Freigeben über


BitLocker-Planungshandbuch

Eine BitLocker-Bereitstellungsstrategie umfasst das Definieren der entsprechenden Richtlinien und Konfigurationsanforderungen basierend auf den Sicherheitsanforderungen Ihrer organization. Dieser Artikel hilft beim Sammeln der Informationen zur Unterstützung bei einer BitLocker-Bereitstellung.

Überwachen der Umgebung

Um eine BitLocker-Bereitstellung zu planen, verstehen Sie die aktuelle Umgebung. Führen Sie eine informelle Überwachung durch, um die aktuellen Richtlinien, Verfahren und Hardwareumgebung zu definieren. Überprüfen Sie die vorhandene Datenträgerverschlüsselungssoftware und die Sicherheitsrichtlinien der organization. Wenn die organization keine Datenträgerverschlüsselungssoftware verwendet, sind diese Richtlinien möglicherweise nicht vorhanden. Wenn Datenträgerverschlüsselungssoftware verwendet wird, müssen die Richtlinien möglicherweise geändert werden, um bestimmte BitLocker-Features zu verwenden.

Beantworten Sie die folgenden Fragen, um die aktuellen Sicherheitsrichtlinien für die Datenträgerverschlüsselung des organization zu dokumentieren:

☑️ Frage
🔲 Gibt es Richtlinien, um zu bestimmen, welche Geräte BitLocker verwenden müssen und welche nicht?
🔲 Welche Richtlinien gibt es zum Steuern der Speicherung von Wiederherstellungskennwörtern und Wiederherstellungsschlüsseln?
🔲 Welche Richtlinien gelten für die Überprüfung der Identität von Benutzern, die eine BitLocker-Wiederherstellung durchführen müssen?
🔲 Welche Richtlinien gibt es, um zu steuern, wer im organization Zugriff auf Wiederherstellungsdaten hat?
🔲 Welche Richtlinien gibt es, um die Außerbetriebnahme oder Deaktivierung von Geräten zu steuern?
🔲 Welche Verschlüsselungsalgorithmusstärke ist vorhanden?

Verschlüsselungsschlüssel und Authentifizierung

Ein Trusted Platform Module (TPM) ist eine Hardwarekomponente, die von den Herstellern auf vielen Windows-Geräten installiert wird. Es funktioniert mit BitLocker, um Benutzerdaten zu schützen und sicherzustellen, dass ein Gerät nicht manipuliert wurde, während das System offline war.

BitLocker kann den normalen Startvorgang sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) angibt oder ein USB-Wechselgerät einfügt, das einen Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen bieten eine mehrstufige Authentifizierung. Sie stellen außerdem sicher, dass der Computer nicht gestartet oder aus dem Ruhezustand fortgesetzt wird, bis die richtige PIN oder der richtige Startschlüssel angezeigt wird.

Auf Geräten ohne TPM kann BitLocker weiterhin zum Verschlüsseln des Windows-Betriebssystemvolumes verwendet werden. Diese Implementierung bietet jedoch nicht die Systemintegritätsüberprüfung vor dem Start, die von BitLocker mit einem TPM angeboten wird.

Bei einer effektiven Implementierung des Informationsschutzes, wie bei den meisten Sicherheitskontrollen, werden Benutzerfreundlichkeit und Sicherheit berücksichtigt. Benutzer bevorzugen in der Regel eine einfache Sicherheitsumgebung. Je transparenter eine Sicherheitslösung ist, desto höher ist die Wahrscheinlichkeit, dass Benutzer sich danach richten.

Es ist wichtig, dass Organisationen Informationen auf ihren Geräten unabhängig vom Zustand des Geräts oder der Absicht der Benutzer schützen. Dieser Schutz sollte für Benutzer nicht umständlich sein. Eine unerwünschte und bisher übliche Situation ist, wenn der Benutzer während des Vorabstarts und dann erneut während der Windows-Anmeldung zur Eingabe aufgefordert wird. Das mehrfache Auffordern von Benutzern zu einer Eingabe sollte vermieden werden.

