" bezeichnen) gespeichert, was ein hohes Maß an Rechteerweiterungen und Verwaltungsgenehmigungen erfordert, um mithilfe eines Just-In-Time-Zugriffserweiterungstools darauf zuzugreifen.
BitLocker unterstützt Schlüssel, die in zwei Verwaltungskategorien fallen:
Von BitLocker verwaltete Schlüssel, die kurzlebig sind und an die Lebensdauer eines Betriebssystems gebunden instance auf einem Server oder einem bestimmten Datenträger installiert sind. Diese Schlüssel werden während der Serverneuinstallation oder der Datenträgerformatierung gelöscht und zurückgesetzt.
BitLocker-Wiederherstellungsschlüssel, die außerhalb von BitLocker verwaltet werden, aber für die Datenträgerentschlüsselung verwendet werden. BitLocker verwendet Wiederherstellungsschlüssel für Szenarien, in denen ein Betriebssystem neu installiert wird, und bereits verschlüsselte Datenträger mit Daten vorhanden sind. Wiederherstellungsschlüssel werden auch von Überwachungstests für die verwaltete Verfügbarkeit in Exchange Online verwendet, in denen ein Reagierender ggf. einen Datenträger entsperren muss.
BitLocker-geschützte Volumes werden mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der wiederum mit einem Volumeschlüssel master verschlüsselt wird. BitLocker verwendet FIPS-kompatible Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals über das Netzwerk gespeichert oder gesendet werden. Die Microsoft 365-Implementierung des Schutzes ruhender Kundendaten weicht nicht von der BitLocker-Standardimplementierung ab.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für