Freigeben über


New-CMBMSOSDEncryptionPolicy

Erstellen Sie eine Richtlinie, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.

Syntax

New-CMBMSOSDEncryptionPolicy
   [-PolicyState <State>]
   [-RequireTpm]
   [-MinimumPinLength <UInt32>]
   [-Protector <TpmProtector>]
   [-DisableWildcardHandling]
   [-ForceWildcardHandling]
   [<CommonParameters>]

Beschreibung

Verwenden Sie dieses Cmdlet, um eine Richtlinie zu erstellen, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.

Wenn Sie BitLocker auf einem Computer ohne Trusted Platform Module (TPM) verwenden möchten, verwenden Sie nicht den Parameter -RequireTpm . In diesem Modus erfordert BitLocker beim Starten des Geräts ein Kennwort. Wenn Sie das Kennwort vergessen haben, verwenden Sie eine BitLocker-Wiederherstellungsoption, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM kann BitLocker zwei Authentifizierungsmethoden verwenden, wenn das Gerät gestartet wird. Dieses Verhalten bietet zusätzlichen Schutz für verschlüsselte Daten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern.

Tipp

Wenn Sie Geräte mit TPM - und PIN-Schutz aktivieren, sollten Sie aus Sicherheitsgründen die folgenden Gruppenrichtlinieneinstellungen in den Einstellungen für denEnergiesparmodus derSystemenergieverwaltung>> deaktivieren:

  • Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)

  • Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)

Beispiele

Beispiel 1: Erstellen einer neuen Richtlinie, die TPM mit PIN erfordert

In diesem Beispiel wird eine neue Richtlinie erstellt, die mit den folgenden Attributen aktiviert ist:

  • Erfordert ein TPM
  • Anfordern einer PIN mit dem TPM
  • Die PIN muss mindestens 16 Nummern umfassen.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin

Beispiel 2: Erstellen einer neuen Richtlinie nur für TPM

In diesem Beispiel wird eine neue Richtlinie erstellt, die aktiviert ist und nur ein TPM erfordert.

New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly

Parameter

-DisableWildcardHandling

Dieser Parameter behandelt Wildcardzeichen als Literalzeichenwerte. Sie können es nicht mit ForceWildcardHandling kombinieren.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-ForceWildcardHandling

Dieser Parameter verarbeitet Wildcardzeichen und kann zu unerwartetem Verhalten führen (nicht empfohlen). Sie können es nicht mit DisableWildcardHandling kombinieren.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-MinimumPinLength

Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist 4die minimale PIN-Länge . Legen Sie einen Wert von auf 4 fest 20.

Typ:UInt32
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-PolicyState

Verwenden Sie diesen Parameter, um die Richtlinie zu konfigurieren.

  • Enabled: Wenn Sie diese Richtlinie aktivieren, muss der Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen und das Laufwerk verschlüsseln.

  • Disabled: Wenn Sie diese Richtlinie deaktivieren, kann der Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, entschlüsselt BitLocker das Laufwerk.

  • NotConfigured: Wenn Sie diese Richtlinie nicht konfigurieren, ist BitLocker auf dem Betriebssystemlaufwerk nicht erforderlich.

Typ:State
Zulässige Werte:Enabled, Disabled, NotConfigured
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-Protector

Verwenden Sie diesen Parameter, um eine Schutzvorrichtung für das Betriebssystemlaufwerk anzugeben:

  • TpmOnly: Verwenden Sie das TPM nur als Schutzvorrichtung.

  • TpmAndPin: Verwenden einer PIN mit dem TPM

Typ:TpmProtector
Zulässige Werte:TpmOnly, TpmAndPin
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

-RequireTpm

Fügen Sie diesen Parameter hinzu, um die Richtlinie so zu konfigurieren, dass das Gerät über ein kompatibles TPM verfügt.

Typ:SwitchParameter
Position:Named
Standardwert:None
Erforderlich:False
Pipelineeingabe akzeptieren:False
Platzhalterzeichen akzeptieren:False

Eingaben

None

Ausgaben

Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject