Häufig gestellte Fragen zu BitLocker

Ja, BitLocker unterstützt die mehrstufige Authentifizierung für Betriebssystemlaufwerke. Wenn BitLocker auf einem Computer aktiviert ist, der über eine TPM-Version 1.2 oder höher verfügt, können zusätzliche Authentifizierungsformen mit dem TPM-Schutz verwendet werden.

Zwei Partitionen sind zum Ausführen von BitLocker erforderlich, weil die Authentifizierung vor dem Start und die Überprüfung der Systemintegrität auf einer separaten Partition des verschlüsselten Betriebssystemlaufwerks erfolgen müssen. Diese Konfiguration schützt das Betriebssystem und die Informationen auf dem verschlüsselten Laufwerk.

Die TPM-status können in Windows Defender Security Center>DeviceSecurity-Prozessordetails> überprüft werden.

Ja, BitLocker kann auf einem Betriebssystemlaufwerk ohne TPM aktiviert werden, wenn die BIOS- oder UEFI-Firmware in der Startumgebung von einem USB-Speicherstick lesen kann. BitLocker entsperrt das geschützte Laufwerk erst, wenn das bitLocker-eigene Volume master Schlüssel zuerst entweder vom TPM des Computers oder von einem USB-Speicherstick freigegeben wird, der den BitLocker-Startschlüssel für diesen Computer enthält. Computer ohne TPMs können jedoch nicht die Systemintegritätsüberprüfung verwenden, die bitLocker ebenfalls bereitstellen kann. Um zu ermitteln, ob ein Computer während des Startvorgangs von einem USB-Gerät lesen kann, verwenden Sie die BitLocker-Systemüberprüfung als Teil des BitLocker-Setupprozesses. Diese Systemüberprüfung führt Tests durch, um sicherzustellen, dass der Computer zum entsprechenden Zeitpunkt ordnungsgemäß von den USB-Geräten lesen kann und dass der Computer weitere BitLocker-Anforderungen erfüllt.

Wenden Sie sich an den Hersteller des Computers, um eine Trusted Computing Group (TCG)-kompatible BIOS- oder UEFI-Startfirmware anzufordern, die die folgenden Anforderungen erfüllt:

• Es ist mit den TCG-Standards für einen Clientcomputer kompatibel.
• Es verfügt über einen sicheren Updatemechanismus, um zu verhindern, dass ein schädliches BIOS oder Startfirmware auf dem Computer installiert wird.

Zum Aktivieren, Deaktivieren oder Ändern von Konfigurationen von BitLocker auf Betriebssystem- und Festplattenlaufwerken ist die Mitgliedschaft in der lokalen Administratorgruppe erforderlich. Standardbenutzer können die Konfiguration von BitLocker auf Wechseldatenträgern aktivieren, deaktivieren oder ändern.

Die Startoptionen des Computers sollten so konfiguriert werden, dass das Festplattenlaufwerk zuerst in der Startreihenfolge vor allen anderen Laufwerken wie CD/DVD-Laufwerken oder USB-Laufwerken vorhanden ist. Wenn die Festplatte nicht die erste ist und der Computer in der Regel von der Festplatte gestartet wird, kann eine Änderung der Startreihenfolge erkannt oder angenommen werden, wenn Wechselmedien während des Starts gefunden werden. Die Startreihenfolge wirkt sich in der Regel auf die Systemmessung aus, die von BitLocker überprüft wird, und eine Änderung der Startreihenfolge führt zu einer Aufforderung zur Eingabe des BitLocker-Wiederherstellungsschlüssels. Wenn ein Laptop mit einer Dockingstation verwendet wird, stellen Sie aus dem gleichen Grund sicher, dass sich das Festplattenlaufwerk zuerst in der Startreihenfolge befindet, sowohl wenn der Laptop angedockt als auch abgedockt ist.

Ja.

Entschlüsseln entfernt den BitLocker-Schutz vollständig, und das Laufwerk wird vollständig entschlüsselt.

Anhalten behält die verschlüsselten Daten bei, aber der BitLocker-Volumehauptschlüssel wird mit einem unverschlüsselten Schlüssel verschlüsselt. Der unverschlüsselte Schlüssel ist ein kryptografischer Schlüssel, der auf dem Laufwerk unverschlüsselt und nicht geschützt gespeichert wird. Durch die unverschlüsselte Speicherung dieses Schlüssels können mit der Option Anhalten Änderungen oder Upgrades auf dem Computer ohne den Zeit- und Kostenaufwand für die Entschlüsselung und erneute Verschlüsselung des gesamten Laufwerks vorgenommen werden. Nachdem die Änderungen vorgenommen wurden und BitLocker erneut aktiviert ist, versiegelt BitLocker den Verschlüsselungsschlüssel erneut für die neuen Werte der gemessenen Komponenten, die als Teil des Upgrades geändert wurden. Der Volumehauptschlüssel wird geändert, die Schutzvorrichtungen werden entsprechend angepasst, und der unverschlüsselte Schlüssel wird gelöscht.

