In der folgenden Tabelle sind die BitLocker-Richtlinien aufgeführt, die für alle Laufwerkstypen gelten und angeben, ob sie über konfigurationsdienstanbieter (Configuration Service Provider, CSP) und/oder Gruppenrichtlinien (GPO) anwendbar sind. Wählen Sie den Richtliniennamen aus, um weitere Details zu erhalten.
Standardbenutzerverschlüsselung zulassen
Mit dieser Richtlinie können Sie die Richtlinie Geräteverschlüsselung erforderlich für Szenarien erzwingen, in denen die Richtlinie angewendet wird, während der aktuell angemeldete Benutzer nicht über Administratorrechte verfügt.
Auswählen des Standardordners für das Wiederherstellungskennwort
Geben Sie den Standardpfad an, der angezeigt wird, wenn der Setup-Assistent für die BitLocker-Laufwerkverschlüsselung den Benutzer auffordert, den Speicherort eines Ordners einzugeben, in dem das Wiederherstellungskennwort gespeichert werden soll. Sie können entweder einen vollqualifizierten Pfad angeben oder die Umgebungsvariablen des Zielcomputers in den Pfad einschließen:
- Wenn der Pfad ungültig ist, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene des Computers an.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene des Computers an, wenn der Benutzer die Option zum Speichern des Wiederherstellungskennworts in einem Ordner auswählt.
Hinweis
Diese Richtlinieneinstellung hindert den Benutzer nicht daran, das Wiederherstellungskennwort in einem anderen Ordner zu speichern.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke
Mit dieser Richtlinie können Sie einen Verschlüsselungsalgorithmus und die Verschlüsselungsstärke von Schlüsseln für Festplattenlaufwerke, Betriebssystemlaufwerke und Wechseldatenträger einzeln konfigurieren.
Empfohlene Einstellungen: XTS-AES Algorithmus für alle Laufwerke. Die Wahl der Schlüsselgröße 128 Bit oder 256 Bit hängt von der Leistung des Geräts ab. Wählen Sie für leistungsfähigere Festplatten und CPU den 256-Bit-Schlüssel aus, für weniger leistungsfähige Festplatten verwenden Sie 128.
Wichtig
Die Schlüsselgröße kann von Regulierungsbehörden oder der Industrie benötigt werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker die Standardverschlüsselungsmethode von XTS-AES 128-bit.
Hinweis
Diese Richtlinie gilt nicht für verschlüsselte Laufwerke. Verschlüsselte Laufwerke verwenden einen eigenen Algorithmus, der während der Partitionierung vom Laufwerk festgelegt wird.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Mit dieser Richtlinie können Sie eine numerische Wiederherstellungskennwortrotation konfigurieren, wenn sie für Betriebssystem- und Festplattenlaufwerke auf Microsoft Entra und Microsoft Entra hybrid eingebundenen Geräten verwendet wird.
Mögliche Werte:
0: Die Rotation des numerischen Wiederherstellungskennworts ist deaktiviert.1: Die Rotation des numerischen Wiederherstellungskennworts bei Verwendung ist für Microsoft Entra verbundene Geräte aktiviert. Dies ist auch der Standardwert.2: Die Rotation des numerischen Wiederherstellungskennworts bei Verwendung ist sowohl für Microsoft Entra verbundene Geräte als auch für Microsoft Entra hybrid eingebundene Geräte aktiviert.
Hinweis
Die Richtlinie ist nur gültig, wenn die Micropsoft Entra-ID oder die Active Directory-Sicherung für das Wiederherstellungskennwort so konfiguriert ist, dass sie erforderlich ist.
- Für Betriebssystemlaufwerk: Aktivieren Sie BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden.
- Für Festplattenlaufwerke: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden.
Deaktivieren neuer DMA-Geräte, wenn dieser Computer gesperrt ist
Wenn diese Richtlinieneinstellung aktiviert ist, blockiert diese Richtlinieneinstellung den direkten Speicherzugriff (Direct Memory Access, DMA) für alle hot plug-fähigen PCI-Ports, bis sich ein Benutzer bei Windows anmeldet.
Sobald sich ein Benutzer anmeldet, listet Windows die PCI-Geräte auf, die mit den Thunderbolt-PCI-Ports des Hosts verbunden sind. Jedes Mal, wenn der Benutzer das Gerät sperrt, wird DMA an Hot-Plug-Thunderbolt-PCI-Anschlüssen ohne Kindergeräte blockiert, bis sich der Benutzer erneut anmeldet.
Geräte, die beim Entsperren des Geräts bereits aufgelistet wurden, funktionieren weiterhin, bis das Netz getrennt oder das System neu gestartet oder in den Ruhezustand versetzt wird.
Diese Richtlinieneinstellung wird nur erzwungen, wenn BitLocker oder die Geräteverschlüsselung aktiviert ist.
Wichtig
Diese Richtlinie ist nicht mit dem Kernel-DMA-Schutz kompatibel. Es wird empfohlen, diese Richtlinie zu deaktivieren, wenn das System Kernel-DMA-Schutz unterstützt, da Kernel-DMA-Schutz eine höhere Sicherheit für das System bietet. Weitere Informationen zum Kernel-DMA-Schutz finden Sie unter Kernel-DMA-Schutz.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Verhindern des Überschreibens des Arbeitsspeichers beim Neustart
Diese Richtlinieneinstellung wird verwendet, um zu steuern, ob der Arbeitsspeicher des Computers beim Neustart des Geräts überschrieben wird. BitLocker-Geheimnisse enthalten Schlüsselmaterial, das zum Verschlüsseln von Daten verwendet wird.
- Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Arbeitsspeicher beim Neustart des Computers nicht überschrieben. Das Verhindern von Speicherüberschreibungen kann die Neustartleistung verbessern, erhöht jedoch das Risiko, dass BitLocker-Geheimnisse offenlegen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Geheimnisse beim Neustart des Computers aus dem Arbeitsspeicher entfernt.
Hinweis
Diese Richtlinieneinstellung gilt nur, wenn der BitLocker-Schutz aktiviert ist.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Geben Sie die eindeutigen Bezeichner für Ihre organization
Mit dieser Richtlinieneinstellung können Sie einem Laufwerk, das mit BitLocker verschlüsselt ist, eindeutige Organisationsbezeichner zuordnen. Die Bezeichner werden als Identifikationsfeld und zulässiges Identifikationsfeld gespeichert:
- Mit dem Identifikationsfeld können Sie durch BitLocker geschützte Laufwerke einen eindeutigen Organisationsbezeichner zuordnen. Dieser Bezeichner wird automatisch neuen bitLocker-geschützten Laufwerken hinzugefügt und kann mithilfe des BitLocker-Laufwerkverschlüsselungstools (
manage-bde.exe) auf vorhandenen bitLocker-geschützten Laufwerken aktualisiert werden.
- Das Feld "Zulässige Identifizierung" wird in Kombination mit der Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern verwendet, die nicht durch BitLocker geschützt sind, um die Verwendung von Wechseldatenträgern in Ihrem organization zu steuern. Es handelt sich um eine durch Trennzeichen getrennte Liste von Identifikationsfeldern aus Ihrem organization oder anderen externen Organisationen. Sie können die Identifikationsfelder auf vorhandenen Laufwerken mithilfe
manage-bde.exevon konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Identifikationsfeld auf dem durch BitLocker geschützten Laufwerk und alle zulässigen Identifikationsfelder konfigurieren, die von Ihrem organization verwendet werden. Wenn ein BitLocker-geschütztes Laufwerk auf einem anderen BitLocker-fähigen Gerät bereitgestellt wird, werden das Identifikationsfeld und das zulässige Identifikationsfeld verwendet, um zu bestimmen, ob das Laufwerk aus einem anderen organization stammt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist das Identifikationsfeld nicht erforderlich.
Wichtig
Identifikationsfelder sind für die Verwaltung zertifikatbasierter Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert zertifikatbasierte Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Gerät konfigurierten Wert identisch ist. Das Identifikationsfeld kann ein beliebiger Wert von maximal 260 Zeichen sein.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/IdentificationField |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Geräteverschlüsselung erforderlich
Diese Richtlinieneinstellung bestimmt, ob BitLocker erforderlich ist:
- Wenn diese Option aktiviert ist, wird die Verschlüsselung auf allen Laufwerken automatisch oder nicht automatisch ausgelöst, basierend auf der Warnung Zulassen für andere Datenträgerverschlüsselungsrichtlinien .
- Wenn diese Option deaktiviert ist, wird BitLocker für das Systemlaufwerk nicht deaktiviert, aber der Benutzer wird nicht mehr aufgefordert, BitLocker zu aktivieren.
Verschlüsselte Feste Datenvolumes werden ähnlich wie Betriebssystemvolumes behandelt, müssen jedoch andere Kriterien erfüllen, um verschlüsselt werden zu können:
- Es darf sich nicht um ein dynamisches Volume handeln.
- Es darf keine Wiederherstellungspartition sein.
- Es darf sich nicht um ein ausgeblendetes Volume handeln.
- Es darf keine Systempartition sein.
- Er darf nicht durch virtuellen Speicher gesichert werden.
- Es darf keinen Verweis im BCD-Speicher enthalten.
Überprüfen der Konformität von Smart Karte-Zertifikatverwendungsregeln
Diese Richtlinieneinstellung wird verwendet, um zu bestimmen, welches Zertifikat mit BitLocker verwendet werden soll, indem ein Objektbezeichner (OID) aus einem Smart Karte-Zertifikat einem durch BitLocker geschützten Laufwerk zugeordnet wird. Der Objektbezeichner wird in der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) eines Zertifikats angegeben.
BitLocker kann identifizieren, welche Zertifikate verwendet werden können, um ein Benutzerzertifikat bei einem durch BitLocker geschützten Laufwerk zu authentifizieren, indem der Objektbezeichner im Zertifikat mit dem Objektbezeichner übereinstimmt, der durch diese Richtlinieneinstellung definiert wird. Die Standard-OID ist 1.3.6.1.4.1.311.67.1.1.
Wenn Sie diese Richtlinieneinstellung aktivieren, muss der im Feld Objektbezeichner angegebene Objektbezeichner mit dem Objektbezeichner im Smart Karte-Zertifikat übereinstimmen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standard-OID verwendet.
Hinweis
BitLocker erfordert nicht, dass ein Zertifikat über ein EKU-Attribut verfügt. Wenn jedoch eines für das Zertifikat konfiguriert ist, muss es auf einen Objektbezeichner festgelegt werden, der mit dem für BitLocker konfigurierten Objektbezeichner übereinstimmt.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung |
Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die Vorstart-PIN deaktivieren
Diese Richtlinieneinstellung ermöglicht Benutzern auf Geräten, die mit InstantGo oder Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Vorabstartauthentifizierung zu haben.
Die Richtlinie überschreibt die Optionen Start-PIN mit TPM erforderlich und Startschlüssel und PIN mit TPM anfordern der Richtlinie Zusätzliche Authentifizierung beim Start auf kompatibler Hardware erforderlich.
- Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer auf InstantGo- und HSTI-kompatiblen Geräten BitLocker ohne Vorabstartauthentifizierung aktivieren.
- Wenn die Richtlinie deaktiviert oder nicht konfiguriert ist, gelten die Optionen der Richtlinie Zusätzliche Authentifizierung beim Start anfordern .
Zulassen erweiterter PINs für den Start
Diese Einstellung ermöglicht die Verwendung erweiterter PINs, wenn eine Entsperrmethode verwendet wird, die eine PIN enthält.
Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbole, Zahlen und Leerzeichen).
Wichtig
Nicht alle Computer unterstützen erweiterte PIN-Zeichen in der Preboot-Umgebung. Es wird dringend empfohlen, dass Benutzer während des BitLocker-Setups eine Systemüberprüfung durchführen, um zu überprüfen, ob erweiterte PIN-Zeichen verwendet werden können.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Netzwerkentsperrung beim Start zulassen
Diese Richtlinieneinstellung steuert, ob ein bitLocker-geschütztes Gerät, das mit einem vertrauenswürdigen lan (Local Area Network) verbunden ist, Netzwerkschlüsselschutzvorrichtungen auf TPM-fähigen Computern erstellen und verwenden kann, um das Betriebssystemlaufwerk beim Starten des Computers automatisch zu entsperren.
Wenn Sie diese Richtlinie aktivieren, können Geräte, die mit einem BitLocker-Netzwerkentsperrungszertifikat konfiguriert sind, Netzwerkschlüsselschutzvorrichtungen erstellen und verwenden. Um eine Netzwerkschlüsselschutzvorrichtung zum Entsperren des Computers zu verwenden, müssen sowohl der Computer als auch der BitLocker-Laufwerkverschlüsselungs-Netzwerkentsperrungsserver mit einem Netzwerkentsperrungszertifikat bereitgestellt werden. Das Netzwerkentsperrungszertifikat wird zum Erstellen von Netzwerkschlüsselschutzvorrichtungen verwendet und schützt die mit dem Server ausgetauschten Informationen, um den Computer zu entsperren.
Die Gruppenrichtlinie Einstellung Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Public Key-Richtlinien>BitLocker-Laufwerkverschlüsselung Netzwerksperrzertifikat kann auf dem Domänencontroller verwendet werden, um dieses Zertifikat an Computer im organization zu verteilen. Diese Entsperrmethode verwendet das TPM auf dem Computer, sodass Computer ohne TPM keine Netzwerkschlüsselschutzvorrichtungen erstellen können, die automatisch mit der Netzwerkentsperrung entsperrt werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können BitLocker-Clients keine Netzwerkschlüsselschutzvorrichtungen erstellen und verwenden.
Hinweis
Aus Gründen der Zuverlässigkeit und Sicherheit sollten Computer auch über eine TPM-Start-PIN verfügen, die verwendet werden kann, wenn der Computer beim Start vom kabelgebundenen Netzwerk oder dem Server getrennt ist.
Weitere Informationen zur Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Zulassen des sicheren Starts für die Integritätsüberprüfung
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob der sichere Start als Plattformintegritätsanbieter für BitLocker-Betriebssystemlaufwerke zulässig ist.
Der sichere Start stellt sicher, dass die Vorabstartumgebung des Geräts nur Firmware lädt, die von autorisierten Softwareanbietern digital signiert wird.
- Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, verwendet BitLocker den sicheren Start für die Plattformintegrität, wenn die Plattform in der Lage ist, die Auf sichere Start-basierte Integritätsüberprüfung zu überprüfen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, verwendet BitLocker die Legacy-Plattformintegritätsüberprüfung, auch auf Systemen, die die Integritätsüberprüfung auf Sicherer Start basieren können.
Wenn diese Richtlinie aktiviert ist und die Hardware den sicheren Start für BitLocker-Szenarien verwenden kann, wird die Richtlinieneinstellung Erweiterte Startkonfiguration datenüberprüfungsprofil verwenden ignoriert, und Der sichere Start überprüft die BCD-Einstellungen gemäß der Richtlinieneinstellung für den sicheren Start, die separat von BitLocker konfiguriert wird.
Warnung
Das Deaktivieren dieser Richtlinie kann zur BitLocker-Wiederherstellung führen, wenn herstellerspezifische Firmware aktualisiert wird. Wenn diese Richtlinie deaktiviert ist, setzen Sie BitLocker vor dem Anwenden von Firmwareupdates an.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Warnung für andere Datenträgerverschlüsselung zulassen
Mit dieser Richtlinie können Sie alle Benachrichtigungen für die Verschlüsselung deaktivieren, warnungsaufforderungen für andere Datenträgerverschlüsselungen und die Verschlüsselung im Hintergrund aktivieren.
Wichtig
Diese Richtlinie gilt nur für Microsoft Entra verbundene Geräte.
Diese Richtlinie wird nur wirksam, wenn geräteverschlüsselungsrichtlinie erforderlich aktiviert ist.
Warnung
Wenn Sie BitLocker auf einem Gerät mit Nicht-Microsoft-Verschlüsselung aktivieren, wird das Gerät möglicherweise unbrauchbar und erfordert eine erneute Installation von Windows.
Die erwarteten Werte für diese Richtlinie sind:
- Aktiviert (Standardeinstellung): Warnungsaufforderung und Verschlüsselungsbenachrichtigung ist zulässig
- Deaktiviert: Warnungsaufforderung und Verschlüsselungsbenachrichtigung werden unterdrückt. Windows versucht, BitLocker im Hintergrund zu aktivieren.
