BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLocker

  • Artikel

In diesem Thema für IT-Spezialisten werden die Tools zum Verwalten von BitLocker beschrieben.

BitLocker-Laufwerksverschlüsselungstools enthalten die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell.

Sowohl manage-bde als auch die BitLocker-Cmdlets können zum Ausführen von Aufgaben verwendet werden, die über die BitLocker-Systemsteuerung erfolgen können und für automatisierte Bereitstellungen und andere Scripting-Szenarien geeignet sind.

Repair-bde ist ein Tool für bestimmte Umstände, das für Notfall-Wiederherstellungsszenarien bereitgestellt wird, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mit der Wiederherstellungskonsole entsperrt werden kann.

  1. Manage-bde

  2. Repair-bde

  3. BitLocker-Cmdlets für Windows PowerShell

Manage-bde

Manage-bde ist ein Befehlszeilentool, das für BitLocker-Scripting-Vorgänge verwendet werden kann. Manage-bde bietet zusätzliche Optionen, die in der BitLocker-Systemsteuerung nicht angezeigt werden. Eine vollständige Liste der manage-bde-Optionen finden Sie unter der Manage-bde-Befehlszeilenreferenz.

Manage-bde enthält weniger Standardeinstellungen und erfordert ein größeres Maß an Anpassung für das Konfigurieren von BitLocker. Verwenden Sie z. B. nur den manage-bde -on-Befehl bei einem Datenvolume, so wird das Volume vollständig ohne Authentifizierungschutzvorrichtungen verschlüsselt. Ein auf diese Weise verschlüsseltes Volume erfordert dennoch eine Benutzerinteraktion, damit der BitLocker-Schutz aktiviert wird, obwohl der Befehl erfolgreich ausgeführt wurde, da eine Authentifizierungsmethode zum Volume hinzugefügt werden muss, damit es vollständig geschützt ist. Die folgenden Abschnitte enthalten Beispiele für häufige Verwendungsszenarien für manage-bde.

Verwenden von manage-bde mit Betriebssystemvolumes

Unten sind Beispiele für grundlegende gültige Befehle für Betriebssystemvolumes aufgeführt. Allgemein wird durch die alleinige Verwendung des manage-bde -on <drive letter>-Befehls das Betriebssystemvolume mit einem reinen TPM-Schutz und ohne Wiederherstellungsschlüssel verschlüsselt. Zahlreiche Umgebungen erfordern jedoch weitere sicherere Schutzvorrichtungen wie Kennwörter oder eine PIN und erwarten, dass Informationen mit einem Wiederherstellungsschlüssel wiederhergestellt werden können. Es wird empfohlen, mindestens einen primären Schutz und einen Wiederherstellungsschutz zu einem Betriebssystemvolume hinzuzufügen.

Es ist ratsam beim Verwenden von manage-bde den Volumestatus auf dem Zielsystem zu ermitteln. Verwenden Sie zum Ermitteln des Volumestatus den folgenden Befehl:

manage-bde -status

Dieser Befehl gibt die Volumes auf dem Ziel, den aktuellen Verschlüsselungsstatus und den Volumetyp (Betriebssystem oder Daten) für jedes Volume zurück.

Das folgende Beispiel veranschaulicht das Aktivieren von BitLocker auf einem Computer ohne TPM-Chip. Vor Beginn des Verschlüsselungsprozesses müssen Sie den für BitLocker erforderlichen Systemstartschlüssel erstellen und ihn auf einem USB-Laufwerk speichern. Wenn BitLocker für das Betriebssystemvolume aktiviert ist, muss BitLocker auf den USB-Speicherstick zugreifen, um den Verschlüsselungsschlüssel abzurufen (in diesem Beispiel steht der Laufwerkbuchstabe E für das USB-Laufwerk). Sie werden zum Neustart aufgefordert, um die Verschlüsselung abzuschließen.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Hinweis  

Nach Abschluss der Verschlüsselung muss der USB-Systemstartschlüssel eingefügt werden, bevor das Betriebssystem gestartet werden kann.

