BitLocker
Gilt für:
- Windows 10
- Windows 11
- Windows Server 2016 und höher
Dieser Artikel bietet eine allgemeine Übersicht über BitLocker, einschließlich einer Liste der Systemanforderungen, praktischen Anwendungen und veralteten Features.
BitLocker-Übersicht
Die BitLocker-Laufwerksverschlüsselung ist ein in das Betriebssystem integriertes Feature, das Daten vor Bedrohungen durch Datendiebstahl oder durch Offenlegung verlorener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer schützt.
BitLocker bietet den maximalen Schutz, wenn es mit einem Trusted Platform Module (TPM) Version 1.2 oder höher verwendet wird. Das TPM ist eine Hardwarekomponente, die von vielen Computerherstellern auf vielen neueren Computern installiert wird. Es funktioniert mit BitLocker, um Benutzerdaten zu schützen und sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline war.
Auf Computern ohne TPM-Version 1.2 oder höher kann BitLocker weiterhin zum Verschlüsseln des Windows-Betriebssystemlaufwerks verwendet werden. Diese Implementierung erfordert jedoch, dass der Benutzer einen USB-Startschlüssel einlegen muss, um den Computer zu starten oder aus dem Ruhezustand fortzusetzen. Ab Windows 8 kann ein Betriebssystemvolumekennwort verwendet werden, um das Betriebssystemvolume auf einem Computer ohne TPM zu schützen. Beide Optionen bieten keine Systemintegritätsüberprüfung vor dem Start, die von BitLocker mit einem TPM angeboten wird.
Zusätzlich zum TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein Wechselmedium (z. B. ein USB-Speicherstick) einfügt, das einen Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst aus dem Ruhezustand gestartet oder fortgesetzt wird, wenn die richtige PIN oder der richtige Startschlüssel angezeigt wird.
Praktische Anwendungsfälle
Daten auf einem verloren gegangenen oder gestohlenen Computer sind anfällig für nicht autorisierte Zugriffe durch das Ausführen eines Softwareangriffstools oder die Übertragung der Festplatte des Computers auf einen anderen Computer. BitLocker verringert das Risiko durch nicht autorisierten Datenzugriff, indem der Datei- und Computerschutz verbessert wird. BitLocker hilft auch dabei, den Zugriff auf Daten zu verhindern, wenn mit BitLocker geschützte Computer außer Betrieb genommen oder wiederverwendet werden.
Es gibt zwei zusätzliche Tools in den Remoteserver-Verwaltungstools, die zum Verwalten von BitLocker verwendet werden können.
BitLocker-Wiederherstellungskennwort-Viewer. Der BitLocker-Wiederherstellungskennwort-Viewer ermöglicht das Suchen und Anzeigen der BitLocker-Laufwerkverschlüsselungs-Wiederherstellungskennwörter, die in Active Directory Domain Services (AD DS) gesichert wurden. Dieses Tool kann verwendet werden, um Daten wiederherzustellen, die auf einem Laufwerk gespeichert sind, das mit BitLocker verschlüsselt wurde. Der BitLocker-Wiederherstellungskennwort-Viewer ist eine Erweiterung für Active Directory-Benutzer und das MMC-Snap-In.
Mithilfe dieses Tools kann das Dialogfeld Eigenschaften eines Computerobjekts untersucht werden, um die entsprechenden BitLocker-Wiederherstellungskennwörter anzuzeigen. Darüber hinaus kann ein Domänencontainer für alle Domänen in der Active Directory-Gesamtstruktur nach einem BitLocker-Wiederherstellungskennwort durchsucht werden, indem Sie mit der rechten Maustaste auf den Domänencontainer klicken. Das Anzeigen von Wiederherstellungskennwörtern kann nur von Einem Domänenadministrator angezeigt werden oder über delegierte Berechtigungen von einem Domänenadministrator verfügen.
