Startseite | Windows entdecken |
Erste Einblicke in Windows | Fotos und Videos | Fernsehsendungen und Filme | Musik | Spiele | E-Mail und Chat | Produktivität | PC-Integrität | Heimnetzwerke | Überall arbeiten |
Produkte |
Windows 7 | Windows Vista | Windows XP |
Windows 8 Consumer Preview |
Internet Explorer | Hotmail | SkyDrive | Messenger |
Windows Media Center | Windows Media Player | Windows Home Server |
Originalversion von Windows | Microsoft Security Essentials |
Windows erwerben |
Microsoft Store | Andere Versandhändler | Windows Anytime Upgrade |
Downloads |
Downloads – Startseite | Windows 7 | Windows Vista | Windows XP |
Windows 8 Consumer Preview |
Internet Explorer | SkyDrive | Messenger | Windows Live Essentials | Microsoft Security Essentials |
Personalisierung – Startseite | Designs für Windows 7 | Desktophintergründe | Gadgets |
Sprachen |
Service Pack Center |
Hilfe & Anleitungen |
Windows 7 | Windows 7 Upgrade Center | Windows Vista | Windows XP |
Internet Explorer | Hotmail | SkyDrive | Messenger | Windows Live Essentials | Windows Live ID |
Windows Media Center | Windows Media Player | Windows Home Server | Microsoft Security Essentials | Windows-Community | Barrierefreiheit unter Windows |
Windows Vista-Hilfe | Die besten Lösungen | Verwenden von Windows Vista | Erste Schritte | Community | Support anfordern |

Gilt für folgende Editionen von Windows Vista:

Editionen vergleichen

BitLocker-Laufwerkverschlüsselung (Übersicht)

Die Windows BitLocker-Laufwerkverschlüsselung ist ein neues Sicherheitsfeature, das durch Verschlüsseln aller Daten, die auf dem Windows-Betriebssystemvolume gespeichert werden, einen verbesserten Datenschutz für den Computer bietet. (In dieser Windows-Version besteht ein Volume aus einer oder aus mehreren Partitionen auf einer oder mehreren Festplatten). BitLocker arbeitet mit einfachen Volumes, die nur aus einer einzigen Partition bestehen. Ein Volume verfügt im Allgemeinen über einen Laufwerkbuchstaben, wie z. B. C:).

Ein TPM (Trusted Platform Module) ist ein in den Computer integrierter Mikrochip. In diesem Chip werden Kryptografieinformationen, wie z. B. Verschlüsselungsschlüssel, gespeichert. Informationen, die im TPM gespeichert werden, sind vor externen Softwareangriffen und physikalischem Diebstahl besser geschützt.

BitLocker schützt mithilfe des TPM das Windows-Betriebssystem und Benutzerdaten. Es trägt außerdem dazu bei, dass ein Computer, selbst wenn er unbeaufsichtigt ist, verloren geht oder gestohlen wird, nicht manipuliert werden kann.

BitLocker kann auch ohne ein TPM verwendet werden. Wenn Sie BitLocker auf einem Computer ohne TPM verwendet möchten, müssen Sie das Standardverhalten des BitLocker-Setup-Assistenten mithilfe von Gruppenrichtlinie ändern oder BitLocker mithilfe eines Skripts konfigurieren. Wenn BitLocker ohne TPM verwendet wird, werden die erforderlichen Verschlüsselungsschlüssel auf einem USB-Flashlaufwerk gespeichert, das zum Entsperren der auf einem Volume gespeicherten Daten vorhanden sein muss.

Wie funktioniert die BitLocker-Laufwerkverschlüsselung?

Die Daten werden geschützt, indem das gesamte Windows-Betriebssystemvolume verschlüsselt wird.

Falls der Computer ein kompatibles TPM besitzt, wird von BitLocker das TPM zum Sperren der Verschlüsselungsschlüssel verwendet, die die Daten schützen. Aus diesem Grund kann erst dann auf die Schlüssel zugegriffen werden, wenn der Status des Computers vom TPM überprüft wurde. Durch das Verschlüsseln des gesamten Volumes werden alle Daten geschützt, einschließlich des Betriebssystems, der Windows-Registrierung, temporärer Dateien und der Ruhezustanddatei. Da die zum Entschlüsseln der Daten erforderlichen Schlüssel im TPM gesperrt bleiben, kann kein Angreifer die Daten durch einfaches Ausbauen der Festplatte und anschließender Installation in einem anderen Computer lesen.

