Verschlüsselte Festplatten
Übersicht
Verschlüsselte Festplatten sind eine Klasse von Festplatten, die auf Hardwareebene selbstverschlüsselt sind und eine vollständige Datenträgerhardwareverschlüsselung ermöglichen, während sie für den Benutzer transparent sind. Diese Laufwerke kombinieren die Sicherheits- und Verwaltungsvorteile der BitLocker-Laufwerkverschlüsselung mit der Leistung selbstverschlüsselnder Laufwerke.
Durch eine Übertragung der Kryptografievorgänge auf die Hardware wird die Leistung von BitLocker mit verschlüsselten Festplatten verbessert, und CPU-Last und Energieverbrauch werden gesenkt. Da verschlüsselte Festplatten Daten schnell verschlüsseln, kann die BitLocker-Bereitstellung auf Unternehmensgeräte erweitert werden, und zwar ohne oder nur mit geringen Auswirkungen auf die Produktivität.
Verschlüsselte Festplatten bieten Folgendes:
- Bessere Leistung: Verschlüsselungshardware, die in den Laufwerkscontroller integriert ist, ermöglicht es dem Laufwerk, mit voller Datenrate ohne Leistungseinbußen zu arbeiten.
- Starke Sicherheit basierend auf Hardware: Die Verschlüsselung ist immer aktiviert , und die Schlüssel für die Verschlüsselung verlassen niemals die Festplatte. Die Benutzerauthentifizierung wird vom Laufwerk durchgeführt, bevor es entsperrt wird, unabhängig vom Betriebssystem.
- Benutzerfreundlichkeit: Die Verschlüsselung ist für den Benutzer transparent, und der Benutzer muss sie nicht aktivieren. Verschlüsselte Festplatten können einfach mit dem verschlüsselungsinternen Schlüssel gelöscht werden. Es ist nicht erforderlich, Daten auf dem Laufwerk erneut zu verschlüsseln.
- Geringere Betriebskosten: Es ist keine neue Infrastruktur zum Verwalten von Verschlüsselungsschlüsseln erforderlich, da BitLocker Ihre vorhandene Infrastruktur zum Speichern von Wiederherstellungsinformationen verwendet. Ihr Gerät arbeitet effizienter, da keine Prozessorzyklen für den Verschlüsselungsprozess verwendet werden müssen
Verschlüsselte Festplatten werden im Betriebssystem über die folgenden Mechanismen nativ unterstützt:
- Identifikation: Das Betriebssystem identifiziert, dass es sich bei dem Laufwerk um eine verschlüsselte Festplatte vom Gerätetyp handelt.
- Aktivierung: Das Betriebssystem-Hilfsprogramm für die Datenträgerverwaltung aktiviert, erstellt und ordnet Volumes entsprechend den Bereichen/Bändern zu.
- Konfiguration: Das Betriebssystem erstellt Volumes und ordnet sie Bereichen/Bändern zu.
- API: API-Unterstützung für Anwendungen zum Verwalten verschlüsselter Festplatten unabhängig von der BitLocker-Laufwerkverschlüsselung
- BitLocker-Unterstützung: Die Integration in die BitLocker-Systemsteuerung bietet eine nahtlose BitLocker-Benutzererfahrung
Warnung
Selbstverschlüsselte Festplatten und verschlüsselte Festplatten für Windows sind nicht derselbe Gerätetyp:
- verschlüsselte Festplatten für Windows erfordern Konformität für bestimmte TCG-Protokolle sowie IEEE 1667-Konformität
- Für selbstverschlüsselte Festplatten gelten diese Anforderungen nicht.
Es ist wichtig, bei der Planung der Bereitstellung zu bestätigen, dass der Gerätetyp eine verschlüsselte Festplatte für Windows ist.
Wenn das Betriebssystem eine verschlüsselte Festplatte identifiziert, wird der Sicherheitsmodus aktiviert. Durch diese Aktivierung kann der Laufwerkcontroller einen Medienschlüssel für jedes Volume generieren, das der Hostcomputer erstellt. Der Medienschlüssel, der nie außerhalb des Datenträgers verfügbar gemacht wird, wird verwendet, um jedes Byte von Daten, das vom Datenträger gesendet oder empfangen wird, schnell zu verschlüsseln oder zu entschlüsseln.
Wenn Sie ein Anbieter von Speichergeräten sind und nach weiteren Informationen zum Implementieren einer verschlüsselten Festplatte suchen, lesen Sie den Leitfaden zum Gerät für verschlüsselte Festplatten.
Systemanforderungen
Für die Verwendung verschlüsselter Festplatten gelten die folgenden Systemanforderungen:
Für eine verschlüsselte Festplatte, die als Datenlaufwerk verwendet wird:
- Das Laufwerk muss sich in einem nicht initialisierten Zustand befinden.
- Das Laufwerk muss sich in einem sicherheitsinaktiven Zustand befinden.
Für eine verschlüsselte Festplatte, die als Startlaufwerk verwendet wird:
- Das Laufwerk muss sich in einem nicht initialisierten Zustand befinden.
- Das Laufwerk muss sich in einem sicherheitsinaktiven Zustand befinden.
- Der Computer muss auf UEFI 2.3.1 basieren und definiert
EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL
sein. Dieses Protokoll wird verwendet, damit Programme, die in der EFI-Startdienstumgebung ausgeführt werden, Sicherheitsprotokollbefehle an das Laufwerk senden können. - Auf dem Computer muss das Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) in UEFI deaktiviert sein.
- Der Computer muss immer nativ über UEFI gestartet werden.
