Freigeben über


Planen von MbaM 2.5-Gruppenrichtlinienanforderungen

Verwenden Sie die folgenden Informationen, um die Typen von BitLocker-Schutzvorrichtungen zu bestimmen, die Sie zum Verwalten der MBAM-Clientcomputer (Microsoft BitLocker Administration and Monitoring) in Ihrem Unternehmen verwenden können.

Typen von BitLocker-Schutzvorrichtungen, die VON MBAM unterstützt werden

MBAM unterstützt die folgenden Arten von BitLocker-Schutzvorrichtungen.

Typ des Laufwerks oder Volumes Unterstützte BitLocker-Schutzvorrichtungen
Betriebssystemvolumes - Trusted Platform Module (TPM)
- TPM + PIN
- TPM + USB-Schlüssel : Wird nur unterstützt, wenn das Betriebssystemvolume vor der Installation von MBAM verschlüsselt ist
- TPM + PIN + USB-Schlüssel – wird nur unterstützt, wenn das Betriebssystemvolume vor der Installation von MBAM verschlüsselt ist.
- Kennwort : Wird nur für Windows To Go-Geräte, Festplattenlaufwerke und Windows 8-, Windows 8.1- und Windows 10-Geräte ohne TPM unterstützt.
- Numerisches Kennwort : Wird automatisch als Teil der Volumeverschlüsselung angewendet und muss außer im FIPS-Modus unter Windows 7 nicht konfiguriert werden.
- Datenwiederherstellungs-Agent (DRA)
Festplattenlaufwerke - Passwort
- Automatisches Entsperren
- Numerisches Kennwort : Wird automatisch als Teil der Volumeverschlüsselung angewendet und muss außer im FIPS-Modus unter Windows 7 nicht konfiguriert werden.
- Datenwiederherstellungs-Agent (DRA)
Wechseldatenträger - Passwort
- Automatisches Entsperren
- Numerisches Kennwort : wird automatisch als Teil der Volumeverschlüsselung angewendet und muss nicht konfiguriert werden.
- Datenwiederherstellungs-Agent (DRA)

Unterstützung für die BitLocker-Richtlinie für die Verschlüsselung des verwendeten Speicherplatzes

Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.

Diese Gruppenrichtlinieneinstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich im folgenden GPO-Knoten: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und als Verschlüsselungstyp Nur verwendeter Speicherplatz auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur Speicherplatz, der auf dem Volume verwendet wird.

Abrufen der MBAM-Gruppenrichtlinienvorlagen und Bearbeiten der Einstellungen

Wenn Sie bereit sind, die gewünschten MBAM-Gruppenrichtlinieneinstellungen zu konfigurieren, führen Sie die folgenden Schritte aus:

Beschreibungen der MBAM-Gruppenrichtlinieneinstellungen

Der MDOP MBAM-GPO-Knoten (BitLocker-Verwaltung) enthält vier globale Richtlinieneinstellungen und vier untergeordnete GPO-Knoten: Clientverwaltung, Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den folgenden Abschnitten werden Die Einstellungen für die MBAM-Gruppenrichtlinieneinstellungen beschrieben und vorgeschlagen.

Wichtig

Ändern Sie die Gruppenrichtlinieneinstellungen im Knoten BitLocker-Laufwerkverschlüsselung nicht, da MBAM nicht ordnungsgemäß funktioniert. MBAM konfiguriert die Einstellungen in diesem Knoten automatisch für Sie, wenn Sie die Einstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren.

Globale Gruppenrichtliniendefinitionen

In diesem Abschnitt werden die Globalen MbaM-Gruppenrichtliniendefinitionen auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung).