Beim Systemstart gibt das TPM den Schlüssel zum Entsperren der verschlüsselten Partition erst frei, nachdem ein Hash von wichtigen Betriebssystem-Konfigurationswerten mit einem früher erstellten Snapshot verglichen wurde. Damit wird die Integrität des Startprozesses von Windows überprüft. Der Schlüssel wird nicht freigegeben, wenn das TPM erkennt, dass an der betreffenden Windows-Installation Manipulationen vorgenommen wurde.

Standardmäßig ist der BitLocker-Setup-Assistent für eine problemlose Zusammenarbeit mit dem TPM konfiguriert. Zum Aktivieren zusätzlicher Features und Optionen kann ein Administrator Gruppenrichtlinie oder ein Skript verwenden.

Zur Erhöhung der Sicherheit kann die Verwendung eines TPM entweder mit einer PIN-Nummer, die der Benutzer eingeben muss, oder mit einem Startschlüssel, der auf einem USB-Flashlaufwerk gespeichert ist, kombiniert werden.

Auf Computern ohne kompatibles TPM kann die Verschlüsselung von BitLocker bereitgestellt werden. Dies gilt jedoch nicht für die zusätzliche Sicherheit durch das Sperren von Schlüsseln mit dem TPM. In diesem Fall muss vom Benutzer ein Startschlüssel erstellt werden, der auf einem USB-Laufwerk gespeichert wird.

Was ist ein TPM?

Ein TPM ist ein Mikrochip, der grundlegende, sicherheitsbezogene Funktionen bereitstellt, hauptsächlich unter Einbezug von Verschlüsselungsschlüsseln. Das TPM ist normalerweise auf der Hauptplatine eines Desktopcomputers oder tragbaren Computers installiert und kommuniziert mit dem übrigen System über einen Hardwarebus.

Computer, die über ein TPM verfügen, sind in der Lage, Kryptografieschlüssel zu erstellen und diese so zu verschlüsseln, dass sie nur durch das TPM wieder entschlüsselt werden können. Durch diesen Vorgang, der häufig als "Schlüsselverschlüsselung" oder "Binden" eines Schlüssels bezeichnet wird, kann ein Offenlegen des Schlüssels verhindert werden. Jedes TPM verfügt über einen Masterschlüssel zur Verschlüsselung, den so genannten Speicherstammschlüssel (Storage Root Key, SRK), der im TPM selbst gespeichert wird. Der private Teil eines im TPM erstellten Schlüssels wird niemals für eine andere Komponente, eine andere Software, einen anderen Prozess oder eine andere Person offen gelegt.

Computer, die über ein TPM verfügen, können auch einen Schlüssel erstellen, der nicht nur doppelt verschlüsselt wurde, sondern der auch an bestimmte Hardware- oder Softwarebedingungen gebunden ist. Dies wird als "Versiegeln" eines Schlüssels bezeichnet. Wenn ein versiegelter Schlüssel zum ersten Mal erstellt wird, zeichnet das TPM einen Snapshot der Konfigurationswerte und Dateihashes auf. Ein versiegelter Schlüssel wird nur entsiegelt oder freigegeben, wenn die aktuellen Systemwerte mit denen im Snapshot übereinstimmen. BitLocker verwendet versiegelte Schlüssel, um Angriffe auf die Integrität des Windows-Betriebssystems zu erkennen.

Mit einem TPM bleiben die privaten Teile von Schlüsselpaaren von dem vom Betriebssystem gesteuerten Arbeitsspeicher getrennt. Da das TPM über eine eigene interne Firmware und logische Schaltungen zum Verarbeiten von Anweisungen verfügt, ist es nicht vom Betriebssystem abhängig und keinen Schwachstellen bei externer Software ausgesetzt.

Weitere Referenzen

Vielen Dank.
Möchten Sie weiteres Feedback eingeben?
Vielen Dank. Ihr Feedback hilft uns, unsere Inhalte ständig zu verbessern.
1200 400 Wie können wir diese Website hilfreicher für Sie gestalten? Absenden Überspringen Möchten Sie weiteres Feedback eingeben? Absenden Nein, danke