Planen der Gruppenrichtlinienanforderungen für MBAM 2.5

  • Artikel

Verwenden Sie die folgenden Informationen, um die Typen von BitLocker-Schutzvorrichtungen zu bestimmen, die Sie zum Verwalten der Microsoft MbaM-Clientcomputer (BitLocker Administration and Monitoring) in Ihrem Unternehmen verwenden können.

Typen von BitLocker-Schutzvorrichtungen, die VON MBAM unterstützt werden

MBAM unterstützt die folgenden Arten von BitLocker-Schutzvorrichtungen.

Typ des Laufwerks oder Volumes Unterstützte BitLocker-Schutzvorrichtungen

Betriebssystemvolumes

  • Trusted Platform Module (TPM)

  • TPM + PIN

  • TPM + USB-Schlüssel – wird nur unterstützt, wenn das Betriebssystemvolume vor der Installation von MBAM verschlüsselt ist.

  • TPM + PIN + USB-Schlüssel – wird nur unterstützt, wenn das Betriebssystemvolume vor der Installation von MBAM verschlüsselt ist.

  • Kennwort: Wird nur für Windows To Go-Geräte, Festplattenlaufwerke und Windows 8, Windows 8.1 und Windows 10 Geräte ohne TPM unterstützt.

  • Numerisches Kennwort : wird automatisch als Teil der Volumeverschlüsselung angewendet und muss nicht konfiguriert werden, außer im FIPS-Modus unter Windows 7

  • Datenwiederherstellungs-Agent (DRA)

Festplattenlaufwerke

  • Passwort

  • Automatisches Entsperren

  • Numerisches Kennwort : wird automatisch als Teil der Volumeverschlüsselung angewendet und muss nicht konfiguriert werden, außer im FIPS-Modus unter Windows 7

  • Datenwiederherstellungs-Agent (DRA)

Wechseldatenträger

  • Passwort

  • Automatisches Entsperren

  • Numerisches Kennwort : Wird automatisch als Teil der Volumeverschlüsselung angewendet und muss nicht konfiguriert werden.

  • Datenwiederherstellungs-Agent (DRA)

Unterstützung für die BitLocker-Richtlinie für die Verschlüsselung des verwendeten Speicherplatzes

Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.

Diese Gruppenrichtlinie Einstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich im folgenden GPO-Knoten: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und als Verschlüsselungstyp Nur verwendeter Speicherplatz auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur Speicherplatz, der auf dem Volume verwendet wird.

Abrufen der MBAM-Gruppenrichtlinie Vorlagen und Bearbeiten der Einstellungen

Wenn Sie bereit sind, die gewünschten MBAM-Gruppenrichtlinie Einstellungen zu konfigurieren, gehen Sie wie folgt vor:

Zu befolgende Schritte Informationen zum Abrufen von Anweisungen

Kopieren Sie die MBAM Gruppenrichtlinie Templates aus MDOP Gruppenrichtlinie Vorlagen, und installieren Sie sie auf einem Computer, auf dem die Gruppenrichtlinie Management Console (GPMC) oder Advanced Gruppenrichtlinie Management (AGPM) ausgeführt werden kann.

Kopieren die Gruppenrichtlinienvorlagen für MBAM 2.5

Konfigurieren Sie die Gruppenrichtlinie Einstellungen, die Sie in Ihrem Unternehmen verwenden möchten.

Bearbeiten der Gruppenrichtlinieneinstellungen für MBAM 2.5

Beschreibungen der MBAM-Gruppenrichtlinie-Einstellungen

Der MDOP MBAM-GPO-Knoten (BitLocker-Verwaltung) enthält vier globale Richtlinieneinstellungen und vier untergeordnete GPO-Knoten: Clientverwaltung, Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den folgenden Abschnitten werden die Einstellungen für die MBAM-Gruppenrichtlinie beschrieben und vorgeschlagen.

Wichtig

Ändern Sie die Gruppenrichtlinie Einstellungen im Knoten BitLocker-Laufwerkverschlüsselung nicht, da MBAM nicht ordnungsgemäß funktioniert. MBAM konfiguriert die Einstellungen in diesem Knoten automatisch für Sie, wenn Sie die Einstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren.

Globale Gruppenrichtlinie definitionen

In diesem Abschnitt werden MBAM Global Gruppenrichtlinie Definitionen auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung).