Für BitLocker ist keine Benutzeraktion erforderlich, um Updates von Microsoft anzuwenden, einschließlich Windows-Qualitätsupdates und -Funktionsupdates. Für Softwareupdates, die nicht von Microsoft stammen, muss BitLocker angehalten werden. Dazu gehören Folgende:

• Einige TPM-Firmwareupdates, wenn diese Updates das TPM außerhalb der Windows-API löschen. Nicht jedes TPM-Firmwareupdate löscht das TPM. Benutzer müssen BitLocker nicht anhalten, wenn das TPM-Firmwareupdate die Windows-API verwendet, um das TPM zu löschen, da BitLocker in diesem Fall automatisch angehalten wird. Es wird empfohlen, dass Benutzer ihre TPM-Firmwareupdates testen, wenn sie den BitLocker-Schutz nicht anhalten möchten.
• Nicht von Microsoft stammende Anwendungsupdates, die die UEFI\BIOS-Konfiguration ändern
• Manuelle oder nicht von Microsoft stammende Updates für sichere Startdatenbanken (nur, wenn BitLocker den sicheren Start für die Integritätsüberprüfung verwendet)
• Updates zu UEFI\BIOS-Firmware, Installation zusätzlicher UEFI-Treiber oder UEFI-Anwendungen ohne Verwendung des Windows Update-Mechanismus (nur wenn BitLocker während Updates den sicheren Start für die Integritätsüberprüfung nicht verwendet)
• BitLocker kann überprüft werden, wenn der sichere Start für die Integritätsüberprüfung mit der Befehlszeile manage-bde.exe -protectors -get C:verwendet wird. Wenn der sichere Start für die Integritätsüberprüfung verwendet wird, wird die Meldung Verwendet den sicheren Start für die Integritätsüberprüfung.

Ja, die Bereitstellung und Konfiguration von BitLocker kann entweder mit Windows PowerShell oder mit dem manage-bde.exe Befehl automatisiert werden. Weitere Informationen zu gängigen BitLocker-Verwaltungsbefehlen finden Sie im BitLocker-Betriebshandbuch.

In der Regel entsteht ein geringer Leistungsaufwand, häufig in prozentual einstelliger Prozentbereich, der relativ zum Durchsatz der Speichervorgänge ist, für die er ausgeführt werden muss.

Obwohl die BitLocker-Verschlüsselung im Hintergrund erfolgt, während ein Benutzer weiterhin mit dem verwendbaren System arbeitet, variieren die Verschlüsselungszeiten je nach Typ des verschlüsselten Laufwerks, der Größe des Laufwerks und der Geschwindigkeit des Laufwerks. Wenn große Laufwerke verschlüsselt werden, sollte die Verschlüsselung möglicherweise in Zeiten geplant werden, in denen das Laufwerk nicht verwendet wird.

Wenn BitLocker aktiviert ist, kann BitLocker auch so festgelegt werden, dass das gesamte Laufwerk oder nur der verwendete Speicherplatz auf dem Laufwerk verschlüsselt wird. Auf einer neuen Festplatte kann die Verschlüsselung des belegten Speicherplatzes wesentlich schneller erfolgen als die Verschlüsselung des gesamten Laufwerks. Wenn diese Verschlüsselungsoption ausgewählt wird, verschlüsselt BitLocker die Daten automatisch, wenn sie gespeichert werden. Dabei wird sichergestellt, dass keine Daten unverschlüsselt gespeichert werden.

Wenn der Computer ausgeschaltet wird oder in den Ruhezustand wechselt, wird der BitLocker-Verschlüsselungs- und Entschlüsselungsprozess beim nächsten Mal, wenn Windows gestartet wird, an der Stelle fortgesetzt, an der er angehalten wurde. Das Fortsetzen der Verschlüsselung oder Entschlüsselung von BitLocker ist auch dann wahr, wenn die Stromversorgung plötzlich nicht verfügbar ist.

Nein, BitLocker ver- und entschlüsselt beim Lesen und Schreiben von Daten nicht das gesamte Laufwerk. Die verschlüsselten Sektoren im durch BitLocker geschützten Laufwerk werden nur entschlüsselt, wenn sie von Systemlesevorgängen angefordert werden. Blöcke, die auf das Laufwerk geschrieben werden, werden verschlüsselt, bevor das System diese auf den physischen Datenträger schreibt. Unverschlüsselte Daten werden niemals auf einem BitLocker-geschützten Laufwerk gespeichert.

Richtlinieneinstellungen können so konfiguriert werden, dass Datenlaufwerke bitLocker-geschützt sind, bevor ein mit BitLocker geschützter Computer Daten in sie schreiben kann. Weitere Informationen finden Sie unter BitLocker-Richtlinieneinstellungen. Wenn diese Richtlinieneinstellungen aktiviert sind, bindet das bitLocker-geschützte Betriebssystem alle Datenlaufwerke, die nicht durch BitLocker geschützt sind, schreibgeschützt ein.

Mit BitLocker können Benutzer auswählen, ob sie nur ihre Daten verschlüsseln möchten. Obwohl dies nicht die sicherste Methode zum Verschlüsseln eines Laufwerks ist, kann diese Option die Verschlüsselungszeit um mehr als 99 Prozent reduzieren, je nachdem, wie viele Daten verschlüsselt werden müssen. Weitere Informationen finden Sie unter Verschlüsselung nur verwendeter Speicherplatz.

Die folgenden Systemänderungen können dazu führen, dass die Überprüfung der Integrität fehlschlägt und dass verhindert wird, dass das TPM den BitLocker-Schlüssel zum Entschlüsseln des geschützten Betriebssystemlaufwerks freigibt:

• Verschieben des durch BitLocker geschützten Laufwerks auf einen neuen Computer
• Installieren einer neuen Hauptplatine mit einem neuen TPM
• Deaktivieren, Deaktivieren oder Löschen des TPM
• Ändern von Startkonfigurationseinstellungen
• Ändern von BIOS, UEFI-Firmware, master Startdatensatz, Startsektor, Start-Manager, Options-ROM oder anderen frühen Startkomponenten oder Startkonfigurationsdaten

Da BitLocker darauf ausgelegt ist, Computer vor zahlreichen Angriffen zu schützen, gibt es zahlreiche Gründe, warum BitLocker im Wiederherstellungsmodus gestartet werden kann. Zum Beispiel:

• Ändern der BIOS-Startreihenfolge, um ein anderes Laufwerk vor der Festplatte zu starten
• Hinzufügen oder Entfernen von Hardware, z. B. Einfügen einer neuen Karte in den Computer
• Entfernen, Einsetzen oder vollständiges Entladen der Ladung eines intelligenten Akkus auf einem tragbaren Computer

Die Wiederherstellung besteht in BitLocker aus der Entschlüsselung einer Kopie des Volumehauptschlüssels mithilfe eines auf einem USB-Speicherstick gespeicherten Wiederherstellungsschlüssels oder eines von einem Wiederherstellungskennwort abgeleiteten kryptografischen Schlüssels. Das TPM ist an wiederherstellungsszenarien nicht beteiligt, sodass die Wiederherstellung weiterhin möglich ist, wenn die Überprüfung der Startkomponente fehlschlägt, fehlschlägt oder entfernt wird.

