Users Guide

ManualsBrandsDell ManualsSoftwareDell Server Update Utility Version 6.3

ZurückzumInhaltsverzeichnis

UnterstützungfürModulvertrauenswürdigerPlattform(TPM)und

BitLocker

Dell™OpenManage™ServerUpdateUtility6.3Benutzerhandbuch

EinTPMisteinsichererMicrocontrollermitkryptografischenFähigkeiten,dergrundlegende,mitSicherheitinVerbindungstehende Funktionen im

ZusammenhangmitVerschlüsselungsschlüsselnzurVerfügungstellt.EswirdaufderHauptplatinedesSystemsinstalliertundkommuniziertübereinen

Hardwarebus mit dem Rest des Systems. Unter Verwendung von BIOS-Setup-BefehlenkönnenSiedenBesitzIhresSystemsundseinesTPMgeltendmachen.

DasTPMspeichertdiePlattformkonfigurationalsSatzvonWertenineinemSatzvonPlattformkonfigurationsregistern(PCRs).Daherkanneineinzelnessolches

Registerz.B.InformationenzumHerstellerderHauptplatinespeichern,währendeinanderesInformationenzumHerstellerdesProzessorsspeichertundein

drittes wiederum die Firmware-VersionderPlattformusw.Systeme,dieeinTPMenthalten,erstelleneinenSchlüssel,dermitPlattformmessungenin

Verbindungsteht.DerSchlüsselkannnurfreigegebenwerden,wenndiesePlattformmessungendieselbenWerteaufweisen,diesiezumZeitpunktder

Schlüsselerstellunghaben.DieserVorgangwirdals"Versiegeln"desSchlüsselsvordemTPMbezeichnet.DasEntschlüsselndesSchlüsselsheißt"Entsiegeln".

AnhanddesversiegeltenSchlüsselsundeinerDatensicherungsfunktionwieWindows®BitLocker™-LaufwerkverschlüsselungkönnenSiesolangeDaten

verschließen,bisbestimmteHardware- oderSoftwarebedingungenerfülltsind.

BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen Datensicherungsverfahren:

l Gesamten Windows-BetriebssystemdatenträgeraufderFestplatteverschlüsseln:BitLockerverschlüsseltalleBenutzerdateienundSystemdateien

desBetriebssystemdatenträgers.

l IntegritätvonFrühstartkomponentenundStartkonfigurationsdatenüberprüfen: Auf Systemen mit TPM-Version 1.2 setzt BitLocker die verbesserten

SicherheitsfunktionalitätendesTPMwirksameinundstelltsicher,dassderZugriffaufIhreDatennurdannmöglichist,wenndieStartkomponentendes

SystemsunverändertsindundsichdieverschlüsselteFestplatteaufdemOriginalsystembefindet.

BitLockeristfürSystemekonzipiert,dieeinenkompatiblenTPM-Microchip und ein kompatibles BIOS enthalten. Ein kompatibles TPM wird als TPM der Version

1.2definiert.EinkompatiblesBIOSunterstütztTPMundStaticRootofTrustMeasurement.BitLockerversiegeltdenMaster-VerschlüsselungsschlüsselimTPM

underlaubtdieFreigabedesSchlüsselsnur,wennsichCodemessungenseiteinemvorhergehendensicherenStartvorgangnichtveränderthaben.Siewerden

gezwungen,einenWiederherstellungsschlüsselzumFortsetzendesStartvorgangsbereitzustellen,fallssichbeiMessungenÄnderungenergebenhaben

sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierungführtdazu,dassBitLockerdieAktualisierunganhältundvorAbschlussdesStartvorgangseinen

Wiederherstellungsschlüsselanfordert.

BitLocker sichert die auf einem System gespeicherten Daten anhand von "vollständigerDatenträgerverschlüsselung" und "sicherem Start". Hierbei wird

sichergestellt,dassdieaufeinemSystemgespeichertenDatenauchdannverschlüsseltbleiben,wenndasSystembeiNichtlaufendesBetriebssystemsin

unbefugteHändegerät,unddassdasBetriebssystemsolangedarangehindertwird,zustartenunddasLaufwerkzuentschlüsseln,bisSiedenBitLocker-

Schlüsselbereitstellen.

DasTPMkommuniziertmitBitLocker,umzumZeitpunktdesSystemstartsSchutzzubieten.DasTPMmussaktiviertwerden,bevoresvonBitLockerverwendet

werdenkann.SolltensichdieStartinformationengeänderthaben,gehtBitLockerindenWiederherstellungsmodusüber.Siebenötigenjetztein

Wiederherstellungskennwort, um erneut Zugriff auf die Daten zu erhalten.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Bei Systemen mit einem TCG 1.2-konformen TPM-Chip(ModulvertrauenswürdigePlattform)schlagenBIOS-Aktualisierungen unter

Verwendung von SUU und DUP fehl, wenn die BitLocker-LaufwerkverschlüsselungsfunktionvonMicrosoft®Windows aktiviert ist, oder wenn die Funktion

desModulsdervertrauenswürdigenPlattform(unterVerwendungvonBIOS)aufEIN mit Pre-Boot Measurement eingestellt ist.

ANMERKUNG: Informationen zum Einschalten von BitLocker finden Sie auf Microsofts TechNet-Website. Anleitungen zum Aktivieren des TPM sind in der

IhremSystembeigelegtenDokumentationenthalten.EinTPMistfürBitLockerzwarnichterforderlich,dochkannnureinSystemmiteinemTPMdie

zusätzlicheSicherheitderSystemintegritätsüberprüfungbeimStartbieten.OhneTPMkannBitLockerdazuverwendetwerden,Datenträgerzu

verschlüsseln,nichtjedocheinensicherenStart.

ANMERKUNG: DiesichersteMethode,BitLockerzukonfigurieren,lässtsichaufeinemSystemmitTPM-Version 1.2 und einer TCG-konformen (Trusted

Computing Group) BIOS-Implementierungdurchführen,entwederübereinenStartschlüsselodereinePIN.DieseMethodenbietenzusätzliche

Authentifizierung,daentwedereinzusätzlicherphysischerSchlüssel(einUSB-Flashlaufwerk mit einem vom System lesbarenSchlüssel,derdarauf

geschrieben wurde) oder eine vom Benutzer festgelegte PIN erforderlich ist.

ANMERKUNG: FürBIOS-Massenaktualisierungen erstellen Sie ein Skript, das BitLocker deaktiviert, die Aktualisierung installiert, das System neu startet

und BitLocker dann neu aktiviert. Bei One-to-One-DUP-Bereitstellungen(DellUpdatePackage)deaktivierenSieBitLockermanuellundführendann nach

dem Neustart des Systems eine Neuaktivierung durch.

ANMERKUNG: ZusätzlichzumBIOS-DUPwirddieAusführungvonFirmware-DUPfürdieControllerU320,SerialAttachedSCSI(SAS)5,SAS6,

ErweiterbarerRAIDController(PERC)5,PERC6sowiefürCostEffectiveRAIDController(CERC)6aufeinemSystemblockiert,daseinenChipderTPM-

Version1.2enthältundbei dem die TPM-Sicherheit auf EIN mit Pre-Boot Measurement und die TPM-Aktivierung auf Aktiviert eingestellt ist, wenn Sie

BitLocker (TPM oder TPM mit USB oder TPM mit PIN) aktivieren.