Das TPM kann den BitLocker-Verschlüsselungsschlüssel sicher schützen, während er sich im Ruhezustand befindet, und es kann das Betriebssystemlaufwerk sicher entsperren. Wenn der Schlüssel und somit im Arbeitsspeicher verwendet wird, kann eine Kombination aus Hardware- und Windows-Funktionen den Schlüssel schützen und unbefugten Zugriff durch Kaltstartangriffe verhindern. Obwohl andere Gegenmaßnahmen wie pinbasiertes Entsperren verfügbar sind, sind sie nicht so benutzerfreundlich. Je nach Konfiguration der Geräte bieten sie möglicherweise keine größere Sicherheit beim Schlüsselschutz. Weitere Informationen finden Sie unter BitLocker-Gegenmaßnahmen.

BitLocker-Schlüsselschutzvorrichtungen

Zum Schutz des BitLocker-Verschlüsselungsschlüssels kann BitLocker verschiedene Arten von Schutzvorrichtungen verwenden. Beim Aktivieren von BitLocker erhält jede Schutzkomponente eine Kopie des Volumehauptschlüssels, der dann mit einem eigenen Mechanismus verschlüsselt wird.

Schlüsselschutz Beschreibung
Automatisches Entsperren Wird verwendet, um Volumes, die kein Betriebssystem hosten, automatisch zu entsperren. BitLocker verwendet verschlüsselte Informationen, die in der Registrierung und den Volumemetadaten gespeichert sind, um alle Datenvolumes zu entsperren, die die automatische Entsperrung verwenden.
Kennwort und Kennwort für Betriebssystemlaufwerk Um ein Laufwerk zu entsperren, muss der Benutzer ein Kennwort angeben. Bei Verwendung für Betriebssystemlaufwerke wird der Benutzer auf dem Bildschirm vor dem Start zur Eingabe eines Kennworts aufgefordert. Diese Methode bietet keine Sperrlogik und schützt daher nicht vor Brute-Force-Angriffen.
Startschlüssel Ein Verschlüsselungsschlüssel, der auf Wechselmedien mit dem Dateinamenformat <protector_id>.bekgespeichert werden kann. Der Benutzer wird zur Eingabe des USB-Speichersticks mit dem Wiederherstellungsschlüssel und/oder Startschlüssel aufgefordert und startet dann das Gerät neu.
Smart Karte-Zertifikat Wird verwendet, um Volumes zu entsperren, die kein Betriebssystem hosten. Um ein Laufwerk zu entsperren, muss der Benutzer eine intelligente Karte verwenden.
TPM Ein Hardwaregerät, das zum Einrichten eines sicheren Vertrauensstamms verwendet wird und die Komponenten für den frühen Start überprüft. Die TPM-Schutzvorrichtung kann nur mit dem Betriebssystemlaufwerk verwendet werden.
TPM + PIN Eine vom Benutzer eingegebene numerische oder alphanumerische Schlüsselschutzvorrichtung, die nur mit Betriebssystemvolumes und zusätzlich zum TPM verwendet werden kann. Das TPM überprüft komponenten für den frühen Start. Der Benutzer muss die richtige PIN eingeben, bevor der Startvorgang fortgesetzt werden kann und bevor das Laufwerk entsperrt werden kann. Das TPM wird gesperrt, wenn die falsche PIN wiederholt eingegeben wird, um die PIN vor Brute-Force-Angriffen zu schützen. Die Anzahl der wiederholten Versuche, die eine Sperre auslösen, ist variabel.
TPM + Startschlüssel Das TPM überprüft erfolgreich frühe Startkomponenten. Der Benutzer muss ein USB-Laufwerk mit dem Startschlüssel einfügen, bevor das Betriebssystem gestartet werden kann.
TPM + Starttaste + PIN Das TPM überprüft erfolgreich frühe Startkomponenten. Der Benutzer muss die richtige PIN eingeben und ein USB-Laufwerk mit dem Startschlüssel einlegen, bevor das Betriebssystem gestartet werden kann.
Wiederherstellungskennwort Eine 48-stellige Nummer, die zum Entsperren eines Volumes verwendet wird, wenn es sich im Wiederherstellungsmodus befindet. Zahlen können häufig auf einer normalen Tastatur eingegeben werden. Wenn die Zahlen auf der normalen Tastatur nicht reagieren, können die Funktionstasten (F1-F10) verwendet werden, um die Zahlen einzugeben.
TPM + Netzwerkschlüssel Das TPM überprüft erfolgreich frühe Startkomponenten, und ein gültiger verschlüsselter Netzwerkschlüssel wurde von einem WDS-Server bereitgestellt. Diese Authentifizierungsmethode ermöglicht die automatische Entsperrung von Betriebssystemvolumes unter Beibehaltung der mehrstufigen Authentifizierung. Diese Schlüsselschutzvorrichtung kann nur mit Betriebssystemvolumes verwendet werden.
Wiederherstellungsschlüssel Ein Verschlüsselungsschlüssel, der auf Wechselmedien gespeichert ist und zum Wiederherstellen von Daten verwendet werden kann, die auf einem BitLocker-Volume verschlüsselt sind. Der Dateiname hat das Format <protector_id>.bek.
Datenwiederherstellungs-Agent Datenwiederherstellungs-Agents (DRAs) sind Konten, die bitLocker-geschützte Laufwerke mithilfe ihrer Zertifikate entschlüsseln können. Die Wiederherstellung eines durch BitLocker geschützten Laufwerks kann mit einem Datenwiederherstellungs-Agent erfolgen, der mit dem richtigen Zertifikat konfiguriert ist.
Active Directory-Benutzer oder -Gruppe Eine Schutzvorrichtung, die auf einem Active Directory-Benutzer oder einer Gruppensicherheits-ID (SID) basiert. Datenlaufwerke werden automatisch entsperrt, wenn solche Benutzer versuchen, auf sie zuzugreifen.

