Bundesamt für Sicherheit in der Informationstechnik

M 4.337 Einsatz von BitLocker Drive Encryption

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, IT-Sicherheitsbeauftragter, Leiter IT

Die Laufwerksverschlüsselung BitLocker (engl. BitLocker Drive Encryption, BDE) bietet die Verschlüsselung von kompletten Laufwerken. Zusätzlich können bei vorhandenem TPM (Trusted Platform Module) der Systemzustand erfasst und eine Entschlüsselung der Festplatte bei fehlerhaftem Messwert verweigert werden.

BitLocker ist serverseitig ab Windows Server 2008 und clientseitig ab Windows Vista (ausschließlich in den Betriebssystemversionen Enterprise und Ultimate) enthalten. Unter Windows 8 ist BitLocker in den Versionen Pro und Enterprise verfügbar. Ab Windows 7 wurde ebenfalls noch BitLocker To Go hinzugefügt, mit dem externe portable Datenträger verschlüsselt werden, sodass auch der Zugriff auf verschlüsselte Daten von einem anderen Windows-System erfolgen kann.

Das primäre Sicherheitsziel von BitLocker ist die Vertraulichkeit der Daten bei ausgeschaltetem System. Während des Startvorgangs von Windows lädt BitLocker die Schlüssel für die verschlüsselten Festplattenpartitionen und hält sie für die gesamte Dauer, in der der Client eingeschaltet ist, vor. Im laufenden Betrieb bietet BitLocker daher keinen Schutz der Vertraulichkeit.

BDE kann eingesetzt werden, um die Vertraulichkeit der Daten eines Windows-Clients zu schützen. Dies gilt insbesondere für mobile Clients, die dem Risiko von Verlust und Diebstahl ausgesetzt sind, und wenn deren Hardware keine vergleichbare Laufwerksverschlüsselung und Authentisierung anbietet. Der Schutzbedarf hinsichtlich der Vertraulichkeit und Verfügbarkeit des kryptographischen Schlüsselmaterials ist mindestens so hoch einzustufen wie der Schutzbedarf der verschlüsselten Daten selbst. Für den Einsatz von BitLocker auf mehreren Systemen muss daher vorab das Schlüsselmanagement geplant werden, was bei BitLocker zum Beispiel mittels Active Directory realisiert werden kann.

Für den Einsatz von BitLocker auf mehreren Systemen sollte auch B 1.7 Kryptokonzept angewendet werden.

Vorbereitung des Einsatzes von BitLocker

Ist auf der Plattform ein Trusted Platform Module ( TPM ) vorhanden, so kann BitLocker dieses nutzen. Das TPM ist ein manipulationsgeschützter Hardware-Baustein auf der Hauptplatine des Systems, der dem Benutzer geschützte Funktionalitäten und einen isolierten Speicher bereitstellt. BitLocker nutzt das TPM zur Aufbewahrung kryptographischer Schlüssel und um die Systemintegrität während des Bootprozesses zu bestimmen. Ein TPM ist für BitLocker nicht zwingend erforderlich, in diesem Fall wird ein USB -Speichermedium als Schlüsselspeicher genutzt. Der zusätzliche Integritätsschutz ist in dieser Konfiguration nicht gegeben.

Die BitLocker-Laufwerksverschlüsselung verschlüsselt Partitionen auf Datenträgern. Die Begriffe Volume und Partition werden von Microsoft synonym verwendet.

Für BitLocker müssen mindestens zwei Partitionen eingerichtet werden:

  • Eine Partition für das Betriebssystem (in der Regel Laufwerk C:). Diese muss mit dem NTFS -Dateisystem formatiert sein. BitLocker verschlüsselt die Betriebssystem-Partition vollständig mit Ausnahme des Bootsektors und eines Bereichs mit BitLocker-Metadaten.
  • Eine Partition, die unverschlüsselt bleiben muss, damit Windows gestartet werden kann. Die Start-Partition (Systempartition) muss mit dem NTFS -Dateisystem formatiert sein. Ab Windows 7 wird sie standardmäßig bei der Installation angelegt. Die Start-Partition muss unter Vista mindestens 1,5 GB groß sein, ab Windows 7 und Server 2008 mindestens 100  MB . Für Computer, die systemseitig mit UEFI starten, sind mindestens eine 350  MB umfassende FAT32-Partition für das Systemlaufwerk und eine NTFS -Partition für das Betriebssystemlaufwerk erforderlich.