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinieneinstellungen
Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke Vorgeschlagene Konfiguration:Aktiviert
Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden.
Wenn diese Richtlinie nicht konfiguriert ist, verwendet BitLocker die Standardverschlüsselungsmethode: AES 128-Bit mit Diffusor.
Hinweis: Ein Problem mit dem Bericht zur BitLocker-Computerkonformität führt dazu, dass für die Verschlüsselungsstärke "unbekannt" angezeigt wird, auch wenn Sie den Standardwert verwenden. Um dieses Problem zu umgehen, stellen Sie sicher, dass Sie diese Einstellung aktivieren und einen Wert für die Verschlüsselungsstärke festlegen.
– AES 128-Bit mit Diffusor – nur für Windows 7
– AES 128 für Windows 8, Windows 8.1, Windows 10 und Windows 11
Verhindern des Überschreibens des Arbeitsspeichers beim Neustart Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie, um die Neustartleistung zu verbessern, ohne beim Neustart BitLocker-Geheimnisse im Arbeitsspeicher zu überschreiben.
Wenn diese Richtlinie nicht konfiguriert ist, werden BitLocker-Geheimnisse beim Neustart des Computers aus dem Arbeitsspeicher entfernt.
Überprüfen der Verwendungsregel für Smartcardzertifikate Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie für die Verwendung des zertifikatbasierten BitLocker-Schutzes für Smartcards.
Wenn diese Richtlinie nicht konfiguriert ist, wird der Standardobjektbezeichner 1.3.6.1.4.1.311.67.1.1 verwendet, um ein Zertifikat anzugeben.
Geben Sie die eindeutigen Bezeichner für Ihre Organisation an. Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie für die Verwendung eines zertifikatbasierten Datenwiederherstellungs-Agents oder des BitLocker To Go-Readers.
Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld Identifikation nicht verwendet.
Wenn Ihr Unternehmen höhere Sicherheitsmessungen erfordert, können Sie das Feld Identifikation konfigurieren, um sicherzustellen, dass auf allen USB-Geräten dieses Feld festgelegt ist und dass sie dieser Gruppenrichtlinieneinstellung entsprechen.

Gruppenrichtliniendefinitionen für die Clientverwaltung

In diesem Abschnitt werden Clientverwaltungsrichtliniendefinitionen für MBAM auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Clientverwaltung.

