Users Guide

ManualsBrandsDell ManualsSoftwareDell Update Packages Version 5.5

ZurückzumInhaltsverzeichnis

SupportfürTrustedPlatformModule(TPM)undBitLocker

Dell™UpdatePackagesfürMicrosoft®Windows®-BetriebssystemeBenutzerhandbuch

EinTPMisteinsichererMicrocontrollermitkryptografischenFähigkeiten,dergrundlegende,mitSicherheitinVerbindungstehende Funktionen im

ZusammenhangmitVerschlüsselungsschlüsselnzurVerfügungstellt.EswirdaufderHauptplatinedesSystemsinstalliertundkommuniziertübereinen

Hardwarebus mit dem Rest des Systems. Anhand von BIOS-Setup-BefehlenkönnenSiedenBesitzIhresSystemsundseinesTPMgeltendmachen.

DasTPMspeichertdiePlattformkonfigurationalsSatzvonWertenineinemSatzvonPlattformkonfigurationsregistern(PCRs).Daherkanneineinzelnessolches

Registerz.B.InformationenzumHerstellerderHauptplatinespeichern,währendeinanderesInformationenzumHerstellerdesProzessorsspeichertundein

drittes wiederum die Firmware-VersionderPlattformusw..Systeme,dieeinTPMenthalten,erstelleneinenSchlüssel,dermitPlattformmessungenin

Verbindungsteht.DerSchlüsselkannnurfreigegebenwerden,wenndiesePlattformmessungendieselbenWerteaufweisen,diesiezumZeitpunktder

Schlüsselerstellungaufwiesen.DieserVorgangwirdals"Versiegeln"desSchlüsselsvordemTPMbezeichnet.DasEntschlüsselndesSchlüsselsheißt

"Entsiegeln".WennzumerstenMaleinversiegelterSchlüsselerstelltwird,zeichnetdasTPMeinenSnapshotvonKonfigurationswertenundDatei-Hashes auf.

EinversiegelterSchlüsselwirdnur"entsiegelt"oderfreigegeben,wenndieaktuellenSystemwertemitdenendesSnapshotsübereinstimmen.BitLocker™

verwendetversiegelteSchlüsselzumErmittelnvonÜbergriffenaufdieIntegritätIhresSystems.Datensindsolangegesperrt,bisbestimmteHardware- oder

Softwarebedingungenerfülltwerden.

BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen Datensicherungsmaßnahmen:

l VerschlüsselungdesgesamtenWindows

-BetriebssystemdatenträgersaufderFestplatte:BitLockerverschlüsseltsämtlicheBenutzerdateienund

SystemdateienaufdemBetriebssystemdatenträger.

l ÜberprüfungderIntegritätvonFrühstartkomponentenundStartkonfigurationsdaten: Auf Systemen mit TPM-Version 1.2 setzt BitLocker die

erweitertenSicherheitsfunktionalitätendesTPMwirksameinundstelltsicher,dassderZugriffaufIhreDatennurdannmöglichist,wenndie

StartkomponentendesSystemsunverändertsindundsichdieverschlüsselteFestplatteaufdemOriginalsystembefindet.

BitLockeristfürSystemekonzipiert,dieeinenkompatiblenTPM-Microchip und ein kompatibles BIOS enthalten. Ein kompatibles TPM wird als TPM der Version

1.2definiert.EinkompatiblesBIOSunterstütztdasTPMunddasStaticRootofTrustMeasurement.BitLockerversiegeltdenMaster-Verschlüsselungsschlüssel

imTPMundlässtdieFreigabedesSchlüsselsnurdannzu,wennsichdieCodemessungenseiteinemfrüherensicherenStartnichtveränderthaben.Sie

werdengezwungen,einenWiederherstellungsschlüsselzumFortsetzendesStartvorgangsbereitzustellen,fallssichbeiMessungenÄnderungenergeben

haben sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierungführtdazu,dassBitLockerdieAktualisierunganhältundvordemAbschlussdes

StartvorgangseinenWiederherstellungsschlüsselanfordert.

BitLocker sichert die auf einem System gespeicherten Daten anhand von "vollständigerDatenträgerverschlüsselung" und "sicherem Startup". Es wird hierbei

sichergestellt,dassdieaufeinemSystemgespeichertenDatenauchdannverschlüsseltbleiben,wenndasSystembeiNichtlaufendesBetriebssystemsin

unbefugteHändegerät,unddassdasBetriebssystemsolangedarangehindertwird,zustartenunddasLaufwerkzuentschlüsseln,bisSiedenBitLocker-

Schlüsselbereitstellen.

TPM kommuniziert mit BitLocker, um zum Zeitpunkt des Systemstarts Schutz zu bieten. TPM muss aktiviert werden und einsatzbereit sein, bevor es von

BitLockerverwendetwerdenkann.SolltensichdieStartinformationengeänderthaben,gehtBitLockerindenWiederherstellungsmodusüber.Siebenötigen

jetzt ein Wiederherstellungskennwort, um erneut Zugriff auf die Daten zu erhalten.

ZurückzumInhaltsverzeichnis



ANMERKUNG: Die Microsoft

TechNet-Website bietet Informationen dazu, wie BitLocker eingeschaltet wird. Anleitungen zum Aktivieren des TPM sind in

derIhremSystembeigelegtenDokumentationenthalten.EinTPMistfürBitLockerzwarnichterforderlich,dochkannnureinSystemmiteinemTPMdie

zusätzlicheSicherheitderSystemintegritätsüberprüfungbeimStartbieten.OhneTPMkannBitLockerdazuverwendetwerden,Datenträgerzu

verschlüsseln,nichtjedocheinensicherenStart.

ANMERKUNG: DiesichersteMethode,BitLockerzukonfigurieren,lässtsichaufeinemSystemmitTPM-Version 1.2 und einer TCG-konformen (Trusted

Computing Group) BIOS-Implementierungdurchführen,entwederübereinenStartschlüsselodereinePIN.DieseMethodenbietenzusätzliche

Authentifizierung,indementwedereinzusätzlicherphysischerSchlüssel(einUSB-Flash-Laufwerk mit einem vom System lesbarenSchlüssel,derdarauf

geschrieben wurde) oder eine vom Benutzer festgelegte PIN erforderlich sind.

ANMERKUNG: FürBIOS-MassenaktualisierungenerstellenSieeinScript,dasBitLockerdeaktiviert,dieAktualisierunginstalliert,dasSystemneustartet

und BitLocker dann neu aktiviert. Bei One-to-One-DUP-Bereitstellungen(Dell™UpdatePackage)deaktivierenSieBitLockermanuellundführendann

nach dem Neustart des Systems eine Neuaktivierung durch.

ANMERKUNG: ZusätzlichzumBIOS-DUPwirddieAusführungvonFirmware-DUPfürdieControllerU320,SerialAttachedSCSI(SAS)5,SAS6,Expandable

RAIDController(PERC)5,PERC6sowiefürCostEffectiveRAIDController(CERC)6aufeinemSystemblockiert,daseinenChipderTPM-Version 1.2

enthält,bei dem die TPM-Sicherheit auf EIN mit Pre-Boot Measurement und die TPM-Aktivierung auf Aktiviert eingestellt ist, wenn Sie BitLocker (TPM

oder TPM mit USB oder TPM mit PIN) aktivieren.