Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker
In diesem Thema für die IT-Spezialisten werden häufig gestellte Fragen zu den Anforderungen für die Verwendung, Aktualisierung und Bereitstellung von BitLocker sowie zu den Schlüsselverwaltungsrichtlinien für BitLocker beantwortet.
BitLocker ist ein Feature für den Datenschutz, das die Festplatten auf dem Computer verschlüsselt, um erweiterten Schutz gegen Datendiebstahl bereitzustellen oder das Gefahrenpotenzial auf Computern und Wechseldatenträgern zu minimieren, die verloren gehen oder gestohlen werden. Darüber hinaus ist das Löschen von Daten sicherer, wenn BitLocker-geschützte Computer außer Betrieb gesetzt werden, da das Wiederherstellen gelöschter Daten auf einem verschlüsselten Laufwerk viel schwieriger ist als bei einem nicht verschlüsselten Laufwerk.
Übersicht und Anforderungen
Aktualisierung
Bereitstellung und Verwaltung
Schlüsselverwaltung
BitLocker To Go
Active Directory-Domänendienste (AD DS)
Sicherheit
BitLocker-Netzwerkentsperrung
Weitere Fragen
Übersicht und Anforderungen
Wie funktioniert BitLocker?
Funktionsweise von BitLocker mit Betriebssystemlaufwerken
Mit BitLocker können Sie nicht autorisierten Datenzugriff auf verloren gegangenen oder gestohlenen Computern verhindern, indem Sie alle Benutzerdateien und Systemdateien auf dem Betriebssystemlaufwerk verschlüsseln, einschließlich der Auslagerungsdateien und Ruhezustandsdateien, und die Integrität der vorrangigen Startkomponenten und Startkonfigurationsdaten überprüfen.
Funktionsweise von BitLocker mit Festplattenlaufwerken und Wechseldatenträgern
Mithilfe von BitLocker können Sie den gesamten Inhalt eines Datenlaufwerks verschlüsseln. Sie können eine Gruppenrichtlinie verwenden, um festzulegen, dass BitLocker auf einem Laufwerk aktiviert wird, bevor der Computer Daten auf das Laufwerk schreiben kann. BitLocker kann mit einer Vielzahl von Methoden zum Entsperren für Datenlaufwerke konfiguriert werden, und ein Datenlaufwerk unterstützt mehrere Methoden zum Entsperren.
Unterstützt BitLocker die mehrstufige Authentifizierung?
Ja, BitLocker unterstützt die mehrstufige Authentifizierung für Betriebssystemlaufwerke. Wenn Sie BitLocker auf einem Computer aktivieren, auf dem die TPM-Version 1.2 oder höher vorhanden ist, können Sie zusätzliche Formen der Authentifizierung mit dem TPM-Schutz verwenden.
Wie lauten die BitLocker-Hardware- und Softwareanforderungen?
Hinweis
Dynamische Datenträger werden von BitLocker nicht unterstützt. Dynamische Datenvolumes werden in der Systemsteuerung nicht angezeigt. Obwohl das Betriebssystemvolume immer in der Systemsteuerung angezeigt wird (unabhängig davon, ob es sich um einen dynamischen Datenträger handelt), kann es, wenn es sich um einen dynamischen Datenträger handelt, nicht durch BitLocker geschützt werden.
Warum sind zwei Partitionen erforderlich? Warum muss das Systemlaufwerk so groß sein?
Zwei Partitionen sind zum Ausführen von BitLocker erforderlich, weil die Authentifizierung vor dem Start und die Überprüfung der Systemintegrität auf einer separaten Partition des verschlüsselten Betriebssystemlaufwerks erfolgen müssen. Diese Konfiguration schützt das Betriebssystem und die Informationen auf dem verschlüsselten Laufwerk.
Welche Trusted Platform Modules (TPMs) werden von BitLocker unterstützt?
BitLocker unterstützt die TPM-Version 1.2 oder höher.
Wie kann ich feststellen, dass ein TPM auf meinem Computer vorhanden ist?
Öffnen Sie die TPM MMC-Konsole (tpm.msc), und sehen Sie unter der Überschrift Status nach.
Kann BitLocker auf einem Betriebssystemlaufwerk ohne TPM verwendet werden?
Ja, Sie können BitLocker auf einem Betriebssystemlaufwerk ohne die TPM-Version 1.2 oder höher aktivieren, wenn die BIOS- oder UEFI-Firmware aus einem USB-Speicherstick in der Startumgebung lesen kann. Dies liegt daran, dass BitLocker das geschützte Laufwerk erst entsperrt, wenn der eigene Volumehauptschlüssel von BitLocker entweder durch das TPM des Computers oder über einen USB-Speicherstick mit dem BitLocker-Systemstartschlüssel für diesen Computer erstmals freigegeben wird. Allerdings können Computer ohne TPMs die Systemintegritätsüberprüfung nicht verwenden, die ebenfalls von BitLocker bereitgestellt werden kann.
Um zu ermitteln, ob ein Computer während des Startvorgangs von einem USB-Gerät lesen kann, verwenden Sie die BitLocker-Systemüberprüfung als Teil des BitLocker-Setupprozesses. Diese Systemüberprüfung führt Tests durch, um sicherzustellen, dass der Computer zum entsprechenden Zeitpunkt ordnungsgemäß von den USB-Geräten lesen kann und dass der Computer weitere BitLocker-Anforderungen erfüllt.
Wie erhalte ich BIOS-Unterstützung für das TPM auf meinem Computer?
Wenden Sie sich an den Hersteller des Computers, um eine Trusted Computing Group (TCG)-kompatible BIOS- oder UEFI-Startfirmware anzufordern, die die folgenden Anforderungen erfüllt:
Sie ist mit den TCG-Standards für einen Clientcomputer kompatibel.
Sie verfügt über einen sicheren Aktualisierungsmechanismus, um zu verhindern, dass eine schädliche BIOS- oder Startfirmware auf dem Computer installiert wird.
Welche Anmeldeinformationen sind erforderlich, um BitLocker zu verwenden?
Zum Aktivieren, Deaktivieren oder Ändern der Konfiguration von BitLocker auf dem Betriebssystem und auf Festplattenlaufwerken ist die Mitgliedschaft in der lokalen Gruppe Administratoren erforderlich. Standardbenutzer können die Konfiguration von BitLocker auf Wechseldatenträgern aktivieren, deaktivieren oder ändern.