BitLocker kann daran gehindert werden, an PCR 7 zu binden, wenn ein Nicht-Windows-Betriebssystem vor Windows gestartet wurde oder wenn der sichere Start für das Gerät nicht verfügbar ist, weil es deaktiviert ist oder die Hardware es nicht unterstützt.

Ja, mehrere Festplatten können auf demselben Computer ausgetauscht werden, wenn BitLocker aktiviert ist, aber nur, wenn die Festplatten auf demselben Computer bitLocker-geschützt waren. Die BitLocker-Schlüssel sind für das TPM und das Betriebssystemlaufwerk eindeutig. Wenn ein Sicherungsbetriebssystem oder ein Datenlaufwerk für den Fall eines Datenträgerfehlers vorbereitet werden muss, stellen Sie sicher, dass sie mit dem richtigen TPM abgeglichen wurden. Verschiedene Festplatten können auch für unterschiedliche Betriebssysteme konfiguriert werden und dann BitLocker auf jedem mit unterschiedlichen Authentifizierungsmethoden (z. B. eine mit nur TPM und eine mit TPM+PIN) aktivieren, ohne dass Konflikte auftreten.

Ja, wenn es sich bei dem Laufwerk um ein Datenlaufwerk handelt, kann es aus dem BitLocker Drive Encryption Systemsteuerung Element entsperrt werden, indem ein Kennwort oder ein intelligentes Karte verwendet wird. Wenn das Datenlaufwerk nur für die automatische Entsperrung konfiguriert wurde, muss es mithilfe des Wiederherstellungsschlüssels entsperrt werden. Die verschlüsselte Festplatte kann mithilfe eines Datenwiederherstellungs-Agents (sofern konfiguriert) oder eines Wiederherstellungsschlüssels entsperrt werden.

Einige Laufwerke können nicht mit BitLocker verschlüsselt werden. Gründe, warum ein Laufwerk nicht verschlüsselt werden kann, sind unzureichende Datenträgergröße, ein inkompatibles Dateisystem, wenn es sich bei dem Laufwerk um einen dynamischen Datenträger handelt oder ein Laufwerk als Systempartition festgelegt ist. Standardmäßig wird das Systemlaufwerk (oder die Systempartition) aus der Anzeige ausgeblendet. Wenn es jedoch nicht als ausgeblendetes Laufwerk erstellt wird, wenn das Betriebssystem aufgrund eines benutzerdefinierten Installationsvorgangs installiert wurde, wird dieses Laufwerk möglicherweise angezeigt, kann aber nicht verschlüsselt werden.

Eine beliebige Anzahl von internen Festplattenlaufwerken kann mit BitLocker geschützt werden. Bei einigen Versionen werden ATA- und SATA-basierte, direkt angeschlossene Speichergeräte ebenfalls unterstützt.

Wechseldatenträger können mithilfe eines Kennworts oder einer intelligenten Karte entsperrt werden. Eine SID-Schutzvorrichtung kann auch so konfiguriert werden, dass ein Laufwerk mithilfe von Anmeldeinformationen der Benutzerdomäne entsperrt wird. Nachdem die Verschlüsselung gestartet wurde, kann das Laufwerk auch automatisch auf einem bestimmten Computer für ein bestimmtes Benutzerkonto entsperrt werden. Systemadministratoren können konfigurieren, welche Optionen für Benutzer verfügbar sind, einschließlich Kennwortkomplexität und Mindestlängenanforderungen. Verwenden Sie manage-bde.exezum Entsperren mithilfe einer SID-Schutzvorrichtung :

Manage-bde.exe -protectors -add e: -sid domain\username

Es gibt mehrere Schlüssel, die von BitLocker generiert und verwendet werden können. Einige Schlüssel sind erforderlich, und einige sind optionale Schutzvorrichtungen, die Sie je nach erforderlicher Sicherheitsstufe verwenden können.

TPM-Besitzerkennwort

Bevor Sie BitLocker auf einem Computer mit tpm Version 1.2 aktivieren, müssen Sie das TPM initialisieren. Beim Initialisierungsprozess wird ein TPM-Besitzerkennwort generiert, bei dem es sich um ein kennwort handelt, das auf dem TPM festgelegt ist. Sie müssen das TPM-Besitzerkennwort angeben können, um den Zustand des TPM zu ändern, z. B. beim Aktivieren oder Deaktivieren des TPM oder beim Zurücksetzen der TPM-Sperre.

Wiederherstellungskennwort und Wiederherstellungsschlüssel

Wenn Sie BitLocker einrichten, müssen Sie auswählen, wie der Zugriff auf BitLocker-geschützte Laufwerke wiederhergestellt werden kann, wenn die angegebene Entsperrmethode nicht verwendet werden kann (z. B. wenn das TPM die Startkomponenten nicht überprüfen kann, die persönliche Identifikationsnummer (PIN) vergessen wird oder das Kennwort vergessen wird). In diesen Situationen müssen Sie entweder den Wiederherstellungsschlüssel oder das Wiederherstellungskennwort angeben können, um die verschlüsselten Daten auf dem Laufwerk zu entsperren. Wenn Sie die Wiederherstellungsinformationen angeben, können Sie eines der folgenden Formate verwenden:

• Ein Wiederherstellungskennwort, das aus 48 Ziffern besteht, die in acht Gruppen unterteilt sind. Während der Wiederherstellung müssen Sie dieses Kennwort in die BitLocker-Wiederherstellungskonsole eingeben, indem Sie die Funktionstasten auf der Tastatur verwenden.
• Eine Schlüsseldatei auf einem USB-Speicherstick, der direkt von der BitLocker-Wiederherstellungskonsole gelesen wird. Während der Wiederherstellung müssen Sie dieses USB-Gerät einlegen.

