Konfigurieren von BitLocker

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Zum Konfigurieren von BitLocker können Sie eine der folgenden Optionen verwenden:

• Konfigurationsdienstanbieter (Configuration Service Provider, CSP): Diese Option wird häufig für Geräte verwendet, die von einer Mdm-Lösung (Mobile Geräteverwaltung) verwaltet werden, z. B. Microsoft Intune. Der BitLocker-CSP wird verwendet, um BitLocker zu konfigurieren und die status verschiedener BitLocker-Funktionen an die MDM-Lösung zu melden. Mit Microsoft Intune können Sie die BitLocker-status in Konformitätsrichtlinien verwenden und mit bedingtem Zugriff kombinieren. Der bedingte Zugriff kann den Zugriff auf Dienste wie Exchange Online und SharePoint Online basierend auf der status von BitLocker verhindern oder gewähren. Weitere Informationen zu den Intune Optionen zum Konfigurieren und Überwachen von BitLocker finden Sie in den folgenden Artikeln:
  • Verwalten der BitLocker-Richtlinie für Windows-Geräte mit Intune
  • Überwachen der Geräteverschlüsselung mit Intune
  • Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune
• Gruppenrichtlinie (GPO): Diese Option kann für Geräte verwendet werden, die einer Active Directory-Domäne beigetreten sind und nicht von einer Geräteverwaltungslösung verwaltet werden. Gruppenrichtlinien können auch für Geräte verwendet werden, die nicht mit einer Active Directory-Domäne verknüpft sind. Verwenden Sie dazu den Editor für lokale Gruppenrichtlinien.
• Microsoft Configuration Manager: Diese Option kann für Geräte verwendet werden, die von Microsoft Configuration Manager mit dem BitLocker-Verwaltungs-Agent verwaltet werden. Weitere Informationen zu Optionen zum Konfigurieren von BitLocker über Microsoft Configuration Manager finden Sie unter Bereitstellen der BitLocker-Verwaltung.

Hinweis

Windows Server unterstützt die Konfiguration von BitLocker mit CSP oder Microsoft Configuration Manager nicht. Verwenden Sie stattdessen GPO.

Während viele der BitLocker-Richtlinieneinstellungen sowohl mit CSP als auch mit GPO konfiguriert werden können, gibt es einige Einstellungen, die nur mit einer der Optionen verfügbar sind. Informationen zu den Richtlinieneinstellungen, die sowohl für CSP als auch für GPO verfügbar sind, finden Sie im Abschnitt BitLocker-Richtlinieneinstellungen.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die BitLocker-Verwaltung unterstützen:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Ja	Ja	Ja	Ja

BitLocker-Verwaltungslizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Nein	Ja	Ja	Ja	Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

BitLocker-Richtlinieneinstellungen

In diesem Abschnitt werden die Richtlinieneinstellungen zum Konfigurieren von BitLocker über Konfigurationsdienstanbieter (Configuration Service Provider, CSP) und Gruppenrichtlinien (GPO) beschrieben.

Wichtig

Die meisten BitLocker-Richtlinieneinstellungen werden erzwungen, wenn BitLocker anfänglich für ein Laufwerk aktiviert ist. Die Verschlüsselung wird nicht neu gestartet, wenn sich die Einstellungen ändern.

Liste mit Richtlinieneinstellungen

Die Liste der Einstellungen ist alphabetisch sortiert und in vier Kategorien organisiert:

• Allgemeine Einstellungen: Einstellungen, die für alle mit BitLocker geschützten Laufwerke gelten
• Betriebssystemlaufwerk: Einstellungen für das Laufwerk, auf dem Windows installiert ist
• Festplattenlaufwerke: Einstellungen, die für lokale Laufwerke gelten, mit Ausnahme des Betriebssystemlaufwerks
• Wechseldatenträger: Einstellungen für alle Wechseldatenträger

Wählen Sie eine der Registerkarten aus, um die Liste der verfügbaren Einstellungen anzuzeigen:

Allgemeine Einstellungen

In der folgenden Tabelle sind die BitLocker-Richtlinien aufgeführt, die für alle Laufwerkstypen gelten und angeben, ob sie über konfigurationsdienstanbieter (Configuration Service Provider, CSP) und/oder Gruppenrichtlinien (GPO) anwendbar sind. Wählen Sie den Richtliniennamen aus, um weitere Details zu erhalten.

Richtlinienname	CSP	GPO
Standardbenutzerverschlüsselung zulassen	✅	❌
Auswählen des Standardordners für das Wiederherstellungskennwort	❌	✅
Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke	✅	✅
Konfigurieren der Rotation von Wiederherstellungskennwörtern	✅	❌
Deaktivieren neuer DMA-Geräte, wenn dieser Computer gesperrt ist	❌	✅
Verhindern des Überschreibens des Arbeitsspeichers beim Neustart	❌	✅
Geben Sie die eindeutigen Bezeichner für Ihre organization	✅	✅
Geräteverschlüsselung erforderlich	✅	❌
Überprüfen der Konformität von Smart Karte-Zertifikatverwendungsregeln	❌	✅

Standardbenutzerverschlüsselung zulassen

Mit dieser Richtlinie können Sie die Richtlinie Geräteverschlüsselung erforderlich für Szenarien erzwingen, in denen die Richtlinie angewendet wird, während der aktuell angemeldete Benutzer nicht über Administratorrechte verfügt.