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen

Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke

Empfohlene Konfiguration: Aktiviert

Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden.

Wenn diese Richtlinie nicht konfiguriert ist, verwendet BitLocker die Standardverschlüsselungsmethode: AES 128-Bit mit Diffusor.

Hinweis

Ein Problem mit dem Bericht zur BitLocker-Computerkonformität führt dazu, dass für die Verschlüsselungsstärke "unbekannt" angezeigt wird, auch wenn Sie den Standardwert verwenden. Um dieses Problem zu umgehen, stellen Sie sicher, dass Sie diese Einstellung aktivieren und einen Wert für die Verschlüsselungsstärke festlegen.

  • AES 128-Bit mit Diffusor – nur für Windows 7

  • AES 128 für Windows 8, Windows 8.1, Windows 10 und Windows 11

Verhindern des Überschreibens des Arbeitsspeichers beim Neustart

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um die Neustartleistung zu verbessern, ohne beim Neustart BitLocker-Geheimnisse im Arbeitsspeicher zu überschreiben.

Wenn diese Richtlinie nicht konfiguriert ist, werden BitLocker-Geheimnisse beim Neustart des Computers aus dem Arbeitsspeicher entfernt.

Überprüfen der Verwendungsregel für Smartcardzertifikate

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie für die Verwendung des zertifikatbasierten BitLocker-Schutzes für Smartcards.

Wenn diese Richtlinie nicht konfiguriert ist, wird der Standardobjektbezeichner 1.3.6.1.4.1.311.67.1.1 verwendet, um ein Zertifikat anzugeben.

Geben Sie die eindeutigen Bezeichner für Ihre Organisation an.

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie für die Verwendung eines zertifikatbasierten Datenwiederherstellungs-Agents oder des BitLocker To Go-Readers.

Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld Identifikation nicht verwendet.

Wenn Ihr Unternehmen höhere Sicherheitsmessungen erfordert, können Sie das Feld Identifikation konfigurieren, um sicherzustellen, dass dieses Feld auf allen USB-Geräten festgelegt ist und dass sie an dieser Gruppenrichtlinie-Einstellung ausgerichtet sind.

Clientverwaltungs-Gruppenrichtlinie definitionen

In diesem Abschnitt werden Clientverwaltungsrichtliniendefinitionen für MBAM auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Clientverwaltung.

Sie können die gleichen Gruppenrichtlinie Einstellungen für die eigenständigen und System Center Configuration Manager Integrationstopologien mit einer Ausnahme festlegen: Deaktivieren Sie die Einstellung MBAM Services > MBAM-Statusberichtsdienst-Endpunkt konfigurieren, wenn Sie den Configuration Manager Integrationstopologie, wie in der folgenden Tabelle angegeben.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen

Konfigurieren von MBAM-Diensten

Empfohlene Konfiguration: Aktiviert

  • MBAM-Wiederherstellungs- und Hardware-Dienstendpunkt. Verwenden Sie diese Einstellung, um die BitLocker-Verschlüsselungsverwaltung des MBAM-Clients zu aktivieren. Geben Sie einen Endpunktspeicherort ein, der dem folgenden Beispiel ähnelt: http(s)://<MBAM Administration and Monitoring Server Name>:<der Port, an> den der Webdienst gebunden ist/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Wählen Sie BitLocker-Wiederherstellungsinformationen aus, die gespeichert werden sollen. Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst konfigurieren, um BitLocker-Wiederherstellungsinformationen zu sichern. Außerdem können Sie einen Statusberichtsdienst zum Sammeln von Berichten konfigurieren. Die Richtlinie bietet eine administrative Methode zum Wiederherstellen von Daten, die von BitLocker verschlüsselt wurden, um Datenverluste aufgrund des Fehlens von Schlüsselinformationen zu verhindern. Der Statusbericht und die Schlüsselwiederherstellungsaktivität werden automatisch und automatisch an den konfigurierten Berichtsserverstandort gesendet.

    Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gespeichert, und der Statusbericht und die Schlüsselwiederherstellungsaktivität werden nicht an den Server gemeldet. Wenn diese Einstellung auf Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch und automatisch am konfigurierten Speicherort des Schlüsselwiederherstellungsservers gesichert.

