Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Probleme erläutert, die auftreten, da das Wiederherstellungskennwort für Windows BitLocker in Windows nicht FIPS-kompatibel ist.
Gilt für: Windows 7 Service Pack 1, Windows Server 2008 R2
Ursprüngliche KB-Nummer: 947249
Einführung
Der Schlüsselableitungsalgorithmus, der mit dem Wiederherstellungskennwort für die Windows BitLocker-Laufwerkverschlüsselung verwendet wird, ist in Windows nicht fiPS-konform. Daher treten möglicherweise die folgenden Probleme auf, wenn die Systemkryptografie aktiviert ist: FiPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signieren von Gruppenrichtlinien verwenden.
Problem 1:
Wenn Sie an einer Eingabeaufforderung manuell ein Wiederherstellungskennwort hinzufügen, wird die folgende Fehlermeldung angezeigt:
Das numerische Kennwort wurde nicht hinzugefügt. Die FIPS-Gruppenrichtlinieneinstellung auf dem Computer verhindert die Erstellung von Wiederherstellungskennwörtern.
Problem 2:
Wenn Sie versuchen, ein Laufwerk zu verschlüsseln, auf dem BitLocker-Wiederherstellungswörter erforderlich sind, können Sie das Laufwerk nicht wie erwartet verschlüsseln. Außerdem wird die folgende Fehlermeldung angezeigt:
Datenträger kann nicht verschlüsselt werden. Für die Richtlinie ist ein Kennwort erforderlich, das mit der aktuellen Sicherheitsrichtlinie zur Verwendung von FIPS-Algorithmen nicht zulässig ist.
Problem 3
Wenn Sie ein Laufwerk verschlüsseln, wird ein Wiederherstellungsschlüssel erstellt, aber es wird kein Wiederherstellungskennwort als Schlüsselschutz erstellt.
Problem 4
Ein Wiederherstellungskennwort wird nicht im Active Directory-Verzeichnisdienst archiviert.
Weitere Informationen
Ein BitLocker-Wiederherstellungskennwort hat 48 Ziffern. Dieses Kennwort wird in einem Schlüsselableitungsalgorithmus verwendet, der nicht FIPS-kompatibel ist. Wenn Sie die Systemkryptografie aktivieren: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signieren von Gruppenrichtlinieneinstellungen, können Sie ein Laufwerk nicht mithilfe eines Wiederherstellungskennworts erstellen oder entsperren. Im Gegensatz dazu ist ein BitLocker-Wiederherstellungsschlüssel ein AES-Schlüssel, der keinen Schlüsselableitungsalgorithmus erfordert, der darauf ausgeführt werden muss und FIPS-kompatibel ist. Daher ist ein Wiederherstellungsschlüssel von dieser Gruppenrichtlinieneinstellung nicht betroffen.
Führen Sie die folgenden Schritte aus, um die Systemkryptografie zu deaktivieren: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signieren von Gruppenrichtlinien:
Klicken Sie auf "Start", geben Sie "gpedit.msc" in das Feld "Suche starten" ein, und klicken Sie dann auf "OK".
Notiz
Wenn Sie zur Eingabe eines Administratorkennworts bzw. zur Bestätigung aufgefordert werden, geben Sie das Kennwort ein, oder bestätigen Sie den Vorgang.
Erweitern Sie die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und klicken Sie dann auf "Sicherheitsoptionen".
Doppelklicken Sie im Detailbereich auf die Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung, klicken Sie auf "Deaktivieren", und klicken Sie dann auf " OK".
Notiz
Diese Gruppenrichtlinieneinstellung kann von einem Administrator konfiguriert werden, der automatisch von einem Domänencontroller angewendet wird. In diesem Fall können Sie diese Einstellung nicht lokal deaktivieren.