Planen der Gruppenrichtlinienanforderungen für MBAM 2.5
Verwenden Sie die folgenden Informationen, um die Typen von BitLocker-Schutzvorrichtungen zu bestimmen, die Sie zum Verwalten der Microsoft MbaM-Clientcomputer (BitLocker Administration and Monitoring) in Ihrem Unternehmen verwenden können.
Typen von BitLocker-Schutzvorrichtungen, die VON MBAM unterstützt werden
MBAM unterstützt die folgenden Arten von BitLocker-Schutzvorrichtungen.
Typ des Laufwerks oder Volumes | Unterstützte BitLocker-Schutzvorrichtungen |
---|---|
Betriebssystemvolumes |
|
Festplattenlaufwerke |
|
Wechseldatenträger |
|
Unterstützung für die BitLocker-Richtlinie für die Verschlüsselung des verwendeten Speicherplatzes
Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.
Diese Gruppenrichtlinie Einstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich im folgenden GPO-Knoten: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und als Verschlüsselungstyp Nur verwendeter Speicherplatz auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur Speicherplatz, der auf dem Volume verwendet wird.
Abrufen der MBAM-Gruppenrichtlinie Vorlagen und Bearbeiten der Einstellungen
Wenn Sie bereit sind, die gewünschten MBAM-Gruppenrichtlinie Einstellungen zu konfigurieren, gehen Sie wie folgt vor:
Zu befolgende Schritte | Informationen zum Abrufen von Anweisungen |
---|---|
Kopieren Sie die MBAM Gruppenrichtlinie Templates aus MDOP Gruppenrichtlinie Vorlagen, und installieren Sie sie auf einem Computer, auf dem die Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann. |
|
Konfigurieren Sie die Gruppenrichtlinie Einstellungen, die Sie in Ihrem Unternehmen verwenden möchten. |
Beschreibungen der MBAM-Gruppenrichtlinie-Einstellungen
Der MDOP MBAM-GPO-Knoten (BitLocker-Verwaltung) enthält vier globale Richtlinieneinstellungen und vier untergeordnete GPO-Knoten: Clientverwaltung, Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den folgenden Abschnitten werden die Einstellungen für die MBAM-Gruppenrichtlinie beschrieben und vorgeschlagen.
Wichtig
Ändern Sie die Gruppenrichtlinie Einstellungen im Knoten BitLocker-Laufwerkverschlüsselung nicht, da MBAM nicht ordnungsgemäß funktioniert. MBAM konfiguriert die Einstellungen in diesem Knoten automatisch für Sie, wenn Sie die Einstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren.
Globale Gruppenrichtlinie definitionen
In diesem Abschnitt werden MBAM Global Gruppenrichtlinie Definitionen auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung).
Richtlinienname | Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen |
---|---|
Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke |
Empfohlene Konfiguration: Aktiviert Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, verwendet BitLocker die Standardverschlüsselungsmethode: AES 128-Bit mit Diffusor.
Hinweis
Ein Problem mit dem Bericht zur BitLocker-Computerkonformität führt dazu, dass für die Verschlüsselungsstärke "unbekannt" angezeigt wird, auch wenn Sie den Standardwert verwenden. Um dieses Problem zu umgehen, stellen Sie sicher, dass Sie diese Einstellung aktivieren und einen Wert für die Verschlüsselungsstärke festlegen.
|
Verhindern des Überschreibens des Arbeitsspeichers beim Neustart |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um die Neustartleistung zu verbessern, ohne beim Neustart BitLocker-Geheimnisse im Arbeitsspeicher zu überschreiben. Wenn diese Richtlinie nicht konfiguriert ist, werden BitLocker-Geheimnisse beim Neustart des Computers aus dem Arbeitsspeicher entfernt. |
Überprüfen der Verwendungsregel für Smartcardzertifikate |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie für die Verwendung des zertifikatbasierten BitLocker-Schutzes für Smartcards. Wenn diese Richtlinie nicht konfiguriert ist, wird der Standardobjektbezeichner 1.3.6.1.4.1.311.67.1.1 verwendet, um ein Zertifikat anzugeben. |
Geben Sie die eindeutigen Bezeichner für Ihre Organisation an. |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie für die Verwendung eines zertifikatbasierten Datenwiederherstellungs-Agents oder des BitLocker To Go-Readers. Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld Identifikation nicht verwendet. Wenn Ihr Unternehmen höhere Sicherheitsmessungen erfordert, können Sie das Feld Identifikation konfigurieren, um sicherzustellen, dass dieses Feld auf allen USB-Geräten festgelegt ist und dass sie an dieser Gruppenrichtlinie-Einstellung ausgerichtet sind. |
Clientverwaltungs-Gruppenrichtlinie definitionen
In diesem Abschnitt werden Clientverwaltungsrichtliniendefinitionen für MBAM auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Clientverwaltung.
Sie können die gleichen Gruppenrichtlinie Einstellungen für die eigenständigen und System Center Configuration Manager Integrationstopologien mit einer Ausnahme festlegen: Deaktivieren Sie die Einstellung MBAM Services > MBAM-Statusberichtsdienst-Endpunkt konfigurieren, wenn Sie den Configuration Manager Integrationstopologie, wie in der folgenden Tabelle angegeben.
Richtlinienname | Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen |
---|---|
Konfigurieren von MBAM-Diensten |
Empfohlene Konfiguration: Aktiviert
|
Konfigurieren der Benutzerausnahmerichtlinie |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, E-Mail-Adresse oder Telefonnummer konfigurieren, die einen Benutzer anweist, eine Ausnahme von der BitLocker-Verschlüsselung anzufordern. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird benutzern ein Dialogfeld mit Anweisungen zum Beantragen einer Ausnahme vom BitLocker-Schutz angezeigt. Weitere Informationen zum Aktivieren von BitLocker-Verschlüsselungsausnahmen für Benutzer finden Sie unter Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer. Wenn Sie diese Richtlinieneinstellung entweder deaktivieren oder nicht konfigurieren, werden den Benutzern die Anweisungen zur Ausnahmeanforderung nicht angezeigt.
Hinweis
Die Benutzerausnahme wird pro Benutzer und nicht pro Computer verwaltet. Wenn sich mehrere Benutzer auf demselben Computer anmelden und ein Benutzer nicht ausgenommen ist, wird der Computer verschlüsselt. |
Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen können. Dieses Programm sammelt Informationen über Computerhardware und wie Benutzer MBAM verwenden, ohne ihre Arbeit zu unterbrechen. Die Informationen helfen Microsoft zu identifizieren, welche MBAM-Features verbessert werden sollen. Microsoft verwendet diese Informationen nicht, um MBAM-Benutzer zu identifizieren oder zu kontaktieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer nicht am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, haben Benutzer die Möglichkeit, dem Programm zur Verbesserung der Benutzerfreundlichkeit beizutreten. |
Geben Sie die URL für den Link "Sicherheitsrichtlinie" an. |
Empfohlene Konfiguration: Aktiviert Verwenden Sie diese Richtlinieneinstellung, um eine URL anzugeben, die Endbenutzern als Link namens "Unternehmenssicherheitsrichtlinie" angezeigt wird. Der Link verweist auf die interne Sicherheitsrichtlinie Ihres Unternehmens und stellt Endbenutzern Informationen zu den Verschlüsselungsanforderungen zur Verfügung. Der Link wird angezeigt, wenn Benutzer von MBAM aufgefordert werden, ein Laufwerk zu verschlüsseln. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die URL für den Link Sicherheitsrichtlinie konfigurieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Link Sicherheitsrichtlinie für Benutzer nicht angezeigt. |
Festplattenlaufwerkdefinitionen Gruppenrichtlinie
In diesem Abschnitt werden Richtliniendefinitionen für Festplattenlaufwerke für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Festplattenlaufwerk.
Richtlinienname | Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen |
---|---|
Verschlüsselungseinstellungen für Festplattenlaufwerke |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie verwalten, ob Festplattenlaufwerke verschlüsselt werden müssen. Wenn das Betriebssystemvolume verschlüsselt werden muss, klicken Sie auf Automatisches Entsperren des Festplattenlaufwerks aktivieren. Wenn Sie diese Richtlinie aktivieren, dürfen Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nur deaktivieren, wenn Sie die automatische Entsperrung für Festplattenlaufwerke aktivieren oder erfordern. Wenn Sie die automatische Entsperrung für Festplattenlaufwerke verwenden müssen, müssen Sie Betriebssystemvolumes so konfigurieren, dass sie verschlüsselt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz setzen, und die Datenlaufwerke werden dann verschlüsselt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, müssen Benutzer keine Festplattenlaufwerke unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem Festplattenlaufwerke verschlüsselt wurden, entschlüsselt der MBAM-Agent die verschlüsselten Festplattenlaufwerke. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz setzen. |
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind |
Empfohlene Konfiguration: Nicht konfiguriert Diese Richtlinieneinstellung bestimmt, ob BitLocker-Schutz erforderlich ist, damit Festplattenlaufwerke auf einem Computer schreibbar sind. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke auf dem Computer mit Lese-/Schreibberechtigung eingebunden. |
Zulassen des Zugriffs auf BitLocker-geschützte Festplattenlaufwerke aus früheren Versionen von Windows |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird. Wenn die Richtlinie aktiviert oder nicht konfiguriert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, entsperrt werden, und deren Inhalt kann auf Computern mit Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und deren Inhalt kann nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird. |
Konfigurieren der Kennwortverwendung für Festplattenlaufwerke |