  • Geben Sie die Häufigkeit des Clientüberprüfungsstatus in Minuten ein. Diese Richtlinieneinstellung verwaltet, wie häufig der Client die BitLocker-Schutzrichtlinien und den Status auf dem Clientcomputer überprüft. Diese Richtlinie verwaltet auch, wie häufig der Clientkonformitätsstatus auf dem Server gespeichert wird. Der Client überprüft die BitLocker-Schutzrichtlinien und den Status auf dem Clientcomputer und sichert auch den Clientwiederherstellungsschlüssel in der konfigurierten Häufigkeit.

    Legen Sie diese Häufigkeit basierend auf den Anforderungen Ihres Unternehmens fest, wie häufig der Konformitätsstatus des Computers überprüft werden soll und wie häufig der Clientwiederherstellungsschlüssel gesichert werden soll.

  • MBAM-Statusberichtsdienstendpunkt:

    Für MBAM in einer eigenständigen Topologie: Sie müssen diese Einstellung konfigurieren, um die Verwaltung der BitLocker-Verschlüsselung des MBAM-Clients zu aktivieren.

    Geben Sie einen Endpunktspeicherort ein, der dem folgenden Beispiel ähnelt:

    http(s)://<MBAM Administration and Monitoring Server Name>:<Der Port, an> den der Webdienst gebunden ist/MBAMComplianceStatusService/StatusReportingService.svc

    Für MBAM in der Configuration Manager Integrationstopologie: Deaktivieren Sie diese Einstellung.

Konfigurieren der Benutzerausnahmerichtlinie

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, E-Mail-Adresse oder Telefonnummer konfigurieren, die einen Benutzer anweist, eine Ausnahme von der BitLocker-Verschlüsselung anzufordern.

Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird benutzern ein Dialogfeld mit Anweisungen zum Beantragen einer Ausnahme vom BitLocker-Schutz angezeigt. Weitere Informationen zum Aktivieren von BitLocker-Verschlüsselungsausnahmen für Benutzer finden Sie unter Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer.

Wenn Sie diese Richtlinieneinstellung entweder deaktivieren oder nicht konfigurieren, werden den Benutzern die Anweisungen zur Ausnahmeanforderung nicht angezeigt.

Hinweis

Die Benutzerausnahme wird pro Benutzer und nicht pro Computer verwaltet. Wenn sich mehrere Benutzer auf demselben Computer anmelden und ein Benutzer nicht ausgenommen ist, wird der Computer verschlüsselt.

Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen können. Dieses Programm sammelt Informationen über Computerhardware und wie Benutzer MBAM verwenden, ohne ihre Arbeit zu unterbrechen. Die Informationen helfen Microsoft zu identifizieren, welche MBAM-Features verbessert werden sollen. Microsoft verwendet diese Informationen nicht, um MBAM-Benutzer zu identifizieren oder zu kontaktieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer nicht am Programm zur Verbesserung der Benutzerfreundlichkeit teilnehmen.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, haben Benutzer die Möglichkeit, dem Programm zur Verbesserung der Benutzerfreundlichkeit beizutreten.

Geben Sie die URL für den Link "Sicherheitsrichtlinie" an.

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um eine URL anzugeben, die Endbenutzern als Link namens "Unternehmenssicherheitsrichtlinie" angezeigt wird. Der Link verweist auf die interne Sicherheitsrichtlinie Ihres Unternehmens und stellt Endbenutzern Informationen zu den Verschlüsselungsanforderungen zur Verfügung. Der Link wird angezeigt, wenn Benutzer von MBAM aufgefordert werden, ein Laufwerk zu verschlüsseln.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die URL für den Link Sicherheitsrichtlinie konfigurieren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Link Sicherheitsrichtlinie für Benutzer nicht angezeigt.

Festplattenlaufwerkdefinitionen Gruppenrichtlinie

In diesem Abschnitt werden Richtliniendefinitionen für Festplattenlaufwerke für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Festplattenlaufwerk.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen

Verschlüsselungseinstellungen für Festplattenlaufwerke

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie verwalten, ob Festplattenlaufwerke verschlüsselt werden müssen.

Wenn das Betriebssystemvolume verschlüsselt werden muss, klicken Sie auf Automatisches Entsperren des Festplattenlaufwerks aktivieren.