Wenn ein Windows-System noch keine separate Start-Partition besitzt, wird sie ab Windows 7 automatisch bei der Installation oder bei der Aktivierung von BitLocker erstellt. Unter Vista muss sie manuell mit dem Bitlocker-Laufwerkvorbereitungstool erstellt werden (unter Start | Alle Programme | Zubehör | Systemprogramme | BitLocker). Die Aktivierung von BitLocker und der im Hintergrund ablaufende Verschlüsselungsvorgang können zu Unverträglichkeiten mit bereits installierter Software führen. Um dies rechtzeitig zu erkennen, ist BitLocker nach der Installation von Windows und vor der Installation weiterer Software zu aktivieren. Wird die Start-Partition erst später erstellt, sollte vorher ein Backup des aktuellen Gesamtsystems angelegt werden.

Die Aktivierung von BitLocker kann mit Hilfe der BitLocker-Kommandozeilen-Tools automatisiert werden. Die Automatisierungsskripte dürfen dafür keine Wiederherstellungskennwörter enthalten. Stattdessen sollte vorab das zentrale Schlüsselmanagement für BitLocker geplant und aktiviert werden, was sich beispielsweise über Active Directory realisieren lässt.

Es sollte überlegt werden, den Schreibzugriff durch die Standardbenutzer auf die unverschlüsselte Startpartition zu unterbinden. Dies lässt sich durch die entsprechenden NTFS -Berechtigungen erreichen. Dadurch werden die Systemintegrität und die Sicherheit des Startvorgangs erhöht. Für Standardbenutzer wird verhindert, dass sie irrtümlich die Vertraulichkeit ihrer Daten durch die BDE geschützt glauben, obwohl sie ihre Daten versehentlich in die unverschlüsselte Startpartition geschrieben haben.

Weitere Partitionen, wie eine Datenpartition, sollten insbesondere bei einem höheren Schutzbedarf ebenfalls verschlüsselt werden, sofern nicht die Unverträglichkeit mit bestimmten Anwendungen dagegen spricht. Es sollten ausschließlich NTFS -Partitionen verwendet werden. BitLocker unter Windows Vista ohne Service Pack 1 unterstützt nur die Verschlüsselung der Betriebssystempartition.

Ab Windows 8 und Windows Server 2012 kann bei der Aktivierung von BitLocker angegeben werden, ob das gesamte Laufwerk oder nur der verwendete Speicherplatz auf dem Laufwerk verschlüsselt werden soll. Die Dauer für die Verschlüsselung des nur belegten Speicherplatzes nimmt deutlich weniger Zeit in Anspruch als eine Komplettverschlüsselung, gibt dafür aber Informationen über den belegten Speicherplatz preis. Sobald Daten gespeichert werden, verschlüsselt BitLocker diese automatisch und stellt sicher, dass keine Daten unverschlüsselt bleiben. Unter Windows 8 und Windows 2012 kann bereits vor der Installation von Windows festgelegt werden, ob die Festplatte mittels BitLocker verschlüsselt werden soll, wodurch die zu formatierende Partition schon vor der Installation verschlüsselt werden kann.

Planen der Gruppenrichtlinien

Wenn BitLocker auf mehreren Systemen eingesetzt wird, sollten ab Windows Vista mit Service Pack 1 Gruppenrichtlinien verwendet werden, um die Verschlüsselungseinstellungen zu steuern und deren Einhaltung sicherzustellen. Falls das zentrale Schlüsselmanagement mittels Active Directory verwendet wird, ist die Planung der Gruppenrichtlinien zwingend erforderlich.

In den folgenden Abschnitten werden die wichtigsten Einstellungen der Windows-Gruppenrichtlinie Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker Laufwerksverschlüsselung beschrieben.