Wichtig

Die Warnung Zulassen für andere Datenträgerverschlüsselungsrichtlinien muss deaktiviert sein, um die Standardbenutzerverschlüsselung zuzulassen.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO	Nicht verfügbar

Auswählen des Standardordners für das Wiederherstellungskennwort

Geben Sie den Standardpfad an, der angezeigt wird, wenn der Setup-Assistent für die BitLocker-Laufwerkverschlüsselung den Benutzer auffordert, den Speicherort eines Ordners einzugeben, in dem das Wiederherstellungskennwort gespeichert werden soll. Sie können entweder einen vollqualifizierten Pfad angeben oder die Umgebungsvariablen des Zielcomputers in den Pfad einschließen:

• Wenn der Pfad ungültig ist, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene des Computers an.
• Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene des Computers an, wenn der Benutzer die Option zum Speichern des Wiederherstellungskennworts in einem Ordner auswählt.

Hinweis

Diese Richtlinieneinstellung hindert den Benutzer nicht daran, das Wiederherstellungskennwort in einem anderen Ordner zu speichern.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Auswählen der Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke

Mit dieser Richtlinie können Sie einen Verschlüsselungsalgorithmus und die Verschlüsselungsstärke von Schlüsseln für Festplattenlaufwerke, Betriebssystemlaufwerke und Wechseldatenträger einzeln konfigurieren.

Empfohlene Einstellungen: XTS-AES Algorithmus für alle Laufwerke. Die Wahl der Schlüsselgröße 128 Bit oder 256 Bit hängt von der Leistung des Geräts ab. Wählen Sie für leistungsfähigere Festplatten und CPU den 256-Bit-Schlüssel aus, für weniger leistungsfähige Festplatten verwenden Sie 128.

Wichtig

Die Schlüsselgröße kann von Regulierungsbehörden oder der Industrie benötigt werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker die Standardverschlüsselungsmethode von XTS-AES 128-bit.

Hinweis

Diese Richtlinie gilt nicht für verschlüsselte Laufwerke. Verschlüsselte Laufwerke verwenden einen eigenen Algorithmus, der während der Partitionierung vom Laufwerk festgelegt wird.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Konfigurieren der Rotation von Wiederherstellungskennwörtern

Mit dieser Richtlinie können Sie eine numerische Wiederherstellungskennwortrotation konfigurieren, wenn sie für Betriebssystem- und Festplattenlaufwerke auf Microsoft Entra und Microsoft Entra hybrid eingebundenen Geräten verwendet wird.

Mögliche Werte:

• 0: Die Rotation des numerischen Wiederherstellungskennworts ist deaktiviert.
• 1: Die Rotation des numerischen Wiederherstellungskennworts bei Verwendung ist für Microsoft Entra verbundene Geräte aktiviert. Dies ist auch der Standardwert.
• 2: Die Rotation des numerischen Wiederherstellungskennworts bei Verwendung ist sowohl für Microsoft Entra verbundene Geräte als auch für Microsoft Entra hybrid eingebundene Geräte aktiviert.

Hinweis

Die Richtlinie ist nur gültig, wenn die Micropsoft Entra-ID oder die Active Directory-Sicherung für das Wiederherstellungskennwort so konfiguriert ist, dass sie erforderlich ist.

• Für Betriebssystemlaufwerk: Aktivieren Sie BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden.
• Für Festplattenlaufwerke: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO	Nicht verfügbar

Deaktivieren neuer DMA-Geräte, wenn dieser Computer gesperrt ist

Wenn diese Richtlinieneinstellung aktiviert ist, blockiert diese Richtlinieneinstellung den direkten Speicherzugriff (Direct Memory Access, DMA) für alle hot plug-fähigen PCI-Ports, bis sich ein Benutzer bei Windows anmeldet.

Sobald sich ein Benutzer anmeldet, listet Windows die PCI-Geräte auf, die mit den Thunderbolt-PCI-Ports des Hosts verbunden sind. Jedes Mal, wenn der Benutzer das Gerät sperrt, wird DMA an Hot-Plug-Thunderbolt-PCI-Anschlüssen ohne Kindergeräte blockiert, bis sich der Benutzer erneut anmeldet.

Geräte, die beim Entsperren des Geräts bereits aufgelistet wurden, funktionieren weiterhin, bis das Netz getrennt oder das System neu gestartet oder in den Ruhezustand versetzt wird.

Diese Richtlinieneinstellung wird nur erzwungen, wenn BitLocker oder die Geräteverschlüsselung aktiviert ist.

Wichtig

Diese Richtlinie ist nicht mit dem Kernel-DMA-Schutz kompatibel. Es wird empfohlen, diese Richtlinie zu deaktivieren, wenn das System Kernel-DMA-Schutz unterstützt, da Kernel-DMA-Schutz eine höhere Sicherheit für das System bietet. Weitere Informationen zum Kernel-DMA-Schutz finden Sie unter Kernel-DMA-Schutz.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Verhindern des Überschreibens des Arbeitsspeichers beim Neustart

Diese Richtlinieneinstellung wird verwendet, um zu steuern, ob der Arbeitsspeicher des Computers beim Neustart des Geräts überschrieben wird. BitLocker-Geheimnisse enthalten Schlüsselmaterial, das zum Verschlüsseln von Daten verwendet wird.

• Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Arbeitsspeicher beim Neustart des Computers nicht überschrieben. Das Verhindern von Speicherüberschreibungen kann die Neustartleistung verbessern, erhöht jedoch das Risiko, dass BitLocker-Geheimnisse offenlegen.
• Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden BitLocker-Geheimnisse beim Neustart des Computers aus dem Arbeitsspeicher entfernt.

Hinweis

Diese Richtlinieneinstellung gilt nur, wenn der BitLocker-Schutz aktiviert ist.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Geben Sie die eindeutigen Bezeichner für Ihre organization

Mit dieser Richtlinieneinstellung können Sie einem Laufwerk, das mit BitLocker verschlüsselt ist, eindeutige Organisationsbezeichner zuordnen. Die Bezeichner werden als Identifikationsfeld und zulässiges Identifikationsfeld gespeichert:

• Mit dem Identifikationsfeld können Sie durch BitLocker geschützte Laufwerke einen eindeutigen Organisationsbezeichner zuordnen. Dieser Bezeichner wird automatisch neuen bitLocker-geschützten Laufwerken hinzugefügt und kann mithilfe des BitLocker-Laufwerkverschlüsselungstools (manage-bde.exe) auf vorhandenen bitLocker-geschützten Laufwerken aktualisiert werden.
• Das Feld "Zulässige Identifizierung" wird in Kombination mit der Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern verwendet, die nicht durch BitLocker geschützt sind, um die Verwendung von Wechseldatenträgern in Ihrem organization zu steuern. Es handelt sich um eine durch Trennzeichen getrennte Liste von Identifikationsfeldern aus Ihrem organization oder anderen externen Organisationen. Sie können die Identifikationsfelder auf vorhandenen Laufwerken mithilfe manage-bde.exevon konfigurieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Identifikationsfeld auf dem durch BitLocker geschützten Laufwerk und alle zulässigen Identifikationsfelder konfigurieren, die von Ihrem organization verwendet werden. Wenn ein BitLocker-geschütztes Laufwerk auf einem anderen BitLocker-fähigen Gerät bereitgestellt wird, werden das Identifikationsfeld und das zulässige Identifikationsfeld verwendet, um zu bestimmen, ob das Laufwerk aus einem anderen organization stammt.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist das Identifikationsfeld nicht erforderlich.

Wichtig

Identifikationsfelder sind für die Verwaltung zertifikatbasierter Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert zertifikatbasierte Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Gerät konfigurierten Wert identisch ist. Das Identifikationsfeld kann ein beliebiger Wert von maximal 260 Zeichen sein.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ IdentificationField
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Geräteverschlüsselung erforderlich

Diese Richtlinieneinstellung bestimmt, ob BitLocker erforderlich ist:

• Wenn diese Option aktiviert ist, wird die Verschlüsselung auf allen Laufwerken automatisch oder nicht automatisch ausgelöst, basierend auf der Warnung Zulassen für andere Datenträgerverschlüsselungsrichtlinien .
• Wenn diese Option deaktiviert ist, wird BitLocker für das Systemlaufwerk nicht deaktiviert, aber der Benutzer wird nicht mehr aufgefordert, BitLocker zu aktivieren.

Hinweis

In der Regel folgt BitLocker der Richtlinienkonfiguration Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen . Diese Richtlinieneinstellung wird jedoch für selbstverschlüsselte Festplattenlaufwerke und selbstverschlüsselte Betriebssystemlaufwerke ignoriert.

Verschlüsselte Feste Datenvolumes werden ähnlich wie Betriebssystemvolumes behandelt, müssen jedoch andere Kriterien erfüllen, um verschlüsselt werden zu können:

• Es darf sich nicht um ein dynamisches Volume handeln.
• Es darf keine Wiederherstellungspartition sein.
• Es darf sich nicht um ein ausgeblendetes Volume handeln.
• Es darf keine Systempartition sein.
• Er darf nicht durch virtuellen Speicher gesichert werden.
• Es darf keinen Verweis im BCD-Speicher enthalten.

Hinweis

Bei Verwendung dieser Richtlinie für die automatische Verschlüsselung wird nur die vollständige Datenträgerverschlüsselung unterstützt. Bei nicht unbeaufsichtigter Verschlüsselung hängt der Verschlüsselungstyp von den Richtlinien Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingen ab, die auf dem Gerät konfiguriert sind.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO	Nicht verfügbar

Überprüfen der Konformität von Smart Karte-Zertifikatverwendungsregeln

Diese Richtlinieneinstellung wird verwendet, um zu bestimmen, welches Zertifikat mit BitLocker verwendet werden soll, indem ein Objektbezeichner (OID) aus einem Smart Karte-Zertifikat einem durch BitLocker geschützten Laufwerk zugeordnet wird. Der Objektbezeichner wird in der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) eines Zertifikats angegeben.

BitLocker kann identifizieren, welche Zertifikate verwendet werden können, um ein Benutzerzertifikat bei einem durch BitLocker geschützten Laufwerk zu authentifizieren, indem der Objektbezeichner im Zertifikat mit dem Objektbezeichner übereinstimmt, der durch diese Richtlinieneinstellung definiert wird. Die Standard-OID ist 1.3.6.1.4.1.311.67.1.1.

Wenn Sie diese Richtlinieneinstellung aktivieren, muss der im Feld Objektbezeichner angegebene Objektbezeichner mit dem Objektbezeichner im Smart Karte-Zertifikat übereinstimmen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standard-OID verwendet.