Hinweis
Wenn Sie die Warnungsaufforderung deaktivieren, wird der Wiederherstellungsschlüssel des Betriebssystemlaufwerks im Microsoft Entra ID Konto des Benutzers gesichert. Wenn Sie die Warnungsaufforderung zulassen, kann der Benutzer, der die Eingabeaufforderung erhält, auswählen, wo der Wiederherstellungsschlüssel des Betriebssystemlaufwerks gesichert werden soll.
Der Endpunkt für die Sicherung eines Festplattenlaufwerks wird in der folgenden Reihenfolge ausgewählt:
- Das Windows Server Active Directory Domain Services-Konto des Benutzers
- Das Microsoft Entra ID-Konto des Benutzers
- Das persönliche OneDrive des Benutzers (nur MDM/MAM)
Die Verschlüsselung wartet, bis einer dieser drei Speicherorte erfolgreich gesichert wurde.
Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Betriebssystemlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Für Benutzer verfügbaren Methoden zum Wiederherstellen von Daten von BitLocker-geschützten Betriebssystemlaufwerken steuern. Hier sind die verfügbaren Optionen:
- Zertifikatbasierter Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
- Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
- Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
- BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
- Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.
Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinie konfiguriert eine Mindestlänge für eine TPM-Start-PIN (Trusted Platform Module). Die Start-PIN muss eine Mindestlänge von vier Ziffern aufweisen und kann eine maximale Länge von 20 Ziffern aufweisen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie festlegen, dass beim Festlegen der Start-PIN eine Mindestanzahl von Ziffern verwendet wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.
Das TPM kann für die Verwendung von Parametern zur Verhinderung von Wörterbuchangriffen (Sperrschwellenwert und Sperrdauer ) konfiguriert werden, um zu steuern, wie viele fehlgeschlagene Autorisierungsversuche zulässig sind, bevor das TPM gesperrt wird, und wie viel Zeit vergehen muss, bevor ein weiterer Versuch durchgeführt werden kann.
Die Parameter zur Verhinderung von Wörterbuchangriffen bieten eine Möglichkeit, Sicherheitsanforderungen und Benutzerfreundlichkeit in Einklang zu bringen. Wenn BitLocker beispielsweise mit einer TPM- und PIN-Konfiguration verwendet wird, ist die Anzahl der PIN-Vermutungen im Laufe der Zeit begrenzt. Ein TPM 2.0 in diesem Beispiel könnte so konfiguriert werden, dass nur 32 PIN-Raten sofort und dann nur eine weitere Schätzung alle zwei Stunden zulässig ist. Diese Anzahl von Versuchen summiert sich auf maximal etwa 4415 Schätzungen pro Jahr. Wenn die PIN aus vier Ziffern besteht, können alle 9999 möglichen PIN-Kombinationen in etwas mehr als zwei Jahren versucht werden.
Tipp
Das Erhöhen der PIN-Länge erfordert eine größere Anzahl von Vermutungen für einen Angreifer. In diesem Fall kann die Sperrdauer zwischen den einzelnen Erraten verkürzt werden, damit legitime Benutzer einen fehlgeschlagenen Versuch früher wiederholen können, während ein ähnliches Schutzniveau beibehalten wird.
Hinweis
Wenn die minimale PIN-Länge unter 6 Ziffern festgelegt ist, versucht Windows, den TPM 2.0-Sperrzeitraum so zu aktualisieren, dass er größer als der Standard ist, wenn eine PIN geändert wird. Bei erfolgreicher Ausführung setzt Windows den TPM-Sperrzeitraum nur dann auf den Standardwert zurück, wenn das TPM zurückgesetzt wird.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinieneinstellung wird verwendet, um die Wiederherstellungsmeldung zu konfigurieren und die vorhandene URL zu ersetzen, die auf dem Bildschirm für die Wiederherstellung vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.
- Wenn Sie die Option Standardwiederherstellungsmeldung und -URL verwenden auswählen, werden die BitLocker-Standardwiederherstellungsnachricht und die URL auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und rückgängig machen möchten, müssen Sie die Richtlinie aktiviert lassen und die Option Standardwiederherstellungsnachricht und URL verwenden auswählen.
- Wenn Sie die Option Benutzerdefinierte Wiederherstellungsnachricht verwenden auswählen, wird die Nachricht, die Sie dem Textfeld Benutzerdefinierte Wiederherstellungsmeldung hinzufügen, auf dem Bildschirm für die Wiederherstellung des Prebootschlüssels angezeigt. Wenn eine Wiederherstellungs-URL verfügbar ist, fügen Sie sie in die Nachricht ein.
- Wenn Sie die Option Benutzerdefinierte Wiederherstellungs-URL verwenden auswählen, ersetzt die URL, die Sie dem Textfeld Benutzerdefinierte Wiederherstellungs-URL hinzufügen, die Standard-URL in der Standardwiederherstellungsmeldung, die im Bildschirm für die Wiederherstellung vor dem Start des Schlüssels angezeigt wird.
Hinweis
Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.
Weitere Informationen zum BitLocker-Bildschirm für die Wiederherstellung vor dem Start finden Sie unter Bildschirm für die Wiederherstellung vor dem Start.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es frühe Startkomponenten überprüft, bevor ein Betriebssystemlaufwerk auf einem Computer mit einer BIOS-Konfiguration oder mit UEFI-Firmware entsperrt wird, für die das Compatibility Support Module (CSM) aktiviert ist.