PIN und erweiterte PIN

Für ein höheres Maß an Sicherheit mit dem TPM können Sie BitLocker mit einer persönlichen Identifikationsnummer (PIN) konfigurieren. Die PIN ist ein vom Benutzer erstellter Wert, der jedes Mal eingegeben werden muss, wenn der Computer gestartet oder aus dem Ruhezustand fortgesetzt wird. Die PIN kann aus 4 bis 20 Ziffern bestehen, wie in der Richtlinieneinstellung Minimale PIN-Länge für Start konfigurieren angegeben, und wird intern als 256-Bit-Hash der eingegebenen Unicode-Zeichen gespeichert. Dieser Wert wird dem Benutzer nie angezeigt. Die PIN wird verwendet, um einen weiteren Authentifizierungsfaktor in Verbindung mit der TPM-Authentifizierung bereitzustellen.
Für ein noch höheres Maß an Sicherheit mit dem TPM können Sie BitLocker so konfigurieren, dass erweiterte PINs verwendet werden. Erweiterte PINs sind PINs, die zusätzlich zum numerischen Satz den vollständigen Tastaturzeichensatz verwenden, um mehr mögliche PIN-Kombinationen zu ermöglichen, und die zwischen 4 und 20 Zeichen lang sind. Um erweiterte PINs zu verwenden, müssen Sie die Richtlinieneinstellung Erweiterte PINs für Start zulassen aktivieren, bevor Sie die PIN zum Laufwerk hinzufügen. Durch Aktivieren dieser Richtlinie können alle erstellten PINs vollständige Tastaturzeichen verwenden.

Startschlüssel

Das Konfigurieren eines Startschlüssels ist eine weitere Methode, um eine höhere Sicherheitsstufe mit dem TPM zu ermöglichen. Der Startschlüssel ist ein Schlüssel, der auf einem USB-Speicherstick gespeichert ist, und der USB-Speicherstick muss bei jedem Start des Computers eingelegt werden. Der Startschlüssel wird verwendet, um einen weiteren Authentifizierungsfaktor in Verbindung mit der TPM-Authentifizierung bereitzustellen. Um einen USB-Speicherstick als Startschlüssel zu verwenden, muss der USB-Speicherstick mithilfe des NTFS-, FAT- oder FAT32-Dateisystems formatiert werden.

Das Wiederherstellungskennwort und der Wiederherstellungsschlüssel für ein Betriebssystemlaufwerk oder ein Festplattenlaufwerk können in einem Ordner gespeichert, auf einem oder mehreren USB-Geräten gespeichert, in einem Microsoft-Konto gespeichert oder gedruckt werden.

Bei Wechseldatenträgern können das Wiederherstellungskennwort und der Wiederherstellungsschlüssel in einem Ordner gespeichert, in einem Microsoft-Konto gespeichert oder gedruckt werden. Standardmäßig kann ein Wiederherstellungsschlüssel für ein Wechseldatenträger nicht auf einem Wechseldatenträger gespeichert werden.

Ein Domänenadministrator kann auch Richtlinieneinstellungen so konfigurieren, dass wiederherstellungskennwörter automatisch generiert und in Active Directory Domain Services (AD DS) oder Microsoft Entra ID für jedes mit BitLocker geschützte Laufwerk gespeichert werden.

Das Manage-bde.exe Befehlszeilentool kann verwendet werden, um den reinen TPM-Authentifizierungsmodus durch einen mehrstufigen Authentifizierungsmodus zu ersetzen. Wenn BitLocker beispielsweise nur mit TPM-Authentifizierung aktiviert ist und die PIN-Authentifizierung hinzugefügt werden muss, verwenden Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten, und ersetzen Sie die 4-20-stellige numerische PIN durch die gewünschte numerische PIN:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Aufgrund neuer Hardware, die die Anforderungen des Windows-Hardware-Kompatibilitätsprogramms erfüllt, haben PINs eine weniger kritische Bedeutung für die Risikominderung. Daher reicht der Schutz durch ein TPM in Verbindung mit Richtlinien wie der Gerätesperrung wahrscheinlich aus. Beispielsweise verfügen Surface Pro und Surface Book nicht über externe DMA-Ports, die angegriffen werden können. Für ältere Hardware, bei denen möglicherweise eine PIN erforderlich ist, wird empfohlen, erweiterte PINs zu aktivieren, die nicht numerische Zeichen wie Buchstaben und Satzzeichen zulassen, und die PIN-Länge basierend auf der Risikotoleranz und den Hardware-Anti-Hammering-Funktionen festzulegen, die den TPMs auf den Computern zur Verfügung stehen.

BitLocker ist so konzipiert, dass das verschlüsselte Laufwerk ohne die erforderliche Authentifizierung nicht wiederhergestellt werden kann. Im Wiederherstellungsmodus benötigt der Benutzer das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel, um das verschlüsselte Laufwerk zu entsperren.

Obwohl die Verwendung eines USB-Speichersticks sowohl als Startschlüssel als auch zum Speichern des Wiederherstellungsschlüssels technisch möglich ist, ist es keine bewährte Methode, einen USB-Speicherstick zum Speichern beider Schlüssel zu verwenden. Wenn der USB-Speicherstick, der den Startschlüssel enthält, verloren geht oder gestohlen wird, geht auch der Wiederherstellungsschlüssel verloren. Darüber hinaus würde das Einfügen dieses Schlüssels dazu führen, dass der Computer automatisch vom Wiederherstellungsschlüssel gestartet wird, selbst wenn sich die VOM TPM gemessenen Dateien geändert haben, wodurch die Systemintegritätsprüfung des TPM umgangen wird.

