BitLocker-Betriebshandbuch

• Gilt für:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Es gibt verschiedene Tools und Optionen zum Verwalten und Betreiben von BitLocker:

• Das BitLocker PowerShell-Modul
• Die BitLocker-Laufwerkverschlüsselungstools
• Systemsteuerung

Die BitLocker-Laufwerkverschlüsselungstools und das BitLocker PowerShell-Modul können verwendet werden, um alle Aufgaben auszuführen, die über die BitLocker-Systemsteuerung ausgeführt werden können. Sie eignen sich für automatisierte Bereitstellungen und andere Skriptszenarien.
Mit dem BitLocker-Systemsteuerung-Applet können Benutzer grundlegende Aufgaben ausführen, z. B. das Aktivieren von BitLocker auf einem Laufwerk und das Angeben von Entsperrmethoden und Authentifizierungsmethoden. Das BitLocker Systemsteuerung Applet eignet sich für grundlegende BitLocker-Aufgaben.

In diesem Artikel werden die BitLocker-Verwaltungstools und deren Verwendung beschrieben und praktische Beispiele bereitgestellt.

BitLocker PowerShell-Modul

Mit dem BitLocker PowerShell-Modul können Administratoren BitLocker-Optionen problemlos in vorhandene Skripts integrieren. Eine Liste der im Modul enthaltenen Cmdlets, deren Beschreibung und Syntax finden Sie im BitLocker PowerShell-Referenzartikel.

Verschlüsselungstools für BitLocker-Laufwerke

Die BitLocker-Laufwerkverschlüsselungstools umfassen die beiden Befehlszeilentools:

• Das Konfigurationstool (manage-bde.exe) kann zum Erstellen von Skripts für BitLocker-Vorgänge verwendet werden und bietet Optionen, die im BitLocker-Systemsteuerung-Applet nicht vorhanden sind. Eine vollständige Liste der manage-bde.exe Optionen finden Sie in der Referenz zu Manage-bde.
• Das Reparaturtool (repair-bde.exe) eignet sich für Notfallwiederherstellungsszenarien, in denen ein durch BitLocker geschütztes Laufwerk nicht normal entsperrt werden kann oder die Wiederherstellungskonsole verwendet wird.

BitLocker Systemsteuerung Applet

Das Verschlüsseln von Volumes mit dem BitLocker-Systemsteuerung (wählen Sie Start aus, geben BitLockerSie ein, und wählen Sie BitLocker verwalten aus) gibt an, wie viele Benutzer BitLocker verwenden. Der Name des BitLocker Systemsteuerung Applet lautet BitLocker-Laufwerkverschlüsselung. Das Applet unterstützt die Verschlüsselung von Betriebssystemen, festen Daten und Wechseldatenvolumes. Die BitLocker-Systemsteuerung die verfügbaren Laufwerke in der entsprechenden Kategorie basierend darauf organisiert, wie sich das Gerät an Windows meldet. Nur formatierte Volumes mit zugewiesenen Laufwerkbuchstaben werden im BitLocker-Systemsteuerung Applet ordnungsgemäß angezeigt.

Verwenden von BitLocker in Windows Explorer

Windows Explorer ermöglicht Benutzern das Starten des BitLocker-Laufwerkverschlüsselungs-Assistenten, indem Sie mit der rechten Maustaste auf ein Volume klicken und BitLocker aktivieren auswählen. Diese Option ist auf Clientcomputern standardmäßig verfügbar. Auf Servern müssen zuerst das BitLocker-Feature und das Desktop-Experience-Feature installiert werden, damit diese Option verfügbar ist. Nachdem Sie BitLocker aktivieren ausgewählt haben, funktioniert der Assistent genauso wie beim Starten mit der BitLocker-Systemsteuerung.

Überprüfen Sie die BitLocker-status

Um die BitLocker-status eines bestimmten Volumes zu überprüfen, können Administratoren die status des Laufwerks im BitLocker-Systemsteuerung-Applet, windows Explorer, manage-bde.exe Befehlszeilentool oder Windows PowerShell Cmdlets anzeigen. Jede Option bietet verschiedene Ebenen von Details und Benutzerfreundlichkeit.

