Startseite » Wiederherstellungsschlüsselverwaltung

Wiederherstellungsschlüssel

Inhaltsverzeichnis

Einführung

Ein Wiederherstellungsschlüssel ist eine 48-Bit-Zeichenfolge, die verwendet wird, um ein verschlüsseltes Laufwerk zu entsperren, wenn das Passwort vergessen wurde. Selbst wenn die Hardware schwer beschädigt ist, kann der Inhalt des Laufwerks weiterhin wiederhergestellt werden, indem es in einem anderen Computer installiert und der richtige Wiederherstellungsschlüssel angegeben wird. Er ist auch nützlich, wenn der Benutzer sein Passwort vergisst.

Sobald eine BitLocker-Verschlüsselungsrichtlinie bereitgestellt wird, beginnt der Konfigurationsprozess während des PC-Starts, wobei automatisch ein Wiederherstellungsschlüssel erzeugt wird. Administratoren können BitLocker-Richtlinien erstellen oder ändern, um sicherzustellen, dass der Wiederherstellungsschlüssel im Domänencontroller aktualisiert wird.

Hier sehen Sie, wie die Abfrage des Wiederherstellungsschlüssels beim Start aussieht: 
Wiederherstellungsschlüssel während des Startvorgangs

HINWEIS: Sowohl Windows AD als auch Azure AD unterstützen die Sicherung von Wiederherstellungsschlüsseln.

Um das Abrufen des Wiederherstellungsschlüssels zu vereinfachen, wird empfohlen, den Schlüssel im Domänencontroller zu sichern. Gehen Sie dazu wie folgt vor:

  • Stellen Sie sicher, dass die Gruppenrichtlinie (GPO) für alle verwalteten Computer die Aktualisierung des Wiederherstellungsschlüssels im Domänencontroller zulässt. Weitere Informationen zu den BitLocker-Gruppenrichtlinieneinstellungen finden Sie auf dieser Seite.
  • Navigieren Sie in der Produktkonsole zu BitLocker > Richtlinie erstellen > Richtlinie erstellen. Aktivieren Sie die Option "Wiederherstellungsschlüssel im Domänencontroller aktualisieren". Wenn Sie mehr über diese Option und die Konfiguration von BitLocker-Richtlinien erfahren möchten, lesen Sie diese Seite.

HINWEIS: Durch das Aktivieren dieser Option wird sichergestellt, dass jeder neu erzeugte Schlüssel automatisch in Active Directory aktualisiert wird.

Möglichkeiten zum Abrufen des Wiederherstellungsschlüssels

  • Über die Konsole von Endpoint Central
  • Über Active Directory-Benutzer und -Computer

Wiederherstellungsschlüssel mit Endpoint Central abrufen

Der Wiederherstellungsschlüssel wird während der BitLocker-Konfiguration automatisch erzeugt und kann für Domänenbenutzer in AD gesichert werden. Wenn der Endbenutzer seine PIN oder Passphrase vergisst, kann der Administrator den Wiederherstellungsschlüssel mit den folgenden Schritten abrufen:

  • Wiederherstellungsschlüssel-ID finden: Unter „Verwaltete Systeme“ in der Konsole befindet sich die Wiederherstellungsschlüssel-ID, mit der sich der Wiederherstellungsschlüssel für einen bestimmten Computer finden lässt.

    Wiederherstellungsschlüssel abrufen

  • Wiederherstellungsschlüssel abrufen: Geben Sie die Wiederherstellungsschlüssel-ID oder den Computernamen im Abschnitt „Wiederherstellungsschlüssel abrufen“ ein, um auf den Wiederherstellungsschlüssel zuzugreifen. Sobald auf den Schlüssel zugegriffen wurde, wird er beim nächsten Start des Geräts rotiert.

    Wiederherstellungsschlüssel anzeigen

Hinweis: Ein neuer Wiederherstellungsschlüssel wird beim nächsten Systemneustart automatisch erzeugt, wenn nach der Bereitstellung einer BitLocker-Richtlinie über Endpoint Central auf den vorhandenen Schlüssel zugegriffen wird.

Wiederherstellungsschlüssel exportieren

Mit der Funktion „Wiederherstellungsschlüssel exportieren“ können Sie eine sichere Sicherung aller Wiederherstellungsschlüssel von Geräten in einer passwortgeschützten XLSX-Datei erstellen. Dadurch wird das Abrufen von Wiederherstellungsschlüsseln vereinfacht und Zeit sowie Aufwand gespart.

Wiederherstellungsschlüssel exportieren

 

Sie können auch ein Dateipasswort festlegen, um die Datei zu schützen.

Aufforderung zur Dateipassworteingabe|Wiederherstellungsschlüssel exportieren

 

Um die Sicherheit sensibler Wiederherstellungsinformationen zu gewährleisten, ist zur Dateiherunterladung eine Benutzerauthentifizierung erforderlich.

Authentifizierung beim Exportieren des Wiederherstellungsschlüssels

 

 

Wiederherstellungsschlüssel mit Active Directory-Benutzer und -Computer abrufen

Administratoren können Active Directory-Objekte mit der Konsole „Active Directory-Benutzer und -Computer“ (ADUC) verwalten, die auch als Remoteserver-Verwaltungstool (RSAT) zum Abrufen des Wiederherstellungsschlüssels von einem Windows-Computer verwendet werden kann. Gehen Sie dazu wie folgt vor:

  • Öffnen Sie die Konsole „Active Directory-Benutzer und -Computer“.
  • Öffnen Sie die Registerkarte „Eigenschaften“ des verwalteten Computers.

  • Klicken Sie auf „BitLocker-Wiederherstellung“, um den Wiederherstellungsschlüssel und die Passwort-ID anzuzeigen.

    Wiederherstellungsschlüssel mit Active Directory-Benutzer und -Computer abrufen

Sie haben den Wiederherstellungsschlüssel eines Windows-Computers mit ADUC erfolgreich gefunden.

Aufbewahrungsrichtlinie für Wiederherstellungsschlüssel

Der Wiederherstellungsschlüssel ist für die Datensicherheit von entscheidender Bedeutung. Selbst nachdem der Schlüssel auf dem Endpoint Central-Server gespeichert wurde, kann er im Active Directory des Kunden (sowohl Azure AD als auch lokales AD) gesichert werden. Wenn ein Computer aus SoM entfernt wird, bleibt der Wiederherstellungsschlüssel bis zu einem Jahr auf dem Server erhalten und kann mithilfe der Wiederherstellungsschlüssel-ID abgerufen werden. Um die Aufbewahrung von Wiederherstellungsschlüsseln zu aktivieren, schalten Sie die Option auf der Seite „Wiederherstellungsschlüssel abrufen“ ein. Die Verschlüsselung beginnt erst, wenn der Wiederherstellungsschlüssel erfolgreich auf dem Server gespeichert wurde.

Aufbewahrungsrichtlinie für Wiederherstellungsschlüssel

 

Wenn Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt Häufig gestellte Fragen für weitere Informationen.

 d

Vertraut von