Wenn Sie diese Richtlinie aktivieren, dürfen Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nur deaktivieren, wenn Sie die automatische Entsperrung für Festplattenlaufwerke aktivieren oder erfordern.

Wenn Sie die automatische Entsperrung für Festplattenlaufwerke verwenden müssen, müssen Sie Betriebssystemvolumes so konfigurieren, dass sie verschlüsselt werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz setzen, und die Datenlaufwerke werden dann verschlüsselt.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, müssen Benutzer keine Festplattenlaufwerke unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem Festplattenlaufwerke verschlüsselt wurden, entschlüsselt der MBAM-Agent die verschlüsselten Festplattenlaufwerke.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz setzen.

Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind

Empfohlene Konfiguration: Nicht konfiguriert

Diese Richtlinieneinstellung bestimmt, ob BitLocker-Schutz erforderlich ist, damit Festplattenlaufwerke auf einem Computer schreibbar sind. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke auf dem Computer mit Lese-/Schreibberechtigung eingebunden.

Zulassen des Zugriffs auf BitLocker-geschützte Festplattenlaufwerke aus früheren Versionen von Windows

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.

Wenn die Richtlinie aktiviert oder nicht konfiguriert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, entsperrt werden, und deren Inhalt kann auf Computern mit Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke.

Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und deren Inhalt kann nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.

Konfigurieren der Kennwortverwendung für Festplattenlaufwerke

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinie, um anzugeben, ob ein Kennwort erforderlich ist, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Mit BitLocker können Benutzer ein Laufwerk mit einer der Auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.

Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes.

Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.

Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern.

Aktivieren Sie für höhere Sicherheit diese Richtlinie, und wählen Sie dann Kennwort für Festplattenlaufwerk erforderlich aus, klicken Sie auf Kennwortkomplexität erforderlich, und legen Sie die gewünschte Mindestlänge für Kennwörter fest.

Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern.

Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.

Wenn die Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert. MBAM erfordert keine Sicherung von Wiederherstellungsinformationen in AD DS.

Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, die Festplattenlaufwerke nicht konform bleiben können, bis sie gezwungen sind, MBAM-Richtlinien einzuhalten. Benutzer können die erforderliche Aktion nach der Karenzzeit nicht verschieben oder eine Ausnahme von ihr anfordern. Die Toleranzperiode beginnt, wenn festgestellt wird, dass das Festplattenlaufwerk nicht konform ist. Die Richtlinie für Festplattenlaufwerke wird jedoch erst erzwungen, wenn das Betriebssystemlaufwerk konform ist.

Wenn die Toleranzperiode abläuft und das Festplattenlaufwerk immer noch nicht konform ist, haben Benutzer keine Möglichkeit, eine Ausnahme zu verschieben oder anzufordern. Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben.

Geben Sie unter Konfigurieren der Anzahl von Tagen für die Nichtkonformitäts-Toleranzperiode für Festplattenlaufwerke den Wert 0 ein, um zu erzwingen, dass der Verschlüsselungsprozess unmittelbar nach Ablauf der Toleranzperiode für das Betriebssystemlaufwerk beginnt.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten.

Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist.

Definitionen des Betriebssystemlaufwerks Gruppenrichtlinie

In diesem Abschnitt werden Richtliniendefinitionen für Betriebssystemlaufwerke für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Betriebssystemlaufwerk.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen

Verschlüsselungseinstellungen für Betriebssystemlaufwerke

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie verwalten, ob das Betriebssystemlaufwerk verschlüsselt werden muss.

Für eine höhere Sicherheit sollten Sie die folgenden Richtlinieneinstellungen in denEinstellungen für dieSystemenergieverwaltung>> deaktivieren, wenn Sie sie mit TPM + PIN-Schutz aktivieren:

  • Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)

  • Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)

Wenn Sie Microsoft Windows 8 oder höher ausführen und BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist ein Kennwort für den Start erforderlich. Wenn Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen, und das Laufwerk wird dann verschlüsselt.

Wenn Sie diese Richtlinie deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt.

Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz platziert werden.

Zulassen erweiterter PINs für den Start

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um zu konfigurieren, ob erweiterte Start-PINs mit BitLocker verwendet werden. Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen, einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, ermöglichen alle neuen BitLocker-Start-PINs dem Endbenutzer das Erstellen erweiterter PINs. Allerdings können nicht alle Computer erweiterte PINs in der Umgebung vor dem Start unterstützen. Es wird dringend empfohlen, dass Administratoren bewerten, ob ihre Systeme mit diesem Feature kompatibel sind, bevor sie die Verwendung aktivieren.

