Bearbeiten

BitLocker – Übersicht und Häufig gestellte Fragen zu Den Anforderungen

  • Häufig gestellte Fragen

Gilt für:

  • Windows 10 und höher
  • Windows Server 2016 und höher

Wie funktioniert BitLocker?

Funktionsweise von BitLocker mit Betriebssystemlaufwerken

BitLocker Kann verwendet werden, um den nicht autorisierten Datenzugriff auf verloren gegangenen oder gestohlenen Computern zu verringern, indem alle Benutzer- und Systemdateien auf dem Betriebssystemlaufwerk verschlüsselt werden, einschließlich der Auslagerungs- und Ruhezustandsdateien, und die Integrität von frühen Startkomponenten und Startkonfigurationsdaten überprüft werden.

Funktionsweise von BitLocker mit Festplattenlaufwerken und Wechseldatenträgern

BitLocker kann verwendet werden, um den gesamten Inhalt eines Datenlaufwerks zu verschlüsseln. Gruppenrichtlinie kann verwendet werden, um bitLocker auf einem Laufwerk zu aktivieren, bevor der Computer Daten auf das Laufwerk schreiben kann. BitLocker kann mit verschiedenen Entsperrmethoden für Datenlaufwerke konfiguriert werden, und ein Datenlaufwerk unterstützt mehrere Entsperrmethoden.

Unterstützt BitLocker die mehrstufige Authentifizierung?

Ja, BitLocker unterstützt die mehrstufige Authentifizierung für Betriebssystemlaufwerke. Wenn BitLocker auf einem Computer aktiviert ist, der über eine TPM-Version 1.2 oder höher verfügt, können zusätzliche Authentifizierungsformen mit dem TPM-Schutz verwendet werden.

Welche Hardware- und Softwareanforderungen müssen für die Verwendung von BitLocker erfüllt werden?

Informationen zu den Anforderungen finden Sie unter Systemanforderungen.

Hinweis

Dynamische Datenträger werden von BitLocker nicht unterstützt. Dynamische Datenvolumes werden im Systemsteuerung nicht angezeigt. Obwohl das Betriebssystemvolume immer im Systemsteuerung angezeigt wird, kann er unabhängig davon, ob es sich um einen dynamischen Datenträger handelt, nicht durch BitLocker geschützt werden, wenn es sich um einen dynamischen Datenträger handelt.

Warum sind zwei Partitionen erforderlich? Warum muss das Systemlaufwerk so groß sein?

Zwei Partitionen sind zum Ausführen von BitLocker erforderlich, weil die Authentifizierung vor dem Start und die Überprüfung der Systemintegrität auf einer separaten Partition des verschlüsselten Betriebssystemlaufwerks erfolgen müssen. Diese Konfiguration schützt das Betriebssystem und die Informationen auf dem verschlüsselten Laufwerk.

Welche Trusted Platform Modules (TPMs) werden von BitLocker unterstützt?

BitLocker unterstützt die TPM-Version 1.2 oder höher. Die BitLocker-Unterstützung für TPM 2.0 erfordert unified Extensible Firmware Interface (UEFI) für das Gerät.

Hinweis

TPM 2.0 wird im Legacy- und CSM-Modus des BIOS nicht unterstützt. Bei Geräten mit TPM 2.0 darf der BIOS-Modus nur als native UEFI konfiguriert sein. Die Optionen des Legacy and Compatibility Support Module (CSM) müssen deaktiviert sein. Um die Sicherheit zu erhöhen, aktivieren Sie das Feature "Sicherer Start".

Das auf der Hardware im Legacy-Modus installierte Betriebssystem verhindert das Booten des Betriebssystems, wenn der BIOS-Modus auf UEFI geändert wird. Verwenden Sie das Tool MBR2GPT , bevor Sie den BIOS-Modus ändern, der das Betriebssystem und den Datenträger für die Unterstützung von UEFI vorbereitet.