Befolgen Sie die folgenden Anweisungen, um die status von BitLocker zu überprüfen, und wählen Sie das Tool Ihrer Wahl aus.

PowerShell

Um den aktuellen Zustand eines Volumes zu ermitteln, können Sie das Get-BitLockerVolume Cmdlet verwenden, das Informationen zum Volumetyp, zu Schutzvorrichtungen, zum Schutz status und zu anderen Details bereitstellt. Zum Beispiel:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Eingabeaufforderung

Mit manage-bde.exe können Sie das volume status auf dem Zielsystem bestimmen, z. B.:

manage-bde.exe -status

Dieser Befehl gibt die Volumes auf dem Ziel, aktuelle Verschlüsselungs-status, Verschlüsselungsmethode und Volumetyp (Betriebssystem oder Daten) für jedes Volume zurück.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Systemsteuerung

Das Überprüfen von BitLocker-status mit dem Systemsteuerung ist eine gängige Methode, die von den meisten Benutzern verwendet wird. Nach dem Öffnen wird der Status für jedes Volume neben der Volume-Beschreibung und dem Laufwerksbuchstaben angezeigt. Verfügbare status Rückgabewerte mit Applet:

Status	Beschreibung
Ein	BitLocker ist für dieses Volume aktiviert.
Deaktiviert	BitLocker ist für dieses Volume nicht aktiviert.
Suspended	BitLocker wurde angehalten und schützt das Volume nicht aktiv.
Auf Aktivierung warten	BitLocker ist mit einem unverschlüsselten Schutzvorrichtungsschlüssel aktiviert und erfordert weitere Aktionen, um vollständigen Schutz zu bieten.

Wenn ein Laufwerk mit BitLocker vorab bereitgestellt wird, wird auf dem Volume die status Warten auf Aktivierung mit einem gelben Ausrufesymbol angezeigt. Dieser Status zeigt an, dass beim Verschlüsseln des Volumes nur eine unverschlüsselte Schutzvorrichtung verwendet wurde. In diesem Fall befindet sich das Volume nicht in einem geschützten Status und ihm muss ein sicherer Schlüssel hinzugefügt werden, damit der Datenträger vollständig geschützt ist. Administratoren können die Systemsteuerung, PowerShell oder manage-bde.exe zum Hinzufügen einer geeigneten Schlüsselschutzvorrichtung verwenden. Nach Abschluss des Vorgangs wird die Systemsteuerung aktualisiert, um die neuen status widerzuspiegeln.

Aktivieren von BitLocker

Betriebssystemlaufwerk mit TPM-Schutzvorrichtung

Das folgende Beispiel zeigt, wie BitLocker auf einem Betriebssystemlaufwerk nur mit der TPM-Schutzvorrichtung und ohne Wiederherstellungsschlüssel aktiviert wird:

PowerShell

Enable-BitLocker C: -TpmProtector

Eingabeaufforderung

manage-bde.exe -on C:

Systemsteuerung

Aus dem BitLocker Drive Encryption Systemsteuerung Applet:

1. Erweitern Sie das Betriebssystemlaufwerk, und wählen Sie die Option BitLocker aktivieren aus.

2. Wenn Sie dazu aufgefordert werden, wählen Sie die Option BitLocker mein Laufwerk automatisch entsperren aus.

3. Sichern Sie den Wiederherstellungsschlüssel mit einer der folgenden Methoden:

   • Speichern In Ihrem Microsoft Entra ID- oder Microsoft-Konto (falls zutreffend)
   • Speichern auf einem USB-Speicherstick
   • In einer Datei speichern : Die Datei muss an einem Speicherort gespeichert werden, der sich nicht auf dem Gerät selbst befindet, z. B. in einem Netzwerkordner.
   • Drucken des Wiederherstellungsschlüssels

4. Wählen Sie Weiter aus.

5. Wählen Sie eine der Optionen aus, um nur den verwendeten Speicherplatz oder das gesamte Laufwerk zu verschlüsseln, und wählen Sie Weiter aus.

