Festlegen des BitLocker-Verschlüsselungsalgorithmus für Autopilot-Geräte

BitLocker verschlüsselt interne Laufwerke automatisch während der Out-of-Box-Erfahrung (OOBE) für Geräte, die Modern Standby unterstützen oder die Hardware Security Testability Specification (HSTI) erfüllen. Standardmäßig verwendet BitLocker den 128-Bit-Speicherplatz von XTS-AES nur für die automatische Verschlüsselung.

Mit Windows Autopilot können Sie bitLocker-Verschlüsselungseinstellungen so konfigurieren, dass sie angewendet werden, bevor die automatische Verschlüsselung gestartet wird. Diese Konfiguration stellt sicher, dass der Standardverschlüsselungsalgorithmus oder -typ nicht automatisch angewendet wird. Ein Gerät, das diese Einstellungen nach der automatischen Verschlüsselung empfängt, muss vor dem Ändern des Verschlüsselungsalgorithmus entschlüsselt werden.

Verschlüsselungsalgorithmus

Der BitLocker-Verschlüsselungsalgorithmus wird verwendet, wenn BitLocker zum ersten Mal aktiviert wird. Während Autopilot wird BitLocker nach dem Gerätesetupteil der Registrierungsseite status aktiviert. Die folgenden Verschlüsselungsalgorithmen sind verfügbar:

  • AES-CBC 128-Bit
  • AES-CBC 256-Bit
  • XTS-AES 128-Bit (Standard)
  • XTS-AES 256-Bit

Weitere Informationen zu den empfohlenen Verschlüsselungsalgorithmen finden Sie unter BitLocker CSP.

So stellen Sie sicher, dass der gewünschte BitLocker-Verschlüsselungsalgorithmus festgelegt ist, bevor die automatische Verschlüsselung für Autopilot-Geräte erfolgt:

  1. Konfigurieren Sie die Einstellungen für die Verschlüsselungsmethode in der Endpoint Security-Datenträgerverschlüsselungsrichtlinie. Die Einstellungen sind unter Endpunktsicherheit>Datenträgerverschlüsselung>Richtlinie erstellen>Plattform = Windows 10 und höher, Profiltyp = BitLocker verfügbar.

  2. Weisen Sie die Richtlinie Ihrer Autopilot-Gerätegruppe zu. Die Verschlüsselungsrichtlinie muss Geräten in der Gruppe und nicht Benutzern zugewiesen werden.

  3. Aktivieren Sie die Seite Autopilot-Registrierung status für diese Geräte. Wenn Sie dieses Feature nicht aktivieren, wird die Richtlinie nicht angewendet, bevor die Verschlüsselung gestartet wird.

Verschlüsselung des vollständigen Datenträgers oder Beschränkung auf den verwendeten Speicherplatz

Es gibt zwei Arten von Verschlüsselung: vollständiger Datenträger oder nur verwendeter Speicherplatz. Die Art der Verschlüsselung wird automatisch durch die Konfiguration der automatischen Aktivierung und hardwarebasierte Unterstützung für modernen Standbymodus bestimmt. Sie können dies erzwingen, indem Sie die Einstellung SystemDrivesEncryptionType konfigurieren. Wie der Verschlüsselungsalgorithmus wird der Verschlüsselungstyp verwendet, wenn BitLocker zum ersten Mal aktiviert wird. Weitere Informationen zum erwarteten Verschlüsselungstypverhalten finden Sie unter Verwalten der BitLocker-Richtlinie.

So erzwingen Sie den typ der verwendeten Laufwerkverschlüsselung:

  1. Konfigurieren Sie die Einstellung Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen im Einstellungskatalog. Diese Einstellung ist in der Kategorie Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke in der Einstellungsauswahl verfügbar.

  2. Weisen Sie die Richtlinie Ihrer Autopilot-Gerätegruppe zu. Die Verschlüsselungsrichtlinie muss Geräten in der Gruppe und nicht Benutzern zugewiesen werden.

  3. Aktivieren Sie die Seite Autopilot-Registrierung status für diese Geräte. Wenn Sie dieses Feature nicht aktivieren, wird die Richtlinie nicht angewendet, bevor die Verschlüsselung gestartet wird.

Anforderungen

Eine unterstützte Version von Windows.

Nächste Schritte