Tools zur BitLocker-Laufwerkverschlüsselung. BitLocker-Laufwerksverschlüsselungstools umfassen die Befehlszeilentools manage-bde und repair-bde sowie die BitLocker-Cmdlets für Windows PowerShell. Sowohl manage-bde als auch die BitLocker-Cmdlets können zum Ausführen beliebiger Aufgaben verwendet werden, die über die BitLocker-Systemsteuerung ausgeführt werden können, und sie eignen sich für automatisierte Bereitstellungen und andere Skriptszenarien. Repair-bde wird für Notfallwiederherstellungsszenarien bereitgestellt, in denen ein durch BitLocker geschütztes Laufwerk nicht normal oder mithilfe der Wiederherstellungskonsole entsperrt werden kann.
Neue und geänderte Funktionalität
Informationen zu den Neuerungen in BitLocker für Windows, z. B. zur Unterstützung des XTS-AES-Verschlüsselungsalgorithmus, finden Sie unter Neuerungen in Windows 10, Versionen 1507 und 1511 für IT-Experten: BitLocker.
Systemanforderungen
BitLocker hat die folgenden Hardwareanforderungen:
Damit BitLocker die von einem TPM bereitgestellte Systemintegritätsprüfung verwenden kann, muss der Computer über TPM 1.2 oder höhere Versionen verfügen. Wenn ein Computer nicht über ein TPM verfügt, wird das Speichern eines Startschlüssels auf einem Wechseldatenträger, z. B. einem USB-Speicherstick, beim Aktivieren von BitLocker obligatorisch.
Ein Computer mit einem TPM muss außerdem eine Trusted Computing Group (TCG)-kompatible BIOS und UEFI-Firmware besitzen. Die BIOS- oder UEFI-Firmware stellt eine Vertrauenskette für vor dem Betriebssystemstart her, und die Unterstützung für TCG-spezifische Static Root of Trust Measurement TCG umfassen. Ein Computer ohne TPM erfordert keine TCG-kompatible Firmware.
Die System-BIOS- oder UEFI-Firmware (für Computer mit und ohne TPM) muss die Geräteklasse für USB-Massenspeicher unterstützen, einschließlich des Lesens kleiner Dateien auf einem USB-Speicherstick in der Vorabbetriebssystemumgebung.
Wichtig
Ab Windows 7 kann ein Betriebssystemlaufwerk ohne TPM und USB-Speicherstick verschlüsselt werden. Informationen zu diesem Verfahren finden Sie unter Tipp des Tages: Bitlocker ohne TPM oder USB.
Hinweis
TPM 2.0 wird im Legacy- und CsM-Modus (Compatibility Support Module) des BIOS nicht unterstützt. Für Geräte mit TPM 2.0 muss der BIOS-Modus nur als native UEFI konfiguriert sein. Die Legacy- und CSM-Optionen müssen deaktiviert sein. Um die Sicherheit zu erhöhen, aktivieren Sie das Feature für den sicheren Start.
Das installierte Betriebssystem auf Hardware im Legacymodus verhindert, dass das Betriebssystem gestartet wird, wenn der BIOS-Modus in UEFI geändert wird. Verwenden Sie das Tool MBR2GPT , bevor Sie den BIOS-Modus ändern, der das Betriebssystem und den Datenträger auf die Unterstützung von UEFI vorbereitet.
Die Festplatte muss mit mindestens zwei Laufwerken partitioniert werden:
- Das Betriebssystemlaufwerk (oder Startlaufwerk) enthält das Betriebssystem und unterstützende Dateien. Es muss mit dem NTFS-Dateisystem formatiert sein.
- Das Systemlaufwerk enthält die Dateien, die benötigt werden, um Windows zu laden, nachdem die Firmware die Systemhardware vorbereitet hat. BitLocker ist auf diesem Laufwerk nicht aktiviert. Damit BitLocker funktioniert, darf das Systemlaufwerk nicht verschlüsselt sein, muss vom Betriebssystemlaufwerk abweichen und auf Computern mit dem FAT32-Dateisystem formatiert sein, die UEFI-basierte Firmware verwenden oder auf Computern mit dem NTFS-Dateisystem formatiert sein, die BIOS-Firmware verwenden. Es wird empfohlen, dass das Systemlaufwerk ungefähr 350 MB groß ist. Nachdem BitLocker aktiviert wurde, sollte es ungefähr 250 MB freien Speicherplatz haben.