Sie können die gleichen Gruppenrichtlinieneinstellungen für die eigenständigen Und System Center Configuration Manager-Integrationstopologien festlegen, mit einer Ausnahme: Deaktivieren Sie die Einstellung MBAM Services > MBAM Status reporting service endpunkt konfigurieren , wenn Sie die Configuration Manager-Integrationstopologie verwenden, wie in der folgenden Tabelle angegeben.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinieneinstellungen
Konfigurieren von MBAM-Diensten Vorgeschlagene Konfiguration:Aktiviert
- MBAM-Wiederherstellungs- und Hardware-Dienstendpunkt: Verwenden Sie diese Einstellung, um die Verwaltung der BitLocker-Verschlüsselung des MBAM-Clients zu aktivieren. Geben Sie einen Endpunktspeicherort ein, der dem folgenden Beispiel ähnelt: http(s)://<MBAM Administration and Monitoring Server Name>:<der Port, an> den der Webdienst gebunden ist/MBAMRecoveryAndHardwareService/CoreService.svc.
- BitLocker-Wiederherstellungsinformationen zum Speichern auswählen: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst zum Sichern von BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie einen Statusberichtsdienst zum Sammeln von Berichten konfigurieren. Die Richtlinie bietet eine administrative Methode zum Wiederherstellen von Daten, die von BitLocker verschlüsselt wurden, um Datenverluste aufgrund des Fehlens von Schlüsselinformationen zu verhindern. Der Statusbericht und die Schlüsselwiederherstellungsaktivität werden automatisch und automatisch an den konfigurierten Berichtsserverstandort gesendet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gespeichert, und der Statusbericht und die Schlüsselwiederherstellungsaktivität werden nicht an den Server gemeldet. Wenn diese Einstellung auf Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch und automatisch am konfigurierten Speicherort des Schlüsselwiederherstellungsservers gesichert.
- Geben Sie die Häufigkeit des Clientüberprüfungsstatus in Minuten ein: Diese Richtlinieneinstellung verwaltet, wie häufig der Client die BitLocker-Schutzrichtlinien und den Status auf dem Clientcomputer überprüft. Diese Richtlinie verwaltet auch, wie häufig der Clientkonformitätsstatus auf dem Server gespeichert wird. Der Client überprüft die BitLocker-Schutzrichtlinien und den Status auf dem Clientcomputer und sichert auch den Clientwiederherstellungsschlüssel in der konfigurierten Häufigkeit. Legen Sie diese Häufigkeit basierend auf den anforderungen Ihres Unternehmens fest, wie häufig der Konformitätsstatus des Computers und wie häufig der Clientwiederherstellungsschlüssel gesichert werden soll.
- MBAM-Statusberichtsdienstendpunkt:
- Für MBAM in einer eigenständigen Topologie: Sie müssen diese Einstellung konfigurieren, um die Verwaltung der BitLocker-Verschlüsselung des MBAM-Clients zu aktivieren. Geben Sie einen Endpunktspeicherort ein, der dem folgenden Beispiel ähnelt: http(s)://<MBAM Administration and Monitoring Server Name>:<der Port, an> den der Webdienst gebunden ist/MBAMComplianceStatusService/StatusReportingService.svc.
- Für MBAM in der Configuration Manager-Integrationstopologie: Deaktivieren Sie diese Einstellung.
Konfigurieren der Benutzerausnahmerichtlinie Vorgeschlagene Konfiguration:Nicht konfiguriert
Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, E-Mail-Adresse oder Telefonnummer konfigurieren, die einen Benutzer anweist, eine Ausnahme von der BitLocker-Verschlüsselung anzufordern. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird benutzern ein Dialogfeld mit Anweisungen zum Beantragen einer Ausnahme vom BitLocker-Schutz angezeigt. Weitere Informationen zum Aktivieren von BitLocker-Verschlüsselungsausnahmen für Benutzer finden Sie unter Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer. Wenn Sie diese Richtlinieneinstellung entweder deaktivieren oder nicht konfigurieren, werden den Benutzern die Anweisungen zur Ausnahmeanforderung nicht angezeigt.
Hinweis: Die Benutzerausnahme wird pro Benutzer und nicht pro Computer verwaltet. Wenn sich mehrere Benutzer auf demselben Computer anmelden und ein Benutzer nicht ausgenommen ist, wird der Computer verschlüsselt.
Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit Vorgeschlagene Konfiguration:Aktiviert
Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen können. Dieses Programm sammelt Informationen über Computerhardware und wie Benutzer MBAM verwenden, ohne ihre Arbeit zu unterbrechen. Anhand der Informationen kann Microsoft ermitteln, welche MBAM-Features verbessert werden sollen. Microsoft verwendet diese Informationen nicht, um MBAM-Benutzer zu identifizieren oder zu kontaktieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer nicht am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen.
Geben Sie die URL für den Link "Sicherheitsrichtlinie" an. Vorgeschlagene Konfiguration:Aktiviert
Verwenden Sie diese Richtlinieneinstellung, um eine URL anzugeben, die Endbenutzern als Link namens "Unternehmenssicherheitsrichtlinie" angezeigt wird. Der Link verweist auf die interne Sicherheitsrichtlinie Ihres Unternehmens und stellt Endbenutzern Informationen zu den Verschlüsselungsanforderungen zur Verfügung. Der Link wird angezeigt, wenn Benutzer von MBAM aufgefordert werden, ein Laufwerk zu verschlüsseln. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die URL für den Link Sicherheitsrichtlinie konfigurieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Link Sicherheitsrichtlinie für Benutzer nicht angezeigt.