Unterstützung für Geräte ohne TPM

Bestimmen Sie, ob Computer ohne TPM 1.2 oder höher in der Umgebung unterstützt werden. Wenn Sie geräte ohne TPM unterstützen möchten, muss ein Benutzer einen USB-Startschlüssel oder ein Kennwort verwenden, um das System zu starten. Für den Startschlüssel sind zusätzliche Supportprozesse erforderlich, die der mehrstufigen Authentifizierung ähneln.

Welche Bereiche der organization benötigen ein grundlegendes Datenschutzniveau?

Die reine TPM-Authentifizierungsmethode bietet die transparenteste Benutzeroberfläche für Organisationen, die ein grundlegendes Datenschutzniveau benötigen, um Sicherheitsrichtlinien zu erfüllen. Es weist die niedrigsten Gesamtkosten auf. Nur TPM eignet sich möglicherweise auch besser für Geräte, die unbeaufsichtigt sind oder unbeaufsichtigt neu gestartet werden müssen.

Die reine TPM-Authentifizierungsmethode bietet jedoch kein hohes Maß an Datenschutz. Diese Authentifizierungsmethode schützt vor Angriffen, die frühe Startkomponenten ändern. Das Schutzniveau kann jedoch durch potenzielle Schwachstellen in der Hardware oder in den frühen Startkomponenten beeinflusst werden. Die Multi-Faktor-Authentifizierungsmethoden von BitLocker erhöhen das allgemeine Datenschutzniveau erheblich.

Tipp

Ein Vorteil der reinen TPM-Authentifizierung besteht darin, dass ein Gerät Windows ohne Benutzerinteraktion starten kann. Im Falle eines verloren gegangenen oder gestohlenen Geräts kann diese Konfiguration einen Vorteil haben: Wenn das Gerät mit dem Internet verbunden ist, kann es mit einer Geräteverwaltungslösung wie Microsoft Intune remote zurückgesetzt werden.

