Users Guide

ManualsBrandsDell ManualsSoftwareDell Server Update Utility Version 1.9

ZurückzumInhaltsverzeichnis

SupportfürTrustedPlatformModule(TPM)undBitLocker

Dell™OpenManage™ServerUpdateUtility1.9Benutzerhandbuch

EinTPMisteinsichererMicrocontrollermitkryptografischenFähigkeiten,dergrundlegende,mitSicherheitinVerbindungstehende Funktionen im

ZusammenhangmitVerschlüsselungsschlüsselnzurVerfügungstellt.EswirdaufderHauptplatinedesSystemsinstalliertundkommuniziertübereinen

Hardwarebus mit dem Rest des Systems. Anhand von BIOS-Setup-BefehlenkönnenSiedenBesitzIhresSystemsundseinesTPMgeltendmachen.

DasTPMspeichertdiePlattformkonfigurationalsSatzvonWertenineinemSatzvonPlattformkonfigurationsregistern(PCRs).Daherkanneineinzelnessolches

Registerz.B.InformationenzumHerstellerderHauptplatinespeichern,währendeinanderesInformationenzumHerstellerdesProzessorsspeichertundein

drittes wiederum die Firmware-VersionderPlattformusw..Systeme,dieeinTPMenthalten,erstelleneinenSchlüssel,dermitPlattformmessungenin

Verbindungsteht.DerSchlüsselkannnurfreigegebenwerden,wenndiesePlattformmessungendieselbenWerteaufweisen,diesiezumZeitpunktder

Schlüsselerstellungaufwiesen.DieserVorgangwirdals"Versiegeln"desSchlüsselsvordemTPMbezeichnet.DasEntschlüsselndesSchlüsselsheißt

"Entsiegeln".AnhanddesversiegeltenSchlüsselsundeinerDatensicherungsfunktionwieWindows

BitLocker™-LaufwerkverschlüsselungkönnenSiesolange

Datenverschließen,bisbestimmteHardware- oderSoftwarebedingungenerfülltsind.

BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen Datensicherungsmaßnahmen:

l Gesamten Windows-BetriebssystemdatenträgeraufderFestplatteverschlüsseln:BitLockerverschlüsseltalleBenutzerdateienundSystemdateien

desBetriebssystemdatenträgers.

l ÜberprüfungderIntegritätvonFrühstartkomponentenundStartkonfigurationsdaten: Auf Systemen mit TPM-Version 1.2 setzt BitLocker die

erweitertenSicherheitsfunktionalitätendesTPMwirksameinundstelltsicher,dassderZugriffaufIhreDatennurdannmöglichist,wenndie

StartkomponentendesSystemsunverändertsindundsichdieverschlüsselteFestplatteaufdemOriginalsystembefindet.

BitLockeristfürSystemekonzipiert,dieeinenkompatiblenTPM-Microchip und ein kompatibles BIOS enthalten. Ein kompatibles TPM wird als TPM der Version

1.2definiert.EinkompatiblesBIOSunterstütztdasTPMunddasStaticRootofTrustMeasurement.BitLockerversiegeltdenMaster-Verschlüsselungsschlüssel

imTPMundlässtdieFreigabedesSchlüsselsnurzu,wennsichCodemessungenseiteinemvorhergehendensicherenStartvorgangnichtveränderthaben.Sie

werdengezwungen,einenWiederherstellungsschlüsselzumFortsetzendesStartvorgangsbereitzustellen,fallssichbeiMessungenÄnderungenergeben

haben sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierungführtdazu,dassBitLockerdieAktualisierunganhältundvordemAbschlussdes

StartvorgangseinenWiederherstellungsschlüsselanfordert.

BitLocker sichert die auf einem System gespeicherten Daten anhand von "vollständigerDatenträgerverschlüsselung" und "sicherem Startup". Es wird hierbei

sichergestellt,dassdieaufeinemSystemgespeichertenDatenauchdannverschlüsseltbleiben,wenndasSystembeiNichtlaufendesBetriebssystemsin

unbefugteHändegerät,unddassdasBetriebssystemsolangedarangehindertwird,zustartenunddasLaufwerkzuentschlüsseln,bisSiedenBitLocker-

Schlüsselbereitstellen.

TPMkommuniziertmitBitLocker,umzumZeitpunktdesSystemstartsSchutzzubieten.TPMmussaktiviertwerden,bevoresvonBitLockerverwendetwerden

kann.SolltensichdieStartinformationengeänderthaben,gehtBitLockerindenWiederherstellungsmodusüber.Siebenötigenjetztein

Wiederherstellungskennwort, um erneut Zugriff auf die Daten zu erhalten.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Bei Systemen mit einem TCG 1.2-konformen TPM-Chip(vertrauenswürdigesPlattformmodul)schlagenBIOS-Aktualisierungen unter

Verwendung von SUUs und DUPs fehl, wenn die BitLocker-LaufwerkverschlüsselungsfunktionvonMicrosoft

Windows aktiviert ist, oder wenn die

FunktiondesvertrauenswürdigenPlattformmoduls(unterVerwendungvonBIOS)aufEIN mit Pre-Boot Measurement eingestellt ist.

ANMERKUNG: Informationen zum Einschalten von BitLocker finden Sie auf Microsofts TechNet-Website. Anleitungen zum Aktivieren des TPM sind in der

IhremSystembeigelegtenDokumentationenthalten.EinTPMistfürBitLockerzwarnichterforderlich,dochkannnureinSystemmiteinemTPMdie

zusätzlicheSicherheitderSystemintegritätsüberprüfungbeimStartbieten.OhneTPMkannBitLockerdazuverwendetwerden,Datenträgerzu

verschlüsseln,nichtjedocheinensicherenStart.

ANMERKUNG: DiesichersteMethode,BitLockerzukonfigurieren,lässtsichaufeinemSystemmitTPM-Version 1.2 und einer TCG-konformen (Trusted

Computing Group) BIOS-Implementierungdurchführen,entwederübereinenStartschlüsselodereinePIN.DieseMethodenbietenzusätzliche

Authentifizierung,indementwedereinzusätzlicherphysischerSchlüssel(einUSB-Flash-Laufwerk mit einem vom System lesbarenSchlüssel,derdarauf

geschrieben wurde) oder eine vom Benutzer festgelegte PIN erforderlich sind.

ANMERKUNG: FürBIOS-Massenaktualisierungen erstellen Sie ein Script, das BitLocker deaktiviert, die Aktualisierung installiert, das System neu startet

und BitLocker dann neu aktiviert. Bei One-to-One-DUP-Bereitstellungen(Dell™UpdatePackage)deaktivierenSieBitLockermanuellundführendann

nach dem Neustart des Systems eine Neuaktivierung durch.

ANMERKUNG: ZusätzlichzumBIOS-DUPwirddieAusführungvonFirmware-DUPfürdieControllerU320,SerialAttachedSCSI(SAS)5,SAS6,Expandable

RAIDController(PERC)5,PERC6sowiefürCostEffectiveRAIDController(CERC)6aufeinemSystemblockiert,daseinenChipderTPM-Version 1.2

enthält,bei dem die TPM-Sicherheit auf EIN mit Pre-Boot Measurement und die TPM-Aktivierung auf Aktiviert eingestellt ist, wenn Sie BitLocker (TPM

oder TPM mit USB oder TPM mit PIN) aktivieren.