Auswahl einer sicheren Authentisierungsmethode für den Systemstart

Für den erfolgreichen Start von BitLocker während des Startvorgangs von Windows kann der Administrator unterschiedliche Verfahren sowie Kombinationen daraus zur Authentisierung konfigurieren.

  • TPM -Nutzung ohne Benutzer-Authentisierung (setzt ein Trusted Platform Modul [ TPM ] voraus): BitLocker startet ohne Interaktion durch den Benutzer.
  • Authentisierung mittels eines Schlüssels auf einem USB -Stick
    Diese Variante ist sowohl mit als auch ohne TPM Client möglich. Ohne TPM wird das zur Entschlüsselung notwendige BitLocker-Schlüsselmaterial gemeinsam mit einem Authentisierungsschlüssel auf dem USB -Stick gespeichert. Mit TPM wird dieses Schlüsselmaterial auf das TPM und den USB -Stick verteilt.
  • Authentisierung mittels PIN , also "Wissen"
    Dies setzt ein TPM auf dem Windows-System voraus. Das TPM prüft die eingegebene PIN .
  • Multifaktorauthentisierung mittels USB -Stick und PIN
    Dies setzt ein TPM auf dem Windows-System voraus. Das TPM dient als Speicher eines Teils des Schlüsselmaterials und zur Prüfung der PIN .

Es muss eine geeignete Form der Authentisierung des Benutzers gegenüber BitLocker gewählt werden. Hierbei sind folgende Gesichtspunkte zu berücksichtigen und gegeneinander abzuwägen:

  • "TPM-Nutzung ohne Benutzer-Authentisierung" kann geeignet sein, wenn die Benutzer neben der lokalen Anmeldung am Client oder an der Domäne keine weitere Anmeldung und die damit verbundenen Authentisierungsmittel wie PIN und/oder USB -Stick akzeptieren würden. Da dies den geringsten Schutz bietet, sollte diese Einstellung nur im Ausnahmefall verwendet werden.
  • "TPM-Nutzung ohne Benutzer-Authentisierung" begünstigt bekannte Angriffsvektoren, bei denen Unbefugte Zugang zum Schlüsselmaterial erlangen, wenn sie physischen Zugang zum System haben, Bei "Keine Authentisierung" wird während des Boot-Vorgangs automatisch das BitLocker-Schlüsselmaterial aus dem TPM in den Arbeitsspeicher ( RAM , Random Access Memory) des Systems geladen. Dies geschieht vor der Anmeldung eines Benutzers. Allerdings erfordern diese Angriffsvektoren spezielle Werkzeuge und eine hohe Qualifikation seitens des Angreifers. Gegen diese Angriffsvektoren wird der Einsatz der Authentisierungsmittel PIN und/oder USB -Stick empfohlen.
  • Das Authentisierungsmittel PIN ist im Gegensatz zur Authentisierung mit einem USB -Stick durch mögliche Keylogger gefährdet. Keylogger gibt es als Software- und als Hardware-Ausführung. Keylogger zeichnen unbemerkt die Tastatureingaben eines Benutzers auf, so dass diese von unbefugten Dritten missbraucht werden können. Ein Software-basierter Keylogger müsste die Sicherheitsmechanismen von Windows zum Schutz der Systemintegrität überwinden. Eine weitere PIN -spezifische Gefährdung liegt vor, wenn zur PIN -Eingabe eine drahtlose Tastatur eingesetzt wird. Deren Übertragung kann abgehört werden. Die PIN -Eingabe sollte daher nicht über eine drahtlose Tastatur erfolgen, wenn keine oder nur eine schwache Verschlüsselung für die drahtlose Datenübertragung eingesetzt wird.
  • Das Authentisierungsmittel USB -Stick empfiehlt sich nicht in Verbindung mit einem mobilen Client, da ein USB -Stick häufig direkt mit diesem (etwa in der Laptop-Tasche) aufbewahrt wird.
  • Das Authentisierungsmittel USB -Stick und PIN empfiehlt sich bei erhöhten Sicherheitsanforderungen. Diese Form der Multi-Faktor-Authentisierung ist erst ab Windows Vista Service Pack 1 und Server 2008 (nur mittels Kommandozeile zu konfigurieren) sowie unter Windows 7 und Server 2008 R2 (mittels Gruppenrichtlinie) möglich.