Welche Bereiche der organization benötigen einen sichereren Datenschutz?

Wenn Geräte mit hochsensiblen Daten vorhanden sind, stellen Sie BitLocker mit mehrstufiger Authentifizierung auf diesen Systemen bereit. Wenn der Benutzer eine PIN eingeben muss, wird der Schutz für das System erheblich erhöht. Die BitLocker-Netzwerkentsperrung kann auch verwendet werden, damit diese Geräte automatisch entsperren können, wenn sie mit einem vertrauenswürdigen kabelgebundenen Netzwerk verbunden sind, das den Schlüssel für die Netzwerkentsperrung bereitstellen kann.

Welche mehrstufige Authentifizierungsmethode bevorzugt die organization?

Die Von mehrstufigen Authentifizierungsmethoden bereitgestellten Schutzunterschiede können nicht einfach quantifiziert werden. Berücksichtigen Sie die Auswirkungen jeder Authentifizierungsmethode auf den Helpdesk-Support, die Benutzerschulung, die Benutzerproduktivität und alle automatisierten Systemverwaltungsprozesse.

Verwalten von Kennwörtern und PINs

Wenn BitLocker auf einem Systemlaufwerk aktiviert ist und das Gerät über ein TPM verfügt, können Benutzer eine PIN eingeben müssen, bevor BitLocker das Laufwerk entsperrt. Eine solche PIN-Anforderung kann verhindern, dass ein Angreifer, der physischen Zugriff auf ein Gerät hat, überhaupt zur Windows-Anmeldung gelangen, was es dem Angreifer fast unmöglich macht, auf Benutzerdaten und Systemdateien zuzugreifen oder diese zu ändern.

Die Anforderung einer PIN beim Start ist ein nützliches Sicherheitsfeature, da sie als zweiter Authentifizierungsfaktor fungiert. Diese Konfiguration ist jedoch mit einigen Kosten verbunden, insbesondere wenn Sie die PIN regelmäßig ändern müssen.

Darüber hinaus benötigen Modern Standby-Geräte keine PIN für den Start. Sie sind so konzipiert, dass sie nur selten gestartet werden, und es gibt weitere Abhilfemaßnahmen, die die Angriffsfläche des Systems weiter verringern.

Weitere Informationen zur Funktionsweise der Startsicherheit und zu den von Windows bereitgestellten Gegenmaßnahmen finden Sie unter Vorabstartauthentifizierung.

TPM-Hardwarekonfigurationen

Geben Sie im Bereitstellungsplan an, welche TPM-basierten Hardwareplattformen unterstützt werden. Dokumentieren Sie die Hardwaremodelle von oem(s), die vom organization verwendet werden, damit ihre Konfigurationen getestet und unterstützt werden können. TPM-Hardware muss bei allen Aspekten der Planung und Bereitstellung besonders berücksichtigt werden.

TPM 1.2-Zustände und -Initialisierung

Für TPM 1.2 gibt es mehrere mögliche Zustände. Windows initialisiert das TPM automatisch, wodurch es in einen aktivierten, aktivierten und besitzereigenen Zustand versetzt wird. Dieser Zustand ist der Zustand, den BitLocker benötigt, bevor das TPM verwendet werden kann.

Endorsement Keys

Damit ein TPM von BitLocker verwendet werden kann, muss es einen Endorsement Key enthalten, bei dem es sich um ein RSA-Schlüsselpaar handelt. Die private Hälfte des Schlüsselpaars befindet sich im TPM und ist außerhalb des TPM niemals offengelegt oder zugänglich. Wenn das TPM keinen Endorsement Key aufweist, erzwingt BitLocker, dass das TPM im Rahmen des BitLocker-Setups automatisch einen generiert.

Ein Endorsement Key kann an verschiedenen Punkten im TPM-Lebenszyklus erstellt werden, muss aber nur einmal für die Lebensdauer des TPM erstellt werden. Wenn kein Endorsement Key für das TPM vorhanden ist, muss er erstellt werden, bevor Sie den TPM-Besitz übernehmen können.