Empfohlene Konfiguration: Nicht konfiguriert Verwenden Sie diese Richtlinie, um anzugeben, ob ein Kennwort erforderlich ist, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Mit BitLocker können Benutzer ein Laufwerk mit einer der Auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren. Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes. Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern. Aktivieren Sie für höhere Sicherheit diese Richtlinie, und wählen Sie dann Kennwort für Festplattenlaufwerk erforderlich aus, klicken Sie auf Kennwortkomplexität erforderlich, und legen Sie die gewünschte Mindestlänge für Kennwörter fest. Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern. |
Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern. Wenn die Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert. MBAM erfordert keine Sicherung von Wiederherstellungsinformationen in AD DS. |
Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien |
Empfohlene Konfiguration: Aktiviert Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, die Festplattenlaufwerke nicht konform bleiben können, bis sie gezwungen sind, MBAM-Richtlinien einzuhalten. Benutzer können die erforderliche Aktion nach der Karenzzeit nicht verschieben oder eine Ausnahme von ihr anfordern. Die Toleranzperiode beginnt, wenn festgestellt wird, dass das Festplattenlaufwerk nicht konform ist. Die Richtlinie für Festplattenlaufwerke wird jedoch erst erzwungen, wenn das Betriebssystemlaufwerk konform ist. Wenn die Toleranzperiode abläuft und das Festplattenlaufwerk immer noch nicht konform ist, haben Benutzer keine Möglichkeit, eine Ausnahme zu verschieben oder anzufordern. Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben. Geben Sie unter Konfigurieren der Anzahl von Tagen für die Nichtkonformitäts-Toleranzperiode für Festplattenlaufwerke den Wert 0 ein, um zu erzwingen, dass der Verschlüsselungsprozess unmittelbar nach Ablauf der Toleranzperiode für das Betriebssystemlaufwerk beginnt. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten. Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist. |
Definitionen des Betriebssystemlaufwerks Gruppenrichtlinie
In diesem Abschnitt werden Richtliniendefinitionen für Betriebssystemlaufwerke für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Betriebssystemlaufwerk.
Richtlinienname | Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen |
---|---|
Verschlüsselungseinstellungen für Betriebssystemlaufwerke |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie verwalten, ob das Betriebssystemlaufwerk verschlüsselt werden muss. Für eine höhere Sicherheit sollten Sie die folgenden Richtlinieneinstellungen in denEinstellungen für dieSystemenergieverwaltung>> deaktivieren, wenn Sie sie mit TPM + PIN-Schutz aktivieren:
Wenn Sie Microsoft Windows 8 oder höher ausführen und BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist ein Kennwort für den Start erforderlich. Wenn Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen. Auf einem Computer mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen, und das Laufwerk wird dann verschlüsselt. Wenn Sie diese Richtlinie deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt. Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz platziert werden. |
Zulassen erweiterter PINs für den Start |
Empfohlene Konfiguration: Nicht konfiguriert Verwenden Sie diese Richtlinieneinstellung, um zu konfigurieren, ob erweiterte Start-PINs mit BitLocker verwendet werden. Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen, einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Wenn Sie diese Richtlinieneinstellung aktivieren, ermöglichen alle neuen BitLocker-Start-PINs dem Endbenutzer das Erstellen erweiterter PINs. Allerdings können nicht alle Computer erweiterte PINs in der Umgebung vor dem Start unterstützen. Es wird dringend empfohlen, dass Administratoren bewerten, ob ihre Systeme mit diesem Feature kompatibel sind, bevor sie die Verwendung aktivieren. Aktivieren Sie das Kontrollkästchen Nur ASCII-PINs erfordern , um die Kompatibilität erweiterter PINs mit Computern zu verbessern, die den Typ oder die Anzahl der Zeichen einschränken, die in die Pre-Boot-Umgebung eingegeben werden können. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet. |
Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden. |
Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke |
Empfohlene Konfiguration: Nicht konfiguriert Verwenden Sie diese Richtlinieneinstellung, um die Einschränkungen für Kennwörter festzulegen, die zum Entsperren von BitLocker-geschützten Betriebssystemlaufwerken verwendet werden. Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Damit die Komplexitätsanforderungseinstellung wirksam ist, müssen Sie auch die Gruppenrichtlinie Einstellung "Kennwort muss Komplexitätsanforderungen erfüllen" aktivieren, die sich unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie befindet.
Hinweis
Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, klicken Sie auf Kennwortkomplexität erforderlich. |
Konfigurieren des TPM-Plattformvalidierungsprofils für BIOS-basierte Firmwarekonfigurationen |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.
