Praxistipps: Richtlinieneinstellungen und Bedienung

Der Sicherheitsbeauftragte konfiguriert die Verschlüsselungsrichtlinien für die zu verschlüsselnden Laufwerke sowie eine Authentisierungsrichtlinie. Nach Möglichkeit sollte immer das TPM genutzt werden, aber auch ohne TPM sollte das Boot-Volume verschlüsselt werden. Die Benutzerinteraktion sollte auf ein Minimum beschränkt werden.

Gemäß diesen Anforderungen wählt der Sicherheitsbeauftragte die folgenden Authentisierungseinstellungen (diese sind auch die Standardeinstellungen):

Der Sicherheitsbeauftragte erstellt eine Geräteschutzrichtlinie mit dem Ziel Interner Speicher und richtet für den Verschlüsselungsmodus Volume-basierend ein. Danach werden beide Richtlinien auf die zu verschlüsselnden Endpoints angewendet.

Für SafeGuard Enterprise BitLocker-Benutzer gibt es folgende Szenarien:

Fall 1: Ein Benutzer meldet sich mit einem TPM bei einem Endpoint an.

  1. Der Benutzer wird aufgefordert, eine PIN für das Boot-Volume einzugeben (z. B. Laufwerk C: ).
  2. Der Benutzer gibt die PIN ein und klickt auf Neu starten und verschlüsseln.
  3. Das System testet die Hardware und überprüft, ob der Benutzer die PIN korrekt eingeben kann. Es startet neu und fordert den Benutzer zur Eingabe der PIN auf.
    • Wenn der Benutzer die PIN richtig eingibt, wird der Endpoint gestartet.
    • Gibt der Benutzer die PIN nicht richtig ein (z. B. aufgrund eines falschen Tastaturlayouts), kann er die Esc-Taste in der BitLocker Pre-Boot-Umgebung drücken, um den Test abzubrechen, und der Endpoint wird gestartet.
    • Falls es ein Problem mit der Hardware gibt (z. B. wenn das TPM nicht funktioniert), wird der Test abgebrochen und der Endpoint gestartet.
  4. Der Benutzer meldet sich erneut an.
  5. Wenn der Hardware-Test erfolgreich war (der Benutzer konnte die PIN richtig eingeben und es gab kein Problem mit dem TPM), beginnt die Verschlüsselung des Boot-Volume. Andernfalls (wenn der Test fehlschlägt), wird ein Fehler angezeigt und das Volume nicht verschlüsselt. Schlägt der Test fehl, weil der Benutzer Esc in der Pre-Boot-Umgebung gedrückt hat, wird der Benutzer aufgefordert, erneut eine PIN einzugeben und einen Neustart vorzunehmen (wie in Schritt 2; die Schritte 3, 4 und 5 werden wiederholt).
  6. Die Verschlüsselung des Boot-Volume beginnt.
  7. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist.

Fall 2: Ein Benutzer meldet sich bei einem Windows 8-Endpoint ohne TPM an.

  1. Der Benutzer wird aufgefordert, ein Kennwort für das Boot-Volume einzugeben.
  2. Der Benutzer gibt das Kennwort ein und klickt auf Neu starten und verschlüsseln.
  3. Das System startet neu, führt einen Hardwaretest durch und der Benutzer meldet sich wie im Fall oben erneut an (genau wie in Fall 1, Schritte 3 bis 6, aber die Verweise auf das TPM sind nicht relevant und anstelle einer PIN ist ein Kennwort erforderlich.)
  4. Die Verschlüsselung des Boot-Volume beginnt.
  5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist.

Fall 3: Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an.

  1. Der Benutzer wird aufgefordert, den Verschlüsselungsschlüssel für das Boot-Volume auf einem USB-Stick zu speichern.
  2. Der Benutzer steckt einen USB-Stick ein und wählt Speichern und neu starten aus.
  3. Das System startet neu, führt den Hardwaretest durch und der Benutzer meldet sich erneut an. (Gleicher Ablauf wie in den vorgenannten Fällen, aber der Benutzer muss beim Booten den USB-Stick einstecken. Es könnte ein Hardwarefehler auftreten, wenn der USB-Stick von der BitLocker Pre-Boot-Umgebung nicht gelesen werden kann.)
  4. Die Verschlüsselung des Boot-Volume beginnt.
  5. Die Verschlüsselung der Daten-Volumes beginnt ebenfalls, ohne dass eine Interaktion seitens des Benutzers erforderlich ist.

Fall 4: Der Sicherheitsbeauftragte ändert die Richtlinie und setzt den BitLocker Fallback-Anmeldemodus für Boot-Laufwerke auf Kennwort. Ein Benutzer meldet sich bei einem Windows 7-Endpoint ohne TPM an.

  1. Da der Endpoint kein TPM hat und Windows 7 keine Kennwörter für Boot-Volumes zulässt, wird das Boot-Volume nicht verschlüsselt.
  2. Für jedes Nicht-Boot-Volume wird der Benutzer aufgefordert, den externen Schlüssel auf einem USB-Stick zu speichern. Die Verschlüsselung des betreffenden Volume beginnt, sobald der Benutzer auf Speichern klickt.
  3. Wenn der Benutzer den Endpoint neu startet, muss der USB-Stick eingesteckt sein, damit die Nicht-Boot-Volumes entsperrt werden.