Referenz zu BitLocker-Einstellungen
Gilt für: Configuration Manager (Current Branch)
BitLocker-Verwaltungsrichtlinien in Configuration Manager enthalten die folgenden Richtliniengruppen:
- Setup
- Betriebssystemlaufwerk
- Festplattenlaufwerk
- Wechseldatenträger
- Kundenverwaltung
In den folgenden Abschnitten werden Konfigurationen für die Einstellungen in jeder Gruppe beschrieben und vorgeschlagen.
Setup
Die Einstellungen auf dieser Seite konfigurieren globale BitLocker-Verschlüsselungsoptionen.
Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke
Empfohlene Konfiguration: Aktiviert mit der Standardverschlüsselungsmethode oder höher.
Hinweis
Die Seite Setupeigenschaften enthält zwei Gruppen von Einstellungen für verschiedene Versionen von Windows. In diesem Abschnitt werden beide beschrieben.
Windows 8.1-Geräte
Aktivieren Sie für Windows 8.1 Geräte die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke, und wählen Sie eine der folgenden Verschlüsselungsmethoden aus:
- AES 128-Bit mit Diffusor
- AES 256-Bit mit Diffusor
- AES 128-Bit (Standard)
- AES 256-Bit
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBLEncryptionMethodPolicy.
Windows 10- oder höhere Geräte
Aktivieren Sie für geräte Windows 10 oder höher die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 oder höher). Wählen Sie dann einzeln eine der folgenden Verschlüsselungsmethoden für Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger aus:
- AES-CBC 128-Bit
- AES-CBC 256-Bit
- XTS-AES 128-Bit (Standard)
- XTS-AES 256-Bit
Tipp
BitLocker verwendet Advanced Encryption Standard (AES) als Verschlüsselungsalgorithmus mit konfigurierbaren Schlüssellängen von 128 oder 256 Bit. Auf Windows 10 oder höheren Geräten unterstützt die AES-Verschlüsselung CBC (Cipher Block Chaining) oder Ciphertext Stealing (XTS).
Wenn Sie auf Geräten, auf denen keine Windows 10 ausgeführt werden, ein Wechseldatenträger verwenden müssen, verwenden Sie AES-CBC.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBLEncryptionMethodWithXts.
Allgemeine Hinweise zur Verwendung von Laufwerksverschlüsselung und Verschlüsselungsstärke
Wenn Sie diese Einstellungen deaktivieren oder nicht konfigurieren, verwendet BitLocker die Standardverschlüsselungsmethode.
Configuration Manager wendet diese Einstellungen an, wenn Sie BitLocker aktivieren.
Wenn das Laufwerk bereits verschlüsselt ist oder gerade ausgeführt wird, ändert jede Änderung dieser Richtlinieneinstellungen nicht die Laufwerkverschlüsselung auf dem Gerät.
Wenn Sie den Standardwert verwenden, wird im Bericht zur BitLocker-Computerkonformität möglicherweise die Verschlüsselungsstärke als unbekannt angezeigt. Um dieses Problem zu umgehen, aktivieren Sie diese Einstellung, und legen Sie einen expliziten Wert für die Verschlüsselungsstärke fest.
Verhindern des Überschreibens des Arbeitsspeichers beim Neustart
Empfohlene Konfiguration: Nicht konfiguriert
Konfigurieren Sie diese Richtlinie, um die Neustartleistung zu verbessern, ohne beim Neustart BitLocker-Geheimnisse im Arbeitsspeicher zu überschreiben.
Wenn Sie diese Richtlinie nicht konfigurieren, entfernt BitLocker seine Geheimnisse aus dem Arbeitsspeicher, wenn der Computer neu gestartet wird.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMNoOverwritePolicy.
Überprüfen der Konformität von Smart Karte-Zertifikatverwendungsregeln
Empfohlene Konfiguration: Nicht konfiguriert
Konfigurieren Sie diese Richtlinie für die Verwendung des zertifikatbasierten BitLocker-Schutzes für Smartcards. Geben Sie dann den Zertifikatobjektbezeichner an.
Wenn Sie diese Richtlinie nicht konfigurieren, verwendet BitLocker den Standardobjektbezeichner 1.3.6.1.4.1.311.67.1.1 , um ein Zertifikat anzugeben.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMScCompliancePolicy.
Eindeutige Organisationsbezeichner
Empfohlene Konfiguration: Nicht konfiguriert
Konfigurieren Sie diese Richtlinie für die Verwendung eines zertifikatbasierten Datenwiederherstellungs-Agents oder des BitLocker To Go-Readers.