Gruppenrichtliniendefinitionen für Festplattenlaufwerke

In diesem Abschnitt werden Richtliniendefinitionen für Festplattenlaufwerke für die Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Festplattenlaufwerk.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinieneinstellungen
Verschlüsselungseinstellungen für Festplattenlaufwerke Vorgeschlagene Konfiguration:Aktiviert
Mit dieser Richtlinieneinstellung können Sie verwalten, ob Festplattenlaufwerke verschlüsselt werden müssen.
Wenn das Betriebssystemvolume verschlüsselt werden muss, wählen Sie Automatisches Entsperren des Festplattenlaufwerks aktivieren aus.
Wenn Sie diese Richtlinie aktivieren, dürfen Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nur deaktivieren, wenn Sie die automatische Sperrung für Festplattenlaufwerke aktivieren oder erfordern.
Wenn Sie die automatische Sperrung für Festplattenlaufwerke verwenden müssen, müssen Sie Betriebssystemvolumes so konfigurieren, dass sie verschlüsselt werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz setzen, und die Datenlaufwerke werden dann verschlüsselt.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, müssen Benutzer keine Festplattenlaufwerke unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem Festplattenlaufwerke verschlüsselt wurden, entschlüsselt der MBAM-Agent die verschlüsselten Festplattenlaufwerke.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz setzen.
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind Vorgeschlagene Konfiguration:Nicht konfiguriert
Diese Richtlinieneinstellung bestimmt, ob BitLocker-Schutz erforderlich ist, damit Festplattenlaufwerke auf einem Computer schreibbar sind. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke auf dem Computer mit Lese-/Schreibberechtigung eingebunden.
Zulassen des Zugriffs auf BitLocker-geschützte Festplattenlaufwerke aus früheren Versionen von Windows Vorgeschlagene Konfiguration:Nicht konfiguriert
Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.
Wenn die Richtlinie aktiviert oder nicht konfiguriert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, entsperrt werden, und ihr Inhalt kann auf Computern mit Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke.
Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und deren Inhalt kann nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.
Konfigurieren der Kennwortverwendung für Festplattenlaufwerke Vorgeschlagene Konfiguration:Nicht konfiguriert
Verwenden Sie diese Richtlinie, um anzugeben, ob ein Kennwort erforderlich ist, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Mit BitLocker können Benutzer ein Laufwerk mit einer der Auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.
Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes.
Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.
Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Kennwortkomplexitätsanforderungen enthalten und nur acht Zeichen erfordern.
Um eine höhere Sicherheit zu erzielen, aktivieren Sie diese Richtlinie, und wählen Sie dann Kennwort für Festplattenlaufwerk erforderlich aus, wählen Sie Kennwortkomplexität erforderlich aus, und legen Sie die gewünschte Minimale Kennwortlänge fest.
Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern.
Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.
Wenn die Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert. MBAM erfordert keine Sicherung von Wiederherstellungsinformationen in AD DS.
Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien Vorgeschlagene Konfiguration:Aktiviert
Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, in denen Festplattenlaufwerke nicht konform bleiben können, bis sie gezwungen sind, MBAM-Richtlinien einzuhalten. Benutzer können die erforderliche Aktion nach der Karenzzeit nicht verschieben oder eine Ausnahme von ihr anfordern. Die Toleranzperiode beginnt, wenn festgestellt wird, dass das Festplattenlaufwerk nicht konform ist. Die Richtlinie für Festplattenlaufwerke wird jedoch erst erzwungen, wenn das Betriebssystemlaufwerk konform ist.
Wenn die Toleranzperiode abläuft und das Festplattenlaufwerk immer noch nicht konform ist, haben Benutzer keine Möglichkeit, eine Ausnahme zu verschieben oder anzufordern. Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben.
Geben Sie unter Konfigurieren der Anzahl von Tagen für die Nichtkonformitäts-Toleranzperiode für Festplattenlaufwerke den Wert 0 ein, um zu erzwingen, dass der Verschlüsselungsprozess unmittelbar nach Ablauf der Toleranzperiode für das Betriebssystemlaufwerk beginnt.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten.
Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist.