Weitere Informationen zum TPM und zum TCG finden Sie unter Trusted Computing Group: Trusted Platform Module (TPM)-Spezifikationen.

Nicht-TPM-Hardwarekonfigurationen

Geräte ohne TPM können weiterhin mithilfe eines Startschlüssels mit laufwerksverschlüsselung geschützt werden.

Verwenden Sie die folgenden Fragen, um Probleme zu identifizieren, die sich auf die Bereitstellung in einer Nicht-TPM-Konfiguration auswirken können:

  • Gibt es ein Budget für USB-Flashlaufwerke für jedes dieser Geräte?
  • Unterstützen vorhandene Nicht-TPM-Geräte USB-Laufwerke zum Startzeitpunkt?

Testen Sie die einzelnen Hardwareplattformen mit der BitLocker-Systemüberprüfungsoption, während Sie BitLocker aktivieren. Die Systemüberprüfung stellt sicher, dass BitLocker die Wiederherstellungsinformationen von einem USB-Gerät und den Verschlüsselungsschlüsseln ordnungsgemäß lesen kann, bevor das Volume verschlüsselt wird.

Überlegungen zur Datenträgerkonfiguration

Damit BitLocker ordnungsgemäß funktioniert, ist eine bestimmte Datenträgerkonfiguration erforderlich. BitLocker erfordert zwei Partitionen, die die folgenden Anforderungen erfüllen:

  • Die Betriebssystempartition enthält das Betriebssystem und seine Supportdateien; Es muss mit dem NTFS-Dateisystem formatiert sein.
  • Die Systempartition (oder Startpartition) enthält die Dateien, die zum Laden von Windows benötigt werden, nachdem die BIOS- oder UEFI-Firmware die Systemhardware vorbereitet hat. BitLocker ist auf dieser Partition nicht aktiviert. Damit BitLocker funktioniert, darf die Systempartition nicht verschlüsselt sein und muss sich auf einer anderen Partition als das Betriebssystem befinden. Auf UEFI-Plattformen muss die Systempartition mit dem FAT 32-Dateisystem formatiert sein. Auf BIOS-Plattformen muss die Systempartition mit dem NTFS-Dateisystem formatiert sein. Sie sollte mindestens 350 MB groß sein.

Windows Setup konfiguriert die Laufwerke von Computern automatisch für die Unterstützung der BitLocker-Verschlüsselung.

Windows Recovery Environment (Windows RE) ist eine erweiterbare Wiederherstellungsplattform, die auf Windows Pre-installation Environment (Windows PE) basiert. Wenn der Computer nicht gestartet werden kann, wechselt Windows automatisch in diese Umgebung, und das Startreparaturtool in Windows RE automatisiert die Diagnose und Reparatur einer nicht startbaren Windows-Installation. Windows RE enthält auch die Treiber und Tools, die erforderlich sind, um ein durch BitLocker geschütztes Volume zu entsperren, indem ein Wiederherstellungsschlüssel oder ein Wiederherstellungskennwort bereitgestellt wird. Um Windows RE mit BitLocker verwenden zu können, muss sich das Windows RE Startimage auf einem Volume befinden, das nicht durch BitLocker geschützt ist.

Windows RE können auch von anderen Startmedien als der lokalen Festplatte verwendet werden. Wenn Windows RE nicht auf der lokalen Festplatte von BitLocker-fähigen Computern installiert ist, können verschiedene Methoden zum Starten Windows RE verwendet werden. Beispielsweise können Windows-Bereitstellungsdienste (WINDOWS Deployment Services, WDS) oder EIN USB-Speicherstick für die Wiederherstellung verwendet werden.