Ja, der Startschlüssel des Computers kann auf mehreren USB-Speichersticks gespeichert werden. Wenn Sie mit der rechten Maustaste auf ein bitLocker-geschütztes Laufwerk klicken und BitLocker verwalten auswählen, erhalten Sie die Optionen zum Speichern der Wiederherstellungsschlüssel auf zusätzlichen USB-Speichersticks nach Bedarf.

Ja, BitLocker-Startschlüssel für verschiedene Computer können auf demselben USB-Speicherstick gespeichert werden.

Das Generieren verschiedener Startschlüssel für denselben Computer kann über Skripts erfolgen. Bei Computern mit einem TPM wird durch das Erstellen von verschiedenen Systemstartschlüsseln verhindert, dass BitLocker die Systemintegritätsüberprüfung des TPMs verwendet.

Das Generieren mehrerer PIN-Kombinationen ist nicht möglich.

Die Rohdaten werden mit dem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, welcher dann mit dem Volumehauptschlüssel verschlüsselt wird. Das Volume master Schlüssels wird wiederum mit einer von mehreren möglichen Methoden verschlüsselt, je nach Authentifizierung (d. h. Schlüsselschutz oder TPM) und Wiederherstellungsszenarien.

Der vollständige Volumeverschlüsselungsschlüssel wird mit dem Volumehauptschlüssel verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Der Volumehauptschlüssel wird mit der entsprechenden Schlüsselschutzvorrichtung verschlüsselt und auf dem verschlüsselten Laufwerk gespeichert. Wenn BitLocker unterbrochen wurde, wird der unverschlüsselte Schlüssel, mit dem der Volumehauptschlüssel verschlüsselt wird, auch auf dem verschlüsselten Laufwerk zusammen mit dem verschlüsselten Volumehauptschlüssel gespeichert.

Dieser Speicherprozess stellt sicher, dass das Volume master Schlüssel niemals unverschlüsselt gespeichert und geschützt wird, es sei denn, BitLocker ist deaktiviert. Die Schlüssel werden auch an zwei zusätzlichen Speicherorten auf dem Laufwerk zwecks Redundanz gespeichert. Die Schlüssel können vom Start-Manager gelesen und verarbeitet werden.

Die Tasten F1 bis F10 sind universell zugeordnete Abfragecodes, die in der Umgebung vor dem Start auf allen Computern und in allen Sprachen verfügbar sind. Die numerischen Tasten 0 bis 9 können nicht in der Pre-Boot-Umgebung auf allen Tastaturen verwendet werden.

Wenn Sie eine erweiterte PIN verwenden, sollten Benutzer während des BitLocker-Setupprozesses die optionale Systemüberprüfung ausführen, um sicherzustellen, dass die PIN in der Umgebung vor dem Start richtig eingegeben werden kann.

Es ist möglich, dass eine persönliche Identifikationsnummer (PIN) von einem Angreifer ermittelt werden kann, der einen Brute-Force-Angriff ausführt. Ein Brute-Force-Angriff liegt vor, wenn ein Angreifer ein automatisiertes Tool verwendet, um verschiedene PIN-Kombinationen auszuprobieren, bis die richtige PIN-Kombination gefunden wird. Bei BitLocker-geschützten Computern erfordert diese Art von Angriff, die auch als Wörterbuchangriff bezeichnet wird, dass der Angreifer physischen Zugriff auf den Computer hat.

Das TPM verfügt über die integrierte Funktion zum Erkennen und Reagieren auf diese Art von Angriffen. Da die TPMs verschiedener Hersteller möglicherweise unterschiedliche PIN- und Angriffsminderungen unterstützen, wenden Sie sich an den TPM-Hersteller, um zu ermitteln, wie das TPM des Computers PIN-Brute-Force-Angriffe entschärft. Nachdem der Hersteller des TPM ermittelt wurde, wenden Sie sich an den Hersteller, um die herstellerspezifischen Informationen des TPM zu erfassen. Die meisten Hersteller verwenden die PIN-Authentifizierungsfehleranzahl, um die Sperrungszeit für die PIN-Schnittstelle exponentiell zu erhöhen. Jeder Hersteller hat jedoch unterschiedliche Richtlinien, wann und wie der Fehlerzähler verringert oder zurückgesetzt wird.

Der TPM-Hersteller kann in Windows Defender Security Center>DeviceSecurity-Prozessordetails> ermittelt werden.

Die folgenden Fragen können hilfreich sein, wenn Sie einen TPM-Hersteller nach dem Entwurf eines Mechanismus zur Entschärfung von Wörterbuchangriffen fragen:

• Wie viele fehlgeschlagene Autorisierungsversuche können auftreten, bevor die Sperrung erfolgt?
• Wie lautet der Algorithmus für die Bestimmung der Sperrdauer basierend auf der Anzahl der fehlgeschlagenen Versuche und anderen relevanten Parametern?
• Welche Aktionen können dazu führen, dass die Fehleranzahl und die Sperrdauer verringert oder zurückgesetzt wird?

Die minimale Länge der persönlichen Identifikationsnummer (PIN) kann mithilfe der Einstellung Minimale PIN-Länge für Start Gruppenrichtlinie konfigurieren und die Verwendung alphanumerischer PINs zulassen, indem Sie die Richtlinieneinstellung Erweiterte PINs für Start zulassen aktivieren konfiguriert werden. Pin-Komplexität kann nicht über Richtlinieneinstellungen erforderlich sein.

Weitere Informationen finden Sie unter BitLocker-Richtlinieneinstellungen.