Alle vier vorgestellten Authentisierungsformen können auch im Pool-Betrieb eingesetzt werden, wenn ein mobiler Client mehreren Benutzern zur Verfügung steht. Alle Benutzer müssen dann über dieselbe PIN und/oder über dasselbe Schlüsselmaterial auf einem USB -Stick verfügen. Alternativ kann in Verbindung mit einem TPM ein individueller Authentisierungsschlüssel auf jedem USB -Stick verwendet werden (nur mittels Kommandozeile möglich).

Ab Windows 7 sollte die Gruppenrichtlinie für komplexe PIN s aktiviert werden (Betriebssystemlaufwerke | Erweiterte Systemstart-PINs). Bestimmte Hardware- und Boot-Konfigurationen, zum Beispiel ältere PXE-Boot-Umgebungen, unterstützen dies nicht und sollten nicht verwendet werden.

Unter Windows 8 wurde die Möglichkeit eingeführt, dass Standardbenutzer ihre BitLocker- PIN oder das Kennwort für das Betriebssystemvolume oder das BitLocker-Kennwort für feste Datenpartitionen selbst ändern können. Das heißt, Benutzer können ihre PIN s und Kennwörter entsprechend einer eigenen Gedächtnishilfe festlegen, anstatt sich einen zufällig generierten Zeichensatz merken zu müssen. Hierdurch wird die Verwendung derselben initialen PIN - bzw. Kennworteinstellungen für alle Computerimages ermöglicht.

Die Einstellung Standardbenutzern das Ändern von PIN s nicht gestatten kann unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung | Betriebssystemlaufwerke des Editors für lokale Gruppenrichtlinien deaktiviert werden.

Seit Windows Server 2012 wird für Betriebssystempartitionen die Netzentsperrung unterstützt. Sie ermöglicht, dass Clients und Server mit aktiver BitLocker-Verschlüsselung in einer Domänenumgebung automatisch entsperrt werden, wenn eine Verbindung zu einem vertrauenswürdigen kabelgebundenen Unternehmensnetz besteht. Diese Funktion erfordert allerdings eine UEFI-Firmware mit DHCP -Treibern.

Wiederherstellung verschlüsselter Windows-Systeme im Notfall

Wiederherstellungskennwörter und -schlüssel ermöglichen einem Administrator das Wiederherstellen verschlüsselter Daten, falls das TPM defekt ist oder der Benutzer die Start- PIN oder den USB -Stick verloren hat. Weiterhin ermöglichen sie die Fortführung des Startvorgangs von Windows, falls BitLocker eine Manipulation am BIOS oder anderen von BitLocker geschützten Boot-Komponenten festgestellt hat. Für den Start des abgesicherten Modus von Windows, zum Beispiel zur Wartung oder Fehlerbehebung, wird ebenfalls das Wiederherstellungskennwort beziehungsweise der Wiederherstellungsschlüssel benötigt.

Der Administrator muss beim Verschlüsseln von Festplattenpartitionen ein 48-stelliges Wiederherstellungskennwort setzen. Hierfür wird standardmäßig ein Zufallskennwort erzeugt. Es sollte übernommen und kann ausgedruckt oder als Textdatei gespeichert werden. Gemäß M 2.22 Hinterlegen des Passwortes sollte genau dokumentiert werden, wie das Wiederherstellungskennwort abgelegt wird. Es muss genauso vertraulich und sorgsam behandelt werden wie die Start- PIN , der USB -Stick oder die Smartcard. Zusätzlich kann in einer Domänenumgebung per Gruppenrichtlinie festgelegt werden, dass für alle durch BitLocker geschützten Laufwerke die Wiederherstellungskennwörter generiert und diese in Active-Directory-Domänendiensten gespeichert werden.