BitLocker-Bereitstellung

Administratoren können BitLocker vor der Betriebssystembereitstellung über die Windows-Vorinstallationsumgebung (WinPE) aktivieren. Dieser Schritt erfolgt mit einer zufällig generierten Klarschlüsselschutzvorrichtung, die auf das formatierte Volume angewendet wird. Es verschlüsselt das Volume, bevor der Windows-Setupprozess ausgeführt wird. Wenn für die Verschlüsselung die Option Nur verwendeter Speicherplatz verwendet wird, dauert dieser Schritt nur wenige Sekunden und kann in vorhandene Bereitstellungsprozesse integriert werden. Für die Vorabbereitstellung ist ein TPM erforderlich.

Um die BitLocker-status eines bestimmten Volumes zu überprüfen, können Administratoren das Laufwerk status im BitLocker Systemsteuerung Applet oder Windows Explorer anzeigen. Die status Warten auf Aktivierung bedeutet, dass das Laufwerk für BitLocker vorab bereitgestellt wurde und nur eine eindeutige Schutzvorrichtung zum Verschlüsseln des Volumes verwendet wird. In diesem Fall ist das Volume nicht geschützt und muss dem Volume einen sicheren Schlüssel hinzufügen, bevor das Laufwerk als vollständig geschützt gilt. Administratoren können die Systemsteuerung-Optionen, PowerShell-Cmdlets, das manage-bde.exe Tool oder WMI-APIs verwenden, um eine geeignete Schlüsselschutzvorrichtung hinzuzufügen. Das Volume status wird dann aktualisiert.

Wenn Sie die Systemsteuerung Optionen verwenden, können Administratoren BitLocker aktivieren auswählen und die Schritte im Assistenten ausführen, um eine Schutzvorrichtung hinzuzufügen, z. B. eine PIN für ein Betriebssystemvolume (oder ein Kennwort, wenn kein TPM vorhanden ist) oder ein Kennwort oder eine smarte Karte Schutzvorrichtung zu einem Datenvolume hinzuzufügen. Anschließend wird das Laufwerksicherheitsfenster angezeigt, bevor das Volume status geändert wird.

Verschlüsselung nur verwendeter Speicherplatz

Der BitLocker-Setup-Assistent bietet Administratoren die Möglichkeit, beim Aktivieren von BitLocker für ein Volume die Verschlüsselungsmethode "Nur verwendeter Speicherplatz " oder " Vollständig " auszuwählen. Administratoren können bitLocker-Richtlinieneinstellungen verwenden, um entweder nur verwendeter Speicherplatz oder vollständige Datenträgerverschlüsselung zu erzwingen.

Wenn Sie den BitLocker-Setup-Assistenten starten, werden Sie aufgefordert, die zu verwendende Authentifizierungsmethode anzugeben (Kennwort und intelligente Karte sind für Datenvolumes verfügbar). Nachdem die Methode ausgewählt und der Wiederherstellungsschlüssel gespeichert wurde, fordert der Assistent sie auf, den Laufwerkverschlüsselungstyp auszuwählen. Wählen Sie Nur verwendeter Speicherplatz oder Vollständige Laufwerkverschlüsselung aus.

Bei Nur verwendetem Speicherplatz wird nur der Teil des Laufwerks verschlüsselt, der Daten enthält. Nicht verwendeter Speicherplatz bleibt unverschlüsselt. Dieses Verhalten führt dazu, dass der Verschlüsselungsprozess schneller ist, insbesondere bei neuen Geräten und Datenlaufwerken. Wenn BitLocker mit dieser Methode aktiviert ist und dem Laufwerk Daten hinzugefügt werden, wird der verwendete Teil des Laufwerks verschlüsselt. Es werden also niemals unverschlüsselte Daten auf dem Laufwerk gespeichert.

Bei der Vollständigen Laufwerkverschlüsselung wird das gesamte Laufwerk verschlüsselt, unabhängig davon, ob Daten darauf gespeichert sind oder nicht. Diese Option ist nützlich für Laufwerke, die umfunktioniert wurden, und kann Datenreste aus ihrer vorherigen Verwendung enthalten.