Wie lautet die empfohlene Startreihenfolge für Computer, die mit BitLocker geschützt werden sollen?
Konfigurieren Sie die Startoptionen des Computers so, dass das Festplattenlaufwerk in der Startreihenfolge vor allen anderen Laufwerken, wie beispielsweise CD/DVD-Laufwerke oder USB-Laufwerke, an erster Stelle steht. Wenn die Festplatte nicht an erster Stelle steht und Sie in der Regel von der Festplatte starten, kann eine Änderung der Startreihenfolge erkannt oder vorausgesetzt werden, wenn Wechselmedien während des Starts gefunden werden. Die Startreihenfolge wirkt sich in der Regel auf die Systemmessung aus, die mit BitLocker überprüft wird. Eine Änderung der Startreihenfolge bewirkt, dass Sie zur Angabe des BitLocker-Wiederherstellungsschlüssels aufgefordert werden. Wenn Sie einen Laptop mit einer Dockingstation besitzen, stellen Sie sicher, dass das Festplattenlaufwerk in der Startreihenfolge an erster Stelle steht, wenn sich der Laptop in der Dockingstation befindet und aus der Dockingstation entfernt wurde.
Aktualisierung
Kann ich für meinen Windows 7- oder Windows 8-Computer ein Upgrade auf Windows 10 durchführen, auf dem BitLocker aktiviert ist?
Ja. Öffnen Sie die Systemsteuerung BitLocker-Laufwerkverschlüsselung , klicken Sie auf BitLocker verwalten, und klicken Sie dann auf Anhalten. Durch das Anhalten des Schutzes wird das Laufwerk nicht entschlüsselt. Es wird der von BitLocker verwendete Authentifizierungsmechanismus deaktiviert und ein unverschlüsselter Schlüssel auf dem Laufwerk verwendet, um den Zugriff zu ermöglichen. Nach Abschluss des Upgrades öffnen Sie Windows Explorer, klicken mit der rechten Maustaste auf das Laufwerk und klicken dann auf Schutz fortsetzen. Daraufhin werden die BitLocker-Authentifizierungsmethoden erneut angewendet, und der unverschlüsselte Schlüssel wird gelöscht.
Was ist der Unterschied zwischen Anhalten und Entschlüsseln von BitLocker?
Entschlüsseln entfernt den BitLocker-Schutz vollständig, und das Laufwerk wird vollständig entschlüsselt.
Anhalten behält die verschlüsselten Daten bei, aber der BitLocker-Volumehauptschlüssel wird mit einem unverschlüsselten Schlüssel verschlüsselt. Der unverschlüsselte Schlüssel ist ein kryptografischer Schlüssel, der auf dem Laufwerk unverschlüsselt und nicht geschützt gespeichert wird. Durch die unverschlüsselte Speicherung dieses Schlüssels können mit der Option Anhalten Änderungen oder Upgrades auf dem Computer ohne den Zeit- und Kostenaufwand für die Entschlüsselung und erneute Verschlüsselung des gesamten Laufwerks vorgenommen werden. Nachdem die Änderungen vorgenommen wurden und BitLocker erneut aktiviert ist, versiegelt BitLocker den Verschlüsselungsschlüssel erneut für die neuen Werte der gemessenen Komponenten, die als Teil des Upgrades geändert wurden. Der Volumehauptschlüssel wird geändert, die Schutzvorrichtungen werden entsprechend angepasst, und der unverschlüsselte Schlüssel wird gelöscht.
Muss ich mein BitLocker-geschütztes Laufwerk zum Herunterladen und Installieren der Systemupdates und -upgrades entschlüsseln?
In der folgenden Tabelle sind die Schritte enthalten, die Sie vor dem Durchführen eines Upgrades oder einer Updateinstallation ausführen müssen.
| Aktualisierungstyp | Aktion |
|---|---|
Windows Anytime Upgrade |
Entschlüsseln |
Upgrade auf Windows 10 |
Anhalten |
Microsoft-fremde Softwareupdates, z. B.:
|
Anhalten |
Software- und Betriebssystemupdates über Windows Update |
Nichts |
Hinweis
Wenn Sie BitLocker angehalten haben, können Sie den BitLocker-Schutz fortsetzen, nachdem Sie das Upgrade oder Update installiert haben. Beim Fortsetzen des Schutzes wird BitLocker den Verschlüsselungsschlüssel für die neuen Werte der gemessenen Komponenten, die als Teil des Upgrades oder Updates geändert wurden, erneut versiegeln. Wenn diese Arten von Upgrades oder Updates angewendet werden, ohne BitLocker anzuhalten, wechselt Ihr Computer beim Neustart in den Wiederherstellungsmodus und benötigt einen Wiederherstellungsschlüssel oder ein Kennwort, um auf den Computer zugreifen zu können.
Bereitstellung und Verwaltung
Kann die BitLocker-Bereitstellung in einer Unternehmensumgebung automatisiert werden?
Ja, Sie können die Bereitstellung und Konfiguration von BitLocker sowie das TPM entweder mit WMI- oder Windows PowerShell-Skripts automatisieren. Die Implementierung der Skripts hängt von Ihrer Umgebung ab. Sie können auch „Manage-bde.exe“ verwenden, um BitLocker lokal oder remote zu konfigurieren. Weitere Informationen zum Schreiben von Skripts, die die BitLocker-WMI-Anbieter verwenden, finden Sie unter BitLocker Drive Encryption Provider (nur in englischer Sprache verfügbar). Weitere Informationen zur Verwendung von Windows PowerShell-Cmdlets mit der BitLocker-Laufwerkverschlüsselung finden Sie unter BitLocker Cmdlets in Windows PowerShell (nur in englischer Sprache verfügbar).
Kann BitLocker mehr als nur das Betriebssystemlaufwerk verschlüsseln?
Ja.
Gibt es eine wahrnehmbare Auswirkung auf die Leistung, wenn BitLocker auf einem Computer aktiviert ist?
Im Allgemeinen gibt es eine Beeinträchtigung der Leistung im einstelligen Prozentbereich.
Wie lange dauert die anfängliche Verschlüsselung, wenn BitLocker aktiviert ist?