- Wenn diese Option aktiviert ist, können die Startkomponenten konfiguriert werden, die das TPM vor dem Entsperren des Zugriffs auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk überprüft. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren. Stattdessen zeigt der Computer die BitLocker-Wiederherstellungskonsole an und erfordert, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben wird, um das Laufwerk zu entsperren.
- Wenn es deaktiviert oder nicht konfiguriert ist, verwendet das TPM das standardbasierte Plattformvalidierungsprofil oder das Plattformüberprüfungsprofil, das vom Setupskript angegeben wird.
Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.
Wichtig
Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem CSM. Computer, die eine native UEFI-Firmwarekonfiguration verwenden, speichern unterschiedliche Werte in den Platform Configuration Registers (PCRs). Verwenden Sie die Richtlinieneinstellung TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren , um das TPM-PCR-Profil für Computer zu konfigurieren, die native UEFI-Firmware verwenden.
Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes, die zwischen 0 und 23 liegen. Jeder PCR-Index stellt eine bestimmte Messung dar, die das TPM während des frühen Starts überprüft. Das Standardprofil für die Plattformüberprüfung schützt den Verschlüsselungsschlüssel vor Änderungen an den folgenden PCRs:
| PCR |
Beschreibung |
| PCR 0 |
Kernvertrauensstamm für Messungen, BIOS- und Plattformerweiterungen |
| PCR 2 |
Options-ROM-Code |
| PCR 4 |
Master Boot Record (MBR)-Code |
| PCR 8 |
NTFS-Startsektor |
| PCR 9 |
NTFS-Startblock |
| PCR 10 |
Start-Manager |
| PCR 11 |
BitLocker-Zugriffssteuerung |
Hinweis
Eine Änderung vom Standardprofil für die Plattformvalidierung wirkt sich auf die Sicherheit und Verwaltbarkeit eines Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Ein- oder Ausschluss der PCRs erhöht oder verringert.
In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:
| PCR |
Beschreibung |
| PCR 0 |
Kernvertrauensstamm für Messungen, BIOS- und Plattformerweiterungen |
| PCR 1 |
Plattform- und Hauptplatinenkonfiguration und -daten. |
| PCR 2 |
Options-ROM-Code |
| PCR 3 |
Options-ROM-Daten und Konfiguration |
| PCR 4 |
Master Boot Record (MBR)-Code |
| PCR 5 |
MbR-Partitionstabelle (Master Boot Record) |
| PCR 6 |
Zustandsübergangs- und Aktivierungsereignisse |
| PCR 7 |
Computerherstellerspezifisch |
| PCR 8 |
NTFS-Startsektor |
| PCR 9 |
NTFS-Startblock |
| PCR 10 |
Start-Manager |
| PCR 11 |
BitLocker-Zugriffssteuerung |
| PCR 12-23 |
Reserviert für die zukünftige Verwendung |
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es frühe Startkomponenten überprüft, bevor das Betriebssystemlaufwerk auf einem nativen UEFI-Firmwaregerät entsperrt wird.
- Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren. Das Gerät zeigt die BitLocker-Wiederherstellungskonsole an und erfordert, dass entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben wird, um das Laufwerk zu entsperren.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standardprofil für die Plattformüberprüfung für die verfügbare Hardware oder das vom Setupskript angegebene Plattformvalidierungsprofil.
Wichtig
Diese Richtlinieneinstellung gilt nur für Geräte mit einer nativen UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware mit aktiviertem Compatibility Support Module (CSM) speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (PCRs). Verwenden Sie die Richtlinieneinstellung TPM-Plattformüberprüfungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren , um das TPM-PCR-Profil für Geräte mit BIOS-Konfigurationen oder für Geräte mit UEFI-Firmware mit aktiviertem CSM zu konfigurieren.
Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes im Bereich von 0 bis 23. Das Standardprofil für die Plattformüberprüfung schützt den Verschlüsselungsschlüssel vor Änderungen an den folgenden PCRs:
| PCR |
Beschreibung |
| PCR 0 |
Ausführbarer Code der Core System Firmware |
| PCR 2 |
Erweiterter oder austauschbarer ausführbarer Code |
| PCR 4 |
Start-Manager |
| PCR 11 |
BitLocker-Zugriffssteuerung |
Hinweis
Wenn unterstützung für den sicheren Startzustand (PCR7) verfügbar ist, wird der Verschlüsselungsschlüssel durch das Standard-Plattformvalidierungsprofil mithilfe des sicheren Startzustands (PCR 7) und der BitLocker-Zugriffssteuerung (PCR 11) gesichert.
In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:
| PCR |
Beschreibung |
| PCR 0 |
Ausführbarer Code der Core System Firmware |
| PCR 1 |
Kernsystemfirmwaredaten |
| PCR 2 |
Erweiterter oder austauschbarer ausführbarer Code |
| PCR 3 |
Erweiterte oder austauschbare Firmwaredaten |
| PCR 4 |
Start-Manager |
| PCR 5 |
GPT/Partitionstabelle |
| PCR 6 |
Fortsetzen von S4- und S5-Energiezustandsereignissen |
| PCR 7 |
Sicherer Startstatus |
| PCR 8 |
Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert) |
| PCR 9 |
Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert) |
| PCR 10 |
Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert) |
| PCR 11 |
BitLocker-Zugriffssteuerung |
| PCR 12 |
Datenereignisse und hochflüchtige Ereignisse |
| PCR 13 |
Details zum Startmodul |
| PCR 14 |
Startautoritäten |
| PCR 15 - 23 |
Reserviert für die zukünftige Verwendung |
Warnung
Eine Änderung vom Standardprofil für die Plattformvalidierung wirkt sich auf die Sicherheit und Verwaltbarkeit eines Geräts aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Ein- oder Ausschluss der PCRs erhöht oder verringert.