Gruppenrichtliniendefinitionen für Betriebssystemlaufwerke

In diesem Abschnitt werden Richtliniendefinitionen für Betriebssystemlaufwerke für die Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Betriebssystemlaufwerk.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinieneinstellungen
Verschlüsselungseinstellungen für Betriebssystemlaufwerke Vorgeschlagene Konfiguration:Aktiviert
Mit dieser Richtlinieneinstellung können Sie verwalten, ob das Betriebssystemlaufwerk verschlüsselt werden muss.
Für eine höhere Sicherheit sollten Sie die folgenden Richtlinieneinstellungen in denEinstellungen für dieSystemenergieverwaltung>> deaktivieren, wenn Sie sie mit TPM + PIN-Schutz aktivieren:
  • Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)
  • Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)
Wenn Sie Microsoft Windows 8 oder höher ausführen und BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen . In diesem Modus ist ein Kennwort für den Start erforderlich. Wenn Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen, und das Laufwerk wird dann verschlüsselt.
Wenn Sie diese Richtlinie deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt.
Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz platziert werden.
Zulassen erweiterter PINs für den Start Vorgeschlagene Konfiguration:Nicht konfiguriert
Verwenden Sie diese Richtlinieneinstellung, um zu konfigurieren, ob erweiterte Start-PINs mit BitLocker verwendet werden. Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen, einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, ermöglichen alle neuen BitLocker-Start-PINs dem Endbenutzer das Erstellen erweiterter PINs. Allerdings können nicht alle Computer erweiterte PINs in der Preboot-Umgebung unterstützen. Es wird dringend empfohlen, dass Administratoren bewerten, ob ihre Systeme mit diesem Feature kompatibel sind, bevor sie die Verwendung aktivieren.
Aktivieren Sie das Kontrollkästchen Nur ASCII-PINs erfordern , um die Kompatibilität erweiterter PINs mit Computern zu verbessern, die den Typ oder die Anzahl von Zeichen einschränken, die in die Preboot-Umgebung eingegeben werden können.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.
Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.
Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden.
Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke Vorgeschlagene Konfiguration:Nicht konfiguriert
Verwenden Sie diese Richtlinieneinstellung, um die Einschränkungen für Kennwörter festzulegen, die zum Entsperren von BitLocker-geschützten Betriebssystemlaufwerken verwendet werden. Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Damit die Komplexitätsanforderungseinstellung wirksam ist, müssen Sie auch die Gruppenrichtlinieneinstellung "Kennwort muss Komplexitätsanforderungen erfüllen" aktivieren, die sich unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie befindet.
Anmerkung: Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.
Konfigurieren des TPM-Plattformvalidierungsprofils für BIOS-basierte Firmwarekonfigurationen Vorgeschlagene Konfiguration:Nicht konfiguriert
Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder Wenn BitLocker bereits mit TPM-Schutz aktiviert ist.
Wichtig: Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem Compatibility Service Module (CSM). Computer, die eine native UEFI-Firmwarekonfiguration verwenden, speichern unterschiedliche Werte in den Platform Configuration Registers (PCRs). Verwenden Sie die Gruppenrichtlinieneinstellung "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren", um das TPM-PCR-Profil für Computer zu konfigurieren, die native UEFI-Firmware verwenden.
Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.
Konfigurieren des TPM-Plattformvalidierungsprofils Vorgeschlagene Konfiguration:Nicht konfiguriert
Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.
Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.
Konfigurieren des TPM-Plattformvalidierungsprofils für native UEFI-Firmwarekonfigurationen Vorgeschlagene Konfiguration:Nicht konfiguriert
Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder Wenn BitLocker bereits mit TPM-Schutz aktiviert ist.
Wichtig: Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit einer nativen UEFI-Firmwarekonfiguration.
Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.
Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung Vorgeschlagene Konfiguration:Nicht konfiguriert
Verwenden Sie diese Richtlinieneinstellung, um zu steuern, ob Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.
Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration Vorgeschlagene Konfiguration:Nicht konfiguriert
Mit dieser Richtlinieneinstellung können Sie bestimmte BCD-Einstellungen (Boot Configuration Data) auswählen, die während der Plattformüberprüfung überprüft werden sollen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie weitere Einstellungen hinzufügen, die Standardeinstellungen entfernen oder beides. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird der Computer auf ein BCD-Profil zurückgesetzt, das dem von Windows 7 verwendeten BCD-Standardprofil ähnelt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft der Computer die Windows BCD-Standardeinstellungen.
Anmerkung: Wenn BitLocker den sicheren Start für die Integritätsüberprüfung von Plattform- und Startkonfigurationsdaten (BCD) verwendet, wie in der Richtlinie "Sicherer Start für die Integritätsüberprüfung zulassen" definiert, wird die Richtlinie "Erweiterte Startkonfiguration datenvalidierungsprofil verwenden" ignoriert.
Die Einstellung zum Steuern des Startdebuggens (0x16000010) wird immer überprüft und hat keine Auswirkungen, wenn sie in den bereitgestellten Feldern enthalten ist.
Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien Vorgeschlagene Konfiguration:Aktiviert
Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, für die Benutzer die Einhaltung von MBAM-Richtlinien für ihr Betriebssystemlaufwerk aufschieben können. Die Toleranzperiode beginnt, wenn das Betriebssystem zum ersten Mal als nicht konform erkannt wird. Nach Ablauf dieser Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme von ihr anfordern.
Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten.
Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist.
Konfigurieren der Preboot-Wiederherstellungsnachricht und der URL Vorgeschlagene Konfiguration:Nicht konfiguriert
Aktivieren Sie diese Richtlinieneinstellung, um eine benutzerdefinierte Wiederherstellungsmeldung zu konfigurieren oder eine URL anzugeben, die dann auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern mit Windows 11 und Windows 10 verfügbar.
Wenn diese Richtlinie aktiviert ist, können Sie eine der folgenden Optionen für die Preboot-Wiederherstellungsnachricht auswählen:
  • Benutzerdefinierte Wiederherstellungsnachricht verwenden: Wählen Sie diese Option aus, um eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start einzuschließen. Geben Sie im Feld Benutzerdefinierte Wiederherstellungsmeldung die Meldung ein, die angezeigt werden soll. Wenn Sie auch eine Wiederherstellungs-URL angeben möchten, schließen Sie sie als Teil Ihrer benutzerdefinierten Wiederherstellungsnachricht ein.
  • Benutzerdefinierte Wiederherstellungs-URL verwenden: Wählen Sie diese Option aus, um die Standard-URL zu ersetzen, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird. Geben Sie im Feld Benutzerdefinierte Wiederherstellungs-URL die URL ein, die angezeigt werden soll.
    - Standardwiederherstellungsmeldung und -URL verwenden: Wählen Sie diese Option aus, um die BitLocker-Standardwiederherstellungsnachricht und -URL im BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und die Standardnachricht wiederherstellen möchten, müssen Sie diese Richtlinie aktivieren und die Option Standardwiederherstellungsnachricht und -URL verwenden auswählen.
    ANMERKUNG Nicht alle Zeichen und Sprachen werden im Preboot unterstützt. Es wird empfohlen, zu testen, dass die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start korrekt angezeigt werden.