   • Nur verwendeten Speicherplatz verschlüsseln : Verschlüsselt nur Speicherplatz, der Daten enthält.
   • Gesamtes Laufwerk verschlüsseln : Verschlüsselt das gesamte Volume einschließlich des freien Speicherplatzes. Auch bekannt als vollständige Datenträgerverschlüsselung

   Jede der Methoden wird in den folgenden Szenarien empfohlen:

   • Nur den verwendeten Speicherplatz verschlüsseln:

     • Das Laufwerk hatte noch nie Daten.
     • Formatierte oder gelöschte Laufwerke, die in der Vergangenheit nie vertrauliche Daten hatten, die nie verschlüsselt wurden

   • Gesamtes Laufwerk verschlüsseln (vollständige Datenträgerverschlüsselung):

     • Laufwerke, die derzeit Über Daten verfügen
     • Laufwerke, die derzeit über ein Betriebssystem verfügen
     • Formatierte oder gelöschte Laufwerke, die in der Vergangenheit vertrauliche Daten enthielten, die nie verschlüsselt wurden

   Wichtig

   Gelöschte Dateien erscheinen dem Dateisystem als freier Speicherplatz, der nicht nur durch belegten Speicherplatz verschlüsselt wird. Solange sie nicht endgültig gelöscht oder überschrieben werden, enthalten gelöschte Dateien Informationen, die mit allgemein verwendeten Datenforensiktools wiederhergestellt werden können.

6. Wählen Sie einen Verschlüsselungsmodus und dann Weiter aus.

   • Neuer Verschlüsselungsmodus
   • Kompatibler Modus

   Hinweis

   Normalerweise sollte ein neuer Verschlüsselungsmodus ausgewählt werden, aber wenn das Laufwerk möglicherweise auf ein anderes Gerät mit einem älteren Windows-Betriebssystem verschoben wird, wählen Sie Kompatibler Modus aus.

7. Wählen Sie ContinueRestart now (Jetzt neu starten) aus.>

8. Nach dem Neustart führt das Betriebssystem eine BitLocker-Systemüberprüfung durch und startet die Verschlüsselung.

Benutzer können die Verschlüsselung status mithilfe des BitLocker-Systemsteuerung-Applets überprüfen.

Hinweis

Nachdem ein Wiederherstellungsschlüssel erstellt wurde, kann der BitLocker-Systemsteuerung verwendet werden, um zusätzliche Kopien des Wiederherstellungsschlüssels zu erstellen.

Betriebssystemlaufwerk mit TPM-Schutzvorrichtung und Startschlüssel

Das folgende Beispiel zeigt, wie BitLocker auf einem Betriebssystemlaufwerk mithilfe der TPM- und Startschlüsselschutzvorrichtungen aktiviert wird.

Angenommen, der Buchstabe des Betriebssystemlaufwerks ist C: und der USB-Speicherstick laufwerksbuchstabe E:ist, lautet der folgende Befehl:

PowerShell

Wenn Sie den BitLocker-Hardwaretest überspringen möchten, wird die Verschlüsselung sofort gestartet, ohne dass ein Neustart erforderlich ist.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Eingabeaufforderung

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

Wenn Sie dazu aufgefordert werden, starten Sie den Computer neu, um den Verschlüsselungsvorgang abzuschließen.

Hinweis

Nach Abschluss der Verschlüsselung muss der USB-Startschlüssel eingefügt werden, bevor das Betriebssystem gestartet werden kann.