Aktivieren Sie das Kontrollkästchen Nur ASCII-PINs erfordern , um die Kompatibilität erweiterter PINs mit Computern zu verbessern, die den Typ oder die Anzahl der Zeichen einschränken, die in die Pre-Boot-Umgebung eingegeben werden können.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.

Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.

Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zulässig, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden.

Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um die Einschränkungen für Kennwörter festzulegen, die zum Entsperren von BitLocker-geschützten Betriebssystemlaufwerken verwendet werden. Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Damit die Komplexitätsanforderungseinstellung wirksam ist, müssen Sie auch die Gruppenrichtlinie Einstellung "Kennwort muss Komplexitätsanforderungen erfüllen" aktivieren, die sich unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie befindet.

Hinweis

Diese Einstellungen werden erzwungen, wenn Sie BitLocker aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, klicken Sie auf Kennwortkomplexität erforderlich.

Konfigurieren des TPM-Plattformvalidierungsprofils für BIOS-basierte Firmwarekonfigurationen

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig

Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem Compatibility Service Module (CSM). Computer, die eine native UEFI-Firmwarekonfiguration verwenden, speichern unterschiedliche Werte in den Platform Configuration Registers (PCRs). Verwenden Sie die Einstellung "TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren" Gruppenrichtlinie Einstellung, um das TPM-PCR-Profil für Computer zu konfigurieren, die native UEFI-Firmware verwenden.

Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.

Konfigurieren des TPM-Plattformvalidierungsprofils

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperren. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.

Konfigurieren des TPM-Plattformvalidierungsprofils für native UEFI-Firmwarekonfigurationen

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig

Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit einer nativen UEFI-Firmwarekonfiguration.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren, und der Computer zeigt stattdessen die BitLocker-Wiederherstellungskonsole an und erfordert, dass Sie entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel angeben, um das Laufwerk zu entsperren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das standardbasierte Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das vom Setupskript angegeben wird.

Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um zu steuern, ob Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.

Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie bestimmte BCD-Einstellungen (Boot Configuration Data) auswählen, die während der Plattformüberprüfung überprüft werden sollen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie zusätzliche Einstellungen hinzufügen, die Standardeinstellungen entfernen oder beides. Wenn Sie diese Richtlinieneinstellung deaktivieren, wird der Computer auf ein BCD-Profil zurückgesetzt, das dem von Windows 7 verwendeten BCD-Standardprofil ähnelt. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft der Computer die Windows BCD-Standardeinstellungen.

Hinweis

Wenn BitLocker den sicheren Start für die Integritätsüberprüfung von Plattform- und Startkonfigurationsdaten (BCD) verwendet, wie in der Richtlinie "Sicherer Start für die Integritätsüberprüfung zulassen" definiert, wird die Richtlinie "Erweiterte Startkonfiguration datenüberprüfungsprofil verwenden" ignoriert.

Die Einstellung zum Steuern des Startdebuggens (0x16000010) wird immer überprüft und hat keine Auswirkungen, wenn sie in den bereitgestellten Feldern enthalten ist.

Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, für die Benutzer die Einhaltung von MBAM-Richtlinien für ihr Betriebssystemlaufwerk aufschieben können. Die Toleranzperiode beginnt, wenn das Betriebssystem zum ersten Mal als nicht konform erkannt wird. Nach Ablauf dieser Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme von ihr anfordern.

Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird ein Dialogfeld angezeigt, in dem Benutzer erst geschlossen werden können, wenn sie die erforderlichen Informationen angeben.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Benutzer nicht gezwungen, MBAM-Richtlinien einzuhalten.

Wenn zum Hinzufügen einer Schutzvorrichtung keine Benutzerinteraktion erforderlich ist, beginnt die Verschlüsselung im Hintergrund, nachdem die Toleranzperiode abgelaufen ist.

Konfigurieren der Wiederherstellungsnachricht vor dem Start und der URL

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinieneinstellung, um eine benutzerdefinierte Wiederherstellungsmeldung zu konfigurieren oder eine URL anzugeben, die dann auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern verfügbar, auf denen Windows 11 und Windows 10 ausgeführt werden.

