Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 6.4

ZurückzumInhaltsverzeichnis

UnterstützungfürModulvertrauenswürdigerPlattform(TPM)und

BitLocker

DellAktualisierungspaketeVersion6.4fürBetriebssystemeBenutzerhandbuch

EinTPMisteinsichererMicrocontrollermitkryptografischenFähigkeiten,dergrundlegende,mitSicherheitinVerbindungstehende Funktionen im

ZusammenhangmitVerschlüsselungsschlüsselnzurVerfügungstellt.EswirdaufderHauptplatinedesSystemsinstalliertundkommuniziertübereinen

Hardwarebus mit dem Rest des Systems. Unter Verwendung von BIOS-Setup-BefehlenkönnenSiedenBesitzIhresSystemsundseinesTPMgeltendmachen.

DasTPMspeichertdiePlattformkonfigurationalsSatzvonWertenineinemSatzvonPlattformkonfigurationsregistern(PCRs).Daherkanneineinzelnessolches

Registerz.B.InformationenzumHerstellerderHauptplatinespeichern,währendeinanderesInformationenzumHerstellerdesProzessorsspeichertundein

drittes wiederum die Firmware-VersionderPlattformusw.Systeme,dieeinTPMenthalten,erstelleneinenSchlüssel,dermitPlattformmessungenin

Verbindungsteht.DerSchlüsselkannnurfreigegebenwerden,wenndiesePlattformmessungendieselbenWerteaufweisen,diesiezumZeitpunktder

Schlüsselerstellunghaben.DieserVorgangwirdalsVersiegelndesSchlüsselsvordemTPMbezeichnet.DieEntschlüsselungwirdalsEntsiegelung bezeichnet.

WennzumerstenMaleinversiegelterSchlüsselerstelltwird,zeichnetdasTPMeinenSnapshotvonKonfigurationswertenundDatei-Hashes auf. Ein

versiegelterSchlüsselwirdnurentsiegeltoderfreigegeben,wenndieaktuellenSystemwertemitdenendesSnapshotsübereinstimmen.BitLockerverwendet

versiegelteSchlüsselzumErmittelnvonAngriffenaufdieIntegritätdesSystems.Datensindsolangegesperrt,bisbestimmteHardware- oder

Softwarebedingungenerfülltsind.

BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen Datensicherungsverfahren:

l Gesamten Windows-BetriebssystemdatenträgeraufderFestplatteverschlüsseln:BitLockerverschlüsseltalleBenutzerdateienundSystemdateien

desBetriebssystemdatenträgers.

l IntegritätvonFrühstartkomponentenundStartkonfigurationsdatenüberprüfen: Auf Systemen mit TPM-Version 1.2 setzt BitLocker die verbesserten

SicherheitsfunktionalitätendesTPMwirksameinundstelltsicher,dassderZugriffaufIhreDatennurdannmöglichist,wenndieStartkomponentendes

SystemsunverändertsindundsichdieverschlüsselteFestplatteaufdemOriginalsystembefindet.

BitLockeristfürSystemekonzipiert,dieeinenkompatiblenTPM-Microchip und ein kompatibles BIOS enthalten. Ein kompatibles TPM wird als TPM der Version

1.2definiert.EinkompatiblesBIOSunterstütztTPMundStaticRootofTrustMeasurement.BitLockerversiegeltdenMaster-VerschlüsselungsschlüsselimTPM

undlässtdieFreigabedesSchlüsselsnurdannzu,wennsichdieCodemessungenseiteinemfrüherensicherenStartnichtveränderthaben.Siewerden

gezwungen,einenWiederherstellungsschlüsselzumFortsetzendesStartvorgangsbereitzustellen,fallssichbeiMessungenÄnderungenergebenhaben

sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierungführtdazu,dassBitLockerdieAktualisierunganhältundvorAbschlussdesStartvorgangseinen

Wiederherstellungsschlüsselanfordert.

BitLocker sichert die auf einem System gespeicherten Daten anhand von vollständigerDatenträgerverschlüsselung und sicherem Start. Hierbei wird

sichergestellt,dassdieaufeinemSystemgespeichertenDatenauchdannverschlüsseltbleiben,wenndasSystembeiNichtlaufendesBetriebssystemsin

unbefugteHändegerät,unddassdasBetriebssystemsolangedarangehindertwird,zustartenunddasLaufwerkzuentschlüsseln,bisSiedenBitLocker-

Schlüsselbereitstellen.

DasTPMkommuniziertmitBitLocker,umzumZeitpunktdesSystemstartsSchutzzubieten.DasTPMmuss aktiviert werden, bevor es von BitLocker verwendet

werdenkann.SolltensichdieStartinformationengeänderthaben,gehtBitLockerindenWiederherstellungsmodusüber.Siebenötigenjetztein

Wiederherstellungskennwort, um erneut Zugriff auf die Daten zu erhalten.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Informationen zum Einschalten von BitLocker finden Sie auf Microsofts TechNet-Website. Anleitungen zum Aktivieren des TPM sind in der

IhremSystembeigelegtenDokumentationenthalten.EinTPMistfürBitLockerzwarnichterforderlich,dochkannnureinSystemmiteinemTPMdie

zusätzlicheSicherheitderSystemintegritätsüberprüfungbeimStartbieten.OhneTPMkannBitLockerzumVerschlüsselnvonDatenträgern,jedochnicht

füreinensicherenStartverwendetwerden.

ANMERKUNG: Die sicherste Methode zur Konfigurierung von BitLocker ist die Konfigurierung auf einem System mit TPM-Version 1.2 und einer TCG

(Trusted Computing Group)-konformen BIOS-Implementierung,entwederübereinenStartschlüsselodereinePIN.DieseMethodenbietenzusätzliche

Authentifizierung,daentwedereinzusätzlicherphysischerSchlüssel(einUSB-Flashlaufwerk mit einem vom System lesbarenSchlüssel,derdarauf

geschrieben wurde) oder eine vom Benutzer festgelegte PIN erforderlich ist.

ANMERKUNG: FürBIOS-MassenaktualisierungenerstellenSieeinScript,dasBitLockerdeaktiviert,dieAktualisierunginstalliert,dasSystemneustartet

und BitLocker dann neu aktiviert. Bei One-to-One-DUP-Bereitstellungen(DellUpdatePackage)deaktivierenSieBitLockermanuellundführendann nach

dem Neustart des Systems eine Neuaktivierung durch.

ANMERKUNG: ZusätzlichzumBIOS-DUPwirddieAusführungvonFirmware-DUPfürdieControllerU320,SerialAttachedSCSI(SAS)5,SAS6,Expandable

RAIDController(PERC)5,PERC6sowiefürCostEffectiveRAIDController(CERC)6aufeinemSystemblockiert,daseinenChipderTPM-Version 1.2

enthält,bei dem die TPM-Sicherheit auf EIN mit Pre-Boot Measurement und die TPM-Aktivierung auf Aktiviert eingestellt ist, wenn Sie BitLocker (TPM

oder TPM mit USB oder TPM mit PIN) aktivieren.