Obwohl die BitLocker-Verschlüsselung im Hintergrund ausgeführt wird, während Sie Ihre Arbeit fortsetzen und das System verwendbar bleibt, hängen die Verschlüsselungszeiten vom zu verschlüsselnden Laufwerktyp, von der Größe des Laufwerks und der Geschwindigkeit des Laufwerks ab. Wenn Sie sehr große Laufwerke verschlüsseln, sollte die Verschlüsselung zu Zeiten erfolgen, wenn Sie das Laufwerk nicht verwenden.
Sie können auch auswählen, ob BitLocker das gesamte Laufwerk oder nur den belegten Speicherplatz auf dem Laufwerk verschlüsseln soll, wenn Sie BitLocker aktivieren. Auf einer neuen Festplatte kann die Verschlüsselung des belegten Speicherplatzes wesentlich schneller erfolgen als die Verschlüsselung des gesamten Laufwerks. Wenn diese Verschlüsselungsoption ausgewählt wird, verschlüsselt BitLocker die Daten automatisch, wenn sie gespeichert werden. Dabei wird sichergestellt, dass keine Daten unverschlüsselt gespeichert werden.
Was geschieht, wenn der Computer während der Verschlüsselung oder Entschlüsselung ausgeschaltet wird?
Wenn der Computer ausgeschaltet wird oder in den Ruhezustand wechselt, wird der BitLocker-Verschlüsselungs- und Entschlüsselungsprozess beim nächsten Mal, wenn Windows gestartet wird, an der Stelle fortgesetzt, an der er angehalten wurde. Dies gilt auch, wenn die Stromversorgung plötzlich unterbrochen ist.
Verschlüsselt und entschlüsselt BitLocker das gesamte Laufwerk auf einmal, wenn Daten gelesen und geschrieben werden?
Nein, BitLocker verschlüsselt und entschlüsselt nicht das gesamte Laufwerk beim Lesen und Schreiben von Daten. Die verschlüsselten Sektoren auf dem BitLocker-geschützten Laufwerk werden nur entschlüsselt, wenn sie von Systemlesevorgängen angefordert werden. Blöcke, die auf das Laufwerk geschrieben werden, werden verschlüsselt, bevor das System diese auf den physischen Datenträger schreibt. Unverschlüsselte Daten werden niemals auf einem BitLocker-geschützten Laufwerk gespeichert.
Wie kann ich verhindern, dass Benutzer in einem Netzwerk Daten auf einem nicht verschlüsselten Laufwerk speichern?
Sie können die Gruppenrichtlinieneinstellungen verwenden, um festzulegen, dass Datenlaufwerke BitLocker-geschützt sein müssen, bevor ein BitLocker-geschützter Computer Daten auf diese Laufwerke schreiben kann. Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.
Wenn diese Richtlinieneinstellungen aktiviert sind, wird das BitLocker-geschützte Betriebssystem Datenlaufwerke bereitstellen, die durch BitLocker nicht als schreibgeschützt geschützt sind.
Welche Systemänderungen führen dazu, dass die Überprüfung der Integrität auf meinem Betriebssystemlaufwerk fehlschlägt?
Die folgenden Systemänderungen können dazu führen, dass die Überprüfung der Integrität fehlschlägt und dass verhindert wird, dass das TPM den BitLocker-Schlüssel zum Entschlüsseln des geschützten Betriebssystemlaufwerks freigibt:
Verschieben des BitLocker-geschützten Laufwerks in einen neuen Computer
Installieren einer neue Hauptplatine mit einem neuen TPM
Ausschalten, Deaktivieren oder Löschen des TPM
Ändern der Startkonfigurationseinstellungen
Ändern des BIOS, der UEFI-Firmware, des Master Boot Records, des Startsektors, des Start-Managers, des Options-ROMs oder anderer frühzeitiger Startkomponenten oder Startkonfigurationsdaten
Warum startet BitLocker im Wiederherstellungsmodus, wenn Sie versuchen, das Betriebssystemlaufwerk zu starten?
Da BitLocker so konzipiert ist, Ihren Computer vor zahlreichen Angriffen zu schützen, gibt es viele Gründe, warum BitLocker im Wiederherstellungsmodus startet. Die Wiederherstellung besteht in BitLocker aus der Entschlüsselung einer Kopie des Volumehauptschlüssels mithilfe eines auf einem USB-Speicherstick gespeicherten Wiederherstellungsschlüssels oder eines von einem Wiederherstellungskennwort abgeleiteten kryptografischen Schlüssels. Das TPM ist an den Wiederherstellungsszenarien nicht beteiligt. Folglich ist die Wiederherstellung weiterhin möglich, wenn das TPM die Startkomponenten nicht überprüfen kann, nicht ordnungsgemäß funktioniert oder entfernt wird.
Kann ich Festplatten auf demselben Computer austauschen, wenn BitLocker auf dem Betriebssystemlaufwerk aktiviert ist?
Ja, Sie können mehrere Festplatten auf demselben Computer austauschen, wenn BitLocker aktiviert ist, aber nur, wenn die Festplatten auf demselben Computer mit BitLocker geschützt wurden. Die BitLocker-Schlüssel sind spezifisch für das TPM und das Betriebssystemlaufwerk. Wenn Sie ein Sicherungsbetriebssystem oder Datenlaufwerk für die Verwendung bei einem Ausfall der Festplatte vorbereiten möchten, müssen Sie sicherstellen, dass das richtige TPM zugeordnet wurde. Sie können auch verschiedene Festplatten für verschiedene Betriebssysteme konfigurieren und BitLocker anschließend jeweils mit unterschiedlichen Authentifizierungsmethoden (z. B. eine nur mit TPM und eine mit TPM und PIN) ohne Konflikte aktivieren.
Kann ich auf mein BitLocker-geschütztes Laufwerk zugreifen, wenn ich die Festplatte in einen anderen Computer einsetze?
Ja, wenn das Laufwerk ein Datenlaufwerk ist, können Sie es mithilfe des Systemsteuerungselements BitLocker-Laufwerkverschlüsselung genau wie jedes andere Datenlaufwerk mit einem Kennwort oder einer Smartcard entsperren. Wenn das Datenlaufwerk nur für die automatische Entsperrung konfiguriert wurde, müssen Sie es mit dem Wiederherstellungsschlüssel entsperren. Die verschlüsselte Festplatte kann mithilfe eines Datenwiederherstellungs-Agents (sofern konfiguriert) oder eines Wiederherstellungsschlüssels entsperrt werden.
