Erkunden von BitLocker

  • 8 Minuten

BitLocker bietet Schutz für ein Betriebssystem und die Daten, die ein Betriebssystemvolume zusätzlich zu anderen Volumes auf dem Computer speichert. Dadurch wird sichergestellt, dass die auf einem Computer gespeicherten Daten verschlüsselt bleiben, auch wenn jemand den Computer manipuliert, wenn das Betriebssystem nicht ausgeführt wird. BitLocker bietet unter Windows eine eng integrierte Lösung, um Bedrohungen in Form von Datendiebstahl oder -offenlegung durch verloren gegangene, gestohlene oder unangemessen außer Betrieb genommene Computer zu beheben.

Daten auf einem verlorenen oder gestohlenen Computer können anfällig für nicht autorisierten Zugriff werden, wenn böswillige Benutzer*innen ein Softwareangriffstool darauf ausführen oder die Festplatte des Computers in einem anderen Computer einbauen. BitLocker trägt dazu bei, den unbefugten Zugriff auf Daten zu verhindern, indem der Schutz von Dateien und Systemen verbessert wird. Darüber hinaus hilft BitLocker, Daten unzugänglich zu machen, wenn Sie durch BitLocker geschützte Computer außer Betrieb nehmen oder wiederverwenden.

BitLocker führt zwei Funktionen aus, die den Offlinedatenschutz und die Überprüfung der Systemintegrität ermöglichen:

  • Es verschlüsselt alle Daten, die auf einem Windows-Betriebssystemvolume gespeichert sind, und konfigurierte Datenvolumes. Dazu gehören das Windows-Betriebssystem, der Ruhezustands- und Auslagerungsdateien, Anwendungen und Anwendungsdaten. BitLocker bietet auch übergeordneten Schutz für Nicht-Microsoft-Anwendungen, was Anwendungen automatisch zugute kommt, wenn Sie sie auf einem verschlüsselten Volume installieren.
  • Es ist standardmäßig so konfiguriert, dass ein Trusted Platform Module (TPM)-Chip auf einem Computer-Motherboard verwendet wird, um die Integrität der Startkomponenten sicherzustellen, die ein Betriebssystem in den frühen Phasen des Startprozesses verwendet. BitLocker sperrt alle durch BitLocker geschützten Volumes, sodass sie geschützt bleiben, auch wenn jemand den Computer manipuliert, wenn das Betriebssystem nicht ausgeführt wird.

Überprüfung der Systemintegrität

BitLocker verwendet ein TPM, um die Integrität des Startvorgangs wie folgt zu überprüfen:

  • Stellen Sie eine Methode bereit, um zu überprüfen, ob die frühe Startdateiintegrität beibehalten wurde, und um sicherzustellen, dass keine nachteiligen Änderungen dieser Dateien vorhanden sind, z. B. mit Bootsektorviren oder Root Kits.
  • Verbesserung des Schutzes, um softwarebasierte Offlineangriffe zu mindern. Jede alternative Software, die das System möglicherweise startet, hat keinen Zugriff auf die Entschlüsselungsschlüssel für ein Windows-Betriebssystemvolume.
  • Sperren des Systems beim Erkennen von Manipulationen. Wenn BitLocker feststellt, dass bei überwachten Dateien Manipulationen vorliegen, wird das System nicht gestartet. Dadurch werden Benutzer*innen über Manipulationen informiert, da das System nicht wie gewohnt gestartet werden kann. Wenn die Systemsperre erfolgt, bietet BitLocker einen einfachen Wiederherstellungsprozess.

In Verbindung mit einem TPM überprüft BitLocker die Integrität von vorrangigen Startkomponenten, wodurch zusätzliche Offlineangriffe verhindert werden (z. B. Versuche zum Einfügen von schädlichem Code in diese Komponenten). Diese Funktionalität ist wichtig, da die Komponenten in der frühesten Phase des Startvorgangs unverschlüsselt bleiben müssen, damit der Computer gestartet werden kann.

Infolgedessen können Angreifer*innen den Code dieser vorrangigen Startkomponenten ändern und dann Zugriff auf einen Computer erhalten, obwohl die Datenträgerdaten verschlüsselt sind. Wenn sie dann Zugriff auf vertrauliche Informationen erhalten (z. B. auf die BitLocker-Schlüssel oder Benutzerkennwörter), können die Angreifer*innen BitLocker und andere Windows-Sicherheitsschutzmechanismen umgehen.

Vergleich von BitLocker und verschlüsselnden Dateisystemen

Wie bereits erwähnt, bieten sowohl BitLocker als auch verschlüsselnde Dateisysteme (EFS) Verschlüsselungsfunktionen. Diese Technologien sind jedoch nicht identisch und haben nicht den gleichen Zweck. Ein EFS konzentriert sich auf den Schutz auf Datei- und Ordnerebene, BitLocker auf Volume- oder Datenträgerebene. Wenn Sie die Datei mit einem EFS geschützt haben, bleibt diese geschützt, bis Sie (oder eine andere Person mit entsprechender Berechtigung) sie entsperren. Dieser Schutz hängt nicht vom Speicherort der Datei ab. Auf der anderen Seite werden Dateien auf dem durch BitLocker geschützten Laufwerk geschützt, solange sie sich auf diesem bestimmten Laufwerk befinden. In der folgenden Tabelle werden die BitLocker- und EFS-Verschlüsselungsfunktionen verglichen.