Achtung

Seien Sie vorsichtig, wenn Sie nur verwendeten Speicherplatz auf einem vorhandenen Volume verschlüsseln, auf dem vertrauliche Daten möglicherweise bereits unverschlüsselt gespeichert wurden. Bei Verwendung der Verschlüsselung von verwendetem Speicherplatz können Sektoren, in denen zuvor unverschlüsselte Daten gespeichert sind, mithilfe von Datenträgerwiederherstellungstools wiederhergestellt werden, bis sie von neuen verschlüsselten Daten überschrieben werden. Im Gegensatz dazu kann das Verschlüsseln von nur genutztem Speicherplatz auf einem brandneuen Volume die Bereitstellungszeit erheblich verkürzen, ohne dass das Sicherheitsrisiko besteht, da alle neuen Daten verschlüsselt werden, wenn sie auf den Datenträger geschrieben werden.

Unterstützung für verschlüsselte Festplatten

Verschlüsselte Festplatten bieten integrierte kryptografische Funktionen zum Verschlüsseln von Daten auf Laufwerken. Dieses Feature verbessert sowohl die Laufwerks- als auch die Systemleistung, indem kryptografische Berechnungen vom Prozessor des Geräts auf das Laufwerk selbst ausgelagert werden. Daten werden mithilfe dedizierter, speziell entwickelter Hardware schnell vom Laufwerk verschlüsselt. Wenn Sie planen, die Verschlüsselung für ganze Laufwerke mit Windows zu verwenden, empfiehlt Microsoft, Festplattenhersteller und -modelle zu untersuchen, um festzustellen, ob eine ihrer verschlüsselten Festplatten die Sicherheits- und Budgetanforderungen erfüllt.

Weitere Informationen zu verschlüsselten Festplatten finden Sie unter Verschlüsselte Festplatten.

Überlegungen zu Microsoft Entra ID und Active Directory Domain Services

BitLocker kann in Microsoft Entra ID und Active Directory Domain Services (AD DS) integriert werden, um eine zentralisierte Schlüsselverwaltung bereitzustellen. Standardmäßig werden keine Wiederherstellungsinformationen in Microsoft Entra ID oder AD DS gesichert. Administratoren können Richtlinieneinstellungen für jeden Laufwerktyp konfigurieren, um die Sicherung von BitLocker-Wiederherstellungsinformationen zu aktivieren.

Die folgenden Wiederherstellungsdaten werden für jedes Computerobjekt gespeichert:

  • Wiederherstellungskennwort: Ein 48-stelliges Wiederherstellungskennwort, das zum Wiederherstellen eines durch BitLocker geschützten Volumes verwendet wird. Benutzer müssen dieses Kennwort eingeben, um ein Volume zu entsperren, wenn BitLocker in den Wiederherstellungsmodus wechselt.
  • Schlüsselpaket: Mit dem Schlüsselpaket und dem Wiederherstellungskennwort können Teile eines durch BitLocker geschützten Volumes entschlüsselt werden, wenn der Datenträger stark beschädigt ist. Jedes Schlüsselpaket funktioniert nur mit dem Volume, auf dem es erstellt wurde, das durch die entsprechende Volume-ID identifiziert wird.

FIPS-Unterstützung für die Kennwortschutzvorrichtung für die Wiederherstellung

Geräte, die für den Betrieb im FIPS-Modus konfiguriert sind, können FIPS-kompatible Kennwortschutzvorrichtungen für die Wiederherstellung erstellen, die den FIPS-140 NIST SP800-132-Algorithmus verwenden.

Hinweis

Der USA Federal Information Processing Standard (FIPS) definiert Sicherheits- und Interoperabilitätsanforderungen für Computersysteme, die von der US-Bundesregierung verwendet werden. Der FIPS-140-Standard definiert genehmigte kryptografische Algorithmen. Der FIPS-140-Standard legt auch Anforderungen für die Schlüsselgenerierung und die Schlüsselverwaltung fest. Das National Institute of Standards and Technology (NIST) verwendet das Cryptographic Module Validation Program (CMVP), um zu bestimmen, ob eine bestimmte Implementierung eines kryptografischen Algorithmus mit dem FIPS-140-Standard kompatibel ist. Eine Implementierung eines Kryptografiealgorithmus gilt nur dann als FIPS-140-kompatibel, wenn sie für die NIST-Überprüfung übermittelt und bestanden wurde. Ein Algorithmus, der nicht übermittelt wurde, kann selbst dann nicht als FIPS-konform betrachtet werden, wenn die Implementierung identische Daten als überprüfte Implementierung desselben Algorithmus erzeugt.