 

Eine Alternative für den Systemstartschlüssel-Schutzmechanismus für Hardware ohne TPM ist ein Kennwort und ein ADaccountorgroup-Schutz, um das Betriebssystemvolume zu schützen. In diesem Fall würden Sie zuerst die Schutzvorrichtungen hinzufügen. Dies erfolgt mit folgendem Befehl:

manage-bde -protectors -add C: -pw -sid <user or group>

Für diesen Befehl müssen Sie den Kennwortschutz eingeben und bestätigen, bevor Sie ihn zum Volume hinzufügen. Bei aktivierten Schutzvorrichtungen auf dem Volume können Sie anschließend BitLocker aktivieren.

Auf Computern mit einem TPM ist es möglich, das Betriebssystemvolume zu verschlüsseln, ohne dass definierte Schutzvorrichtungen manage-bde verwenden. Geben Sie zu diesem Zweck folgenden Befehl ein:

manage-bde -on C:

Dadurch wird das Laufwerk mithilfe des TPM als Standard-Schutz verschlüsselt. Wenn Sie nicht sicher sind, ob ein TPM-Schutz verfügbar ist, um die verfügbaren Schutzvorrichtungen für ein Volume aufzulisten, führen Sie folgenden Befehl aus:

 manage-bde -protectors -get <volume>

Verwenden von manage-bde mit Datenvolumes

Datenvolumes verwenden für die Verschlüsselung die gleiche Syntax wie Betriebssystemvolumes, sie benötigen zum Abschließen des Vorgangs jedoch keine Schutzvorrichtungen. Das Verschlüsseln von Datenvolumes ist möglich mithilfe des Basis-Befehls: manage-bde -on <drive letter> oder Sie können zunächst zusätzliche Schutzvorrichtungen auf dem Datenvolume hinzufügen. Es wird empfohlen, mindestens einen primären Schutz und einen Wiederherstellungsschutz zu einem Datenvolume hinzuzufügen.

Ein allgemeiner Schutz für ein Datenvolume ist der Kennwortschutz. Im folgenden Beispiel wird ein Kennwortschutz zum Volume hinzugefügt und BitLocker aktiviert.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Es kann ein Problem auftreten, das einen Bereich einer Festplatte beschädigt, in dem BitLocker wichtige Informationen speichert. Diese Art von Problem kann durch einen Festplattenfehler verursacht werden oder wenn Windows unerwartet beendet wird.

Das BitLocker-Reparaturtool (Repair-Bde) kann verwendet werden, um auf einer schwer beschädigten Festplatte auf verschlüsselte Daten zuzugreifen, wenn das Laufwerk mit BitLocker verschlüsselt wurde. Repair-bde kann wichtige Teile des Laufwerks wiederherstellen und wiederherstellbare Daten retten, solange zum Entschlüsseln der Daten ein gültiges Wiederherstellungskennwort oder Wiederherstellungsschlüssel verwendet wird. Wenn die BitLocker-Metadaten auf dem Laufwerk beschädigt wurden, müssen Sie zusätzlich zum Wiederherstellungskennwort oder Wiederherstellungsschlüssel ein Sicherungsschlüsselpaket angeben. Dieses Schlüsselpaket wird in den Active Directory-Domänendiensten (AD DS) gesichert, wenn Sie die Standardeinstellung für die AD DS-Sicherung verwendet haben. Mit diesem Schlüsselpaket dem Wiederherstellungskennwort oder Wiederherstellungsschlüssel können Sie Teile eines mit BitLocker geschützten Laufwerks entschlüsseln, wenn die Festplatte beschädigt ist. Jeder Schlüsselpaket funktioniert nur für ein Laufwerk mit der entsprechenden Laufwerkskennung. Sie können den BitLocker-Wiederherstellungskennwort-Viewer verwenden, um das Schlüsselpaket aus AD DS abzurufen.

Tipp  

Wenn Sie keine Wiederherstellungsinformationen in AD DS sichern oder die Schlüsselpakete alternativ speichern möchten, können Sie den Befehl manage-bde -KeyPackage zum Generieren eines Schlüsselpakets für ein Volume verwenden.