Wenn Sie diese Richtlinie nicht konfigurieren, verwendet BitLocker das Feld Identifikation nicht.
Wenn Ihr organization höhere Sicherheitsmessungen erfordert, konfigurieren Sie das Feld Identifikation. Legen Sie dieses Feld auf allen zielorientierten USB-Geräten fest, und richten Sie es an dieser Einstellung aus.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUidPolicy.
Betriebssystemlaufwerk
Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselungseinstellungen für das Laufwerk, auf dem Windows installiert ist.
Verschlüsselungseinstellungen für Betriebssystemlaufwerke
Empfohlene Konfiguration: Aktiviert
Wenn Sie diese Einstellung aktivieren, muss der Benutzer das Betriebssystemlaufwerk schützen, und BitLocker verschlüsselt das Laufwerk. Wenn Sie es deaktivieren, kann der Benutzer das Laufwerk nicht schützen. Wenn Sie diese Richtlinie nicht konfigurieren, ist auf dem Betriebssystemlaufwerk kein BitLocker-Schutz erforderlich.
Hinweis
Wenn das Laufwerk bereits verschlüsselt ist und Sie diese Einstellung deaktivieren, entschlüsselt BitLocker das Laufwerk.
Wenn Sie Über Geräte ohne Trusted Platform Module (TPM) verfügen, verwenden Sie die Option BitLocker ohne kompatibles TPM zulassen (kennwort erforderlich). Mit dieser Einstellung kann BitLocker das Betriebssystemlaufwerk verschlüsseln, auch wenn das Gerät über kein TPM verfügt. Wenn Sie diese Option zulassen, fordert Windows den Benutzer auf, ein BitLocker-Kennwort anzugeben.
Auf Geräten mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern. Konfigurieren Sie die folgenden Einstellungen:
Schutzvorrichtung für Betriebssystemlaufwerk auswählen: Konfigurieren Sie es für die Verwendung eines TPM und einer PIN oder nur des TPM.
Konfigurieren der minimalen PIN-Länge für den Start: Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist
4die minimale PIN-Länge .
Tipp
Wenn Sie Geräte mit TPM - und PIN-Schutz aktivieren, sollten Sie aus Sicherheitsgründen die folgenden Gruppenrichtlinieneinstellungen in den Einstellungen für den EnergiesparmodusderSystemenergieverwaltung>>deaktivieren:
Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)
Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSOSDEncryptionPolicy.
Erweiterte PINs für den Start zulassen
Empfohlene Konfiguration: Nicht konfiguriert
Konfigurieren Sie BitLocker für die Verwendung erweiterter Start-PINs. Diese PINs ermöglichen die Verwendung weiterer Zeichen wie Groß- und Kleinbuchstaben, Symbole, Zahlen und Leerzeichen. Diese Einstellung gilt, wenn Sie BitLocker aktivieren.
Wichtig
Nicht alle Computer können erweiterte PINs in der Umgebung vor dem Start unterstützen. Bevor Sie die Verwendung aktivieren, bewerten Sie, ob Ihre Geräte mit diesem Feature kompatibel sind.
Wenn Sie diese Einstellung aktivieren, ermöglichen alle neuen BitLocker-Start-PINs dem Benutzer das Erstellen erweiterter PINs.
- Nur ASCII-PINs erforderlich: Helfen Sie dabei, erweiterte PINs mit Computern kompatibel zu machen, die den Typ oder die Anzahl der Zeichen einschränken, die Sie in der Umgebung vor dem Start eingeben können.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker keine erweiterten PINs.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMEnhancedPIN.
Kennwortrichtlinie für Betriebssystemlaufwerke
Empfohlene Konfiguration: Nicht konfiguriert
Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter festzulegen, um bitLocker-geschützte Betriebssystemlaufwerke zu entsperren. Wenn Sie Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulassen, konfigurieren Sie die folgenden Einstellungen:
Konfigurieren der Kennwortkomplexität für Betriebssystemlaufwerke: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.
Minimale Kennwortlänge für Betriebssystemlaufwerk: Standardmäßig ist
8die Mindestlänge .Nur ASCII-Kennwörter für Wechselbetriebssystemlaufwerke erforderlich
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMOSPassphrase.
Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Betriebssystemlaufwerke
Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.
BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.
Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.
Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung
Empfohlene Konfiguration: Nicht konfiguriert
Steuern Sie, ob Windows die Plattformvalidierungsdaten aktualisiert, wenn sie nach der BitLocker-Wiederherstellung gestartet werden.
Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, aktualisiert Windows in diesem Fall die Plattformvalidierungsdaten.
Wenn Sie diese Richtlinieneinstellung deaktivieren, aktualisiert Windows in diesem Fall keine Plattformvalidierungsdaten.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMTpmAutoResealPolicy.
Wiederherstellungsnachricht und URL vor dem Start
Empfohlene Konfiguration: Nicht konfiguriert
Wenn BitLocker das Betriebssystemlaufwerk sperrt, verwenden Sie diese Einstellung, um eine benutzerdefinierte Wiederherstellungsnachricht oder eine URL auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Diese Einstellung gilt nur für Windows 10 oder höhere Geräte.
Wenn Sie diese Einstellung aktivieren, wählen Sie eine der folgenden Optionen für die Wiederherstellungsnachricht vor dem Start aus:
Standardwiederherstellungsmeldung und -URL verwenden: Zeigen Sie die BitLocker-Standardwiederherstellungsnachricht und -URL auf dem Bildschirm für die BitLocker-Wiederherstellung vor dem Start an. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben, verwenden Sie diese Option, um die Standardnachricht zu rückgängig machen.
Benutzerdefinierte Wiederherstellungsmeldung verwenden: Schließen Sie eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start ein.
- Benutzerdefinierte Wiederherstellungsmeldungsoption: Geben Sie die anzuzeigende benutzerdefinierte Nachricht ein. Wenn Sie auch eine Wiederherstellungs-URL angeben möchten, schließen Sie sie als Teil dieser benutzerdefinierten Wiederherstellungsnachricht ein. Die maximale Zeichenfolgenlänge beträgt 32.768 Zeichen.
Benutzerdefinierte Wiederherstellungs-URL verwenden: Ersetzen Sie die Standard-URL, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird.
- Option "Benutzerdefinierte Wiederherstellungs-URL": Geben Sie die anzuzeigende URL ein. Die maximale Zeichenfolgenlänge beträgt 32.768 Zeichen.
Hinweis
Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Testen Sie zunächst Ihre benutzerdefinierte Nachricht oder URL, um sicherzustellen, dass sie auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt wird.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMPrebootRecoveryInfo.
Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien (Betriebssystemlaufwerk)
Empfohlene Konfiguration: Aktiviert
Konfigurieren Sie die Anzahl der Tage, mit denen Benutzer die BitLocker-Konformität für das Betriebssystemlaufwerk verschieben können. Die Toleranzperiode für Nichtkonformität beginnt, wenn Configuration Manager sie zum ersten Mal als nicht konform erkennt. Nach Ablauf dieser Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme anfordern.
Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird in Windows ein Dialogfeld angezeigt, das der Benutzer erst schließen kann, wenn er die erforderlichen Informationen bereitstellt. In zukünftigen Benachrichtigungen für Fehler oder status gelten diese Einschränkung nicht.
Wenn BitLocker keine Benutzerinteraktion erfordert, um eine Schutzvorrichtung hinzuzufügen, startet BitLocker nach Ablauf der Toleranzperiode die Verschlüsselung im Hintergrund.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, müssen benutzer Configuration Manager die BitLocker-Richtlinien nicht einhalten.
Um die Richtlinie sofort zu erzwingen, legen Sie eine Karenzzeit von fest 0.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUseOsEnforcePolicy.
Festplattenlaufwerk
Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselung für andere Datenlaufwerke auf einem Gerät.
Verschlüsselung von Festplattenlaufwerken
Empfohlene Konfiguration: Aktiviert
Verwalten Sie Ihre Anforderungen an die Verschlüsselung von Festplattenlaufwerken. Wenn Sie diese Einstellung aktivieren, erfordert BitLocker, dass Benutzer alle Festplattenlaufwerke unter Schutz stellen. Anschließend werden die Datenlaufwerke verschlüsselt.
Wenn Sie diese Richtlinie aktivieren, aktivieren Sie entweder die automatische Entsperrung oder die Einstellungen für die Kennwortrichtlinie für Festplattenlaufwerke.
- Konfigurieren der automatischen Entsperrung für Festplattenlaufwerke: Zulassen oder anfordern, dass BitLocker jedes verschlüsselte Datenlaufwerk automatisch entsperrt. Um die automatische Entsperrung zu verwenden, müssen Sie auch BitLocker zum Verschlüsseln des Betriebssystemlaufwerks anfordern.