  • FIPS-kompatible Wiederherstellungskennwortschutzvorrichtungen können exportiert und in AD DS gespeichert werden.
  • Die BitLocker-Richtlinieneinstellungen für Wiederherstellungskennwörter funktionieren für alle Windows-Versionen, die BitLocker unterstützen, identisch, unabhängig davon, ob im FIPS-Modus oder nicht.

Netzwerkentsperrung

Einige Organisationen haben standortspezifische Datensicherheitsanforderungen, insbesondere in Umgebungen mit hochwertigen Daten. Die Netzwerkumgebung bietet möglicherweise einen wichtigen Datenschutz und erzwingt die obligatorische Authentifizierung. Daher gibt die Richtlinie an, dass diese Geräte das Gebäude nicht verlassen oder vom Unternehmensnetzwerk getrennt werden dürfen. Sicherheitsvorkehrungen wie physische Sicherheitssperren und Geofencing können dazu beitragen, diese Richtlinie als reaktive Kontrollen zu erzwingen. Über diese Sicherheitsvorkehrungen hinaus ist eine proaktive Sicherheitskontrolle erforderlich, die nur dann Datenzugriff gewährt, wenn das Gerät mit dem Unternehmensnetzwerk verbunden ist.

Mit der Netzwerkentsperrung können bitLocker-geschützte Geräte automatisch gestartet werden, wenn sie mit einem verkabelten Unternehmensnetzwerk verbunden sind, in dem Windows-Bereitstellungsdienste ausgeführt werden. Wenn das Gerät nicht mit dem Unternehmensnetzwerk verbunden ist, muss ein Benutzer eine PIN eingeben, um das Laufwerk zu entsperren (wenn die PIN-basierte Entsperrung aktiviert ist). Die Netzwerkentsperrung erfordert die folgende Infrastruktur:

  • Clientgeräte mit UEFI-Firmwareversion 2.3.1 (Unified Extensible Firmware Interface) oder höher, die DHCP (Dynamic Host Configuration Protocol) unterstützt
  • Eine Windows Server-Instanz, auf der die Rolle "Windows-Bereitstellungsdienste" (WDS) ausgeführt wird
  • Einen DHCP-Server

Weitere Informationen zum Konfigurieren der Netzwerkentsperrung finden Sie unter Netzwerkentsperrung.

BitLocker-Wiederherstellung

Organisationen sollten eine BitLocker-Wiederherstellungsstrategie im Rahmen des allgemeinen BitLocker-Implementierungsplans sorgfältig planen. Es gibt verschiedene Optionen beim Implementieren eines BitLocker-Wiederherstellungsmodells, die in der Übersicht über die BitLocker-Wiederherstellung beschrieben werden.

Überwachen von BitLocker

Organisationen können Microsoft Intune oder Configuration Manager verwenden, um die Geräteverschlüsselung auf mehreren Geräten zu überwachen. Weitere Informationen finden Sie unter Überwachen der Geräteverschlüsselung mit Intune und Anzeigen von BitLocker-Berichten in Configuration Manager.

Nächste Schritte

Erfahren Sie, wie Sie eine BitLocker-Wiederherstellungsstrategie für Ihre organization planen:

Übersicht über die BitLocker-Wiederherstellung >

Erfahren Sie mehr über die verfügbaren Optionen zum Konfigurieren von BitLocker und deren Konfiguration über Konfigurationsdienstanbieter (Configuration Service Providers, CSP) oder Gruppenrichtlinien (GPO):

Konfigurieren von BitLocker >