Warum ist „BitLocker aktivieren“ nicht verfügbar, wenn ich mit der rechten Maustaste auf ein Laufwerk klicke?
Einige Laufwerke können nicht mit BitLocker verschlüsselt werden. Ein Laufwerk kann nicht verschlüsselt werden, wenn nicht genügend Datenträgergröße oder ein inkompatibles Dateisystem vorhanden ist, wenn das Laufwerk ein dynamischer Datenträger ist oder ein Laufwerk als Systempartition festgelegt ist. Standardmäßig wird das Systemlaufwerk (oder die Systempartition) aus der Anzeige ausgeblendet. Wenn es allerdings nicht als ausgeblendetes Laufwerk erstellt wird, wenn das Betriebssystem aufgrund eines benutzerdefinierten Installationsvorgangs installiert wurde, wird dieses Laufwerk möglicherweise angezeigt, kann aber nicht verschlüsselt werden.
Welche Arten von Datenträgerkonfigurationen werden von BitLocker unterstützt?
Eine beliebige Anzahl von internen Festplattenlaufwerken kann mit BitLocker geschützt werden. Bei einigen Versionen werden auch ATA- und SATA-basierte, direkt zugeordnete Speichergeräte unterstützt.
Schlüsselverwaltung
Was ist der Unterschied zwischen einem TPM-Besitzerkennwort, einem Wiederherstellungskennwort, einem Wiederherstellungsschlüssel, einem Kennwort, einer PIN, einer erweiterten PIN und einem Systemstartschlüssel?
Es gibt mehrere Schlüssel, die von BitLocker generiert und verwendet werden können. Einige Schlüssel sind erforderlich und andere sind optionale Schutzvorrichtungen, die Sie abhängig von der benötigten Sicherheitsstufe auswählen können.
Wie können das Wiederherstellungskennwort und der Wiederherstellungsschlüssel gespeichert werden?
Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel für ein Betriebssystemlaufwerk oder ein Festplattenlaufwerk können in einem Ordner, auf einem oder mehreren USB-Geräten oder in Ihrem Microsoft-Konto gespeichert oder gedruckt werden.
Bei Wechseldatenträgern können das Wiederherstellungskennwort und der Wiederherstellungsschlüssel in einem Ordner oder in Ihrem Microsoft-Konto gespeichert oder gedruckt werden. Standardmäßig kann ein Wiederherstellungsschlüssel für einen Wechseldatenträger nicht auf einem Wechseldatenträger gespeichert werden.
Ein Domänenadministrator kann darüber hinaus die Gruppenrichtlinie so konfigurieren, dass Wiederherstellungskennwörter automatisch generiert und in den Active Directory-Domänendiensten (AD DS) für alle BitLocker-geschützten Laufwerke gespeichert werden.
Ist es möglich, eine weitere Authentifizierungsmethode hinzuzufügen, ohne das Laufwerk zu entschlüsseln, wenn nur die TPM-Authentifizierungsmethode aktiviert ist?
Sie können das Befehlszeilentool „Manage-bde.exe“ verwenden, um den TPM-Authentifizierungsmodus durch einen mehrstufigen Authentifizierungsmodus zu ersetzen. Wenn BitLocker beispielsweise nur mit der TPM-Authentifizierung aktiviert ist und Sie die PIN-Authentifizierung hinzufügen möchten, verwenden Sie die folgenden Befehle einer Eingabeaufforderung mit erhöhten Rechten, die <4-20 digit numeric PIN> durch die zu verwendende numerische PIN ersetzt:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
Können die BitLocker-geschützten Daten nicht wiederhergestellt werden, wenn ich meine Wiederherstellungsinformationen verliere?
BitLocker ist so konzipiert, dass das verschlüsselte Laufwerk ohne die erforderliche Authentifizierung nicht wiederhergestellt werden kann. Im Wiederherstellungsmodus benötigt der Benutzer das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um das verschlüsselte Laufwerk zu entsperren.
Wichtig
Speichern Sie die Wiederherstellungsinformationen in AD DS zusammen mit Ihrem Microsoft-Konto oder an einem anderen sicheren Speicherort.
Kann der USB-Speicherstick, der als Systemstartschlüssel genutzt wird, auch verwendet werden, um den Wiederherstellungsschlüssel zu speichern?
Obwohl dies technisch möglich ist, wird die Verwendung eines USB-Speichersticks zum Speichern beider Schlüssel nicht empfohlen. Wenn der USB-Speicherstick, der Ihren Systemstartschlüssel enthält, verloren geht oder gestohlen wird, verlieren Sie auch den Zugriff auf Ihren Wiederherstellungsschlüssel. Darüber hinaus würde der Computer durch das Einfügen dieses Schlüssels automatisch über den Wiederherstellungsschlüssel starten, auch wenn die TPM-gemessenen Dateien geändert wurden, wodurch die Systemintegritätsüberprüfung des TPMs umgangen wird.
Kann ich den Systemstartschlüssel auf mehreren USB-Speichersticks speichern?
Ja, Sie können den Systemstartschlüssel eines Computers auf mehreren USB-Speichersticks speichern. Wenn Sie mit der rechten Maustaste auf ein BitLocker-geschütztes Laufwerk klicken und BitLocker verwalten auswählen, stehen Optionen zur Verfügung, mit denen Sie die Wiederherstellungsschlüssel nach Bedarf duplizieren können.
Kann ich mehrere (verschiedene) Systemstartschlüssel auf dem gleichen USB-Speicherstick speichern?
Ja, Sie können BitLocker-Systemstartschlüssel für unterschiedliche Computer auf dem gleichen USB-Speicherstick speichern.
Kann ich mehrere (verschiedene) Systemstartschlüssel für denselben Computer erstellen?
Sie können verschiedene Systemstartschlüssel für denselben Computer mithilfe von Skripting erstellen. Bei Computern mit einem TPM wird durch das Erstellen von verschiedenen Systemstartschlüsseln verhindert, dass BitLocker die Systemintegritätsüberprüfung des TPMs verwendet.
Kann ich mehrere PIN-Kombinationen erstellen?
Sie können nicht mehrere PIN-Kombinationen erstellen.