Hinweis

BitLocker erfordert nicht, dass ein Zertifikat über ein EKU-Attribut verfügt. Wenn jedoch eines für das Zertifikat konfiguriert ist, muss es auf einen Objektbezeichner festgelegt werden, der mit dem für BitLocker konfigurierten Objektbezeichner übereinstimmt.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung

Betriebssystemlaufwerk

Richtlinienname	CSP	GPO
Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren	✅	✅
Zulassen erweiterter PINs für den Start	✅	✅
Netzwerkentsperrung beim Start zulassen	❌	✅
Zulassen des sicheren Starts für die Integritätsüberprüfung	❌	✅
Warnung zulassen für andere Datenträgerverschlüsselung	✅	❌
Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können	✅	✅
Konfigurieren der mindesten PIN-Länge für den Start	✅	✅
Konfigurieren der Wiederherstellungsnachricht und der URL vor dem Start	✅	✅
Konfigurieren des TPM-Plattformvalidierungsprofils für BIOS-basierte Firmwarekonfigurationen	❌	✅
Konfigurieren des TPM-Plattformvalidierungsprofils für native UEFI-Firmwarekonfigurationen	❌	✅
Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke	❌	✅
Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke	❌	✅
Nicht zulassen, dass Standardbenutzer die PIN oder das Kennwort ändern	✅	✅
Aktivieren der Verwendung der BitLocker-Authentifizierung, bei der Tastatureingaben für Slates vor dem Start erforderlich sind	✅	✅
Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken	✅	✅
Zusätzliche Authentifizierung beim Start erforderlich	✅	✅
Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung	❌	✅
Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration	❌	✅

Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die Vorstart-PIN deaktivieren

Diese Richtlinieneinstellung ermöglicht Benutzern auf Geräten, die mit InstantGo oder Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Vorabstartauthentifizierung zu haben.

Die Richtlinie überschreibt die Optionen Start-PIN mit TPM erforderlich und Startschlüssel und PIN mit TPM anfordern der Richtlinie Zusätzliche Authentifizierung beim Start auf kompatibler Hardware erforderlich.

• Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer auf InstantGo- und HSTI-kompatiblen Geräten BitLocker ohne Vorabstartauthentifizierung aktivieren.
• Wenn die Richtlinie deaktiviert oder nicht konfiguriert ist, gelten die Optionen der Richtlinie Zusätzliche Authentifizierung beim Start anfordern .

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Zulassen erweiterter PINs für den Start

Diese Einstellung ermöglicht die Verwendung erweiterter PINs, wenn eine Entsperrmethode verwendet wird, die eine PIN enthält.

Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbole, Zahlen und Leerzeichen).

Wichtig

Nicht alle Computer unterstützen erweiterte PIN-Zeichen in der Preboot-Umgebung. Es wird dringend empfohlen, dass Benutzer während des BitLocker-Setups eine Systemüberprüfung durchführen, um zu überprüfen, ob erweiterte PIN-Zeichen verwendet werden können.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnhancedPIN
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Netzwerkentsperrung beim Start zulassen

Diese Richtlinieneinstellung steuert, ob ein bitLocker-geschütztes Gerät, das mit einem vertrauenswürdigen lan (Local Area Network) verbunden ist, Netzwerkschlüsselschutzvorrichtungen auf TPM-fähigen Computern erstellen und verwenden kann, um das Betriebssystemlaufwerk beim Starten des Computers automatisch zu entsperren.

Wenn Sie diese Richtlinie aktivieren, können Geräte, die mit einem BitLocker-Netzwerkentsperrungszertifikat konfiguriert sind, Netzwerkschlüsselschutzvorrichtungen erstellen und verwenden. Um eine Netzwerkschlüsselschutzvorrichtung zum Entsperren des Computers zu verwenden, müssen sowohl der Computer als auch der BitLocker-Laufwerkverschlüsselungs-Netzwerkentsperrungsserver mit einem Netzwerkentsperrungszertifikat bereitgestellt werden. Das Netzwerkentsperrungszertifikat wird zum Erstellen von Netzwerkschlüsselschutzvorrichtungen verwendet und schützt die mit dem Server ausgetauschten Informationen, um den Computer zu entsperren.

Die Gruppenrichtlinie Einstellung Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Public Key-Richtlinien>BitLocker-Laufwerkverschlüsselung Netzwerksperrzertifikat kann auf dem Domänencontroller verwendet werden, um dieses Zertifikat an Computer im organization zu verteilen. Diese Entsperrmethode verwendet das TPM auf dem Computer, sodass Computer ohne TPM keine Netzwerkschlüsselschutzvorrichtungen erstellen können, die automatisch mit der Netzwerkentsperrung entsperrt werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können BitLocker-Clients keine Netzwerkschlüsselschutzvorrichtungen erstellen und verwenden.

Hinweis

Aus Gründen der Zuverlässigkeit und Sicherheit sollten Computer auch über eine TPM-Start-PIN verfügen, die verwendet werden kann, wenn der Computer beim Start vom kabelgebundenen Netzwerk oder dem Server getrennt ist.

Weitere Informationen zur Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Zulassen des sicheren Starts für die Integritätsüberprüfung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob der sichere Start als Plattformintegritätsanbieter für BitLocker-Betriebssystemlaufwerke zulässig ist.