Wichtig
Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem Compatibility Service Module (CSM). Computer, die eine native UEFI-Firmwarekonfiguration verwenden, speichern unterschiedliche Werte in den Platform Configuration Registers (PCRs). Verwenden Sie die Einstellung "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" Gruppenrichtlinie Einstellung, um das TPM-PCR-Profil für Computer zu konfigurieren, die native UEFI-Firmware verwenden. Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird. |
Konfigurieren des TPM-Plattformvalidierungsprofils |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde. Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird. |
Konfigurieren des TPM-Plattformvalidierungsprofils für native UEFI-Firmwarekonfigurationen |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.
Wichtig
Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit einer nativen UEFI-Firmwarekonfiguration. Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird. |
Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung |
Empfohlene Konfiguration: Nicht konfiguriert Verwenden Sie diese Richtlinieneinstellung, um zu steuern, ob Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. |
Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie bestimmte BCD-Einstellungen (Boot Configuration Data) auswählen, die während der Plattformüberprüfung überprüft werden sollen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie zusätzliche Einstellungen hinzufügen, die Standardeinstellungen entfernen oder beides. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird der Computer auf ein BCD-Profil zurückgesetzt, das dem von Windows 7 verwendeten BCD-Standardprofil ähnelt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft der Computer die Windows BCD-Standardeinstellungen.
Hinweis
Wenn BitLocker den sicheren Start für die Integritätsüberprüfung von Plattform- und Startkonfigurationsdaten (BCD) verwendet, wie in der Richtlinie "Sicherer Start für die Integritätsüberprüfung zulassen" definiert, wird die Richtlinie "Erweiterte Startkonfiguration datenüberprüfungsprofil verwenden" ignoriert. Die Einstellung zum Steuern des Startdebuggens (0x16000010) wird immer überprüft und hat keine Auswirkungen, wenn sie in den bereitgestellten Feldern enthalten ist. |
Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien |
Empfohlene Konfiguration: Aktiviert Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, für die Benutzer die Einhaltung von MBAM-Richtlinien für ihr Betriebssystemlaufwerk aufschieben können. Die Toleranzperiode beginnt, wenn das Betriebssystem zum ersten Mal als nicht konform erkannt wird. Nach Ablauf dieser Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme von ihr anfordern. Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten. Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist. |
Konfigurieren der Wiederherstellungsnachricht vor dem Start und der URL |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinieneinstellung, um eine benutzerdefinierte Wiederherstellungsmeldung zu konfigurieren oder eine URL anzugeben, die dann auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern verfügbar, auf denen Windows 11 und Windows 10 ausgeführt werden. Wenn diese Richtlinie aktiviert ist, können Sie eine der folgenden Optionen für die Wiederherstellungsnachricht vor dem Start auswählen:
Hinweis
Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird empfohlen, zu testen, dass die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden. |
Definitionen für Wechseldatenträger Gruppenrichtlinie
In diesem Abschnitt werden Wechseldatenträger Gruppenrichtlinie definitionen für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Wechseldatenträger.
Richtlinienname | Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen |
---|---|
Steuern der Verwendung von BitLocker auf Wechseldatenträgern |
Empfohlene Konfiguration: Aktiviert Diese Richtlinie steuert die Verwendung von BitLocker auf Wechseldatenträgern. Klicken Sie auf Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben , damit Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenträger ausführen können. Klicken Sie auf Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben , damit Benutzer die BitLocker-Laufwerkverschlüsselung vom Laufwerk entfernen oder die Verschlüsselung während der Wartung anhalten können. Wenn diese Richtlinie aktiviert ist und Sie auf Benutzer das Anwenden des BitLocker-Schutzes auf Wechseldatenträger zulassen klicken, speichert der MBAM-Client die Wiederherstellungsinformationen zu Wechseldatenträgern auf dem MBAM-Schlüsselwiederherstellungsserver und ermöglicht Benutzern die Wiederherstellung des Laufwerks, wenn das Kennwort verloren geht. |
Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um nur Schreibberechtigungen für BitLocker-geschützte Laufwerke zuzulassen. Wenn diese Richtlinie aktiviert ist, müssen alle Wechseldatenträger auf dem Computer verschlüsselt werden, bevor die Schreibberechtigung zulässig ist. |
Zulassen des Zugriffs auf BitLocker-geschützte Wechseldatenträger aus früheren Versionen von Windows |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird. Wenn diese Richtlinie nicht konfiguriert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern entsperrt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird, und deren Inhalt kann angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und ihre Inhalte können nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird. |
Konfigurieren der Kennwortverwendung für Wechseldatenträger |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz auf Wechseldatenträgern zu konfigurieren. Wenn diese Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern. Um die Sicherheit zu erhöhen, können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern auswählen, auf Kennwortkomplexität erforderlich klicken und die bevorzugte minimale Kennwortlänge festlegen. |
Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern. Wenn die Einstellung Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zulässig, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden. |
Verwandte Artikel
Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5
Haben Sie einen Vorschlag für MBAM?
Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.