 

Das Befehlszeilentool Repair-bde ist für den Fall konzipiert, wenn das Betriebssystem oder die BitLocker-Wiederherstellungskonsole nicht gestartet werden kann. Sie sollten Repair-bde verwenden, wenn Folgendes zutrifft:

  1. Sie haben das Laufwerk mit der BitLocker-Laufwerksverschlüsselung verschlüsselt

  2. Windows wird nicht gestartet, oder Sie können die BitLocker-Wiederherstellungskonsole nicht starten

  3. Sie besitzen keine Kopie der Daten, die auf dem verschlüsselten Laufwerk gespeichert sind

Hinweis  

Das Laufwerk ist möglicherweise nicht wegen BitLocker beschädigt Daher wird empfohlen, dass Sie andere Tools zum Diagnostizieren und Beheben des Problems mit dem Laufwerk verwenden, bevor Sie das BitLocker-Reparaturtool verwenden. Die Windows-Wiederherstellungsumgebung (Windows RE) bietet weitere Optionen zur Reparatur von Computern.

 

Folgende Einschränkungen gelten für Repair-bde:

  • Das Befehlszeilentool Repair-bde kann keine Laufwerke reparieren, die bei der Verschlüsselung oder Entschlüsselung einen Fehler verursacht haben.

  • Das Befehlszeilentool Repair-bde geht davon aus, dass das Laufwerk vollständig verschlüsselt wurde, wenn es eine Verschlüsselung besitzt.

Weitere Informationen zur Verwendung von Repair-bde finden Sie unter Repair-bde

BitLocker-Cmdlets für Windows PowerShell

Windows PowerShell-Cmdlets bieten eine neue Verwendungsmöglichkeit für Administratoren beim Arbeiten mit BitLocker. Mit den Windows PowerShell-Scripting-Funktionen können Administratoren problemlos BitLocker-Optionen in vorhandene Skripts integrieren. Die folgende Liste enthält die verfügbaren BitLocker-Cmdlets.

Name

Parameter

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

 

Ähnlich wie bei manage-bde bieten die Windows PowerShell-Cmdlets Konfigurationsoptionen, die über die in der Systemsteuerung bereitgestellten Optionen hinaus gehen. Wie bei manage-bde müssen Benutzer die spezifischen Anforderungen des zu verschlüsselnden Volumes berücksichtigen, bevor sie Windows PowerShell-Cmdlets ausführen.

Ein guter erster Schritt besteht darin, den aktuellen Zustand der Volumes auf dem Computer zu ermitteln. Verwenden Sie hierzu das Get-BitLockerVolume-Cmdlet.

Die Get-BitLockerVolume-Cmdlet-Ausgabe enthält Informationen zu Volumetyp, Schutzvorrichtungen, Schutzstatus und andere Details.

Tipp  

Gelegentlich werden bei der Verwendung von Get-BitLockerVolume aufgrund von fehlendem Platz in der Ausgabeanzeige möglicherweise nicht alle Schutzmechanismen angezeigt. Wenn Ihnen nicht alle der Schutzvorrichtungen für ein Volume angezeigt werden, können Sie den Pipebefehl (|) für Windows PowerShell verwenden, um eine vollständige Liste der Schutzvorrichtungen zu formatieren.

Get-BitLockerVolume C: | fl

 

Wenn Sie die vorhandenen Schutzvorrichtungen vor der Bereitstellung von BitLocker auf dem Volume entfernen möchten, können Sie das Remove-BitLockerKeyProtector-Cmdlet verwenden. Dafür muss die GUID entfernt werden, die der Schutzvorrichtung zugewiesen ist.

Ein einfaches Skript kann die Werte jeder Get-BitLockerVolume-Rückgabe folgendermaßen an eine andere Variable weiterreichen:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Damit können Sie die Informationen in der Variablen $keyprotectors anzeigen, um die GUID für die einzelnen Schutzvorrichtungen zu ermitteln.

Mithilfe dieser Informationen können Sie anschließend mit folgendem Befehl den Schlüsselschutz für ein bestimmtes Volume entfernen:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Hinweis  

Für die Ausführung des BitLocker-Cmdlets muss die Schlüsselschutz-GUID in Anführungszeichen eingeschlossen werden. Stellen Sie sicher, dass die gesamte GUID inklusive der geschweiften Klammern in dem Befehl enthalten ist.

 

Verwenden von BitLocker Windows PowerShell-Cmdlets mit Betriebssystemvolumes

Die Verwendung von BitLocker Windows PowerShell-Cmdlets ähnelt dem Arbeiten mit dem Tool manage-bde zur Verschlüsselung von Betriebssystemvolumes. Windows PowerShell bietet ein hohes Maß an Flexibilität. Benutzer können den gewünschten Schutz beispielsweise als Teilbefehl zum Verschlüsseln des Volumes hinzufügen. Im folgenden finden Sie Beispiele für gängige Benutzerszenarien und Schritte, um den gewünschten Schutz in BitLocker Windows PowerShell zu erreichen.

