Festlegen des BitLocker-Verschlüsselungsalgorithmus für Autopilot-Geräte
BitLocker verschlüsselt interne Laufwerke automatisch während der Out-of-Box-Benutzeroberfläche (OOBE) für Geräte, die modernen Standby unterstützen oder die Hardware Security Testability Specification (HSTI) erfüllen. Standardmäßig verwendet BitLocker den 128-Bit-Speicherplatz von XTS-AES nur für die automatische Verschlüsselung.
Mit Windows Autopilot können BitLocker-Verschlüsselungseinstellungen so konfiguriert werden, dass sie angewendet werden, bevor die automatische Verschlüsselung gestartet wird. Diese Konfiguration stellt sicher, dass der Standardverschlüsselungsalgorithmus oder -typ nicht automatisch angewendet wird. Ein Gerät, das diese Einstellungen nach der Verschlüsselung empfängt, muss vor dem Ändern des Verschlüsselungsalgorithmus automatisch entschlüsselt werden.
Verschlüsselungsalgorithmus
BitLocker verwendet den angegebenen BitLocker-Verschlüsselungsalgorithmus, wenn BitLocker zum ersten Mal aktiviert wird. Während Autopilot wird BitLocker nach dem Gerätesetupteil der Registrierungsstatusseite aktiviert. Die folgenden Verschlüsselungsalgorithmen sind verfügbar:
- AES-CBC 128-Bit.
- AES-CBC 256-Bit.
- XTS-AES 128-Bit (Standard).
- XTS-AES 256-Bit.
Weitere Informationen zu den empfohlenen Verschlüsselungsalgorithmen finden Sie unter BitLocker Configuration Service Provider (CSP).For more information about the recommended encryption algorithms to use, see BitLocker Configuration Service Provider (CSP).
So stellen Sie sicher, dass der gewünschte BitLocker-Verschlüsselungsalgorithmus festgelegt ist, bevor die automatische Verschlüsselung für Autopilot-Geräte erfolgt:
Konfigurieren Sie die Einstellungen für die Verschlüsselungsmethode in der Endpoint Security-Datenträgerverschlüsselungsrichtlinie. Die Einstellungen sind unter Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen>Plattform = Windows 10 und höher, Profiltyp = BitLocker verfügbar.
Weisen Sie die Richtlinie der Autopilot-Gerätegruppe zu. Die Verschlüsselungsrichtlinie muss Geräten in der Gruppe und nicht Benutzern zugewiesen werden.
Aktivieren Sie die Autopilot-Registrierungsstatusseite für diese Geräte. Wenn dieses Feature nicht aktiviert ist, wird die Richtlinie nicht angewendet, bevor die Verschlüsselung gestartet wird.
Verschlüsselung des vollständigen Datenträgers oder Beschränkung auf den verwendeten Speicherplatz
Es gibt zwei Arten von Verschlüsselung: vollständiger Datenträger oder nur verwendeter Speicherplatz. Die Konfiguration der automatischen Aktivierung und der Hardwareunterstützung für modernen Standbymodus bestimmt automatisch den verwendeten Verschlüsselungstyp. Der verwendete Verschlüsselungstyp kann durch Konfigurieren der SystemDrivesEncryptionType-Einstellung erzwungen werden. Wie der Verschlüsselungsalgorithmus verwendet BitLocker den Verschlüsselungstyp, wenn BitLocker zum ersten Mal aktiviert wird. Weitere Informationen zum erwarteten Verschlüsselungstypverhalten finden Sie unter Verwalten der BitLocker-Richtlinie.
So erzwingen Sie den typ der verwendeten Laufwerkverschlüsselung:
Konfigurieren Sie die Einstellung Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen im Einstellungskatalog. Diese Einstellung ist in der Kategorie Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke in der Einstellungsauswahl verfügbar.
Weisen Sie die Richtlinie der Autopilot-Gerätegruppe zu. Die Verschlüsselungsrichtlinie muss Geräten in der Gruppe und nicht Benutzern zugewiesen werden.
Aktivieren Sie die Autopilot-Registrierungsstatusseite für diese Geräte. Wenn dieses Feature nicht aktiviert ist, wird die Richtlinie nicht angewendet, bevor die Verschlüsselung gestartet wird.