Welche Verschlüsselungsschlüssel werden in BitLocker verwendet? Wie funktionieren sie zusammen?
Die Rohdaten werden mit dem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, welcher dann mit dem Volumehauptschlüssel verschlüsselt wird. Der Volumehauptschlüssel wird wiederum durch eine von mehreren möglichen Methoden abhängig von der Authentifizierung (d. h. Schlüsselschutzvorrichtungen oder TPM) und den Wiederherstellungsszenarien verschlüsselt.
Wo werden die Verschlüsselungsschlüssel gespeichert?
Der vollständige Volumeverschlüsselungsschlüssel wird mit dem Volumehauptschlüssel verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Der Volumehauptschlüssel wird mit der entsprechenden Schlüsselschutzvorrichtung verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Wenn BitLocker unterbrochen wurde, wird der unverschlüsselte Schlüssel, mit dem der Volumehauptschlüssel verschlüsselt wird, auch auf dem verschlüsselten Laufwerk zusammen mit dem verschlüsselten Volumehauptschlüssel gespeichert.
Durch diesen Speichervorgang wird sichergestellt, dass der Volumehauptschlüssel niemals unverschlüsselt gespeichert wird und geschützt ist, es sei denn, Sie deaktivieren BitLocker. Die Schlüssel werden auch an zwei zusätzlichen Speicherorten auf dem Laufwerk zwecks Redundanz gespeichert. Die Schlüssel können vom Start-Manager gelesen und verarbeitet werden.
Warum muss ich die Funktionstasten verwenden, um die PIN oder das Wiederherstellungskennwort mit 48 Zeichen einzugeben?
Die Tasten F1 bis F10 sind universell zugeordnete Abfragecodes, die in der Umgebung vor dem Start auf allen Computern und in allen Sprachen verfügbar sind. Die numerischen Tasten 0 bis 9 können in der Umgebung vor dem Start nicht auf allen Tastaturen verwendet werden.
Wenn Sie eine erweiterte PIN verwenden, sollten Benutzer während des BitLocker-Setupprozesses die optionale Systemüberprüfung ausführen, um sicherzustellen, dass die PIN in der Umgebung vor dem Start richtig eingegeben werden kann.
Wie trägt BitLocker dazu bei, dass ein Angreifer nicht die PIN ermitteln kann, mit der das Betriebssystemlaufwerk entsperrt wird?
Es ist möglich, dass eine persönliche Identifikationsnummer (PIN) durch einen Angreifer, der einen Brute-Force-Angriff durchführt, ermittelt werden kann. Ein Brute-Force-Angriff liegt vor, wenn ein Angreifer ein automatisiertes Tool verwendet, um verschiedene PIN-Kombinationen auszuprobieren, bis die richtige PIN-Kombination gefunden wird. Bei BitLocker-geschützten Computern muss der Angreifer bei dieser Art von Angriff, auch bekannt als Wörterbuchangriff, über den physischen Zugriff auf den Computer verfügen.
Das TPM verfügt über die integrierte Funktion zum Erkennen und Reagieren auf diese Art von Angriffen. Da TPMs von verschiedenen Herstellern unterschiedliche PIN- und Angriffsausgleiche unterstützen können, wenden Sie sich an den TPM-Hersteller, um herauszufinden, wie das TPM Ihres Computers PIN-Brute-Force-Angriffe reduziert.
Nachdem Sie den Hersteller Ihres TPMs ermittelt haben, wenden Sie sich an den Hersteller, um die herstellerspezifischen Informationen zum TPM einzuholen. Die meisten Hersteller verwenden die PIN-Authentifizierungsfehleranzahl, um die Sperrungszeit für die PIN-Schnittstelle exponentiell zu erhöhen. Jeder Hersteller hat jedoch unterschiedliche Richtlinien, wann und wie der Fehlerzähler verringert oder zurückgesetzt wird.
Wie kann ich den Hersteller meines TPMs ermitteln?
Den TPM-Hersteller können Sie in der TPM MMC-Konsole (tpm.msc) unter der Überschrift TPM-Herstellerinformationen ermitteln.
Wie kann ich den Mechanismus für den Wörterbuchangriffsausgleich eines TPMs beurteilen?
Die folgenden Fragen können nützlich sein, wenn Sie einen TPM-Hersteller nach dem Konzept des Mechanismus für den Wörterbuchangriffsausgleich fragen:
Wie viele fehlgeschlagene Autorisierungsversuche können auftreten, bevor die Sperrung erfolgt?
Wie lautet der Algorithmus für die Bestimmung der Sperrdauer basierend auf der Anzahl der fehlgeschlagenen Versuche und anderen relevanten Parametern?
Welche Aktionen können dazu führen, dass die Fehleranzahl und die Sperrdauer verringert oder zurückgesetzt wird?
Können die Komplexität und die Länge der PIN mit der Gruppenrichtlinie verwaltet werden?
Ja und nein. Sie können die minimale Länge der persönlichen Identifikationsnummer (PIN) mithilfe der Gruppenrichtlinieneinstellung Minimale PIN-Länge für Systemstart konfigurieren festlegen und die Verwendung alphanumerischer PINs durch Aktivieren der Gruppenrichtlinieneinstellung Erweiterte PINs für Systemstart zulassen ermöglichen. Allerdings können Sie die PIN-Komplexität nicht durch eine Gruppenrichtlinie festlegen.
Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.
BitLocker To Go
BitLocker To Go ist die BitLocker-Laufwerksverschlüsselung auf Wechseldatenträgern. Dazu zählt die Verschlüsselung von USB-Speichersticks, SD-Karten, externen Festplattenlaufwerken und anderen Laufwerken, die mithilfe des NTFS-, FAT16-, FAT32- oder exFAT-Dateisystems formatiert werden.
Active Directory-Domänendienste (AD DS)
Was geschieht, wenn BitLocker auf einem Computer aktiviert ist, bevor der Computer der Domäne beigetreten ist?
Wenn BitLocker auf einem Laufwerk aktiviert ist, bevor die Gruppenrichtlinie angewendet wurde, um die Sicherung zu erzwingen, werden die Wiederherstellungsinformationen nicht automatisch in AD DS gesichert, wenn der Computer der Domäne beitritt oder die Gruppenrichtlinie anschließend angewendet wird. Sie können jedoch die Gruppenrichtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können und Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können verwenden, um festzulegen, dass der Computer mit einer Domäne verbunden sein muss, bevor BitLocker aktiviert werden kann, um sicherzustellen, dass die Wiederherstellungsinformationen für BitLocker-geschützte Laufwerke in Ihrer Organisation in AD DS gesichert werden.
Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.
Mithilfe der Schnittstelle der BitLocker Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) können Administratoren ein Skript schreiben, um die vorhandenen Wiederherstellungsinformationen eines Online-Clients zu sichern oder zu synchronisieren. Dieser Prozess wird jedoch nicht automatisch von BitLocker verwaltet. Das Befehlszeilentool „manage-bde“ kann auch zur manuellen Sicherung der Wiederherstellungsinformationen in AD DS verwendet werden. Um beispielsweise alle Wiederherstellungsinformationen für das Laufwerk „C:“ in AD DS zu sichern, verwenden Sie den folgenden Befehl über eine Eingabeaufforderung mit erhöhten Rechten: manage-bde -protectors -adbackup C:.
Wichtig
Das Beitreten eines Computers zur Domäne sollte der erste Schritt für neue Computer innerhalb einer Organisation sein. Nachdem die Computer einer Domäne beigetreten sind, erfolgt das Speichern des BitLocker-Wiederherstellungsschlüssels in AD DS automatisch (falls diese Einstellung in der Gruppenrichtlinie aktiviert ist).
Gibt es einen Ereignisprotokolleintrag auf dem Clientcomputer, um den Erfolg oder Misserfolg der Active Directory-Sicherung anzugeben?
Ja, es gibt einen Ereignisprotokolleintrag, der angibt, dass der Erfolg oder Misserfolg einer Active Directory-Sicherung auf dem Clientcomputer aufgezeichnet ist. Selbst wenn ein Ereignisprotokolleintrag „Erfolgreich“ lautet, hätten die Informationen anschließend aus AD DS entfernt worden sein können oder BitLocker hätte so neu konfiguriert worden sein können, dass die Active Directory-Informationen nicht mehr das Laufwerk entsperren können (z. B. durch Entfernen der Schlüsselschutzvorrichtung für das Wiederherstellungskennwort). Darüber hinaus ist es auch möglich, dass der Protokolleintrag manipuliert worden sein könnte.
Um letztlich zu bestimmen, ob eine legitime Sicherung in AD DS vorhanden ist, ist die Abfrage von AD DS mit Domänenadministrator-Anmeldeinformationen mithilfe des BitLocker-Kennwort-Viewer-Tools erforderlich.
Wenn ich das BitLocker-Wiederherstellungskennwort auf meinem Computer ändere und das neue Kennwort in AD DS speichere, überschreibt dann AD DS das alte Kennwort?
Nein. Entwurfsbedingt werden BitLocker-Wiederherstellungskennworteinträge nicht aus AD DS gelöscht. Daher können mehrere Kennwörter für jedes Laufwerk angezeigt werden. Überprüfen Sie das Datum auf dem Objekt, um das aktuelle Kennwort zu ermitteln.
Was geschieht, wenn die Sicherung anfänglich fehlschlägt? Wird die Sicherung von BitLocker wiederholt?
Wenn die Sicherung anfangs fehlschlägt, beispielsweise, wenn ein Domänencontroller nicht erreichbar ist, wenn der BitLocker-Setup-Assistent ausgeführt wird, versucht BitLocker nicht, die Wiederherstellungsinformationen erneut in AD DS zu sichern.
Wenn ein Administrator das Kontrollkästchen BitLocker-Sicherung in AD DS erforderlich der Richtlinieneinstellung BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows 2008 und Windows Vista) oder das ähnliche Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger in AD DS gespeichert wurden in einer der Richtlinieneinstellungen Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können , Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können und Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können aktiviert, wird dadurch verhindert, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS wird erfolgreich abgeschlossen. Wenn die Sicherung mit diesen konfigurierten Einstellungen nicht erfolgreich ist, kann BitLocker nicht aktiviert werden. Dadurch wird sichergestellt, dass Administratoren BitLocker-geschützte Laufwerke in der Organisation wiederherstellen können.
Weitere Informationen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.
Wenn ein Administrator diese Kontrollkästchen deaktiviert, ermöglicht der Administrator einem Laufwerk den BitLocker-Schutz, ohne dass die Wiederherstellungsinformationen erfolgreich in AD DS gesichert werden. Allerdings wird BitLocker nicht automatisch die Sicherung wiederholen, wenn ein Fehler auftritt. Stattdessen können Administratoren ein Skript für die Sicherung erstellen (wie zuvor in Was geschieht, wenn BitLocker auf einem Computer aktiviert ist, bevor der Computer der Domäne beigetreten ist? beschrieben), um die Informationen zu erfassen, nachdem die Verbindung wiederhergestellt wurde.
Sicherheit
Welche Art der Verschlüsselung verwendet BitLocker? Ist diese konfigurierbar?
BitLocker verwendet den erweiterten Verschlüsselungsstandard (Advanced Encryption Standard, AES) als Verschlüsselungsalgorithmus mit einer konfigurierbaren Schlüssellänge von 128 oder 256 Bits. Die Standardeinstellung für die Verschlüsselung lautet AES-128, allerdings können die Optionen mithilfe der Gruppenrichtlinie konfiguriert werden.
Wie lautet die beste Vorgehensweise für die Verwendung von BitLocker auf einem Betriebssystemlaufwerk?
Die empfohlene Vorgehensweise für die Konfiguration von BitLocker auf einem Betriebssystemlaufwerk ist die Implementierung von BitLocker auf einem Computer mit der TPM-Version 1.2 oder höher und einer Trusted Computing Group (TCG)-kompatiblen BIOS- oder UEFI-Firmware-Implementierung sowie einer PIN. Durch die Verwendung einer PIN, die vom Benutzer zusätzlich zur TPM-Überprüfung festgelegt wurde, kann ein böswilliger Benutzer, der physischen Zugriff auf den Computer hat, nicht einfach den Computer starten.
Welche Auswirkungen resultieren aus der Verwendung der Energieverwaltungsoptionen „Energiesparmodus“ oder „Ruhezustand“?