BitLocker-Funktionalität EFS-Funktionalität
Verschlüsseln von Volumes (gesamtes Betriebssystemvolume, einschließlich Windows-Systemdateien und Ruhezustandsdateien). Verschlüsseln von Dateien
Keine Benutzerzertifikate erforderlich Benutzerzertifikate erforderlich
Schutz des Betriebssystems vor Änderungen Kein Schutz des Betriebssystems vor Änderungen

Geräteverschlüsselung

Die Geräteverschlüsselung ist ein integriertes Windows-Feature. Standardmäßig schützt die Geräteverschlüsselung das Betriebssystemlaufwerk und alle Festplattenlaufwerke auf dem System mithilfe der AES-128-Bit-Verschlüsselung (Advanced Encryption Standard), die dieselbe Technologie wie BitLocker verwendet. Sie können die Geräteverschlüsselung mit einem Microsoft-Konto oder einem Domänenkonto verwenden.

Die Geräteverschlüsselung wird auf allen Windows 10-Geräten und höheren Versionen auf neuen Geräten automatisch aktiviert, sodass das Gerät immer geschützt ist. Für unterstützte Geräte, für die Sie ein Upgrade auf Windows 10 oder eine Neuinstallation durchführen, ist die Geräteverschlüsselung automatisch aktiviert.

BitLocker To Go

Wenn ein Laptop verloren geht oder gestohlen wird, hat der Verlust von Daten in der Regel mehr Auswirkungen als der Verlust des Geräts. Wenn Personen Wechseldatenträger verwenden, können Daten ohne den Verlust des Computers verloren gehen. BitLocker To Go bietet Schutz vor Datendiebstahl und -offenlegung, indem die BitLocker-Unterstützung auf Wechseldatenträger wie USB-Speichersticks erweitert wird. Sie können BitLocker To Go verwalten, indem Sie die Gruppenrichtlinie, Windows PowerShell oder die Einstellungen-App für die BitLocker-Laufwerkverschlüsselung verwenden.

In Windows können Benutzer ihre Wechselmedien verschlüsseln, indem Sie den Datei-Explorer öffnen, mit der rechten Maustaste auf das Laufwerk klicken und BitLocker aktivieren. Benutzer*innen können dann eine Methode auswählen, mit der das Laufwerk entsperrt werden soll (einschließlich der Verwendung eines Kennworts oder einer Smartcard).

Nachdem eine Entsperrmethode ausgewählt wurde, müssen Benutzer*innen ihren Wiederherstellungsschlüssel ausdrucken oder speichern. Sie können Windows so konfigurieren, dass dieser 48-stellige Schlüssel automatisch in Active Directory Domain Services (AD DS) gespeichert wird, sodass Sie ihn verwenden können, wenn bei anderen Entsperrmethoden ein Fehler auftritt (z. B. wenn Benutzer*innen ihre Kennwörter vergessen). Schließlich müssen Benutzer*innen ihre Auswahl zum Entsperren bestätigen, um mit der Verschlüsselung zu beginnen. Wenn Sie ein durch BitLocker geschütztes Laufwerk in Ihren Computer einbauen, erkennt das Windows-Betriebssystem das verschlüsselte Laufwerk und fordert Sie auf, es zu entsperren.

Microsoft BitLocker Administration and Monitoring (MBAM)

Wie bei jeder von Ihnen implementierten Sicherheitstechnologie wird die zentrale Verwaltung empfohlen. Sie können BitLocker zentral verwalten, indem Sie die Gruppenrichtlinie verwenden, allerdings mit eingeschränkter Funktionalität. MBAM ist Teil von Microsoft Desktop Optimization Pack und vereinfacht die Verwaltung und Unterstützung von BitLocker und BitLocker To Go mit vollständiger Funktionalität. MBAM 2.5 mit Service Pack 1 (aktuelle Version) weist die folgenden Hauptfeatures auf:

  • Administrator*innen können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.
  • Sicherheitsbeauftragte können den Konformitätszustand einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.
  • Die Berichterstellung und Hardwareverwaltung können zentral mit Microsoft Endpoint Configuration Manager erfolgen.
  • Die Arbeitsbelastung des Helpdesks wird verringert, da Endbenutzer*innen seltener Unterstützung bei BitLocker-Wiederherstellungsanforderungen benötigen.
  • Endbenutzer*innen können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.
  • Sicherheitsbeauftragte können den Zugriff auf Wiederherstellungsschlüsselinformationen überwachen.
  • Windows Enterprise-Benutzer*innen können standortunabhängig arbeiten und sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.
  • Erzwingt die Richtlinienoptionen der BitLocker-Verschlüsselung, die Sie für Ihr Unternehmen festlegen.
  • Das Feature lässt sich außerdem in vorhandene Verwaltungstools wie Microsoft Endpoint Configuration Manager integrieren.
  • Die Benutzeroberfläche für die Wiederherstellung kann von der IT angepasst werden.

Screenshot von Microsoft MBAM, der zur Eingabe der KeyID auffordert, und Grund für die Wiederherstellung des Zugriffs auf ein verschlüsseltes Laufwerk.