Das Festlegen dieser Richtlinie mit ausgelassener PCR 7 überschreibt die Richtlinie Sicheren Start für die Integritätsüberprüfung zulassen und verhindert, dass BitLocker den sicheren Start für die Plattform- oder BCD-Integritätsüberprüfung (Boot Configuration Data) verwendet.
Das Festlegen dieser Richtlinie kann zur BitLocker-Wiederherstellung führen, wenn die Firmware aktualisiert wird. Wenn Sie diese Richtlinie auf PCR 0 festlegen, setzen Sie BitLocker vor dem Anwenden von Firmwareupdates aus. Es wird empfohlen, diese Richtlinie nicht zu konfigurieren, damit Windows das PCR-Profil auswählen kann, um die beste Kombination aus Sicherheit und Benutzerfreundlichkeit basierend auf der verfügbaren Hardware auf jedem Gerät zu erzielen.
PCR 7 misst den Status des sicheren Starts. Mit PCR 7 kann BitLocker den sicheren Start für die Integritätsüberprüfung verwenden. Der sichere Start stellt sicher, dass die Vorabstartumgebung des Computers nur Firmware lädt, die von autorisierten Softwareanbietern digital signiert wird. PCR 7-Messungen geben an, ob der sichere Start aktiviert ist und welche Schlüssel auf der Plattform vertrauenswürdig sind. Wenn der sichere Start aktiviert ist und die Firmware PCR 7 gemäß der UEFI-Spezifikation ordnungsgemäß misst, kann BitLocker an diese Informationen und nicht an die PCRs 0, 2 und 4 binden, bei denen die Messungen der genauen Firmware- und Bootmgr-Images geladen sind. Dieser Prozess verringert die Wahrscheinlichkeit, dass BitLocker aufgrund von Firmware- und Imageupdates im Wiederherstellungsmodus gestartet wird, und bietet mehr Flexibilität bei der Verwaltung der Preboot-Konfiguration.
PcR 7-Messungen müssen den Anweisungen entsprechen, die in Anhang A Vertrauenswürdige Ausführungsumgebung EFI-Protokoll beschrieben sind.
PCR 7-Messungen sind eine obligatorische Logoanforderung für Systeme, die modern Standby unterstützen (auch bekannt als Always On, Always Connected-PCs). Wenn auf solchen Systemen das TPM mit PCR 7-Messung und dem sicheren Start ordnungsgemäß konfiguriert ist, wird BitLocker standardmäßig an PCR 7 und PCR 11 gebunden.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Betriebssystemlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Betriebssystemlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.
Hinweis
Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.
Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:
- AES 128 im CBC-Modus OID:
2.16.840.1.101.3.4.1.2
- AES 256 im CBC-Modus OID:
2.16.840.1.101.3.4.1.42
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinieneinstellung gibt die Einschränkungen für Kennwörter an, die zum Entsperren von bitLocker-geschützten Betriebssystemlaufwerken verwendet werden. Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.
Wichtig
Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:
- Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
- Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
- Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.
Kennwörter müssen mindestens acht Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Nicht zulassen, dass Standardbenutzer die PIN oder das Kennwort ändern
Diese Richtlinie ermöglicht die Konfiguration, ob Standardbenutzer die PIN oder das Kennwort ändern dürfen, die zum Schutz des Betriebssystemlaufwerks verwendet wird, wenn sie zuerst die vorhandene PIN angeben können.
Wenn Sie diese Richtlinie aktivieren, können Standardbenutzer bitLocker-PINs oder -Kennwörter nicht ändern.
Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, können Standardbenutzer BitLocker-PINs und -Kennwörter ändern.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Mit dieser Richtlinieneinstellung können Benutzer Authentifizierungsoptionen aktivieren, die Benutzereingaben aus der Preboot-Umgebung erfordern, auch wenn die Plattform keine Preboot-Eingabefunktion aufweist. Die Windows-Bildschirmtastatur (z. B. die von Tablets verwendete) ist in der Preboot-Umgebung nicht verfügbar, in der BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erfordert.
- Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Geräte über eine alternative Vorstarteingabe (z. B. eine angeschlossene USB-Tastatur) verfügen.
- Wenn diese Richtlinie nicht aktiviert ist, muss die Windows-Wiederherstellungsumgebung auf Tablets aktiviert sein, um die Eingabe des BitLocker-Wiederherstellungskennworts zu unterstützen.
Es wird empfohlen, dass Administratoren diese Richtlinie nur für Geräte aktivieren, bei denen überprüft wird, dass sie über eine alternative Möglichkeit der Vorabstarteingabe verfügen, z. B. das Anfügen einer USB-Tastatur.
Wenn die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) nicht aktiviert ist und diese Richtlinie nicht aktiviert ist, kann BitLocker nicht auf einem Gerät aktiviert werden, das eine Bildschirmtastatur verwendet.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, sind die folgenden Optionen in der Richtlinie Zusätzliche Authentifizierung beim Start erforderlich möglicherweise nicht verfügbar:
- Konfigurieren der TPM-Start-PIN: Erforderlich und zulässig
- Konfigurieren des TPM-Startschlüssels und der PIN: Erforderlich und zulässig
- Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke
Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken
Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Verschlüsselungstypoption im BitLocker-Setup-Assistenten nicht angeboten:
- Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
- Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Hinweis
Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.
Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Zusätzliche Authentifizierung beim Start erforderlich
Mit dieser Richtlinieneinstellung wird konfiguriert, ob BitLocker bei jedem Gerätestart eine zusätzliche Authentifizierung erfordert.
Wenn Sie diese Richtlinie aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.
Hinweis
Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, andernfalls tritt ein Richtlinienfehler auf.
Wenn Sie BitLocker auf einem Gerät ohne TPM verwenden möchten, wählen Sie die Option BitLocker ohne kompatibles TPM zulassen aus. In diesem Modus ist entweder ein Kennwort oder ein USB-Laufwerk für den Start erforderlich.
Bei Verwendung eines Startschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Schlüssel erstellt wird. Wenn der USB-Schlüssel eingelegt wird, wird der Zugriff auf das Laufwerk authentifiziert, und es ist auf das Laufwerk zugegriffen. Wenn der USB-Schlüssel verloren geht oder nicht verfügbar ist oder Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM können vier Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er Folgendes verwenden:
- Nur TPM
- ein USB-Speicherstick mit einem Startschlüssel
- eine PIN (6-stellig bis 20-stellig)
- PIN + USB-Speicherstick
Hinweis
Wenn Sie die Verwendung einer Start-PIN und eines USB-Speichersticks benötigen möchten, müssen Sie BitLocker-Einstellungen mithilfe des Befehlszeilentools manage-bde anstelle des Setup-Assistenten für die BitLocker-Laufwerkverschlüsselung konfigurieren.
Es gibt vier Optionen für TPM-fähige Geräte:
Konfigurieren des TPM-Starts
- TPM zulassen
- TPM erforderlich
- TPM nicht zulassen
Konfigurieren der TPM-Start-PIN
- Zulassen der Start-PIN mit TPM
- Anfordern der Start-PIN mit TPM
- Start-PIN mit TPM nicht zulassen
Konfigurieren des TPM-Startschlüssels
- Startschlüssel mit TPM zulassen
- Anfordern des Startschlüssels mit TPM
- Startschlüssel mit TPM nicht zulassen
Konfigurieren des TPM-Startschlüssels und der PIN
- TPM-Startschlüssel mit PIN zulassen
- Erfordern eines Startschlüssels und einer PIN mit TPM
- TPM-Startschlüssel mit PIN nicht zulassen
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Diese Richtlinieneinstellung bestimmt, ob Plattformvalidierungsdaten aktualisiert werden sollen, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Ein Plattformvalidierungsdatenprofil besteht aus den Werten in einem Satz von PCR-Indizes (Platform Configuration Register), die zwischen 0 und 23 liegen.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Hierbei handelt es sich um das standardmäßige Verhalten.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.
Weitere Informationen zum Wiederherstellungsvorgang finden Sie in der Übersicht über die BitLocker-Wiederherstellung.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration
Diese Richtlinieneinstellung bestimmt bestimmte Einstellungen für Startkonfigurationsdaten (Boot Configuration Data, BCD), die während der Plattformüberprüfung überprüft werden sollen. Eine Plattformüberprüfung verwendet die Daten im Plattformvalidierungsprofil, das aus einer Reihe von PCR-Indizes (Platform Configuration Register) besteht, die zwischen 0 und 23 liegen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft das Gerät die Windows BCD-Standardeinstellungen.
Hinweis
Wenn BitLocker den sicheren Start für die Plattform- und BCD-Integritätsüberprüfung verwendet, wie in der Richtlinieneinstellung Sicherer Start für die Integritätsüberprüfung zulassen definiert, wird diese Richtlinieneinstellung ignoriert. Die Einstellung, die das Startdebuggen 0x16000010 steuert, wird immer überprüft und hat keine Auswirkung, wenn sie in der Ein- oder Ausschlussliste enthalten ist.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke |
Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Festplattenlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Festplattenlaufwerken zur Verfügung stehen. Hier sind die verfügbaren Optionen:
- Zertifikatbasierten Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Festplattenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
- Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
- Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
- BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
- Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.
Wichtig
Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Festplatten verweigern, die nicht durch BitLocker geschützt sind.
Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Festplattenlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Festplattenlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.
Hinweis
Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.
Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:
- AES 128 im CBC-Modus OID:
2.16.840.1.101.3.4.1.2
- AES 256 im CBC-Modus OID:
2.16.840.1.101.3.4.1.42
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Diese Richtlinieneinstellung gibt an, ob ein Kennwort erforderlich ist, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren. Wenn Sie die Verwendung eines Kennworts zulassen, können Sie die Verwendung eines Kennworts anfordern, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.
Wichtig
Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:
- Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
- Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
- Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.
Kennwörter müssen mindestens acht Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards zum Authentifizieren des Benutzerzugriffs auf die durch BitLocker geschützten Festplattenlaufwerke verwendet werden können.
- Wenn Sie diese Richtlinieneinstellung aktivieren, können Smartcards verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren.
- Sie können eine Intelligente Karte-Authentifizierung anfordern, indem Sie die Option Verwendung von Smartcards auf Festplattenlaufwerken anfordern auswählen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer smartcards nicht verwenden, um ihren Zugriff auf durch BitLocker geschützte Festplattenlaufwerke zu authentifizieren.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Smartcards verwendet werden, um den Benutzerzugriff auf ein durch BitLocker geschütztes Laufwerk zu authentifizieren.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind
Diese Richtlinieneinstellung wird verwendet, um die Verschlüsselung von Festplattenlaufwerken vor dem Gewähren des Schreibzugriffs zu erfordern.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Festplattenlaufwerke, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Festplattenlaufwerke auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.