Es muss gemäß M 4.86 Sichere Rollenteilung und Konfiguration der Kryptomodule geregelt werden, ob und wie Wiederherstellungskennwörter und -schlüssel zentral abgelegt werden sollen und wer zwecks Wiederherstellung darauf zugreifen darf. Um die Vertraulichkeit dieser Informationen besser zu schützen und die Wiederherstellung im Notfall zu beschleunigen, ist es empfehlenswert, dass diese Informationen unabhängig vom Benutzereingriff automatisch im Active Directory hinterlegt werden, und dass ansonsten das System die BitLocker-Aktivierung verweigert (Gruppenrichtlinie Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können). Bei dezentralem Schlüsselmanagement sollte überlegt werden, Sicherheitskopien des Wiederherstellungskennworts und -schlüssels zu erstellen und an einer geeigneten Stelle separat aufzubewahren. In jedem Fall sollten die Schritte, Personen und Ressourcen genau dokumentiert werden, die zur Wiederherstellung benötigt werden (gemäß den Vorgaben von B 1.7 Kryptokonzept ).

Wenn das Wiederherstellungskennwort manuell gewählt oder nachträglich geändert wird, müssen triviale Formen vermieden werden (siehe M 2.11 Regelung des Passwortgebrauchs ).

Besteht der Verdacht, dass PIN , USB -Stick, Wiederherstellungskennwort oder Wiederherstellungsschlüssel kompromittiert wurden, muss der entsprechende Schlüssel neu gesetzt werden. Dies kann mit dem Kommandozeilenwerkzeug manage-bde.wsf (Vista, Server 2008) oder manage-bde.exe (ab Windows 7, Server 2008 R2) in Verbindung mit dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel erfolgen. Auf diese Weise können auch verlorene oder defekte USB -Sticks und/oder PIN s gesperrt und neu angelegt werden.

Weiterhin kann mittels Gruppenrichtlinie festgelegt werden, dass für jeden verschlüsselten Datenträger ein 256-Bit-Wiederherstellungsschlüssel erzeugt wird. Auf diese Weise kann auf den Datenträger zugegriffen werden, wenn die ursprünglichen Authentisierungsmittel nicht mehr zur Verfügung stehen. Der Wiederherstellungsschlüssel ist nicht druckbar und kann nicht mündlich, zum Beispiel am Telefon, weitergegeben werden. Dies erhöht den Schutz der Vertraulichkeit der Daten, verzögert andererseits aber im Notfall die Datenwiederherstellung. Diese Wiederherstellungsschlüssel können nur auf USB -Sticks, als Dateien oder im Active Directory gespeichert werden. Auf Systemen, mit denen Daten mit sehr hoher Vertraulichkeitsanforderung verarbeitet werden, sollten nur Wiederherstellungsschlüssel, aber keine -kennwörter zugelassen werden.

Zusätzlich kann ab Windows 7 und Server 2008 R2 vom Administrator ein Datenwiederherstellungsagent installiert werden (Gruppenrichtlinien-Snap-in | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Richtlinien für öffentliche Schlüssel | BitLocker). Das ist der öffentliche Teil eines universellen Wiederherstellungsschlüssels, er wird einheitlich auf allen BitLocker-Clients installiert. Der dazu passende private Schlüssel kann die verschlüsselten Datenträger entschlüsseln. Er sollte nicht im Besitz des Administrators sein. Datenwiederherstellungsagenten erfordern prinzipiell einen besonders hohen Schutz gegen Missbrauch. Ihr Austausch ist im Falle einer Kompromittierung sehr aufwendig. Sie sind daher kein Ersatz für Wiederherstellungskennwörter oder -schlüssel, sondern nur ein zusätzlicher Schutz vor Datenverlust für Benutzer, die nicht am zentralen Schlüsselmanagement teilnehmen.