Warnung
Alle verschlüsselten Festplatten müssen an Nicht-RAID-Controller angeschlossen werden, damit sie ordnungsgemäß funktionieren.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die verschlüsselte Festplatten unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Lizenzberechtigungen für verschlüsselte Festplatten werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Konfigurieren verschlüsselter Festplatten als Startlaufwerke
Um verschlüsselte Festplatten als Startlaufwerke zu konfigurieren, verwenden Sie die gleichen Methoden wie Standardfestplatten:
- Bereitstellung über Medien: Die Konfiguration verschlüsselter Festplatten erfolgt automatisch während des Installationsvorgangs.
- Bereitstellen über das Netzwerk: Diese Bereitstellungsmethode umfasst das Starten einer Windows PE-Umgebung und die Verwendung von Imageerstellungstools, um ein Windows-Image von einer Netzwerkfreigabe anzuwenden. Bei dieser Methode muss die optionale Komponente Erweiterter Speicher im Windows PE-Image enthalten sein. Aktivieren Sie diese Komponente mithilfe von Server-Manager, Windows PowerShell oder dem DISM-Befehlszeilentool. Wenn die Komponente nicht vorhanden ist, funktioniert die Konfiguration verschlüsselter Festplatten nicht.
-
Bereitstellen vom Server: Bei dieser Bereitstellungsmethode wird pxe ein Client mit verschlüsselten Festplatten gestartet. Die Konfiguration verschlüsselter Festplatten erfolgt in dieser Umgebung automatisch, wenn dem PXE-Startimage die Komponente "Erweiterter Speicher" hinzugefügt wird. Während der Bereitstellung steuert die Einstellung TCGSecurityActivationDisabled in
unattend.xml
das Verschlüsselungsverhalten verschlüsselter Festplatten. - Datenträgerduplizierung: Bei dieser Bereitstellungsmethode werden ein zuvor konfiguriertes Gerät und Datenträgerduplizierungstools verwendet, um ein Windows-Image auf eine verschlüsselte Festplatte anzuwenden. Images, die mit Datenträgerduplizierern erstellt wurden, funktionieren nicht
Konfigurieren der hardwarebasierten Verschlüsselung mit Richtlinieneinstellungen
Es gibt drei Richtlinieneinstellungen, um zu verwalten, wie BitLocker die hardwarebasierte Verschlüsselung verwendet und welche Verschlüsselungsalgorithmen verwendet werden sollen. Wenn diese Einstellungen auf Systemen, die mit verschlüsselten Laufwerken ausgestattet sind, nicht konfiguriert oder deaktiviert sind, verwendet BitLocker die softwarebasierte Verschlüsselung:
- Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke
- Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger
- Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke
Architektur der verschlüsselten Festplatte
Verschlüsselte Festplatten verwenden zwei Verschlüsselungsschlüssel auf dem Gerät, um das Sperren und Entsperren von Daten auf dem Laufwerk zu steuern. Diese Verschlüsselungsschlüssel sind der Datenverschlüsselungsschlüssel (Data Encryption Key , DEK) und der Authentifizierungsschlüssel (AK ):
- Der Datenverschlüsselungsschlüssel wird verwendet, um alle Daten auf dem Laufwerk zu verschlüsseln. Das Laufwerk generiert den DEK und verlässt nie das Gerät. Es wird in einem verschlüsselten Format an einem zufälligen Speicherort auf dem Laufwerk gespeichert. Wenn der DEK geändert oder gelöscht wird, können mit dem DEK verschlüsselte Daten nicht wiederhergestellt werden.
- die AK ist der Schlüssel, der zum Entsperren von Daten auf dem Laufwerk verwendet wird. Ein Hash des Schlüssels wird auf dem Laufwerk gespeichert und erfordert eine Bestätigung, um den DEK zu entschlüsseln.
Wenn sich ein Gerät mit einer verschlüsselten Festplatte in einem ausgeschalteten Zustand befindet, wird das Laufwerk automatisch gesperrt. Wenn ein Gerät eingeschaltet wird, verbleibt das Gerät in einem gesperrten Zustand und wird erst entsperrt, nachdem der AK den DEK entschlüsselt hat. Sobald die AK den DEK entschlüsselt, können Lese-/Schreibvorgänge auf dem Gerät stattfinden.
Wenn Daten auf das Laufwerk geschrieben werden, durchlaufen sie eine Verschlüsselungs-Engine, bevor der Schreibvorgang abgeschlossen ist. Ebenso erfordert das Lesen von Daten vom Laufwerk, dass die Verschlüsselungs-Engine die Daten entschlüsselt, bevor diese Daten an den Benutzer übergeben werden. Wenn die AK geändert oder gelöscht werden muss, müssen die Daten auf dem Laufwerk nicht erneut verschlüsselt werden. Ein neuer Authentifizierungsschlüssel muss erstellt werden, der den DEK erneut verschlüsselt. Nach Abschluss des Vorgangs kann der DEK mit der neuen AK entsperrt werden, und Lese-/Schreibvorgänge auf dem Volume können fortgesetzt werden.
Neukonfigurieren verschlüsselter Festplatten
Viele verschlüsselte Festplattengeräte sind für die Verwendung vorkonfiguriert. Wenn eine Neukonfiguration des Laufwerks erforderlich ist, führen Sie das folgende Verfahren aus, nachdem Sie alle verfügbaren Volumes entfernt und das Laufwerk in einen nicht initialisierten Zustand zurückgesetzt haben:
- Datenträgerverwaltung öffnen (
diskmgmt.msc
) - Initialisieren des Datenträgers und Auswählen des geeigneten Partitionsstils (MBR oder GPT)
- Erstellen Sie mindestens ein Volume auf dem Datenträger.
- Verwenden Sie den BitLocker-Setup-Assistenten, um BitLocker auf dem Volume zu aktivieren.