Der sichere Start stellt sicher, dass die Vorabstartumgebung des Geräts nur Firmware lädt, die von autorisierten Softwareanbietern digital signiert wird.

• Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, verwendet BitLocker den sicheren Start für die Plattformintegrität, wenn die Plattform in der Lage ist, die Auf sichere Start-basierte Integritätsüberprüfung zu überprüfen.
• Wenn Sie diese Richtlinieneinstellung deaktivieren, verwendet BitLocker die Legacy-Plattformintegritätsüberprüfung, auch auf Systemen, die die Integritätsüberprüfung auf Sicherer Start basieren können.

Wenn diese Richtlinie aktiviert ist und die Hardware den sicheren Start für BitLocker-Szenarien verwenden kann, wird die Richtlinieneinstellung Erweiterte Startkonfiguration datenüberprüfungsprofil verwenden ignoriert, und Der sichere Start überprüft die BCD-Einstellungen gemäß der Richtlinieneinstellung für den sicheren Start, die separat von BitLocker konfiguriert wird.

Hinweis

Wenn die Richtlinieneinstellung TPM-Plattformvalidierungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren aktiviert ist und PCR 7 ausgelassen wird, wird BitLocker daran gehindert, den sicheren Start für die Plattform- oder BCD-Integritätsüberprüfung (Boot Configuration Data) zu verwenden.

Warnung

Das Deaktivieren dieser Richtlinie kann zur BitLocker-Wiederherstellung führen, wenn herstellerspezifische Firmware aktualisiert wird. Wenn diese Richtlinie deaktiviert ist, setzen Sie BitLocker vor dem Anwenden von Firmwareupdates an.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Warnung für andere Datenträgerverschlüsselung zulassen

Mit dieser Richtlinie können Sie alle Benachrichtigungen für die Verschlüsselung deaktivieren, warnungsaufforderungen für andere Datenträgerverschlüsselungen und die Verschlüsselung im Hintergrund aktivieren.

Wichtig

Diese Richtlinie gilt nur für Microsoft Entra verbundene Geräte.

Diese Richtlinie wird nur wirksam, wenn geräteverschlüsselungsrichtlinie erforderlich aktiviert ist.

Warnung

Wenn Sie BitLocker auf einem Gerät mit Nicht-Microsoft-Verschlüsselung aktivieren, wird das Gerät möglicherweise unbrauchbar und erfordert eine erneute Installation von Windows.

Die erwarteten Werte für diese Richtlinie sind:

• Aktiviert (Standardeinstellung): Warnungsaufforderung und Verschlüsselungsbenachrichtigung ist zulässig
• Deaktiviert: Warnungsaufforderung und Verschlüsselungsbenachrichtigung werden unterdrückt. Windows versucht, BitLocker im Hintergrund zu aktivieren.

Hinweis

Wenn Sie die Warnungsaufforderung deaktivieren, wird der Wiederherstellungsschlüssel des Betriebssystemlaufwerks im Microsoft Entra ID Konto des Benutzers gesichert. Wenn Sie die Warnungsaufforderung zulassen, kann der Benutzer, der die Eingabeaufforderung erhält, auswählen, wo der Wiederherstellungsschlüssel des Betriebssystemlaufwerks gesichert werden soll.

Der Endpunkt für die Sicherung eines Festplattenlaufwerks wird in der folgenden Reihenfolge ausgewählt:

1. Das Windows Server Active Directory Domain Services-Konto des Benutzers
2. Das Microsoft Entra ID-Konto des Benutzers
3. Das persönliche OneDrive des Benutzers (nur MDM/MAM)

Die Verschlüsselung wartet, bis einer dieser drei Speicherorte erfolgreich gesichert wurde.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ AllowWarningForOtherDiskEncryption
GPO	Nicht verfügbar

Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Betriebssystemlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Für Benutzer verfügbaren Methoden zum Wiederherstellen von Daten von BitLocker-geschützten Betriebssystemlaufwerken steuern. Hier sind die verfügbaren Optionen:

• Zertifikatbasierter Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
• Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
• Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
• BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
• Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Bei Microsoft Entra hybrid eingebundenen Geräten wird das BitLocker-Wiederherstellungskennwort sowohl in Active Directory als auch in der Entra-ID gesichert.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryOptions
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren der mindesten PIN-Länge für den Start

Diese Richtlinie konfiguriert eine Mindestlänge für eine TPM-Start-PIN (Trusted Platform Module). Die Start-PIN muss eine Mindestlänge von vier Ziffern aufweisen und kann eine maximale Länge von 20 Ziffern aufweisen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie festlegen, dass beim Festlegen der Start-PIN eine Mindestanzahl von Ziffern verwendet wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.

Das TPM kann für die Verwendung von Parametern zur Verhinderung von Wörterbuchangriffen (Sperrschwellenwert und Sperrdauer ) konfiguriert werden, um zu steuern, wie viele fehlgeschlagene Autorisierungsversuche zulässig sind, bevor das TPM gesperrt wird, und wie viel Zeit vergehen muss, bevor ein weiterer Versuch durchgeführt werden kann.