BitLocker erstellt einen Hash für die vom Benutzer angegebene PIN mithilfe von SHA-256, und die ersten 160 Bits des Hashs werden als Autorisierungsdaten verwendet, die an das TPM gesendet werden, um das Volume master Schlüssel zu versiegeln. Das Volume master Schlüssel ist jetzt sowohl durch das TPM als auch durch die PIN geschützt. Um das Volume master Taste zu entsiegeln, müssen Sie die PIN jedes Mal eingeben, wenn der Computer neu gestartet wird oder aus dem Ruhezustand fortgesetzt wird.

BitLocker To Go ist die BitLocker-Laufwerksverschlüsselung auf Wechseldatenträgern. Dieses Feature umfasst die Verschlüsselung von:

• USB-Speichersticks
• SD-Karten
• Externe Festplattenlaufwerke
• Andere Laufwerke, die mit dem NTFS-, FAT16-, FAT32- oder exFAT-Dateisystem formatiert sind.

Die Laufwerkpartitionierung muss die BitLocker-Laufwerkverschlüsselungspartitionierungsanforderungen erfüllen.

Wie bei BitLocker können Laufwerke, die mit BitLocker To Go verschlüsselt sind, mithilfe eines Kennworts oder einer intelligenten Karte auf einem anderen Computer geöffnet werden. Verwenden Sie in Systemsteuerung die BitLocker-Laufwerkverschlüsselung.

Wenn BitLocker auf einem Laufwerk aktiviert ist, bevor Richtlinieneinstellungen angewendet werden, um eine Sicherung zu erzwingen, werden die Wiederherstellungsinformationen nicht automatisch in AD DS gesichert, wenn der Computer der Domäne beitritt oder die Richtlinieneinstellungen anschließend angewendet werden. Die Richtlinieneinstellungen Wählen Sie jedoch aus, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Wählen Sie aus, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können, und Wählen Sie aus, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können, können ausgewählt werden, um festzulegen, dass der Computer mit einer Domäne verbunden ist, bevor BitLocker aktiviert werden kann, um sicherzustellen, dass Wiederherstellungsinformationen für BitLocker-geschützte Laufwerke in der organization wird in AD DS gesichert.

Weitere Informationen zum Sichern des Wiederherstellungskennworts in AD DS oder Microsoft Entra ID finden Sie im BitLocker-Betriebshandbuch.

Ja, ein Ereignisprotokolleintrag, der den Erfolg oder Fehler einer Sicherung angibt, wird auf dem Clientcomputer aufgezeichnet. Selbst wenn ein Ereignisprotokolleintrag „Erfolgreich“ lautet, hätten die Informationen anschließend aus AD DS entfernt worden sein können oder BitLocker hätte so neu konfiguriert worden sein können, dass die Active Directory-Informationen nicht mehr das Laufwerk entsperren können (z. B. durch Entfernen der Schlüsselschutzvorrichtung für das Wiederherstellungskennwort). Darüber hinaus ist es auch möglich, dass der Protokolleintrag gespooft wird.

Um letztlich zu bestimmen, ob eine legitime Sicherung in AD DS vorhanden ist, ist die Abfrage von AD DS mit Domänenadministrator-Anmeldeinformationen mithilfe des BitLocker-Kennwort-Viewer-Tools erforderlich.

Nein. Standardmäßig werden BitLocker-Wiederherstellungskennworteinträge nicht aus AD DS gelöscht. Daher können für jedes Laufwerk mehrere Kennwörter angezeigt werden. Überprüfen Sie das Datum auf dem Objekt, um das aktuelle Kennwort zu ermitteln.

Wenn die Sicherung anfänglich fehlschlägt, z. B. wenn ein Domänencontroller zum Zeitpunkt der Ausführung des BitLocker-Setup-Assistenten nicht erreichbar ist, versucht BitLocker nicht erneut, die Wiederherstellungsinformationen in AD DS zu sichern.

Wenn ein Administrator das Kontrollkästchen BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Laufwerke (Betriebssystem | Feste Daten | Wechseldatenlaufwerke) in einem der Optionen Auswählen, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können, Auswählen, wie bitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können, und Auswählen, wie bitLocker-geschützte Wechseldatenträger wiederhergestellt werden können Richtlinieneinstellungen: Benutzer können BitLocker nur aktivieren, wenn der Computer mit der Domäne verbunden ist und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS erfolgreich ist. Wenn diese Einstellungen konfiguriert sind, wenn die Sicherung fehlschlägt, kann BitLocker nicht aktiviert werden, um sicherzustellen, dass Administratoren bitLocker-geschützte Laufwerke im organization wiederherstellen können.

Weitere Informationen finden Sie unter BitLocker-Richtlinieneinstellungen.

Wenn ein Administrator diese Kontrollkästchen deaktiviert, lässt der Administrator zu, dass ein Laufwerk mit BitLocker geschützt wird, ohne dass die Wiederherstellungsinformationen erfolgreich in AD DS gesichert werden. BitLocker wiederholt die Sicherung jedoch nicht automatisch, wenn sie fehlschlägt. Stattdessen können Administratoren ein Sicherungsskript erstellen, wie weiter oben in Was ist, wenn BitLocker auf einem Computer aktiviert ist, bevor der Computer der Domäne beitritt? beschrieben, um die Informationen nach der Wiederherstellung der Konnektivität zu erfassen.

BitLocker verwendet den erweiterten Verschlüsselungsstandard (Advanced Encryption Standard, AES) als Verschlüsselungsalgorithmus mit einer konfigurierbaren Schlüssellänge von 128 Bits oder 256 Bits. Die Standardverschlüsselungseinstellung ist AES-128, aber die Optionen können mithilfe von Richtlinieneinstellungen konfiguriert werden.

Die empfohlene Vorgehensweise für die BitLocker-Konfiguration auf einem Betriebssystemlaufwerk besteht darin, BitLocker auf einem Computer mit einer TPM-Version 1.2 oder höher zu implementieren.