Wenn Sie diese Einstellung nicht konfigurieren, müssen Benutzer von BitLocker keine Festplattenlaufwerke schützen.
Wenn Sie diese Einstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie deaktivieren, nachdem BitLocker Festplattenlaufwerke verschlüsselt hat, entschlüsselt BitLocker die Festplattenlaufwerke.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSFDVEncryptionPolicy.
Verweigern des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind
Empfohlene Konfiguration: Nicht konfiguriert
BitLocker-Schutz für Windows erforderlich, um Daten auf Festplattenlaufwerke auf dem Gerät zu schreiben. BitLocker wendet diese Richtlinie an, wenn Sie sie aktivieren.
Wenn Sie diese Einstellung aktivieren:
Wenn BitLocker ein Festplattenlaufwerk schützt, stellt Windows es mit Lese- und Schreibzugriff ein.
Für alle Festplattenlaufwerke, die von BitLocker nicht geschützt werden, stellt Windows es schreibgeschützt bereit.
Wenn Sie diese Einstellung nicht konfigurieren, bindet Windows alle Festplattenlaufwerke mit Lese- und Schreibzugriff ein.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMFDVDenyWriteAccessPolicy.
Kennwortrichtlinie für Festplattenlaufwerke
Empfohlene Konfiguration: Nicht konfiguriert
Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter festzulegen, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren.
Wenn Sie diese Einstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das Ihren definierten Anforderungen entspricht.
Um eine höhere Sicherheit zu gewährleisten, aktivieren Sie diese Einstellung, und konfigurieren Sie dann die folgenden Einstellungen:
Kennwort für Festplattenlaufwerk anfordern: Benutzer müssen ein Kennwort angeben, um ein durch BitLocker geschütztes Festplattenlaufwerk zu entsperren.
Konfigurieren der Kennwortkomplexität für Festplattenlaufwerke: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.
Minimale Kennwortlänge für Festplattenlaufwerk: Standardmäßig ist
8die Mindestlänge .
Wenn Sie diese Einstellung deaktivieren, können Benutzer kein Kennwort konfigurieren.
Wenn die Richtlinie nicht konfiguriert ist, unterstützt BitLocker Kennwörter mit den Standardeinstellungen. Die Standardeinstellungen enthalten keine Anforderungen an die Kennwortkomplexität und erfordern nur acht Zeichen.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMFDVPassPhrasePolicy.
Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Festplattenlaufwerke
Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.
BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.
Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.
Erzwingungseinstellungen für Verschlüsselungsrichtlinien (Festplattenlaufwerk)
Empfohlene Konfiguration: Aktiviert
Konfigurieren Sie die Anzahl der Tage, mit denen Benutzer die BitLocker-Konformität für Festplattenlaufwerke verschieben können. Die Toleranzperiode für Nichtkonformität beginnt, wenn Configuration Manager das Festplattenlaufwerk zum ersten Mal als nicht konform erkennt. Die Richtlinie für Festplattenlaufwerke wird erst erzwungen, wenn das Betriebssystemlaufwerk konform ist. Nach Ablauf der Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme anfordern.
Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird in Windows ein Dialogfeld angezeigt, das der Benutzer erst schließen kann, wenn er die erforderlichen Informationen bereitstellt. In zukünftigen Benachrichtigungen für Fehler oder status gelten diese Einschränkung nicht.
Wenn BitLocker keine Benutzerinteraktion erfordert, um eine Schutzvorrichtung hinzuzufügen, startet BitLocker nach Ablauf der Toleranzperiode die Verschlüsselung im Hintergrund.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, müssen benutzer Configuration Manager die BitLocker-Richtlinien nicht einhalten.
Um die Richtlinie sofort zu erzwingen, legen Sie eine Karenzzeit von fest 0.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUseFddEnforcePolicy.
Wechseldatenträger
Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselung für Wechseldatenträger, z. B. USB-Schlüssel.
Verschlüsselung von Wechseldatenträgern
Empfohlene Konfiguration: Aktiviert
Diese Einstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.
Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben: Benutzer können den BitLocker-Schutz für ein Wechsellaufwerk aktivieren.
Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben: Benutzer können die BitLocker-Laufwerkverschlüsselung von einem Wechseldatenträger entfernen oder vorübergehend anhalten.