Die Parameter zur Verhinderung von Wörterbuchangriffen bieten eine Möglichkeit, Sicherheitsanforderungen und Benutzerfreundlichkeit in Einklang zu bringen. Wenn BitLocker beispielsweise mit einer TPM- und PIN-Konfiguration verwendet wird, ist die Anzahl der PIN-Vermutungen im Laufe der Zeit begrenzt. Ein TPM 2.0 in diesem Beispiel könnte so konfiguriert werden, dass nur 32 PIN-Raten sofort und dann nur eine weitere Schätzung alle zwei Stunden zulässig ist. Diese Anzahl von Versuchen summiert sich auf maximal etwa 4415 Schätzungen pro Jahr. Wenn die PIN aus vier Ziffern besteht, können alle 9999 möglichen PIN-Kombinationen in etwas mehr als zwei Jahren versucht werden.

Tipp

Das Erhöhen der PIN-Länge erfordert eine größere Anzahl von Vermutungen für einen Angreifer. In diesem Fall kann die Sperrdauer zwischen den einzelnen Erraten verkürzt werden, damit legitime Benutzer einen fehlgeschlagenen Versuch früher wiederholen können, während ein ähnliches Schutzniveau beibehalten wird.

Hinweis

Wenn die minimale PIN-Länge unter 6 Ziffern festgelegt ist, versucht Windows, den TPM 2.0-Sperrzeitraum so zu aktualisieren, dass er größer als der Standard ist, wenn eine PIN geändert wird. Bei erfolgreicher Ausführung setzt Windows den TPM-Sperrzeitraum nur dann auf den Standardwert zurück, wenn das TPM zurückgesetzt wird.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesMinimumPINLength
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren der Preboot-Wiederherstellungsnachricht und der URL

Diese Richtlinieneinstellung wird verwendet, um die Wiederherstellungsmeldung zu konfigurieren und die vorhandene URL zu ersetzen, die auf dem Bildschirm für die Wiederherstellung vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.

• Wenn Sie die Option Standardwiederherstellungsmeldung und -URL verwenden auswählen, werden die BitLocker-Standardwiederherstellungsnachricht und die URL auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und rückgängig machen möchten, müssen Sie die Richtlinie aktiviert lassen und die Option Standardwiederherstellungsnachricht und URL verwenden auswählen.
• Wenn Sie die Option Benutzerdefinierte Wiederherstellungsnachricht verwenden auswählen, wird die Nachricht, die Sie dem Textfeld Benutzerdefinierte Wiederherstellungsmeldung hinzufügen, auf dem Bildschirm für die Wiederherstellung des Prebootschlüssels angezeigt. Wenn eine Wiederherstellungs-URL verfügbar ist, fügen Sie sie in die Nachricht ein.
• Wenn Sie die Option Benutzerdefinierte Wiederherstellungs-URL verwenden auswählen, ersetzt die URL, die Sie dem Textfeld Benutzerdefinierte Wiederherstellungs-URL hinzufügen, die Standard-URL in der Standardwiederherstellungsmeldung, die im Bildschirm für die Wiederherstellung vor dem Start des Schlüssels angezeigt wird.

Hinweis

Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.

Weitere Informationen zum BitLocker-Bildschirm für die Wiederherstellung vor dem Start finden Sie unter Bildschirm für die Wiederherstellung vor dem Start.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryMessage
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren des TPM-Plattformvalidierungsprofils für BIOS-basierte Firmwarekonfigurationen

Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es frühe Startkomponenten überprüft, bevor ein Betriebssystemlaufwerk auf einem Computer mit einer BIOS-Konfiguration oder mit UEFI-Firmware entsperrt wird, für die das Compatibility Support Module (CSM) aktiviert ist.

• Wenn diese Option aktiviert ist, können die Startkomponenten konfiguriert werden, die das TPM vor dem Entsperren des Zugriffs auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk überprüft. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren. Stattdessen zeigt der Computer die BitLocker-Wiederherstellungskonsole an und erfordert, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben wird, um das Laufwerk zu entsperren.
• Wenn es deaktiviert oder nicht konfiguriert ist, verwendet das TPM das standardbasierte Plattformvalidierungsprofil oder das Plattformüberprüfungsprofil, das vom Setupskript angegeben wird.

Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig

Diese Gruppenrichtlinie Einstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem CSM. Computer, die eine native UEFI-Firmwarekonfiguration verwenden, speichern unterschiedliche Werte in den Platform Configuration Registers (PCRs). Verwenden Sie die Richtlinieneinstellung TPM-Plattformüberprüfungsprofil für native UEFI-Firmwarekonfigurationen konfigurieren , um das TPM-PCR-Profil für Computer zu konfigurieren, die native UEFI-Firmware verwenden.

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes, die zwischen 0 und 23 liegen. Jeder PCR-Index stellt eine bestimmte Messung dar, die das TPM während des frühen Starts überprüft. Das Standardprofil für die Plattformüberprüfung schützt den Verschlüsselungsschlüssel vor Änderungen an den folgenden PCRs:

PCR	Beschreibung
PCR 0	Kernvertrauensstamm für Messungen, BIOS- und Plattformerweiterungen
PCR 2	Options-ROM-Code
PCR 4	Master Boot Record (MBR)-Code
PCR 8	NTFS-Startsektor
PCR 9	NTFS-Startblock
PCR 10	Start-Manager
PCR 11	BitLocker-Zugriffssteuerung

Hinweis

Eine Änderung vom Standardprofil für die Plattformvalidierung wirkt sich auf die Sicherheit und Verwaltbarkeit eines Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Ein- oder Ausschluss der PCRs erhöht oder verringert.