BitLocker auf Betriebssystemlaufwerken in der Basiskonfiguration bietet zusätzliche Sicherheit für den Ruhezustandsmodus. Im Energiesparmodus ist der Computer anfällig für Direkte Speicherzugriffsangriffe, da ungeschützte Daten im RAM verbleiben. Aus Sicherheitsgründen wird empfohlen, den Energiesparmodus zu deaktivieren. Die Startauthentifizierung kann mithilfe einer Richtlinieneinstellung konfiguriert werden.

Die meisten Betriebssysteme verwenden einen freigegebenen Speicherbereich und sind vom Betriebssystem abhängig, um den physischen Speicher zu verwalten. Ein TPM ist eine Hardwarekomponente, die die eigene interne Firmware und logische Schaltungen zum Verarbeiten von Anweisungen verwendet. Auf diese Weise wird der Schutz vor Sicherheitslücken bei externer Software sichergestellt. Bei Angriffen auf das TPM ist physischer Zugriff auf den Computer erforderlich. Darüber hinaus sind die Tools und Fähigkeiten, die zum Angriff auf Hardware erforderlich sind, häufig teurer und in der Regel nicht so verfügbar wie die tools, die für Angriffe auf Software verwendet werden. Da jedes TPM für den Computer, auf dem es vorhanden ist, spezifisch ist, ist der Angriff auf mehrere TPM-Computer schwierig und zeitaufwendig.

Die BitLocker-Netzwerkentsperrung ermöglicht eine einfachere Verwaltung für BitLocker-fähige Clients und Server, die die TPM+PIN-Schutzmethode in einer Domänenumgebung verwenden. Beim Neustart eines Computers, der mit einem verkabelten Unternehmensnetzwerk verbunden ist, ermöglicht die Netzwerkentsperrung, dass die Aufforderung zur PIN-Eingabe umgangen wird. BitLocker-geschützte Betriebssystemvolumes werden mit einem vertrauenswürdigen Schlüssel automatisch entsperrt. Dieser Schlüssel wird vom Windows-Bereitstellungsdiensteserver als sekundäre Authentifizierungsmethode bereitgestellt.

Um die Netzwerkentsperrung verwenden zu können, muss eine PIN für den Computer konfiguriert werden. Wenn der Computer nicht mit dem Netzwerk verbunden ist, muss eine PIN bereitgestellt werden, um ihn zu entsperren.

Die BitLocker-Netzwerkentsperrung umfasst Software- und Hardwareanforderungen für Clientcomputer, Windows-Bereitstellungsdienste und Domänencontroller, die erfüllt sein müssen, bevor sie verwendet werden können.

Die Netzwerkentsperrung verwendet zwei Schutzvorrichtungen: die TPM-Schutzvorrichtung und die Schutzvorrichtung, die vom Netzwerk oder von der PIN bereitgestellt wird. Die automatische Entsperrung verwendet eine einzelne Schutzvorrichtung, die im TPM gespeichert ist. Wenn der Computer ohne Schlüsselschutz mit einem Netzwerk verbunden ist, wird zur Eingabe einer PIN aufgefordert. Wenn die PIN nicht verfügbar ist, muss der Wiederherstellungsschlüssel verwendet werden, um den Computer zu entsperren, wenn er nicht mit dem Netzwerk verbunden werden kann.

Weitere Informationen finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.

Ja, EFS (Encrypting File System) kann verwendet werden, um Dateien auf einem bitLocker-geschützten Laufwerk zu verschlüsseln. BitLocker schützt das gesamte Betriebssystemlaufwerk vor Offlineangriffen, während EFS eine zusätzliche verschlüsselung auf Dateiebene für die Sicherheitstrennung zwischen mehreren Benutzern desselben Computers bereitstellen kann. EFS kann auch in Windows verwendet werden, um Dateien auf anderen Laufwerken zu verschlüsseln, die nicht von BitLocker verschlüsselt werden. Die Stammgeheimnisse von EFS werden standardmäßig auf dem Betriebssystemlaufwerk gespeichert. Wenn BitLocker also für das Betriebssystemlaufwerk aktiviert ist, werden Daten, die von EFS auf anderen Laufwerken verschlüsselt werden, indirekt auch durch BitLocker geschützt.

Ja. Der Debugger sollte jedoch vor der Aktivierung von BitLocker aktiviert sein. Durch das Aktivieren des Debuggers wird sichergestellt, dass die richtigen Maße beim Einfügen in das TPM berechnet werden, sodass der Computer ordnungsgemäß startet. Wenn das Debuggen bei verwendung von BitLocker aktiviert oder deaktiviert werden muss, müssen Sie zuerst BitLocker anhalten, um zu vermeiden, dass der Computer in den Wiederherstellungsmodus versetzt wird.

BitLocker verfügt über einen Speichertreiberstapel, der sicherstellt, dass Speicherabbilder verschlüsselt werden, wenn BitLocker aktiviert ist.

BitLocker unterstützt keine Smartcards für die Authentifizierung vor dem Start. Es gibt keinen einzigen Industriestandard für die Unterstützung intelligenter Karte in der Firmware, und die meisten Computer implementieren entweder keine Firmwareunterstützung für Smartcards oder unterstützen nur bestimmte Smartcards und Leser. Diese fehlende Standardisierung erschwert die Unterstützung.

Microsoft unterstützt keine NICHT-Microsoft TPM-Treiber und empfiehlt dringend, sie mit BitLocker zu verwenden. Der Versuch, einen nicht von Microsoft stammenden TPM-Treiber mit BitLocker zu verwenden, kann dazu führen, dass BitLocker meldet, dass auf dem Computer kein TPM vorhanden ist, und lässt die Verwendung des TPM mit BitLocker nicht zu.