Vernichtung des Schlüsselmaterials

Sobald ein verschlüsselter Datenträger ausgesondert wird oder verloren gegangen ist, müssen alle Schlüssel und Kennwörter in Verbindung mit diesem Datenträger unverzüglich vernichtet werden. Bei zentral gespeicherten Schlüsseln sollte über die Vernichtung ein revisionssicheres Protokoll geführt werden, sofern die verschlüsselten Daten einen höheren Schutzbedarf bezüglich der Vertraulichkeit aufweisen.

Überwachen des BitLocker-Wartungsmodus

Die BitLocker-Verschlüsselung muss für Wartungszwecke, beispielsweise für ein BIOS -Update, vom Administrator vorübergehend deaktiviert werden. In diesem Wartungsmodus kann das interne BitLocker-Schlüsselmaterial leicht von Angreifern und Schadprogrammen ausgespäht werden. Daher sollte die System-Ereignisanzeige lückenlos auf Meldungen von BitLocker-Driver hin überwacht werden. Falls unerwartete oder sehr lange Wartungsphasen oder unerwartete Ver-/Entschlüsselungsereignisse protokolliert wurden, oder die Ereignisanzeige lückenhaft ist, dann sollte dies dem IT -Sicherheitsbeauftragten gemeldet werden. Handelt es sich um einen Sicherheitsvorfall, dann muss der betroffene Client vollständig neu verschlüsselt werden. Das Ändern der Schlüssel und Wiederherstellungskennwörter alleine genügt in einem solchen Fall nicht (siehe G 3.97 Vertraulichkeitsverletzung trotz BitLocker-Laufwerksverschlüsselung ab Windows Vista ).

Schulung der Benutzer

Die Benutzer müssen grundsätzlich im Umgang mit BitLocker geschult und darüber informiert werden, welche Festplattenpartitionen durch BitLocker verschlüsselt werden und welche nicht.

Weiterhin müssen Benutzer darin unterrichtet werden, welche Schritte oder Ansprechpartner bei Verlust der Start- PIN , des USB -Schlüssels oder der Smartcard für sie gelten.

BitLocker in Verbindung mit Energiesparmodi

Die Benutzer müssen darüber informiert werden, wie sie mit den möglichen Energiesparmodi unter dem Gesichtspunkt der Wirksamkeit der BitLocker-Verschlüsselung umgehen sollten.

Ein Windows-Client, der aktuell nicht benutzt wird und auch nicht ausgeschaltet ist, kann sich im Energiesparmodus befinden. Bei Windows-Systemen gibt es die Energiesparmodi Standby-Modus (ab Windows 7 "Energie sparen" genannt), Ruhezustand (auch Hibernate-Modus genannt) und Hybrider Energiesparmodus.

Der Standby-Modus ist ein typisches Merkmal von mobilen Clients, um Energie zu sparen. Im Standby-Modus verbleibt das BitLocker-Schlüsselmaterial im Arbeitsspeicher ( RAM ) des Windows-Clients. Dadurch ist die Vertraulichkeit der BitLocker-verschlüsselten Daten durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet (siehe Abschnitt oben). Gegen diesen Angriffsvektor wird empfohlen, einen Windows-Client nicht unbeaufsichtigt im Standby-Modus zu belassen. Alternativen sind der Ruhezustand und das vollständige Ausschalten des Systems.

Der Ruhezustand ist durch den geschilderten Angriffsvektor gegen BitLocker-Schlüssel im RAM nicht gefährdet, sofern für die BitLocker-Authentisierung nicht ausschließlich das TPM genutzt wird. Der Grund dafür ist, dass das Schlüsselmaterial nicht im Arbeitsspeicher verbleibt, sondern verschlüsselt auf die Festplatte geschrieben und nach dem "Aufwachen" erst nach einer erfolgreichen Benutzerauthentisierung wieder in den Arbeitsspeicher geladen wird.

Der hybride Energiesparmodus ist eine Neuerung ab Windows Vista. Dieser Modus kombiniert den Standby-Modus mit dem Ruhezustand. Analog dem Standby-Modus ist der hybride Energiesparmodus durch den Angriffsvektor gegen BitLocker-Schlüssel im RAM gefährdet. Der hybride Energiesparmodus sollte deshalb nicht eingesetzt werden, wenn hohe Anforderungen an den Schutz der Vertraulichkeit durch BitLocker gestellt werden und der Windows-Client zumindest zeitweise unbeaufsichtigt ist.