Wenn Sie diese Einstellung aktivieren und Benutzern das Anwenden des BitLocker-Schutzes erlauben, speichert der Configuration Manager-Client Wiederherstellungsinformationen zu Wechseldatenträgern im Wiederherstellungsdienst auf dem Verwaltungspunkt. Dieses Verhalten ermöglicht es Benutzern, das Laufwerk wiederherzustellen, wenn sie die Schutzvorrichtung (Kennwort) vergessen oder verlieren.
Wenn Sie diese Einstellung aktivieren:
Aktivieren der Einstellungen für die Kennwortrichtlinie für Wechseldatenträger
Deaktivieren Sie die folgenden Gruppenrichtlinieneinstellungen imSystemdatenträgerzugriff> für Benutzer- & Computerkonfigurationen:
- Alle Wechselmedienklassen: Verweigern des gesamten Zugriffs
- Wechseldatenträger: Schreibzugriff verweigern
- Wechseldatenträger: Lesezugriff verweigern
Wenn Sie diese Einstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVConfigureBDEPolicy.
Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind
Empfohlene Konfiguration: Nicht konfiguriert
BitLocker-Schutz für Windows erforderlich, um Daten auf Wechseldatenträger auf dem Gerät zu schreiben. BitLocker wendet diese Richtlinie an, wenn Sie sie aktivieren.
Wenn Sie diese Einstellung aktivieren:
Wenn BitLocker ein Wechseldatenträger schützt, stellt Windows es mit Lese- und Schreibzugriff ein.
Für alle Wechseldatenträger, die bitLocker nicht schützt, stellt Windows es schreibgeschützt bereit.
Wenn Sie die Option Zum Verweigern des Schreibzugriffs auf Geräte aktivieren, die in einer anderen organization konfiguriert sind, gewährt BitLocker schreibzugriff nur auf Wechseldatenträger mit Identifikationsfeldern, die den zulässigen Identifikationsfeldern entsprechen. Definieren Sie diese Felder mit den globalen Einstellungen für eindeutige Organisationsbezeichner auf der Seite Setup .
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bindet Windows alle Wechseldatenträger mit Lese- und Schreibzugriff ein.
Hinweis
Sie können diese Einstellung mit den Gruppenrichtlinieneinstellungen unterSystemdatenträgerzugriff> überschreiben. Wenn Sie die Gruppenrichtlinieneinstellung Wechseldatenträger: Schreibzugriff verweigern aktivieren, ignoriert BitLocker diese Configuration Manager Einstellung.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVDenyWriteAccessPolicy.
Kennwortrichtlinie für Wechseldatenträger
Empfohlene Konfiguration: Aktiviert
Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter zum Entsperren von BitLocker-geschützten Wechseldatenträgern festzulegen.
Wenn Sie diese Einstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das Ihren definierten Anforderungen entspricht.
Um eine höhere Sicherheit zu gewährleisten, aktivieren Sie diese Einstellung, und konfigurieren Sie dann die folgenden Einstellungen:
Kennwort für Wechseldatenträger erforderlich: Benutzer müssen ein Kennwort angeben, um ein durch BitLocker geschütztes Wechsellaufwerk zu entsperren.
Konfigurieren der Kennwortkomplexität für Wechseldatenträger: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.
Minimale Kennwortlänge für Wechseldatenträger: Standardmäßig ist
8die Mindestlänge .
Wenn Sie diese Einstellung deaktivieren, können Benutzer kein Kennwort konfigurieren.
Wenn die Richtlinie nicht konfiguriert ist, unterstützt BitLocker Kennwörter mit den Standardeinstellungen. Die Standardeinstellungen enthalten keine Anforderungen an die Kennwortkomplexität und erfordern nur acht Zeichen.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVPassPhrasePolicy.
Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Wechseldatenträger
Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.
BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.
Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.
Kundenverwaltung
Die Einstellungen auf dieser Seite konfigurieren BitLocker-Verwaltungsdienste und -clients.
BitLocker-Verwaltungsdienste
Empfohlene Konfiguration: Aktiviert
Wenn Sie diese Einstellung aktivieren, sichert Configuration Manager automatisch und automatisch Schlüsselwiederherstellungsinformationen in der Standortdatenbank. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, speichert Configuration Manager keine Schlüsselwiederherstellungsinformationen.
Wählen Sie BitLocker-Wiederherstellungsinformationen zum Speichern aus: Konfigurieren Sie den Schlüsselwiederherstellungsdienst zum Sichern von BitLocker-Wiederherstellungsinformationen. Es bietet eine administrative Methode zum Wiederherstellen von Daten, die von BitLocker verschlüsselt wurden, um Datenverluste aufgrund des Fehlens von Schlüsselinformationen zu verhindern.