Gruppenrichtliniendefinitionen für Wechseldatenträger

In diesem Abschnitt werden Die Gruppenrichtliniendefinitionen für Wechseldatenträger für die Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Wechseldatenträger.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinieneinstellungen
Steuern der Verwendung von BitLocker auf Wechseldatenträgern Vorgeschlagene Konfiguration:Aktiviert
Diese Richtlinie steuert die Verwendung von BitLocker auf Wechseldatenträgern.
Wählen Sie Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben aus, damit Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenlaufwerk ausführen können.
Wählen Sie Zulassen, dass Benutzer BitLocker auf Wechseldatenträgern anhalten und entschlüsseln können, damit Benutzer die BitLocker-Laufwerkverschlüsselung vom Laufwerk entfernen oder die Verschlüsselung während der Wartung anhalten können.
Wenn diese Richtlinie aktiviert ist und Sie Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben auswählen, speichert der MBAM-Client die Wiederherstellungsinformationen zu Wechseldatenträgern auf dem MBAM-Schlüsselwiederherstellungsserver und ermöglicht Benutzern die Wiederherstellung des Laufwerks, wenn das Kennwort verloren geht.
Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind Vorgeschlagene Konfiguration:Nicht konfiguriert
Aktivieren Sie diese Richtlinie, um nur Schreibberechtigungen für BitLocker-geschützte Laufwerke zuzulassen.
Wenn diese Richtlinie aktiviert ist, müssen alle Wechseldatenträger auf dem Computer verschlüsselt werden, bevor die Schreibberechtigung zulässig ist.
Zulassen des Zugriffs auf BitLocker-geschützte Wechseldatenträger aus früheren Versionen von Windows Vorgeschlagene Konfiguration:Nicht konfiguriert
Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.
Wenn diese Richtlinie nicht konfiguriert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern entsperrt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird, und deren Inhalt kann angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke.
Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und ihre Inhalte können nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.
Konfigurieren der Kennwortverwendung für Wechseldatenträger Vorgeschlagene Konfiguration:Nicht konfiguriert
Aktivieren Sie diese Richtlinie, um den Kennwortschutz auf Wechseldatenträgern zu konfigurieren.
Wenn diese Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern.
Um die Sicherheit zu erhöhen, können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern auswählen, Kennwortkomplexität erforderlich auswählen und die bevorzugte Minimale Kennwortlänge festlegen.
Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können Vorgeschlagene Konfiguration:Nicht konfiguriert
Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.
Wenn die Einstellung Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zulässig, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.
Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden.

Vorbereiten der Umgebung für MBAM 2.5

MBAM 2.5-Servervoraussetzungen für eigenständige und Configuration Manager-Integrationstopologien