Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Windows Server 2008 in der Zweigstelle 419
Was ist nun die BitLocker-Laufwerkverschlüsselung und wie kann sie Ihnen helfen, die
Daten auf Ihren Servern zu schützen? BitLocker erfüllt zwei Funktionen:
BitLocker verschlüsselt alle Daten, die auf dem Windows-Betriebssystemvolume gespeichert
sind (und auf konfigurierten Datenvolumes). Das umfasst das Betriebssystem
Windows, Ruhezustands- und Auslagerungsdateien, Anwendungen und Daten, die von
den Anwendungen benutzt werden.
BitLocker ist standardmäßig so konfiguriert, dass es einen TPM-Chip (Trusted Platform
Module) nutzt, um die Integrität der Startkomponenten sicherzustellen (Komponenten,
die in den allerersten Phasen des Startprozesses zum Einsatz kommen). Es sperrt alle mit
BitLocker geschützten Volumes, sodass sie sogar dann geschützt bleiben, wenn der
Computer manipuliert wurde, während das Betriebssystem nicht lief.
BitLocker-Konfiguration in Windows Server 2008
In Windows Server 2008 ist BitLocker eine optionale Komponente, die installiert werden
muss, bevor sie benutzt werden kann. (Im Server-Manager werden optionale Komponenten
als Features bezeichnet.) Sie können BitLocker installieren, indem Sie das Feature Bit-
Locker-Laufwerkverschlüsselung im Server-Manager hinzufügen oder an einer Eingabeaufforderung
folgenden Befehl eingeben: ServerManagerCmd -install BitLocker-restart.
Wenn Sie BitLocker auf einem Produktivserver installieren wollen, müssen einige Punkte
beachtet werden. BitLocker umfasst in Windows Server 2008 zwei optionale Komponenten
(Optional Component, OC). Die BitLocker-OC dient dazu, Volumes auf diesem konkreten
Server zu schützen. Außerdem gibt es eine Remoteverwaltungs-OC namens RSAT-BitLocker.
Sie installiert die Dateien und Befehlszeilenskripts, die nötig sind, um BitLocker auf Remoteservern
zu verwalten. (RSAT steht für Remote Server Administration Tool.) Falls Sie
das BitLocker-Feature mit dem Server-Manager installieren oder entfernen, werden beide
OCs installiert beziehungsweise entfernt. Falls Sie nur das Remotetool installieren wollen,
müssen Sie entweder den Befehl pkgmgr oder den Befehl ocsetup verwenden. Weil der Server-Manager
in einer Server Core-Installation nicht zur Verfügung steht, müssen Sie pkgmgr
oder ocsetup verwenden, um BitLocker auf Server Core zu installieren.
Weil BitLocker einen Filtertreiber für die Ver- und Entschlüsselung benutzt, muss der Computer
nach dem Installieren oder Entfernen von BitLocker neu gestartet werden. Wird lediglich
die Komponente RSAT-BitLocker installiert, ist kein Neustart erforderlich. Sobald die
Komponente installiert ist, können Sie BitLocker mit dem Befehlszeilentool manage-bde.wsf
oder der Systemsteuerung auf bestimmten Volumes aktivieren.
BitLocker unterscheidet sich von vorhandenen Technologien wie EFS: Sobald Sie BitLocker
aktiviert haben, arbeitet es automatisch und transparent, und es umfasst das gesamte Volume.
(Beachten Sie, dass BitLocker vollständig kompatibel zu EFS ist und Sie die beiden kombinieren
können, um unterschiedliche Risiken einzudämmen. Die Active Directory-Rechteverwaltungsdienste
(Active Directory Rights Management Services, AD RMS) bilden das dritte
Element in der Datenverschlüsselungsstrategie von Microsoft. Eine Beschreibung von EFS
und RMS würde den Rahmen dieses Kapitels sprengen.)
BitLocker erfordert, dass ein Computer mit mehreren Volumes (Partitionen) konfiguriert
wird. Ein Computer startet von der aktiven Partition, auch als Systempartition oder Systemvolume
bezeichnet. Das Betriebssystem wird auf einem zweiten Volume installiert, das in
der Windows Server 2008-Dokumentation normalerweise das Windows-Betriebssystemvolume
genannt wird, in älterer Dokumentation auch Startpartition. (Wenn Sie genau aufge-