In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:

PCR	Beschreibung
PCR 0	Kernvertrauensstamm für Messungen, BIOS- und Plattformerweiterungen
PCR 1	Plattform- und Hauptplatinenkonfiguration und -daten.
PCR 2	Options-ROM-Code
PCR 3	Options-ROM-Daten und Konfiguration
PCR 4	Master Boot Record (MBR)-Code
PCR 5	MbR-Partitionstabelle (Master Boot Record)
PCR 6	Zustandsübergangs- und Aktivierungsereignisse
PCR 7	Computerherstellerspezifisch
PCR 8	NTFS-Startsektor
PCR 9	NTFS-Startblock
PCR 10	Start-Manager
PCR 11	BitLocker-Zugriffssteuerung
PCR 12-23	Reserviert für die zukünftige Verwendung

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren des TPM-Plattformvalidierungsprofils für native UEFI-Firmwarekonfigurationen

Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es frühe Startkomponenten überprüft, bevor das Betriebssystemlaufwerk auf einem nativen UEFI-Firmwaregerät entsperrt wird.

• Wenn Sie diese Richtlinieneinstellung vor dem Aktivieren von BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn sich eine dieser Komponenten ändert, während der BitLocker-Schutz in Kraft ist, gibt das TPM den Verschlüsselungsschlüssel nicht frei, um das Laufwerk zu entsperren. Das Gerät zeigt die BitLocker-Wiederherstellungskonsole an und erfordert, dass entweder das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel angegeben wird, um das Laufwerk zu entsperren.
• Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standardprofil für die Plattformüberprüfung für die verfügbare Hardware oder das vom Setupskript angegebene Plattformvalidierungsprofil.

Wichtig

Diese Richtlinieneinstellung gilt nur für Geräte mit einer nativen UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware mit aktiviertem Compatibility Support Module (CSM) speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (PCRs). Verwenden Sie die Richtlinieneinstellung TPM-Plattformüberprüfungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren , um das TPM-PCR-Profil für Geräte mit BIOS-Konfigurationen oder für Geräte mit UEFI-Firmware mit aktiviertem CSM zu konfigurieren.

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes im Bereich von 0 bis 23. Das Standardprofil für die Plattformüberprüfung schützt den Verschlüsselungsschlüssel vor Änderungen an den folgenden PCRs:

PCR	Beschreibung
PCR 0	Ausführbarer Code der Core System Firmware
PCR 2	Erweiterter oder austauschbarer ausführbarer Code
PCR 4	Start-Manager
PCR 11	BitLocker-Zugriffssteuerung

Hinweis

Wenn unterstützung für den sicheren Startzustand (PCR7) verfügbar ist, wird der Verschlüsselungsschlüssel durch das Standard-Plattformvalidierungsprofil mithilfe des sicheren Startzustands (PCR 7) und der BitLocker-Zugriffssteuerung (PCR 11) gesichert.

In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:

PCR	Beschreibung
PCR 0	Ausführbarer Code der Core System Firmware
PCR 1	Kernsystemfirmwaredaten
PCR 2	Erweiterter oder austauschbarer ausführbarer Code
PCR 3	Erweiterte oder austauschbare Firmwaredaten
PCR 4	Start-Manager
PCR 5	GPT/Partitionstabelle
PCR 6	Fortsetzen von S4- und S5-Energiezustandsereignissen
PCR 7	Sicherer Startstatus
PCR 8	Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert)
PCR 9	Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert)
PCR 10	Initialisiert mit 0 ohne "Extends" (für die zukünftige Verwendung reserviert)
PCR 11	BitLocker-Zugriffssteuerung
PCR 12	Datenereignisse und hochflüchtige Ereignisse
PCR 13	Details zum Startmodul
PCR 14	Startautoritäten
PCR 15 - 23	Reserviert für die zukünftige Verwendung

Warnung

Eine Änderung vom Standardprofil für die Plattformvalidierung wirkt sich auf die Sicherheit und Verwaltbarkeit eines Geräts aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (böswillig oder autorisiert) wird je nach Ein- oder Ausschluss der PCRs erhöht oder verringert.

Das Festlegen dieser Richtlinie mit ausgelassener PCR 7 überschreibt die Richtlinie Sicheren Start für die Integritätsüberprüfung zulassen und verhindert, dass BitLocker den sicheren Start für die Plattform- oder BCD-Integritätsüberprüfung (Boot Configuration Data) verwendet.

Das Festlegen dieser Richtlinie kann zur BitLocker-Wiederherstellung führen, wenn die Firmware aktualisiert wird. Wenn Sie diese Richtlinie auf PCR 0 festlegen, setzen Sie BitLocker vor dem Anwenden von Firmwareupdates aus. Es wird empfohlen, diese Richtlinie nicht zu konfigurieren, damit Windows das PCR-Profil auswählen kann, um die beste Kombination aus Sicherheit und Benutzerfreundlichkeit basierend auf der verfügbaren Hardware auf jedem Gerät zu erzielen.

