BitLocker und Distributed Key Manager (DKM) für die Verschlüsselung

Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke mit ruhenden Kundendaten auf Volumeebene zu verschlüsseln. BitLocker-Verschlüsselung ist eine Datenverschlüsselungsfunktion, die in Windows integriert ist. BitLocker ist eine der Technologien, die zum Schutz vor Bedrohungen verwendet werden, falls andere Prozesse oder Steuerelemente hinfällig werden (z. B. Zugriffssteuerung oder Access Control oder Recycling von Hardware), sodass andere Personen möglicherweise physischen Zugriff auf Laufwerke mit Kundendaten erlangen könnten. In diesem Fall eliminiert BitLocker das potenzielle Risiko für Datendiebstahl oder Offenlegung aufgrund von verloren gegangener, gestohlener oder nicht ordnungsgemäß außer Betrieb gesetzter Computer und Datenträger.

BitLocker wird mit advanced Encryption Standard (AES) 256-Bit-Verschlüsselung auf Datenträgern bereitgestellt, die Kundendaten in Exchange Online, SharePoint Online und Skype for Business enthalten. Datenträgersektoren werden mit einem vollständigen Volumeverschlüsselungsschlüssel (Full Volume Encryption Key, FVEK) verschlüsselt, der mit dem Volume Master Key (VMK) verschlüsselt wird, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. Der VMK schützt das FVEK direkt, sodass der Schutz des VMK von entscheidender Bedeutung wird. Die folgende Abbildung zeigt ein Beispiel für die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall mithilfe eines Exchange Online Servers).

In der folgenden Tabelle wird die BitLocker-Schlüsselschutzkette für einen bestimmten Server (in diesem Fall ein Exchange Online Server) beschrieben.

SCHLÜSSELSCHUTZVORRICHTUNG GRANULARITÄT WIE GENERIERT? WO WIRD ES GESPEICHERT? SCHUTZ
Externer AES-256-Bit-Schlüssel Pro Server BitLocker-APIs TPM oder Geheimnissicher Lockbox/Access Control
Postfachserverregistrierung TPM verschlüsselt
48-stelliges numerisches Kennwort Pro Datenträger BitLocker-APIs Active Directory Lockbox/Access Control
X.509-Zertifikat als Datenwiederherstellungs-Agent (DRA), auch als Schutzvorrichtung für öffentliche Schlüssel bezeichnet Umgebung (z. B. Exchange Online mehrinstanzenfähig) Microsoft-Zertifizierungsstelle Buildsystem Kein Benutzer verfügt über das vollständige Kennwort für den privaten Schlüssel. Das Kennwort steht unter physischem Schutz.

Die BitLocker-Schlüsselverwaltung umfasst die Verwaltung von Wiederherstellungsschlüsseln, die zum Entsperren/Wiederherstellen verschlüsselter Datenträger in einem Microsoft-Rechenzentrum verwendet werden. Microsoft 365 speichert die Hauptschlüssel in einer gesicherten Freigabe, auf die nur Personen zugreifen können, die überprüft und genehmigt wurden. Die Anmeldeinformationen für die Schlüssel werden in einem geschützten Repository für Zugriffssteuerungsdaten (was wir als "Geheimnisspeicher" bezeichnen) gespeichert, was ein hohes Maß an Rechteerweiterungen und Verwaltungsgenehmigungen erfordert, um mithilfe eines Just-In-Time-Zugriffserweiterungstools darauf zuzugreifen.

BitLocker unterstützt Schlüssel, die in zwei Verwaltungskategorien fallen:

  • Von BitLocker verwaltete Schlüssel, die kurzlebig sind und an die Lebensdauer eines Betriebssystems gebunden instance auf einem Server oder einem bestimmten Datenträger installiert sind. Diese Schlüssel werden während der Serverneuinstallation oder der Datenträgerformatierung gelöscht und zurückgesetzt.

  • BitLocker-Wiederherstellungsschlüssel, die außerhalb von BitLocker verwaltet werden, aber für die Datenträgerentschlüsselung verwendet werden. BitLocker verwendet Wiederherstellungsschlüssel für Szenarien, in denen ein Betriebssystem neu installiert wird, und bereits verschlüsselte Datenträger mit Daten vorhanden sind. Wiederherstellungsschlüssel werden auch von Überwachungstests für die verwaltete Verfügbarkeit in Exchange Online verwendet, in denen ein Reagierender ggf. einen Datenträger entsperren muss.

BitLocker-geschützte Volumes werden mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der wiederum mit einem Volumeschlüssel master verschlüsselt wird. BitLocker verwendet FIPS-kompatible Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals über das Netzwerk gespeichert oder gesendet werden. Die Microsoft 365-Implementierung des Schutzes ruhender Kundendaten weicht nicht von der BitLocker-Standardimplementierung ab.