Wenn diese Richtlinie aktiviert ist, können Sie eine der folgenden Optionen für die Wiederherstellungsnachricht vor dem Start auswählen:

  • Benutzerdefinierte Wiederherstellungsmeldung verwenden: Wählen Sie diese Option aus, um eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start einzuschließen. Geben Sie im Feld Benutzerdefinierte Wiederherstellungsmeldung die Meldung ein, die angezeigt werden soll. Wenn Sie auch eine Wiederherstellungs-URL angeben möchten, schließen Sie sie als Teil Ihrer benutzerdefinierten Wiederherstellungsnachricht ein.

  • Benutzerdefinierte Wiederherstellungs-URL verwenden: Wählen Sie diese Option aus, um die Standard-URL zu ersetzen, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird. Geben Sie im Feld Benutzerdefinierte Wiederherstellungs-URL die URL ein, die angezeigt werden soll.

  • Standardwiederherstellungsmeldung und -URL verwenden: Wählen Sie diese Option aus, um die BitLocker-Standardwiederherstellungsnachricht und -URL auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und die Standardnachricht wiederherstellen möchten, müssen Sie diese Richtlinie aktivieren und die Option Standardwiederherstellungsnachricht und -URL verwenden auswählen.

Hinweis

Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird empfohlen, zu testen, dass die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.

Definitionen für Wechseldatenträger Gruppenrichtlinie

In diesem Abschnitt werden Wechseldatenträger Gruppenrichtlinie definitionen für Microsoft BitLocker-Verwaltung und -Überwachung auf dem folgenden GPO-Knoten beschrieben: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Wechseldatenträger.

Richtlinienname Übersicht und vorgeschlagene Gruppenrichtlinie Einstellungen

Steuern der Verwendung von BitLocker auf Wechseldatenträgern

Empfohlene Konfiguration: Aktiviert

Diese Richtlinie steuert die Verwendung von BitLocker auf Wechseldatenträgern.

Klicken Sie auf Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben , damit Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenträger ausführen können.

Klicken Sie auf Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben , damit Benutzer die BitLocker-Laufwerkverschlüsselung vom Laufwerk entfernen oder die Verschlüsselung während der Wartung anhalten können.

Wenn diese Richtlinie aktiviert ist und Sie auf Benutzer das Anwenden des BitLocker-Schutzes auf Wechseldatenträger zulassen klicken, speichert der MBAM-Client die Wiederherstellungsinformationen zu Wechseldatenträgern auf dem MBAM-Schlüsselwiederherstellungsserver und ermöglicht Benutzern die Wiederherstellung des Laufwerks, wenn das Kennwort verloren geht.

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, um nur Schreibberechtigungen für BitLocker-geschützte Laufwerke zuzulassen.

Wenn diese Richtlinie aktiviert ist, müssen alle Wechseldatenträger auf dem Computer verschlüsselt werden, bevor die Schreibberechtigung zulässig ist.

Zulassen des Zugriffs auf BitLocker-geschützte Wechseldatenträger aus früheren Versionen von Windows

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem entsperrt und auf Computern angezeigt werden können, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.

Wenn diese Richtlinie nicht konfiguriert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern entsperrt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird, und deren Inhalt kann angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützte Berechtigungen für BitLocker-geschützte Laufwerke.

Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, nicht entsperrt werden, und ihre Inhalte können nicht auf Computern angezeigt werden, auf denen Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 ausgeführt wird.

Konfigurieren der Kennwortverwendung für Wechseldatenträger

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, um den Kennwortschutz auf Wechseldatenträgern zu konfigurieren.

Wenn diese Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt, die keine Anforderungen an die Kennwortkomplexität enthalten und nur acht Zeichen erfordern.

Um die Sicherheit zu erhöhen, können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern auswählen, auf Kennwortkomplexität erforderlich klicken und die bevorzugte minimale Kennwortlänge festlegen.

Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) zu speichern.

Wenn die Einstellung Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zulässig, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den MBAM-Vorgang müssen keine Wiederherstellungsinformationen in AD DS gesichert werden.

Vorbereiten der Umgebung für MBAM 2.5

Bereitstellungsvoraussetzungen für MBAM 2.5

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.