Bei der Installation auf einem neuen Computer erstellt Windows automatisch die Partitionen, die für BitLocker erforderlich sind.
Eine Verschlüsselungspartition kann nicht als aktive Partition markiert werden. Diese Anforderung gilt für Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger.
Bei der Installation der optionalen BitLocker-Komponente auf einem Server muss auch das Feature "Erweiterter Speicher" installiert werden. Das Feature "Erweiterter Speicher" wird verwendet, um hardwareverschlüsselte Laufwerke zu unterstützen.
Inhalt dieses Abschnitts
| Artikel | Beschreibung |
|---|---|
| Übersicht über die BitLocker-Geräteverschlüsselung in Windows 10 | Dieser Artikel bietet eine Übersicht über die Möglichkeiten, mit denen die BitLocker-Geräteverschlüsselung Daten auf Geräten schützen kann, auf denen Windows 10 ausgeführt wird. |
| Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker | In diesem Artikel werden häufig gestellte Fragen zu den Anforderungen zum Verwenden, Aktualisieren, Bereitstellen und Verwalten von Richtlinien für die Schlüsselverwaltung für BitLocker beantwortet. |
| Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien | In diesem Artikel wird das Verfahren erläutert, mit dem Sie Ihre BitLocker-Bereitstellung planen können. |
| Grundlegende BitLocker-Bereitstellung | In diesem Artikel wird erläutert, wie BitLocker-Features verwendet werden können, um Ihre Daten durch Laufwerkverschlüsselung zu schützen. |
| BitLocker: Bereitstellen unter Windows Server | In diesem Artikel wird erläutert, wie Sie BitLocker unter Windows Server bereitstellen. |
| BitLocker: Aktivieren der Netzwerkentsperrung | In diesem Artikel wird beschrieben, wie die BitLocker-Netzwerkentsperrung funktioniert und wie sie konfiguriert wird. |
| BitLocker: Verwenden von BitLocker-Laufwerksverschlüsselungstools zum Verwalten von BitLocker | In diesem Artikel wird beschrieben, wie Sie Tools zum Verwalten von BitLocker verwenden. |
| BitLocker: Verwenden des BitLocker-Wiederherstellungskennwort-Viewers | In diesem Artikel wird die Verwendung des BitLocker-Wiederherstellungskennwort-Viewers beschrieben. |
| BitLocker-Gruppenrichtlinieneinstellungen | In diesem Artikel werden die Funktion, der Speicherort und die Auswirkung der einzelnen Gruppenrichtlinieneinstellungen beschrieben, die zum Verwalten von BitLocker verwendet werden. |
| BCD-Einstellungen und BitLocker | In diesem Artikel werden die BCD-Einstellungen beschrieben, die von BitLocker verwendet werden. |
| BitLocker-Wiederherstellungsleitfaden | In diesem Artikel wird beschrieben, wie BitLocker-Schlüssel aus AD DS wiederhergestellt werden. |
| Schützen von BitLocker vor Angriffen vor dem Start | Dieser ausführliche Leitfaden hilft Ihnen, die Umstände zu verstehen, unter denen die Verwendung der Vorabstartauthentifizierung für Geräte empfohlen wird, auf denen Windows 10, Windows 8.1, Windows 8 oder Windows 7 ausgeführt wird, und wann sie in der Konfiguration eines Geräts sicher weggelassen werden kann. |
| Problembehandlung für BitLocker | In diesem Handbuch werden die Ressourcen beschrieben, mit denen Sie BitLocker-Probleme beheben können, und es werden Lösungen für mehrere häufig auftretende BitLocker-Probleme bereitgestellt. |
| Schützen von freigegebenen Clustervolumes und Speicherbereichsnetzwerken mit BitLocker | In diesem Artikel wird beschrieben, wie Sie CSVs und SANs mit BitLocker schützen. |
| Aktivieren von Secure Boot und BitLocker-Geräteverschlüsselung unter Windows IoT Core | In diesem Artikel wird beschrieben, wie Sie BitLocker mit Windows IoT Core verwenden. |