Systemsteuerung

Das Systemsteuerung Applet lässt das Aktivieren von BitLocker und das gleichzeitige Hinzufügen einer Startschlüsselschutzvorrichtung nicht zu. Führen Sie die folgenden Schritte aus, um eine Schutzvorrichtung für Startschlüssel hinzuzufügen:

• Wählen Sie im Applet BitLocker Drive Encryption Systemsteuerung unter dem Betriebssystemlaufwerk die Option Ändern der Entsperrung des Laufwerks beim Start aus.
• Wenn Sie dazu aufgefordert werden, wählen Sie die Option Usb-Speicherstick einfügen aus.
• Wählen Sie das USB-Laufwerk aus, auf dem Sie den Startschlüssel speichern möchten, und wählen Sie Speichern aus.

Nach dem Neustart wird der BitLocker-Preboot-Bildschirm angezeigt, und der USB-Startschlüssel muss eingefügt werden, bevor das Betriebssystem gestartet werden kann:

Datenvolumes

Datenvolumes verwenden einen ähnlichen Prozess für die Verschlüsselung wie Betriebssystemvolumes, erfordern jedoch keine Schutzvorrichtungen, um den Vorgang abzuschließen.

PowerShell

Fügen Sie die gewünschten Schutzfunktionen hinzu, bevor Sie das Volume verschlüsseln. Im folgenden Beispiel wird dem Volume eine Kennwortschutzvorrichtung hinzugefügt, wobei E: die Variable $pw als Kennwort verwendet wird. Die $pw Variable wird als SecureString-Wert zum Speichern des benutzerdefinierten Kennworts verwendet:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Hinweis

Für die Ausführung des BitLocker-Cmdlets muss die Schlüsselschutz-GUID in Anführungszeichen eingeschlossen werden. Stellen Sie sicher, dass die gesamte GUID inklusive der geschweiften Klammern in dem Befehl enthalten ist.

Beispiel: Verwenden von PowerShell zum Aktivieren von BitLocker mit einer TPM-Schutzvorrichtung

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

Beispiel: Verwenden Sie PowerShell, um BitLocker mit einer TPM+PIN-Schutzvorrichtung zu aktivieren, in diesem Fall mit einer PIN, die auf 123456 festgelegt ist:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Eingabeaufforderung

Das Verschlüsseln von Datenvolumes kann mithilfe des Basisbefehls erfolgen:

manage-bde.exe -on <drive letter>

oder zusätzliche Schutzvorrichtungen können zuerst dem Volume hinzugefügt werden. Es wird empfohlen, mindestens eine primäre Schutzvorrichtung plus eine Wiederherstellungsschutzvorrichtung zu einem Datenvolume hinzuzufügen.

Systemsteuerung

Das Verschlüsseln von Datenvolumes mithilfe der BitLocker-Systemsteuerung funktioniert auf ähnliche Weise wie die Verschlüsselung der Betriebssystemvolumes. Benutzer wählen BitLocker aktivieren im BitLocker-Systemsteuerung aus, um den BitLocker-Laufwerkverschlüsselungs-Assistenten zu starten.

Verwalten von BitLocker-Schutzvorrichtungen

Die Verwaltung von BitLocker-Schutzvorrichtungen besteht aus dem Hinzufügen, Entfernen und Sichern von Schutzvorrichtungen.

Verwaltete BitLocker-Schutzvorrichtungen mithilfe der folgenden Anweisungen, und wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Auflisten von Schutzvorrichtungen

Die Liste der für ein Volume verfügbaren Schutzvorrichtungen (C: im Beispiel) kann durch Ausführen des folgenden Befehls aufgelistet werden:

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

Eingabeaufforderung

 manage-bde.exe -protectors -get C:

Systemsteuerung

Diese Informationen sind im Systemsteuerung nicht verfügbar.

Hinzufügen von Schutzvorrichtungen

Hinzufügen einer Kennwortschutzvorrichtung für die Wiederherstellung

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Eingabeaufforderung

manage-bde.exe -protectors -add -recoverypassword C:

Systemsteuerung

Wählen Sie im Applet BitLocker Drive Encryption Systemsteuerung das Volume aus, auf dem Sie eine Schutzvorrichtung hinzufügen möchten, und wählen Sie die Option Wiederherstellungsschlüssel sichern aus.