Hinweis
Wenn diese Richtlinieneinstellung aktiviert ist, erhalten Benutzer Fehlermeldungen vom Typ "Zugriff verweigert ", wenn sie versuchen, Daten auf unverschlüsselten Festplattenlaufwerken zu speichern.
Wenn das BitLocker-LaufwerkvorbereitungstoolBdeHdCfg.exe auf einem Computer ausgeführt wird, wenn diese Richtlinieneinstellung aktiviert ist, können die folgenden Probleme auftreten:
- Wenn Sie versuchen, ein Laufwerk zu verkleinern, um das Systemlaufwerk zu erstellen, wird die Laufwerksgröße erfolgreich reduziert, und eine unformatierte Partition wird erstellt. Die unformatierte Partition ist jedoch nicht formatiert. Die folgende Fehlermeldung wird angezeigt: Das neue aktive Laufwerk kann nicht formatiert werden. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.
- Wenn Sie versuchen, nicht zugewiesenen Speicherplatz zum Erstellen des Systemlaufwerks zu verwenden, wird eine unformatierte Partition erstellt. Die unformatierte Partition ist jedoch nicht formatiert. Die folgende Fehlermeldung wird angezeigt: Das neue aktive Laufwerk kann nicht formatiert werden. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.
- Wenn Sie versuchen, ein vorhandenes Laufwerk mit dem Systemlaufwerk zusammenzuführen, kann das Tool die erforderliche Startdatei nicht auf das Ziellaufwerk kopieren, um das Systemlaufwerk zu erstellen. Die folgende Fehlermeldung wird angezeigt: BitLocker-Setup konnte Startdateien nicht kopieren. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken
Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Festplattenlaufwerken.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt:
- Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
- Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Hinweis
Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.
Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke |
Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können
Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Wechseldatenträger ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Wechseldatenlaufwerken zur Verfügung stehen. Hier sind die verfügbaren Optionen:
- Zertifikatbasierten Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Wechseldatenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
- Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
- Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
- BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
- Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.
Wichtig
Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern aktiviert ist, die nicht durch BitLocker geschützt sind.
Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Wechseldatenträgern verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Wechseldatenträgern verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.
Hinweis
Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.
Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:
- AES 128 im CBC-Modus OID:
2.16.840.1.101.3.4.1.2
- AES 256 im CBC-Modus OID:
2.16.840.1.101.3.4.1.42
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Diese Richtlinieneinstellung gibt an, ob ein Kennwort erforderlich ist, um bitLocker-geschützte Wechseldatenträger zu entsperren. Wenn Sie die Verwendung eines Kennworts zulassen, können Sie die Verwendung eines Kennworts anfordern, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.
Wichtig
Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:
- Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
- Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
- Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.
Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards verwendet werden können, um den Benutzerzugriff auf die durch BitLocker geschützten Wechseldatenlaufwerke zu authentifizieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, können Smartcards verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren.
- Sie können eine intelligente Karte-Authentifizierung anfordern, indem Sie die Option Verwendung von Smartcards auf Wechseldatenträgern anfordern auswählen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer smartcards nicht verwenden, um ihren Zugriff auf bitLocker-geschützte Wechseldatenlaufwerke zu authentifizieren.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Smartcards verwendet werden, um den Benutzerzugriff auf ein durch BitLocker geschütztes Laufwerk zu authentifizieren.
|
Pfad |
| CSP |
Nicht verfügbar |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Steuern der Verwendung von BitLocker auf Wechseldatenträgern
Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.
Wenn diese Richtlinieneinstellung aktiviert ist, können Sie Eigenschafteneinstellungen auswählen, die steuern, wie Benutzer BitLocker konfigurieren können:
- Wählen Sie Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben aus, damit der Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenlaufwerk ausführen kann.
- Wählen Sie Zulassen, dass Benutzer BitLocker auf Wechseldatenträgern anhalten und entschlüsseln können, damit der Benutzer die BitLocker-Verschlüsselung vom Laufwerk entfernen oder die Verschlüsselung anhalten kann, während die Wartung durchgeführt wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind
Mit dieser Richtlinieneinstellung wird konfiguriert, ob BitLocker-Schutz erforderlich ist, damit ein Gerät Daten auf ein Wechseldatenlaufwerk schreiben kann.
Wenn Sie diese Richtlinieneinstellung aktivieren:
- Alle Wechseldatenträger, die nicht mit BitLocker geschützt sind, werden schreibgeschützt bereitgestellt.
- Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
- Wenn die Option Schreibzugriff auf Geräte verweigern aktiviert ist, die in einer anderen organization konfiguriert sind, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff.
- Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird es auf gültige Identifikationsfelder und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung (Geben Sie die eindeutigen Bezeichner für Ihre organization)[]
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.
Hinweis
Diese Richtlinieneinstellung wird ignoriert, wenn die Richtlinieneinstellungen Wechseldatenträger: Schreibzugriff verweigern aktiviert sind.
Wichtig
Wenn Sie diese Richtlinie aktivieren:
- Die Verwendung von BitLocker mit dem TPM-Startschlüssel oder TPM-Schlüssel und der PIN muss nicht zulässig sein.
- Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern
Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Verschlüsselungstypoption im BitLocker-Setup-Assistenten nicht angeboten:
- Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
- Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Hinweis
Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.
Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.
|
Pfad |
| CSP |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType |
| GRUPPENRICHTLINIENOBJEKT |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger |
Wechseldatenträger, die von der Verschlüsselung ausgeschlossen sind
Allgemeine Einstellungen
Betriebssystemlaufwerk
Festplattenlaufwerke