Bei Verwendung von Standby-Modus, Ruhezustand oder dem hybriden Energiesparmodus sollte das IT -System nur nach erneuter Kennworteingabe entsperrt werden können. Diese Empfehlung gilt unabhängig von BitLocker. Hierzu ist im entsprechenden Gruppenrichtlinienobjekt unter Benutzerkonfiguration | Administrative Vorlagen | System | Energieverwaltung die Richtlinie Kennworteingabe bei der Wiederaufnahme aus dem Ruhezustand bzw. Energiesparmodus zu aktivieren.

BitLocker für sehr hohe Sicherheitsanforderungen

Es sollte die Gruppenrichtlinie Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind gesetzt werden (unter BitLocker Laufwerksverschlüsselung | Festplattenlaufwerke). Dies verhindert grundsätzlich, dass auf nachträglich erstellte Datenpartitionen und auf jede zusätzlich eingehängte interne Festplatte geschrieben werden kann. Alle regulären Datenpartitionen müssen dann jedoch verschlüsselt werden.

Unter Windows 8 besteht zusätzlich noch die Möglichkeit, den Schreibzugriff auf Wechseldatenträger zu verweigern, sofern diese nicht durch BitLocker geschützt sind. Die Einstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind ist unter der Richtlinie Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | BitLocker-Laufwerkverschlüsselung | Wechseldatenträger zu finden.

Die Verschlüsselungsstärke kann von 128-Bit AES Diffuser auf 256-Bit AES Diffuser erhöht werden (Gruppenrichtlinie Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen). Der Verschlüsselungsvorgang erzeugt dadurch erheblich höhere CPU -Last und sollte vor allem auf schwächeren Notebooks vor dem Produktiveinsatz erst getestet werden.

In der Gruppenrichtlinie TPM -Plattformvalidierungsprofil konfigurieren können zusätzliche Hardware-Integritätsprüfungen aktiviert werden, um den Schutz gegen Manipulation und Rootkits zu erhöhen. Diese Einstellungen erhöhen allerdings erheblich die in Verlust von BitLocker-verschlüsselten Daten beschriebenen Gefahren.

Das Verschlüsseln virtueller Datenträger mit BitLocker To Go auf Festplatten, die bereits mit BitLocker verschlüsselt sind (doppelte Verschlüsselung), ist grundsätzlich möglich, aber nutzlos, da immer derselbe Verschlüsselungsalgorithmus eingesetzt wird und somit kein höherer Schutz gegen Entschlüsselungssoftware erreicht wird. Gleichzeitig steigt die Komplexität und Fehleranfälligkeit des Schlüsselmanagements und die Systemgeschwindigkeit wird reduziert. Daher sollte die doppelte Verschlüsselung mit BitLocker vermieden werden.

BitLocker-Werkzeuge

Microsoft stellt Werkzeuge zur Verfügung, um BitLocker vorbereiten, konfigurieren und administrieren zu können:

  • Das TCG BIOS DOS Test Tool (tcgbios.exe) dient der Prüfung einer BIOS -Funktion, die BitLocker benötigt (siehe Microsoft Developer Network - MSDN).
  • Nur Windows Vista: BitLocker benötigt eine separate Startpartition, die nachträglich mit dem BitLocker-Laufwerkvorbereitungstool (Drive Preparation Tool) erstellt werden kann (siehe Knowledge-Base-Artikel 930063).
  • Die Kommandozeilentools manage-bde.wsf (Vista/Server 2008) und manage-bde.exe (ab Windows 7 / Server 2008 R2) dienen der Verwaltung von BitLocker. Ein TPM ist nicht notwendig.
  • Nur Windows Vista: Die graphische Bedienoberfläche BitLocker Control Panel GUI dient der Verwaltung von BitLocker. Voraussetzung hierfür ist ein TPM .
  • Ab Windows 7 / Server 2008 R2 steht eine graphische Verwaltung der verschlüsselten Datenträger und des TPM unter Systemsteuerung | BitLocker-Laufwerksverschlüsselung zur Verfügung.
  • Der Recovery Password Viewer dient zur Verwaltung von Wiederherstellungsschlüsseln im Active Directory (siehe Knowledge-Base-Artikel 928202 bzw. 958830).
  • Das Kommandozeilentool repair-bde.exe dient der Sicherung von Daten aus beschädigten Volumes, die durch BitLocker verschlüsselt worden sind (für Vista ist das Tool unter dem Knowledge-Base-Artikel 928201 erhältlich).