Es wird nicht empfohlen, den master Startdatensatz auf Computern zu ändern, deren Betriebssystemlaufwerke aus verschiedenen Gründen aus Sicherheits-, Zuverlässigkeits- und Produktsupportgründen durch BitLocker geschützt sind. Änderungen am master Startdatensatz (MBR) können die Sicherheitsumgebung ändern und verhindern, dass der Computer normal gestartet wird, und die Wiederherstellung nach einem beschädigten MBR erschweren. Änderungen, die am MBR von einem anderen Programm als Windows vorgenommen wurden, können dazu führen, dass der Computer in den Wiederherstellungsmodus wechselt oder verhindern, dass er vollständig gestartet wird.

Die Systemüberprüfung soll sicherstellen, dass das BIOS oder die UEFI-Firmware des Computers mit BitLocker kompatibel ist und dass das TPM ordnungsgemäß funktioniert. Die Systemüberprüfung kann aus verschiedenen Gründen fehlschlagen:

• Die BIOS- oder UEFI-Firmware des Computers kann keine USB-Speichersticks lesen.
• Das BIOS, die uEFI-Firmware oder das Startmenü des Computers ist nicht aktiviert.
• Es sind mehrere USB-Speichersticks in den Computer eingesteckt.
• Die PIN wurde nicht richtig eingegeben.
• Die BIOS- oder UEFI-Firmware des Computers unterstützt nur die Verwendung der Funktionstasten (F1-F10), um Zahlen in der Umgebung vor dem Start einzugeben.
• Der Startschlüssel wurde entfernt, bevor der Computer neu gestartet wurde.
• Das TPM ist fehlerhaft und kann die Schlüssel nicht entsiegeln.

Einige Computer können USB-Speichersticks in der Umgebung vor dem Start nicht lesen. Überprüfen Sie zunächst die BIOS- oder UEFI-Firmware- und Starteinstellungen, um sicherzustellen, dass die Verwendung von USB-Laufwerken aktiviert ist. Wenn er nicht aktiviert ist, aktivieren Sie die Verwendung von USB-Laufwerken in den BIOS- oder UEFI-Firmware- und Starteinstellungen, und versuchen Sie dann erneut, den Wiederherstellungsschlüssel vom USB-Speicherstick zu lesen. Wenn der USB-Speicherstick immer noch nicht gelesen werden kann, muss die Festplatte als Datenlaufwerk auf einem anderen Computer bereitgestellt werden, damit ein Betriebssystem zum Lesen des Wiederherstellungsschlüssels vom USB-Speicherstick vorhanden ist. Wenn der USB-Speicherstick beschädigt oder beschädigt wurde, muss möglicherweise ein Wiederherstellungskennwort angegeben werden oder die In AD DS gesicherten Wiederherstellungsinformationen verwendet werden. Wenn der Wiederherstellungsschlüssel in der Umgebung vor dem Start verwendet wird, stellen Sie außerdem sicher, dass das Laufwerk mit dem NTFS-, FAT16- oder FAT32-Dateisystem formatiert ist.

Die Option Auf USB speichern wird für Wechseldatenträger standardmäßig nicht angezeigt. Wenn die Option nicht verfügbar ist, bedeutet dies, dass ein Systemadministrator die Verwendung der Wiederherstellungsschlüssel nicht erlaubt hat.

Zum automatischen Entsperren von Festplattenlaufwerken muss das Betriebssystemlaufwerk auch durch BitLocker geschützt werden. Wenn ein Computer verwendet wird, der nicht über ein bitLocker-geschütztes Betriebssystemlaufwerk verfügt, kann das Festplattenlaufwerk nicht automatisch entsperrt werden. Bei Wechseldatenträgern kann die automatische Entsperrung hinzugefügt werden, indem Sie in Windows Explorer mit der rechten Maustaste auf das Laufwerk klicken und BitLocker verwalten auswählen. Kennwort oder intelligente Karte Anmeldeinformationen, die beim Aktivieren von BitLocker angegeben wurden, können weiterhin verwendet werden, um das Wechsellaufwerk auf anderen Computern zu entsperren.

Im abgesicherten Modus ist die eingeschränkte BitLocker-Funktionalität verfügbar. BitLocker-geschützte Laufwerke können mit dem Systemsteuerungselement BitLocker-Laufwerksverschlüsselung entsperrt und entschlüsselt werden. Das Klicken mit der rechten Maustaste, um über Windows Explorer auf BitLocker-Optionen zuzugreifen, ist im abgesicherten Modus nicht verfügbar.

Sowohl Festplattenlaufwerke als auch Wechseldatenträger können mit dem Befehlszeilentool Manage-bde und dem Befehl -lock gesperrt werden.

Die Syntax dieses Befehls lautet:

manage-bde.exe <driveletter> -lock

Abgesehen von der Verwendung dieses Befehls werden Datenlaufwerke beim Herunterfahren und Neustart des Betriebssystems gesperrt. Ein Wechseldatenträger wird auch automatisch gesperrt, wenn das Laufwerk vom Computer entfernt wird.

Ja. Schattenkopien, die vor der Aktivierung von BitLocker erstellt wurden, werden automatisch gelöscht, wenn BitLocker auf softwareverschlüsselten Laufwerken aktiviert ist. Wenn ein hardwareverschlüsseltes Laufwerk verwendet wird, werden die Schattenkopien beibehalten.

BitLocker sollte wie jeder bestimmte physische Computer innerhalb seiner Hardwarebeschränkungen funktionieren, solange die Umgebung (physisch oder virtuell) die Windows-Betriebssystemanforderungen für die Ausführung erfüllt.

• Mit TPM: Ja, es wird unterstützt.
• Ohne TPM: Ja, es wird unterstützt (mit Kennwortschutz).

BitLocker wird auch auf Datenvolume-VHDs unterstützt, z. B. auf VHDs, die von Clustern verwendet werden.

Ja, BitLocker kann mit virtuellen Computern (VMs) verwendet werden, wenn die Umgebung die Hardware- und Softwareanforderungen von BitLocker erfüllt.