BitLocker auf Betriebssystemlaufwerken in der entsprechenden einfachen Konfiguration (mit einem TPM, jedoch ohne erweiterte Authentifizierung) bietet zusätzliche Sicherheit für den Ruhezustand. BitLocker bietet allerdings höhere Sicherheit, wenn es so konfiguriert ist, dass ein erweiterter Authentifizierungsmodus (TPM und PIN, TPM und USB oder TPM und PIN und USB) im Ruhezustand verwendet wird. Diese Methode ist sicherer, da für die Rückkehr aus dem Ruhezustand die BitLocker-Authentifizierung erforderlich ist. Die Deaktivierung des Energiesparmodus und die Verwendung von TPM und PIN für die Authentifizierungsmethode wird empfohlen.
Welche Vorteile bietet ein TPM?
Die meisten Betriebssysteme verwenden einen freigegebenen Speicherbereich und sind vom Betriebssystem abhängig, um den physischen Speicher zu verwalten. Ein TPM ist eine Hardwarekomponente, die die eigene interne Firmware und logische Schaltungen zum Verarbeiten von Anweisungen verwendet. Auf diese Weise wird der Schutz vor Sicherheitslücken bei externer Software sichergestellt. Bei Angriffen auf das TPM ist physischer Zugriff auf den Computer erforderlich. Darüber hinaus sind die erforderlichen Tools und die Fähigkeiten für den Angriff auf die Hardware oftmals umfangreicher und stehen in der Regel nicht so zur Verfügung wie diejenigen, die für den Angriff auf die Software verwendet werden. Da jedes TPM für den Computer, auf dem es vorhanden ist, spezifisch ist, ist der Angriff auf mehrere TPM-Computer schwierig und zeitaufwändig.
Hinweis
Das Konfigurieren von BitLocker mit einem weiteren Authentifizierungsfaktor bietet noch mehr Schutz vor Angriffen auf die TPM-Hardware.
BitLocker-Netzwerkentsperrung
Die BitLocker-Netzwerkentsperrung ermöglicht die einfache Verwaltung für BitLocker-aktivierte Desktops und Server, die die Schutzmethode TPM und PIN in einer Domänenumgebung verwenden. Beim Neustart eines Computers, der mit einem verkabelten Unternehmensnetzwerk verbunden ist, ermöglicht die Netzwerkentsperrung, dass die Aufforderung zur PIN-Eingabe umgangen wird. BitLocker-geschützte Betriebssystemvolumes werden mit einem vertrauenswürdigen Schlüssel automatisch entsperrt. Dieser Schlüssel wird vom Windows-Bereitstellungsdiensteserver als sekundäre Authentifizierungsmethode bereitgestellt.
Damit Sie die Netzwerkentsperrung verwenden können, benötigen Sie auch eine PIN, die für den Computer konfiguriert ist. Wenn der Computer nicht mit dem Netzwerk verbunden ist, müssen Sie die PIN eingeben, um die Sperrung aufzuheben.
Die BitLocker-Netzwerkentsperrung verfügt über Software- und Hardwareanforderungen für Clientcomputer, Windows-Bereitstellungsdienste und Domänencontroller, die erfüllt sein müssen, bevor Sie sie verwenden können.
Die Netzwerkentsperrung verwendet zwei Schutzvorrichtungen, die TPM-Schutzvorrichtung und die Schutzvorrichtung, die durch das Netzwerk oder Ihre PIN bereitgestellt wird. Bei der automatischen Entsperrung wird hingegen eine einzelne Schutzvorrichtung verwendet und zwar die, die im TPM gespeichert ist. Wenn der Computer mit einem Netzwerk ohne die Schlüsselschutzvorrichtung verbunden ist, werden Sie zur Eingabe Ihrer PIN aufgefordert. Wenn die PIN nicht verfügbar ist, müssen Sie den Wiederherstellungsschlüssel verwenden, um den Computer zu entsperren, wenn keine Verbindung mit dem Netzwerk hergestellt werden kann.
Weitere Informationen finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.
Weitere Fragen
Kann ein Kerneldebugger mit BitLocker ausgeführt werden?
Ja. Der Debugger sollte jedoch vor der Aktivierung von BitLocker aktiviert sein. Durch das Aktivieren des Debuggers wird sichergestellt, dass die richtigen Maße beim Einfügen in das TPM berechnet werden, sodass der Computer ordnungsgemäß startet. Wenn Sie das Debuggen aktivieren oder deaktivieren müssen, wenn Sie BitLocker verwenden, müssen Sie zuerst BitLocker anhalten, um zu verhindern, dass der Computer in den Wiederherstellungsmodus versetzt wird.
Wie werden Speicherabbilder von BitLocker verarbeitet?
BitLocker verfügt über einen Speichertreiberstapel, der sicherstellt, dass Speicherabbilder verschlüsselt werden, wenn BitLocker aktiviert ist.
Unterstützt BitLocker Smartcards für die Authentifizierung vor dem Start?
BitLocker unterstützt Smartcards nicht für die Authentifizierung vor dem Start. Es gibt keinen einzigen Industriestandard für die Smartcard-Unterstützung in der Firmware, und die meisten Computern implementieren nicht den Firmwaresupport für Smartcards oder unterstützen nur bestimmte Smartcards und Leser. Durch diese mangelnde Standardisierung ist die Unterstützung sehr schwierig.
Kann ich einen nicht von Microsoft stammenden TPM-Treiber verwenden?
Microsoft bietet keine Unterstützung für nicht von Microsoft stammende TPM-Treiber und empfiehlt ausdrücklich, diese nicht mit BitLocker zu verwenden. Wenn Sie versuchen, einen nicht von Microsoft stammenden TPM-Treiber mit BitLocker zu verwenden, meldet BitLocker möglicherweise, dass kein TPM auf dem Computer vorhanden ist und dass das TPM nicht mit BitLocker verwendet werden kann.
Können andere Tools, die die Master Boot Record-Arbeit verwalten oder ändern, mit BitLocker verwendet werden?
Es wird nicht empfohlen, den Master Boot Record auf Computern zu ändern, deren Betriebssystemlaufwerke aus diversen Sicherheits-, Zuverlässigkeits- und Produktsupport-Gründen BitLocker-geschützt sind. Änderungen am Master Boot Record (MBR) können die Sicherheitsumgebung verändern und den normalen Start des Computers verhindern sowie alle Maßnahmen zur Wiederherstellung eines beschädigten MBR erschweren. Änderungen, die am MBR von einem anderen Programm als Windows vorgenommen wurden, können dazu führen, dass der Computer in den Wiederherstellungsmodus wechselt oder verhindern, dass er vollständig gestartet wird.
Warum schlägt die Systemüberprüfung fehl, wenn ich mein Betriebssystemlaufwerk verschlüssele?
Die Systemüberprüfung wurde entwickelt, um sicherzustellen, dass die BIOS- oder UEFI-Firmware Ihres Computers mit BitLocker kompatibel ist und dass das TPM ordnungsgemäß ausgeführt wird. Die Systemüberprüfung kann aus verschiedenen Gründen fehlschlagen:
Die BIOS- oder UEFI-Firmware des Computers kann keine USB-Speichersticks lesen.
Die BIOS- oder UEFI-Firmware des Computers oder das Startmenü ist nicht für das Lesen von USB-Speichersticks aktiviert.
Es gibt mehrere in den Computer eingesetzte USB-Speichersticks.
Die PIN wurde nicht richtig eingegeben.
Die BIOS- oder UEFI-Firmware des Computers unterstützt nur die Verwendung der Funktionstasten (F1 bis F10), um Zahlen in der Umgebung vor dem Start einzugeben.
Der Systemstartschlüssel wurde entfernt, bevor der Neustart des Computers abgeschlossen war.
Das TPM hat nicht ordnungsgemäß funktioniert und kann die Versiegelung der Schlüssel nicht aufheben.
Was kann ich tun, wenn der Wiederherstellungsschlüssel auf dem USB-Speicherstick nicht gelesen werden kann?
Einige Computer sind nicht in der Lage, USB-Speichersticks in der Umgebung vor dem Start zu lesen. Überprüfen Sie zunächst Ihre BIOS- oder UEFI-Firmware und die Starteinstellungen, um sicherzustellen, dass die Verwendung von USB-Laufwerken aktiviert ist. Wenn die Option nicht aktiviert ist, aktivieren Sie die Verwendung von USB-Laufwerken in der BIOS- oder UEFI-Firmware und in den Starteinstellungen, und versuchen Sie anschließend, den Wiederherstellungsschlüssel erneut vom USB-Speicherstick zu lesen. Wenn der Lesevorgang noch immer nicht möglich ist, müssen Sie die Festplatte als Datenlaufwerk auf einem anderen Computer bereitstellen, sodass ein Betriebssystem vorhanden ist und versucht wird, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn der USB-Speicherstick beschädigt wurde, müssen Sie möglicherweise ein Wiederherstellungskennwort bereitstellen oder die Wiederherstellungsinformationen verwenden, die in AD DS gesichert wurden. Wenn Sie den Wiederherstellungsschlüssel in der Umgebung vor dem Start verwenden, stellen Sie sicher, dass das Laufwerk mithilfe des NTFS-, FAT16- oder FAT32-Dateisystems formatiert ist.
Warum kann ich meinen Wiederherstellungsschlüssel nicht auf dem USB-Speicherstick speichern?
Die Option Auf USB-Speicherstick speichern wird bei Wechseldatenträgern standardmäßig nicht angezeigt. Wenn die Option nicht verfügbar ist, bedeutet dies, dass ein Systemadministrator die Verwendung der Wiederherstellungsschlüssel nicht erlaubt hat.
Warum kann ich das Laufwerk nicht automatisch entsperren?
Für das automatische Entsperren von Festplattenlaufwerken muss das Betriebssystemlaufwerk auch durch BitLocker geschützt sein. Wenn Sie einen Computer verwenden, der nicht über ein BitLocker-geschütztes Betriebssystemlaufwerk verfügt, kann das Laufwerk nicht automatisch entsperrt werden. Bei Wechseldatenträgern können Sie die automatische Entsperrung hinzufügen, indem Sie mit der rechten Maustaste auf das Laufwerk in Windows Explorer klicken und dann BitLocker verwalten auswählen. Sie können weiterhin die Kennwort- oder Smartcard-Anmeldeinformationen verwenden, die Sie beim Aktivieren von BitLocker bereitgestellt haben, um den Wechseldatenträger auf anderen Computern zu entsperren.
Kann ich BitLocker im abgesicherten Modus verwenden?
Im abgesicherten Modus ist die eingeschränkte BitLocker-Funktionalität verfügbar. BitLocker-geschützte Laufwerke können mit dem Systemsteuerungselement BitLocker-Laufwerksverschlüsselung entsperrt und entschlüsselt werden. Im abgesicherten Modus gibt es nicht die Möglichkeit, mit der rechten Maustaste zu klicken, um auf die BitLocker-Optionen über Windows-Explorer zuzugreifen.
Wie sperre ich ein Datenlaufwerk?
Sowohl Festplattenlaufwerke als auch Wechseldatenträger können mithilfe des Befehlszeilentools „Manage-bde“ und des Befehls „–lock“ gesperrt werden.
Hinweis
Stellen Sie sicher, dass alle Daten auf dem Laufwerk gespeichert sind, bevor es gesperrt wird. Nachdem es gesperrt wurde, kann nicht mehr auf das Laufwerk zugegriffen werden.
Die Syntax dieses Befehls lautet:
manage-bde <driveletter> -lock
Abgesehen von der Verwendung dieses Befehls werden Datenlaufwerke beim Herunterfahren und Neustart des Betriebssystems gesperrt. Ein Wechseldatenträger wird auch automatisch gesperrt, wenn das Laufwerk vom Computer entfernt wird.
Kann ich BitLocker mit dem Volumenschattenkopie-Dienst verwenden?
Ja. Schattenkopien, die vor der Aktivierung von BitLocker erstellt wurden, werden automatisch gelöscht, wenn BitLocker auf softwareverschlüsselten Laufwerken aktiviert ist. Wenn Sie ein hardwareverschlüsseltes Laufwerk verwenden, werden die Schattenkopien beibehalten.
Unterstützt BitLocker virtuelle Festplatten (Virtual Hard Disks, VHDs)?
BitLocker wird auf startbaren VHDs nicht unterstützt. BitLocker wird aber auf Datenvolume-VHDs unterstützt, beispielsweise diejenigen, die von Clustern verwendet werden, wenn Sie Windows 10, Windows 8.1, Windows 8, Windows Server 2012 oder Windows Server 2012 R2 ausführen.