Abgrenzung der Einsatzbereiche von BitLocker

Soll neben Windows ab der Version Vista ein anderes Betriebssystem gestartet werden können (Multiboot-System), dann empfiehlt sich der Einsatz eines Programms zur Festplattenverschlüsselung, das Betriebssystempartitionen für jedes Betriebssystem einzeln und unabhängig voneinander entschlüsseln kann. BDE ist für Multiboot-Systeme in der Praxis ungeeignet.

Alternativ zu BitLocker kann auch EFS (Encrypting File System - verschlüsselndes Dateisystem) eingesetzt werden, das statt Partitionen einzelne Dateien verschlüsselt (siehe M 4.147 Sichere Nutzung von EFS unter Windows ).

Der Einsatz des EFS empfiehlt sich auch, wenn die zu schützenden Daten auf einem mobilen Client auch dann verschlüsselt vorliegen sollen, wenn der mobile Client unter Windows eingeschaltet ist. Im eingeschalteten Zustand bietet die BitLocker-Verschlüsselung keinen wirksamen Schutz der Vertraulichkeit.

Um diese Konfiguration auch ohne den Einsatz von EFS zu realisieren, können virtuelle Laufwerke ab Windows 7 und Windows Server 2008 R2 mit BitLocker To Go verschlüsselt werden. Virtuelle Laufwerke sind Abbilddateien von Datenträgern und können im laufenden Betrieb eingebunden und wieder getrennt werden. Nutzer ohne administrative Berechtigungen können mit Software von Drittanbietern virtuelle Laufwerke im regulären Betrieb erstellen und, vergleichbar mit USB -Sticks, temporär einbinden.

Weiterführende Informationen zu BitLocker

Die Herstellerdokumentation befindet sich in Microsoft Technet unter dem Titel Schrittweise Anleitung zur BitLocker-Laufwerkverschlüsselung. Weiterführende Informationen zu BitLocker sind im Anwenderleitfaden "BitLocker Drive Encryption im mobilen und stationären Unternehmenseinsatz" auf den Webseiten des BSI zu finden. Der Leitfaden ist das Ergebnis einer gemeinsamen Sicherheitsanalyse des BSI und des Fraunhofer-Instituts für sichere Informationstechnologie unter Einbeziehung der für die Entwicklung von BDE verantwortlichen Produktgruppe von Microsoft.

Prüffragen:

  • Ist eine geeignete Form der Authentisierung des Benutzers gegenüber BitLocker beim Systemstart ausgewählt worden?

  • Ist sichergestellt, dass Wiederherstellungskennwort und -schlüssel von BitLocker vertraulich und sorgsam behandelt werden?

  • Kann auf Wiederherstellungskennwörter und -schlüssel von BitLocker im Bedarfsfall schnell zugegriffen werden?

  • Ist den Benutzern bekannt, wie sie sich bei Verlust eines Authentisierungsmittels zu verhalten haben?

  • Ist ein Schreibzugriff der Standardbenutzer auf die Startpartition unterbunden?

  • Wird nach der Rückkehr aus dem Standby-Modus, dem Ruhezustand oder dem hybriden Energiesparmodus ein Kennwort vom Benutzer verlangt?

  • Enthält das Bereitstellungskonzept für Windows die Vorbereitung des BitLocker-Einsatzes?

  • Werden alle Schlüssel und Kennwörter vernichtet, wenn Datenträger verloren gehen oder ausgesondert werden?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK