Verschlüsselung und Datenschutz
Wenn Menschen mit ihren PCs reisen, werden ihre vertraulichen Informationen mit ihnen übertragen. Überall dort, wo vertrauliche Daten gespeichert werden, müssen sie vor unbefugtem Zugriff geschützt werden, sei es durch physischen Gerätediebstahl oder durch böswillige Anwendungen.
BitLocker
BitLocker ist ein Datenschutzfeature, das in das Betriebssystem integriert wird, um die Bedrohungen durch Datendiebstahl oder Offenlegung durch verlorene, gestohlene oder nicht ordnungsgemäß außer Betrieb gesetzte Geräte zu beseitigen. Es verwendet den AES-Algorithmus im XTS- oder CBC-Modus mit 128-Bit- oder 256-Bit-Schlüssellängen, um Daten auf dem Volume zu verschlüsseln. Wenn BitLocker während der Ersteinrichtung während der OOBE aktiviert ist und sich der Benutzer zum ersten Mal bei seinem Microsoft-Konto anmeldet, speichert BitLocker sein Wiederherstellungskennwort automatisch im Microsoft-Konto, um es bei Bedarf abzurufen. Benutzer haben auch die Möglichkeit, das Wiederherstellungskennwort zu exportieren, wenn sie BitLocker manuell aktivieren. Der Inhalt des Wiederherstellungsschlüssels kann im Cloudspeicher auf OneDrive oder Azure[4] gespeichert werden.
Für Organisationen kann BitLocker über Gruppenrichtlinien oder mit einer Geräteverwaltungslösung wie Microsoft Intune[3] verwaltet werden. Es bietet Verschlüsselung für das Betriebssystem, feste Daten und Wechseldatenträger (BitLocker To Go) mithilfe von Technologien wie Hardware Security Test Interface (HSTI), Modern Standby, UEFI Secure Boot und TPM.
Neu in Windows 11, Version 24H2
Der Bildschirm bitLocker preboot recovery (BitLocker preboot recovery) enthält den Hinweis microsoft account (MSA), wenn das Wiederherstellungskennwort in einem MSA gespeichert ist. Dieser Hinweis hilft dem Benutzer zu verstehen, welches MSA-Konto zum Speichern von Wiederherstellungsschlüsselinformationen verwendet wurde.
Weitere Informationen
BitLocker To Go
BitLocker To Go bezieht sich auf BitLocker auf Wechseldatenträgern. BitLocker To Go umfasst die Verschlüsselung von USB-Speichersticks, SD-Karten und externen Festplattenlaufwerken. Laufwerke können mithilfe eines Kennworts, eines Zertifikats auf einer intelligenten Karte oder eines Wiederherstellungskennworts entsperrt werden.
Weitere Informationen
Geräteverschlüsselung
Die Geräteverschlüsselung ist ein Windows-Feature, das das Aktivieren der BitLocker-Verschlüsselung auf bestimmten Geräten vereinfacht. Dadurch wird sichergestellt, dass nur das Betriebssystemlaufwerk und die Festplattenlaufwerke verschlüsselt sind, während externe/USB-Laufwerke unverschlüsselt bleiben. Darüber hinaus sind Geräte mit extern zugänglichen Ports, die DMA-Zugriff zulassen, nicht für die Geräteverschlüsselung geeignet. Im Gegensatz zur Standardmäßigen BitLocker-Implementierung wird die Geräteverschlüsselung automatisch aktiviert, um kontinuierlichen Schutz sicherzustellen. Sobald eine sauber Installation von Windows abgeschlossen ist und die Out-of-Box-Erfahrung abgeschlossen ist, wird das Gerät für die erste Verwendung mit bereits vorhandener Verschlüsselung vorbereitet.
Organisationen haben die Möglichkeit, die Geräteverschlüsselung zugunsten einer vollständigen BitLocker-Implementierung zu deaktivieren. Dies ermöglicht eine präzisere Kontrolle über Verschlüsselungsrichtlinien und -einstellungen und stellt sicher, dass die spezifischen Sicherheitsanforderungen der organization erfüllt sind.
Neu in Windows 11, Version 24H2
Die Geräteverschlüsselungsvoraussetzungen für DMA und HSTI/Modern Standby werden entfernt. Durch diese Änderung sind mehr Geräte sowohl für die automatische als auch für die manuelle Geräteverschlüsselung geeignet.
Weitere Informationen
Verschlüsselte Festplatte
Verschlüsselte Festplatten sind eine Klasse von Festplatten, die auf Hardwareebene selbstverschlüsselt sind. Sie ermöglichen eine vollständige Datenträgerhardwareverschlüsselung und sind für den Benutzer transparent. Diese Laufwerke kombinieren die Sicherheits- und Verwaltungsvorteile von BitLocker mit der Leistungsfähigkeit selbstverschlüsselnder Laufwerke.
Durch eine Übertragung der Kryptografievorgänge auf die Hardware wird die Leistung von BitLocker mit verschlüsselten Festplatten verbessert, und CPU-Last und Energieverbrauch werden gesenkt. Da verschlüsselte Festplatten Daten schnell verschlüsseln, kann die BitLocker-Bereitstellung auf Unternehmensgeräte erweitert werden, und zwar ohne oder nur mit geringen Auswirkungen auf die Produktivität.
Verschlüsselte Festplatten ermöglichen Folgendes:
- Reibungslose Leistung: Die in den Laufwerkcontroller integrierte Verschlüsselungshardware ermöglicht es dem Laufwerk, mit vollständiger Datenrate ohne Leistungseinbußen zu arbeiten.
- Starke Sicherheit basierend auf Hardware: Die Verschlüsselung ist immer aktiviert, und die Schlüssel für die Verschlüsselung verlassen niemals die Festplatte. Das Laufwerk authentifiziert den Benutzer unabhängig vom Betriebssystem, bevor es entsperrt wird.
- Benutzerfreundlichkeit: Die Verschlüsselung ist für den Benutzer transparent, und der Benutzer muss sie nicht aktivieren. Verschlüsselte Festplatten können mithilfe eines integrierten Verschlüsselungsschlüssels problemlos gelöscht werden. Es ist nicht erforderlich, Daten auf dem Laufwerk erneut zu verschlüsseln.
- Niedrigere Betriebskosten: Es ist keine neue Infrastruktur zum Verwalten von Verschlüsselungsschlüsseln erforderlich, da BitLocker Ihre vorhandene Infrastruktur zum Speichern von Wiederherstellungsinformationen verwendet. Ihr Gerät arbeitet effizienter, da keine Prozessorzyklen für den Verschlüsselungsprozess verwendet werden müssen
Weitere Informationen
Verschlüsselung personenbezogener Daten
Die Verschlüsselung personenbezogener Daten ist ein benutzerauthentifizierter Verschlüsselungsmechanismus, der zum Schutz der Inhalte von Benutzern entwickelt wurde. Die Verschlüsselung personenbezogener Daten verwendet Windows Hello for Business als modernes Authentifizierungsschema mit PIN- oder biometrischen Authentifizierungsmethoden. Die von der Personal Data Encryption verwendeten Verschlüsselungsschlüssel werden sicher im container Windows Hello gespeichert. Wenn sich ein Benutzer mit Windows Hello anmeldet, wird der Container entsperrt, sodass die Schlüssel zum Entschlüsseln des Inhalts des Benutzers verfügbar sind.
Mit der ersten Version von Personal Data Encryption in Windows 11, Version 22H2, wurde eine Reihe von öffentlichen APIs eingeführt, die Anwendungen zum Schutz von Inhalten verwenden können.
Neu in Windows 11, Version 24H2
Die Verschlüsselung personenbezogener Daten wird durch die Verschlüsselung von personenbezogenen Daten für bekannte Ordner weiter verbessert, die den Schutz auf die Windows-Ordner erweitert: Dokumente, Bilder und Desktop.
Weitere Informationen
Email Verschlüsselung
Email Verschlüsselung ermöglicht es Benutzern, E-Mail-Nachrichten und Anlagen so zu schützen, dass nur die vorgesehenen Empfänger mit einer digitalen Identifikation (ID) oder einem Zertifikat sie lesen können[8]. Benutzer können eine Nachricht auch digital signieren , wodurch die Identität des Absenders überprüft und sichergestellt wird, dass die Nachricht nicht manipuliert wurde.
Die neue Outlook-App, die in Windows 11 enthalten ist, unterstützt verschiedene Arten der E-Mail-Verschlüsselung, einschließlich Microsoft Purview-Nachrichtenverschlüsselung, S/MIME und Information Rights Management (IRM).
Bei Verwendung von Secure/Multipurpose Internet Mail Extensions (S/MIME) können Benutzer verschlüsselte Nachrichten an Personen innerhalb ihrer organization und an externe Kontakte senden, die über die richtigen Verschlüsselungszertifikate verfügen. Empfänger können verschlüsselte Nachrichten nur lesen, wenn sie über die entsprechenden Entschlüsselungsschlüssel verfügen. Wenn eine verschlüsselte Nachricht an Empfänger gesendet wird, deren Verschlüsselungszertifikate nicht verfügbar sind, fordert Outlook Sie auf, diese Empfänger vor dem Senden der E-Mail zu entfernen.
Weitere Informationen