Verschlüsselung auf einem durch BitLocker geschützten Computer

Vor Beginn der Verschlüsselung werden von BitLocker die Verschlüsselungsschlüssel generiert. Abhängig vom System kann das Verhalten leicht abweichen.

Endpoints mit TPM

Wenn der Sicherheitsbeauftragte einen Anmeldemodus für BitLocker einrichtet, der TPM (TPM, TPM+PIN oder TPM + Systemstartschlüssel) beinhaltet, wird die TPM-Aktivierung automatisch eingeleitet.

Das TPM (Trusted Platform Module) ist ein Hardware-Gerät, das BitLocker zum Speichern seiner Verschlüsselungsschlüssel verwendet. Die Schlüssel werden nicht auf der Festplatte des Computers gespeichert. Während des Startvorgangs muss das BIOS (Basic Input/Output System) auf TPM zugreifen können. Wenn der Benutzer den Computer startet, bezieht BitLocker diese Schlüssel automatisch vom TPM.

Endpoints ohne TPM

Wenn ein Endpoint nicht mit TPM ausgestattet ist, kann ein BitLocker-Systemstartschlüssel oder – falls auf dem Endpoint Windows 8 oder höher ausgeführt wird – ein Kennwort als Anmeldemodus verwendet werden.

Ein BitLocker-Systemstartschlüssel kann mit einem USB-Stick zum Speichern der Verschlüsselungsschlüssel generiert werden. Der Benutzer muss den Stick immer beim Starten des Computers einstecken.

Wenn SafeGuard Enterprise BitLocker aktiviert, werden die Benutzer aufgefordert, den BitLocker-Systemstartschlüssel zu speichern. Es öffnet sich ein Dialog, in dem die gültigen Ziellaufwerke zum Speichern des Systemstartschlüssels angezeigt werden.

Bei Startvolumes ist es wesentlich, dass der Systemstartschlüssel verfügbar ist, wenn der Endpoint gestartet wird. Der Systemstartschlüssel kann daher nur auf einem Wechselmedium gespeichert werden.

Bei Datenvolumes kann der BitLocker-Systemstartschlüssel auf einem verschlüsselten Startvolume gespeichert werden. Dies erfolgt automatisch, wenn Auto-Unlock in der Richtlinie festgelegt ist.

BitLocker Recovery-Schlüssel

Für BitLocker Recovery bietet SafeGuard Enterprise einen Challenge/Response Mechanismus, der es erlaubt, Informationen auf vertraulichem Weg auszutauschen sowie den BitLocker Recovery-Schlüssel vom Helpdesk zu beziehen, siehe Response für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - UEFI Endpoints und Recovery-Schlüssel für mit BitLocker verschlüsselte SafeGuard Enterprise Clients - BIOS Endpoints.

Damit Recovery-Vorgänge über Challenge/Response durchgeführt werden können oder ein Abruf des Recovery-Schlüssels möglich ist, müssen die notwendigen Daten dem Helpdesk zur Verfügung gestellt werden. Die für den Recovery-Vorgang erforderlichen Daten werden in spezifischen Schlüssel-Recovery-Dateien gespeichert.
Anmerkung: Wenn SafeGuard BitLocker Verwaltung ohne Challenge/Response auf einem Standalone-Endpoint verwendet wird, dann wird der Recovery-Schlüssel nach einem Recovery-Vorgang nicht geändert.
Anmerkung: Wenn eine mit BitLocker verschlüsselte Festplatte in einem Computer durch eine neue Festplatte ersetzt wird, diese den Laufwerksbuchstaben der alten Festplatte erhält und ebenfalls mit BitLocker verschlüsselt wird, speichert SafeGuard Enterprise nur den BitLocker Recovery-Schlüssel der neuen Festplatte.

Verwaltung von Laufwerken, die bereits mit BitLocker verschlüsselt sind

Sollte es bei der Installation von SafeGuard Enterprise auf Ihrem Computer Laufwerke geben, die bereits mit BitLocker verschlüsselt sind, übernimmt SafeGuard Enterprise die Verwaltung dieser Laufwerke.

Verschlüsselte Bootlaufwerke

Verschlüsselte Festplatten