Hinzufügen einer Kennwortschutzvorrichtung

Eine allgemeine Schutzvorrichtung für ein Datenvolume ist die Kennwortschutzvorrichtung. Im nächsten Beispiel wird einem Volume eine Kennwortschutzvorrichtung hinzugefügt.

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Eingabeaufforderung

manage-bde.exe -protectors -add -pw D:

Systemsteuerung

Erweitern Sie im Applet BitLocker Drive Encryption Systemsteuerung das Laufwerk, auf dem Sie eine Kennwortschutzvorrichtung hinzufügen möchten, und wählen Sie die Option Kennwort hinzufügen aus. Wenn Sie dazu aufgefordert werden, geben Sie ein Kennwort ein, und bestätigen Sie es, um das Laufwerk zu entsperren. Wählen Sie Fertig stellen aus, um den Vorgang abzuschließen.

Hinzufügen einer Active Directory-Schutzvorrichtung

Die Active Directory-Schutzvorrichtung ist eine SID-basierte Schutzvorrichtung, die sowohl zu Betriebssystem- als auch zu Datenvolumes hinzugefügt werden kann, obwohl sie keine Betriebssystemvolumes in der Preboot-Umgebung entsperrt. Der Protektor benötigt die SID für das Domänenkonto oder die Gruppe, um eine Verknüpfung mit der Schutzfunktion herzustellen. BitLocker kann einen clusterfähigen Datenträger schützen, indem eine SID-basierte Schutzvorrichtung für das Clusternamenobjekt (Cluster Name Object, CNO) hinzugefügt wird, mit der der Datenträger ein ordnungsgemäßes Failover und die Entsperrung für jeden Mitgliedscomputer des Clusters ermöglicht.

Wichtig

Die SID-basierte Schutzvorrichtung erfordert die Verwendung einer zusätzlichen Schutzvorrichtung wie TPM, PIN, Wiederherstellungsschlüssel usw., wenn sie auf Betriebssystemvolumes verwendet wird.

Hinweis

Diese Option ist für Microsoft Entra eingebundene Geräte nicht verfügbar.

In diesem Beispiel wird einem zuvor verschlüsselten Volume eine DOMÄNEN-SID-basierte Schutzvorrichtung hinzugefügt. Der Benutzer kennt die SID für das Benutzerkonto oder die Gruppe, die er hinzufügen möchte, und verwendet den folgenden Befehl:

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Zum Hinzufügen der Schutzvorrichtung zu einem Volume ist entweder die Domänen-SID oder der Gruppenname erforderlich, dem die Domäne und ein umgekehrter Schrägstrich vorangestellt sind. Im folgenden Beispiel wird das Konto CONTOSO\Administrator dem Datenvolume G als Schutzvorrichtung hinzugefügt.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Um die SID für das Konto oder die Gruppe zu verwenden, besteht der erste Schritt darin, die SID zu bestimmen, die dem Sicherheitsprinzipal zugeordnet ist. Verwenden Sie zum Abrufen der spezifischen SID für ein Benutzerkonto in Windows PowerShell den folgenden Befehl:

Get-ADUser -filter {samaccountname -eq "administrator"}

Hinweis

Für die Verwendung dieses Befehls ist das RSAT-AD-PowerShell-Feature erforderlich.

Tipp

Informationen zum lokal angemeldeten Benutzer und zur Gruppenmitgliedschaft finden Sie unter: whoami.exe /all.

Eingabeaufforderung

manage-bde.exe -protectors -add -sid <user or group>

Systemsteuerung

Diese Option ist im Systemsteuerung nicht verfügbar.

Entfernen von Schutzvorrichtungen

PowerShell

Verwenden Sie das Remove-BitLockerKeyProtector Cmdlet, um vorhandene Schutzvorrichtungen auf einem Volume zu entfernen. Eine GUID, die der zu entfernenden Schutzvorrichtung zugeordnet ist, muss bereitgestellt werden.

Die folgenden Befehle geben die Liste der Schlüsselschutzvorrichtungen und GUIDS zurück:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Mithilfe dieser Informationen kann die Schlüsselschutzvorrichtung für ein bestimmtes Volume mit dem Befehl entfernt werden:

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Hinweis

Für die Ausführung des BitLocker-Cmdlets muss die Schlüsselschutz-GUID in Anführungszeichen eingeschlossen werden. Stellen Sie sicher, dass die gesamte GUID inklusive der geschweiften Klammern in dem Befehl enthalten ist.

Eingabeaufforderung

Die folgenden Befehle geben die Liste der Schlüsselschutzvorrichtungen zurück:

manage-bde.exe -status C:

Der folgende Befehl entfernt die Schlüsselschutzvorrichtung eines bestimmten Typs:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Systemsteuerung

Erweitern Sie im Applet BitLocker Drive Encryption Systemsteuerung das Laufwerk, auf dem Sie eine Schutzvorrichtung entfernen möchten, und wählen Sie ggf. die Option zum Entfernen aus.

Hinweis

Sie benötigen mindestens eine Entsperrmethode für alle mit BitLocker verschlüsselten Laufwerke.

Anhalten und Fortsetzen

Einige Konfigurationsänderungen erfordern möglicherweise, dass BitLocker angehalten und dann fortgesetzt wird, nachdem die Änderung angewendet wurde.

Setzen Sie BitLocker mithilfe der folgenden Anweisungen aus, und setzen Sie es fort. Wählen Sie dabei die Option aus, die Ihren Anforderungen am besten entspricht.

BitLocker anhalten

PowerShell

Suspend-BitLocker -MountPoint D

Eingabeaufforderung

manage-bde.exe -protectors -disable d:

Systemsteuerung

Sie können den BitLocker-Schutz für das Betriebssystemlaufwerk nur anhalten, wenn Sie die Systemsteuerung verwenden.

Wählen Sie im Applet BitLocker Drive Encryption Systemsteuerung das Betriebssystemlaufwerk und dann die Option Schutz anhalten aus.

Fortsetzen von BitLocker

PowerShell

Resume-BitLocker -MountPoint D

Eingabeaufforderung

manage-bde.exe -protectors -enable d:

Systemsteuerung

Wählen Sie im Applet BitLocker-Laufwerkverschlüsselung Systemsteuerung das Betriebssystemlaufwerk und dann die Option Schutz fortsetzen aus.

Zurücksetzen und Sichern eines Wiederherstellungskennworts

Es wird empfohlen, ein Wiederherstellungskennwort nach seiner Verwendung für ungültig zu erklären. In diesem Beispiel wird die Schutzvorrichtung für das Wiederherstellungskennwort aus dem Betriebssystemlaufwerk entfernt, eine neue Schutzvorrichtung hinzugefügt und in Microsoft Entra ID oder Active Directory gesichert.

PowerShell

Entfernen Sie alle Wiederherstellungskennwörter vom Betriebssystemvolume:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Fügen Sie eine BitLocker-Wiederherstellungskennwortschutzvorrichtung für das Betriebssystemvolume hinzu:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Rufen Sie die ID des neuen Wiederherstellungskennworts ab:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Hinweis

Diese nächsten Schritte sind nicht erforderlich, wenn die Richtlinieneinstellung Auswählen, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können auf BitLocker-Sicherung in AD DS erforderlich konfiguriert ist.

Kopieren Sie die ID des Wiederherstellungskennworts aus der Ausgabe.

Ersetzen {ID} Sie mithilfe der GUID aus dem vorherigen Schritt den im folgenden Befehl, und verwenden Sie den folgenden Befehl, um das Wiederherstellungskennwort in Microsoft Entra ID zu sichern:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Oder verwenden Sie den folgenden Befehl, um das Wiederherstellungskennwort in Active Directory zu sichern:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Hinweis

Die geschweiften Klammern {} müssen in der ID-Zeichenfolge enthalten sein.

