Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.0.1

ZurückzumInhaltsverzeichnis

SupportfürTrustedPlatformModule(TPM)undBitLocker

Dell™UpdatePackagesfürMicrosoft®Windows®-Betriebssysteme Benutzerhandbuch

EinTPMisteinsichererMicrocontrollermitkryptografischenFähigkeiten,dergrundlegende,mitSicherheitinVerbindungstehende Funktionen im

ZusammenhangmitVerschlüsselungsschlüsselnzurVerfügungstellt.EswirdaufderHauptplatinedesSystemsinstalliertundkommuniziertübereinen

Hardwarebus mit dem Rest des Systems. Anhand von BIOS-Setup-BefehlenkönnenSiedenBesitzIhresSystemsundseinesTPMgeltendmachen.

DasTPMspeichertdiePlattformkonfigurationalsSatzvonWertenineinemSatzvonPlattformkonfigurationsregistern(PCRs).Daherkanneineinzelnessolches

Registerz.B.InformationenzumHerstellerderHauptplatinespeichern,währendeinanderesInformationenzumHerstellerdesProzessorsspeichertundein

drittes wiederum die Firmware-VersionderPlattformusw..Systeme,dieeinTPMenthalten,erstelleneinenSchlüssel,dermitPlattformmessungenin

Verbindungsteht.DerSchlüsselkannnurfreigegebenwerden,wenndiesePlattformmessungendieselbenWerteaufweisen,diesiezumZeitpunktder

Schlüsselerstellungaufwiesen.DieserVorgangwirdals"Versiegeln"desSchlüsselsvordemTPMbezeichnet.DasEntschlüsselndesSchlüsselsheißt

"Entsiegeln".WennzumerstenMaleinversiegelterSchlüsselerstelltwird,zeichnetdasTPMeinenSnapshotvonKonfigurationswertenundDatei-Hashes auf.

EinversiegelterSchlüsselwirdnur"entsiegelt"oderfreigegeben,wenndieaktuellenSystemwertemitdenendesSnapshotsübereinstimmen.BitLocker™

verwendetversiegelteSchlüsselzumErmittelnvonÜbergriffenaufdieIntegritätIhresSystems.Datensindsolangegesperrt,bisbestimmteHardware- oder

Softwarebedingungenerfülltsind.

BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen Datensicherungsmaßnahmen:

l VerschlüsselungdesgesamtenWindows®-BetriebssystemdatenträgersaufderFestplatte:BitLockerverschlüsseltsämtlicheBenutzerdateienund

SystemdateienaufdemBetriebssystemdatenträger.

l ÜberprüfungderIntegritätvonFrühstartkomponentenundStartkonfigurationsdaten: Auf Systemen mit TPM-Version 1.2 setzt BitLocker die

erweitertenSicherheitsfunktionalitätendesTPMwirksameinundstelltsicher,dassderZugriffaufIhreDatennurdannmöglichist,wenndie

StartkomponentendesSystemsunverändertsindundsichdieverschlüsselteFestplatteaufdemOriginalsystembefindet.

BitLockeristfürSystemekonzipiert,dieeinenkompatiblenTPM-Microchip und ein kompatibles BIOS enthalten. Ein kompatibles TPM wird als TPM der Version

1.2definiert.EinkompatiblesBIOSunterstütztdasTPMunddasStaticRootofTrustMeasurement.BitLockerversiegeltdenMaster-Verschlüsselungsschlüssel

imTPMundlässtdieFreigabedesSchlüsselsnurdannzu,wennsichdieCodemessungenseiteinemfrüherensicherenStartnichtveränderthaben.Sie

werdengezwungen,einenWiederherstellungsschlüsselzumFortsetzendesStartvorgangsbereitzustellen,fallssichbeiMessungenÄnderungenergeben

haben sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierungführtdazu,dassBitLockerdieAktualisierunganhältundvordemAbschlussdes

StartvorgangseinenWiederherstellungsschlüsselanfordert.

BitLocker sichert die auf einem System gespeicherten Daten anhand von "vollständigerDatenträgerverschlüsselung" und "sicherem Startup". Es wird hierbei

sichergestellt,dassdieaufeinemSystemgespeichertenDatenauchdannverschlüsseltbleiben,wenndasSystembeiNichtlaufendesBetriebssystemsin

unbefugteHändegerät,unddassdasBetriebssystemsolangedarangehindertwird,zustartenunddasLaufwerkzuentschlüsseln,bisSiedenBitLocker-

Schlüsselbereitstellen.

TPMkommuniziertmitBitLocker,umzumZeitpunktdesSystemstartsSchutzzubieten.TPMmuss aktiviert werden, bevor es von BitLocker verwendet werden

kann.SolltensichdieStartinformationengeänderthaben,gehtBitLockerindenWiederherstellungsmodusüber.Siebenötigenjetztein

Wiederherstellungskennwort, um erneut Zugriff auf die Daten zu erhalten.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Die Microsoft®TechNet-Website bietet Informationen dazu, wie BitLocker eingeschaltet wird. Anleitungen zum Aktivieren des TPM sind in

derIhremSystembeigelegtenDokumentationenthalten.EinTPMistfürBitLockerzwarnichterforderlich,dochkannnureinSystemmiteinemTPMdie

zusätzlicheSicherheitderSystemintegritätsüberprüfungbeimStartbieten.OhneTPMkannBitLockerdazuverwendetwerden,Datenträgerzu

verschlüsseln,nichtjedocheinensicherenStart.

ANMERKUNG: Die sicherste Methode BitLocker zu konfigurieren ist, dies auf einem System mit TPM-Version 1.2 und einer TCG (Trusted Computing

Group)-konformen BIOS-Implementierungdurchzuführen,entwederübereinenStartschlüsselodereinePIN.DieseMethodenbietenzusätzliche

Authentifizierung,indementwedereinzusätzlicherphysischerSchlüssel(einUSB-Flash-Laufwerk mit einem vom System lesbarenSchlüssel,derdarauf

geschrieben wurde) oder eine vom Benutzer festgelegte PIN erforderlich sind.

ANMERKUNG: FürBIOS-MassenaktualisierungenerstellenSieeinScript,dasBitLockerdeaktiviert,dieAktualisierunginstalliert,dasSystemneustartet

und BitLocker dann neu aktiviert. Bei One-to-One-DUP-Bereitstellungen(Dell™UpdatePackage)deaktivierenSieBitLockermanuellundführendann

nach dem Neustart des Systems eine Neuaktivierung durch.

ANMERKUNG: ZusätzlichzumBIOS-DUPwirddieAusführungvonFirmware-DUPfürdieControllerU320,SerialAttachedSCSI(SAS)5,SAS6,Expandable

RAIDController(PERC)5,PERC6sowiefürCostEffectiveRAIDController(CERC)6aufeinemSystemblockiert,daseinenChipderTPM-Version 1.2

enthält,bei dem die TPM-Sicherheit auf EIN mit Pre-Boot Measurement und die TPM-Aktivierung auf Aktiviert eingestellt ist, wenn Sie BitLocker (TPM

oder TPM mit USB oder TPM mit PIN) aktivieren.