Speichern von Wiederherstellungsinformationen als Nur-Text zulassen: Ohne ein BitLocker-Verwaltungsverschlüsselungszertifikat für SQL Server speichert Configuration Manager die Schlüsselwiederherstellungsinformationen im Klartext. Weitere Informationen finden Sie unter Verschlüsseln von Wiederherstellungsdaten in der Datenbank.
Clientüberprüfung status Häufigkeit (Minuten):Bei der konfigurierten Häufigkeit überprüft der Client die BitLocker-Schutzrichtlinien und status auf dem Computer und sichert auch den Clientwiederherstellungsschlüssel. Standardmäßig überprüft der Configuration Manager Client bitLocker status alle 90 Minuten.
Wichtig
Legen Sie diesen Wert nicht auf kleiner als 60 fest. Ein geringerer Häufigkeitswert kann dazu führen, dass der Client kurz ungenaue Konformitätszustände meldet.
Weitere Informationen zum Erstellen dieser Richtlinien mit Windows PowerShell finden Sie unter:
Benutzerausnahmerichtlinie
Empfohlene Konfiguration: Nicht konfiguriert
Konfigurieren Sie eine Kontaktmethode für Benutzer, um eine Ausnahme von der BitLocker-Verschlüsselung anzufordern.
Wenn Sie diese Richtlinieneinstellung aktivieren, geben Sie die folgenden Informationen an:
Maximal zu verschiebende Tage: Gibt an, wie viele Tage der Benutzer eine erzwungene Richtlinie verschieben kann. Standardmäßig ist
7dieser Wert Tage (eine Woche).Kontaktmethode: Geben Sie an, wie Benutzer eine Ausnahme anfordern können: URL, E-Mail-Adresse oder Telefonnummer.
Kontakt: Geben Sie die URL, E-Mail-Adresse oder Telefonnummer an. Wenn ein Benutzer eine Ausnahme vom BitLocker-Schutz anfordert, wird ein Windows-Dialogfeld mit Anweisungen zur Anwendung angezeigt. Configuration Manager überprüft die eingegebenen Informationen nicht.
URL: Verwenden Sie das Standard-URL-Format.
https://website.domain.tldWindows zeigt die URL als Link an.Email Adresse: Verwenden Sie das Standard-E-Mail-Adressformat.
user@domain.tldWindows zeigt die Adresse als folgenden Link an:mailto:user@domain.tld?subject=Request exemption from BitLocker protection.Telefonnummer: Geben Sie die Nummer an, die Ihre Benutzer anrufen sollen. Windows zeigt die Zahl mit der folgenden Beschreibung an:
Please call <your number> for applying exemption.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, zeigt Windows den Benutzern die Anweisungen zur Ausnahmeanforderung nicht an.
Hinweis
BitLocker verwaltet Ausnahmen pro Benutzer, nicht pro Computer. Wenn sich mehrere Benutzer auf demselben Computer anmelden und ein Benutzer nicht ausgenommen ist, verschlüsselt BitLocker den Computer.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSUserExemptionPolicy.
URL für den Link zur Sicherheitsrichtlinie
Empfohlene Konfiguration: Aktiviert
Geben Sie eine URL an, die Benutzern als Unternehmenssicherheitsrichtlinie in Windows angezeigt werden soll. Verwenden Sie diesen Link, um Benutzern Informationen zu den Verschlüsselungsanforderungen bereitzustellen. Es wird angezeigt, wenn BitLocker den Benutzer auffordert, ein Laufwerk zu verschlüsseln.
Wenn Sie diese Einstellung aktivieren, konfigurieren Sie die Link-URL der Sicherheitsrichtlinie.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, zeigt BitLocker den Link zur Sicherheitsrichtlinie nicht an.
Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMMoreInfoUrlPolicy.
Nächste Schritte
Wenn Sie Windows PowerShell verwenden, um diese Richtlinienobjekte zu erstellen, verwenden Sie das Cmdlet New-CMBlmSetting. Dieses Cmdlet erstellt ein BitLocker-Verwaltungsrichtlinieneinstellungsobjekt, das alle angegebenen Richtlinien enthält. Verwenden Sie das Cmdlet New-CMSettingDeployment , um die Richtlinieneinstellungen für eine Sammlung bereitzustellen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für