Das folgende Beispiel zeigt, wie Sie BitLocker mithilfe den TPM-Schutz auf einem Betriebssystemlaufwerk aktivieren:

Enable-BitLocker C:

Im folgenden Beispiel wird ein zusätzlicher Schutz, der StartupKey-Schutz hinzugefügt, und der BitLocker-Hardware-Test wird übersprungen. In diesem Beispiel wird die Verschlüsselung sofort ohne die Notwendigkeit eines Neustarts gestartet.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Verwendung von BitLocker Windows PowerShell-Cmdlets und Datenvolumes

Die Verschlüsselung von Datenvolumes mithilfe von Windows PowerShell entspricht dem Vorgang für Betriebssystemvolumes. Sie sollten vor dem Verschlüsseln des Volumes die gewünschten Schutzvorrichtungen hinzufügen. Im folgenden Beispiel wird durch die Verwendung der Variablen $pw als Kennwort dem Volume E: eine Kennwortschutzvorrichtung hinzugefügt. Die Variable $pw wird als SecureString-Wert zum Speichern des benutzerdefinierten Kennworts verwendet.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Verwenden eines AD-Kontos oder Gruppenschutzes in Windows PowerShell

Der ADAccountOrGroup-Schutz, eingeführt in Windows 8 und Windows Server 2012, ist ein Active Directory-SID-basierter Schutz. Dieser Schutz kann zu Betriebssystem- und Datenvolumes hinzugefügt werden, obwohl dadurch keine Betriebssystemvolumes in der Pre-Boot-Umgebung entsperrt werden. Die Schutzvorrichtung setzt voraus, dass die SID für das Domänenkonto oder die Gruppe mit der Schutzvorrichtung verknüpft wird. BitLocker kann eine clusterfähige Festplatte schützen, indem ein SID-basierter Schutz für das Clusternamenobjekt hinzugefügt wird, der einen ordnungsgemäßen Failover zulässt und von jedem Mitgliedscomputer des Clusters entsperrt werden kann.

Warnung  

Der ADAccountOrGroup-Schutz erfordert die Verwendung von einen zusätzlichen Schutz (z. B. TPM, PIN oder Wiederherstellungschlüssel) bei der Verwendung auf Betriebssystemvolumes

 

Um einem Volume eine ADAccountOrGroup-Schutzvorrichtung hinzuzufügen, müssen entweder der tatsächlichen Domänen-SID oder dem Gruppennamen die Domäne und ein umgekehrter Schrägstrich vorangestellt werden. Im folgenden Beispiel wird das Konto CONTOSO\Administrator dem Datenvolume G als Schutzvorrichtung hinzugefügt.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Der erste Schritt für Benutzer, die die SID für das Konto oder die Gruppe verwenden möchten, ist das Ermitteln der dem Konto zugeordneten SID. Verwenden Sie zum Abrufen der spezifischen SID für ein Benutzerkonto in Windows PowerShell den folgenden Befehl:

Hinweis  

Für die Verwendung dieses Befehls ist das RSAT-AD-PowerShell-Feature erforderlich.

 

get-aduser -filter {samaccountname -eq "administrator"}

Tipp  

Zusätzlich zu dem oben genannten PowerShell-Befehl können Sie mithilfe des Befehls WHOAMI/all Informationen zu dem lokal angemeldeten Benutzer und der Gruppenmitgliedschaft gesucht werden. Dazu sind keine zusätzlichen Features erforderlich.

 

Im folgenden Beispiel wird mithilfe der SID des Kontos ein ADAccountOrGroup-Schutz zum zuvor verschlüsselten Betriebssystemvolume hinzugefügt:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Hinweis  

Active Directory-basierte Schutzvorrichtungen werden normalerweise verwendet, um Failovercluster-kompatible Volumes zu entsperren.

 

Weitere Informationen

BitLocker-Übersicht

Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker

Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien

BitLocker: Aktivieren der Netzwerkentsperrung

BitLocker: Bereitstellen auf Windows Server 2012