Wie kann ich feststellen, ob ein Computer über ein TPM verfügt?

Ab Windows 10 Version 1803 kann der TPM-Status in Windows Defender Security Center>DeviceSecurity-Prozessordetails> überprüft werden. Öffnen Sie in früheren Versionen von Windows die TPM-MMC-Konsole (tpm.msc), und suchen Sie unter der Überschrift Status . Get-TPM** kann auch in PowerShell ausgeführt werden, um weitere Details zum TPM auf dem aktuellen Computer zu erhalten.

Kann BitLocker auf einem Betriebssystemlaufwerk ohne TPM verwendet werden?

Ja, BitLocker kann auf einem Betriebssystemlaufwerk ohne TPM-Version 1.2 oder höher aktiviert werden, wenn die BIOS- oder UEFI-Firmware in der Startumgebung von einem USB-Speicherstick lesen kann. BitLocker entsperrt das geschützte Laufwerk erst, wenn der eigene Volumehauptschlüssel von BitLocker zuerst entweder vom TPM des Computers oder von einem USB-Speicherstick freigegeben wird, der den BitLocker-Startschlüssel für diesen Computer enthält. Computer ohne TPMs können jedoch nicht die Systemintegritätsüberprüfung verwenden, die bitLocker ebenfalls bereitstellen kann. Um zu ermitteln, ob ein Computer während des Startvorgangs von einem USB-Gerät lesen kann, verwenden Sie die BitLocker-Systemüberprüfung als Teil des BitLocker-Setupprozesses. Diese Systemüberprüfung führt Tests durch, um sicherzustellen, dass der Computer zum entsprechenden Zeitpunkt ordnungsgemäß von den USB-Geräten lesen kann und dass der Computer weitere BitLocker-Anforderungen erfüllt.

Wie erhalte ich BIOS-Unterstützung für das TPM auf meinem Computer?

Wenden Sie sich an den Hersteller des Computers, um eine Trusted Computing Group (TCG)-kompatible BIOS- oder UEFI-Startfirmware anzufordern, die die folgenden Anforderungen erfüllt:

  • Es ist mit den TCG-Standards für einen Clientcomputer kompatibel.
  • Sie verfügt über einen sicheren Aktualisierungsmechanismus, um zu verhindern, dass eine schädliche BIOS- oder Startfirmware auf dem Computer installiert wird.

Welche Anmeldeinformationen sind erforderlich, um BitLocker zu verwenden?

Zum Aktivieren, Deaktivieren oder Ändern der Konfiguration von BitLocker auf dem Betriebssystem und auf Festplattenlaufwerken ist die Mitgliedschaft in der lokalen Gruppe Administratoren erforderlich. Standardbenutzer können die Konfiguration von BitLocker auf Wechseldatenträgern aktivieren, deaktivieren oder ändern.

Wie lautet die empfohlene Startreihenfolge für Computer, die mit BitLocker geschützt werden sollen?

Die Startoptionen des Computers sollten so konfiguriert werden, dass das Festplattenlaufwerk zuerst in der Startreihenfolge vor allen anderen Laufwerken wie CD/DVD-Laufwerken oder USB-Laufwerken vorhanden ist. Wenn die Festplatte nicht an erster Stelle steht und der Computer in der Regel von der Festplatte gestartet wird, kann eine Änderung der Startreihenfolge erkannt oder angenommen werden, wenn wechselbare Medien während des Startvorgangs gefunden werden. Die Startreihenfolge wirkt sich in der Regel auf die Systemmessung aus, die von BitLocker überprüft wird, und eine Änderung der Startreihenfolge führt zu einer Aufforderung zur Eingabe des BitLocker-Wiederherstellungsschlüssels. Wenn ein Laptop mit einer Dockingstation verwendet wird, stellen Sie aus dem gleichen Grund sicher, dass sich das Festplattenlaufwerk zuerst in der Startreihenfolge befindet, sowohl wenn der Laptop angedockt als auch abgedockt ist.