Eingabeaufforderung

Entfernen Sie alle Wiederherstellungskennwörter vom Betriebssystemvolume:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Fügen Sie eine BitLocker-Wiederherstellungskennwortschutzvorrichtung für das Betriebssystemvolume hinzu:

manage-bde.exe -protectors -add C: -RecoveryPassword

Rufen Sie die ID des neuen Wiederherstellungskennworts ab:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Hinweis

Diese folgenden Schritte sind nicht erforderlich, wenn die Richtlinieneinstellung Auswählen, wie bitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können auf BitLocker-Sicherung in AD DS erforderlich konfiguriert ist.

Ersetzen {ID} Sie mithilfe der GUID aus dem vorherigen Schritt den im folgenden Befehl, und verwenden Sie den folgenden Befehl, um das Wiederherstellungskennwort in Microsoft Entra ID zu sichern:

manage-bde.exe -protectors -aadbackup C: -id {ID}

Oder verwenden Sie den folgenden Befehl, um das Wiederherstellungskennwort in Active Directory zu sichern:

manage-bde.exe -protectors -adbackup C: -id {ID}

Hinweis

Die geschweiften Klammern {} müssen in der ID-Zeichenfolge enthalten sein.

Systemsteuerung

Dieser Prozess kann nicht mit dem Systemsteuerung durchgeführt werden. Verwenden Sie stattdessen eine der anderen Optionen.

Deaktivieren von BitLocker

Durch das Deaktivieren von BitLocker werden alle zugehörigen Schutzvorrichtungen entschlüsselt und von den Volumes entfernt. Die Entschlüsselung sollte erfolgen, wenn kein Schutz mehr erforderlich ist, und nicht als Problembehandlungsschritt.

Deaktivieren Sie BitLocker mithilfe der folgenden Anweisungen, und wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

PowerShell

Windows PowerShell bietet die Möglichkeit, mehrere Laufwerke in einem Durchgang zu entschlüsseln. Im folgenden Beispiel verfügt der Benutzer über drei verschlüsselte Volumes, die er entschlüsseln möchte.

Mithilfe des Befehls „BitLocker deaktivieren“ kann er alle Schutzvorrichtungen und die Verschlüsselung gleichzeitig entfernen, ohne dass weitere Befehle erforderlich sind. Ein Beispiel für diesen Befehl ist:

Disable-BitLocker

Um zu vermeiden, dass jeder Bereitstellungspunkt einzeln angegeben wird, verwenden Sie den -MountPoint Parameter in einem Array, um denselben Befehl in einer Zeile zu sequenzieren, ohne dass zusätzliche Benutzereingaben erforderlich sind. Beispiel:

Disable-BitLocker -MountPoint C,D

Eingabeaufforderung

Die Entschlüsselung mit manage-bde.exe bietet den Vorteil, dass keine Benutzerbestätigung erforderlich ist, um den Prozess zu starten. Manage-bde verwendet den Befehl -off, um den Entschlüsselungsvorgang zu starten. Ein Beispielbefehl für die Entschlüsselung ist:

manage-bde.exe -off C:

Dieser Befehl deaktiviert während der Entschlüsselung des Volumes Schutzvorrichtungen und entfernt nach Abschluss der Entschlüsselung alle Schutzvorrichtungen.

Systemsteuerung

Die BitLocker-Entschlüsselung mit dem Systemsteuerung erfolgt mithilfe eines Assistenten. Wählen Sie nach dem Öffnen des BitLocker Systemsteuerung Applet die Option BitLocker deaktivieren aus, um den Prozess zu starten. Um fortzufahren, wählen Sie das Bestätigungsdialogfeld aus. Wenn BitLocker deaktivieren bestätigt wurde, beginnt der Laufwerksentschlüsselungsprozess.

Sobald die Entschlüsselung abgeschlossen ist, aktualisiert das Laufwerk seine status im Systemsteuerung und steht für die Verschlüsselung zur Verfügung.