PCR 7 misst den Status des sicheren Starts. Mit PCR 7 kann BitLocker den sicheren Start für die Integritätsüberprüfung verwenden. Der sichere Start stellt sicher, dass die Vorabstartumgebung des Computers nur Firmware lädt, die von autorisierten Softwareanbietern digital signiert wird. PCR 7-Messungen geben an, ob der sichere Start aktiviert ist und welche Schlüssel auf der Plattform vertrauenswürdig sind. Wenn der sichere Start aktiviert ist und die Firmware PCR 7 gemäß der UEFI-Spezifikation ordnungsgemäß misst, kann BitLocker an diese Informationen und nicht an die PCRs 0, 2 und 4 binden, bei denen die Messungen der genauen Firmware- und Bootmgr-Images geladen sind. Dieser Prozess verringert die Wahrscheinlichkeit, dass BitLocker aufgrund von Firmware- und Imageupdates im Wiederherstellungsmodus gestartet wird, und bietet mehr Flexibilität bei der Verwaltung der Preboot-Konfiguration.

PcR 7-Messungen müssen den Anweisungen entsprechen, die in Anhang A Vertrauenswürdige Ausführungsumgebung EFI-Protokoll beschrieben sind.

PCR 7-Messungen sind eine obligatorische Logoanforderung für Systeme, die modern Standby unterstützen (auch bekannt als Always On, Always Connected-PCs). Wenn auf solchen Systemen das TPM mit PCR 7-Messung und dem sicheren Start ordnungsgemäß konfiguriert ist, wird BitLocker standardmäßig an PCR 7 und PCR 11 gebunden.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke

Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Betriebssystemlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Betriebssystemlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.

Hinweis

Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.

Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:

• AES 128 im CBC-Modus OID: 2.16.840.1.101.3.4.1.2
• AES 256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke

Diese Richtlinieneinstellung gibt die Einschränkungen für Kennwörter an, die zum Entsperren von bitLocker-geschützten Betriebssystemlaufwerken verwendet werden. Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.

Wichtig

Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:

• Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
• Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
• Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.

Kennwörter müssen mindestens acht Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Nicht zulassen, dass Standardbenutzer die PIN oder das Kennwort ändern

Diese Richtlinie ermöglicht die Konfiguration, ob Standardbenutzer die PIN oder das Kennwort ändern dürfen, die zum Schutz des Betriebssystemlaufwerks verwendet wird, wenn sie zuerst die vorhandene PIN angeben können.

Wenn Sie diese Richtlinie aktivieren, können Standardbenutzer bitLocker-PINs oder -Kennwörter nicht ändern. Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, können Standardbenutzer BitLocker-PINs und -Kennwörter ändern.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesDisallowStandardUsersCanChangePIN
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Aktivieren der Verwendung der BitLocker-Authentifizierung, bei der Tastatureingaben für Slates vor dem Start erforderlich sind

Mit dieser Richtlinieneinstellung können Benutzer Authentifizierungsoptionen aktivieren, die Benutzereingaben aus der Preboot-Umgebung erfordern, auch wenn die Plattform keine Preboot-Eingabefunktion aufweist. Die Windows-Bildschirmtastatur (z. B. die von Tablets verwendete) ist in der Preboot-Umgebung nicht verfügbar, in der BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erfordert.

• Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Geräte über eine alternative Vorstarteingabe (z. B. eine angeschlossene USB-Tastatur) verfügen.
• Wenn diese Richtlinie nicht aktiviert ist, muss die Windows-Wiederherstellungsumgebung auf Tablets aktiviert sein, um die Eingabe des BitLocker-Wiederherstellungskennworts zu unterstützen.

Es wird empfohlen, dass Administratoren diese Richtlinie nur für Geräte aktivieren, bei denen überprüft wird, dass sie über eine alternative Möglichkeit der Vorabstarteingabe verfügen, z. B. das Anfügen einer USB-Tastatur.

Wenn die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) nicht aktiviert ist und diese Richtlinie nicht aktiviert ist, kann BitLocker nicht auf einem Gerät aktiviert werden, das eine Bildschirmtastatur verwendet.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, sind die folgenden Optionen in der Richtlinie Zusätzliche Authentifizierung beim Start erforderlich möglicherweise nicht verfügbar:

• Konfigurieren der TPM-Start-PIN: Erforderlich und zulässig
• Konfigurieren des TPM-Startschlüssels und der PIN: Erforderlich und zulässig
• Konfigurieren der Verwendung von Kennwörtern für Betriebssystemlaufwerke

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePrebootInputProtectorsOnSlates
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken

Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Verschlüsselungstypoption im BitLocker-Setup-Assistenten nicht angeboten:

• Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
• Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Hinweis

Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.

Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEncryptionType
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Zusätzliche Authentifizierung beim Start erforderlich

Mit dieser Richtlinieneinstellung wird konfiguriert, ob BitLocker bei jedem Gerätestart eine zusätzliche Authentifizierung erfordert.

Wenn Sie diese Richtlinie aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.

Hinweis

Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, andernfalls tritt ein Richtlinienfehler auf.

Wenn Sie BitLocker auf einem Gerät ohne TPM verwenden möchten, wählen Sie die Option BitLocker ohne kompatibles TPM zulassen aus. In diesem Modus ist entweder ein Kennwort oder ein USB-Laufwerk für den Start erforderlich.
Bei Verwendung eines Startschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Schlüssel erstellt wird. Wenn der USB-Schlüssel eingelegt wird, wird der Zugriff auf das Laufwerk authentifiziert, und es ist auf das Laufwerk zugegriffen. Wenn der USB-Schlüssel verloren geht oder nicht verfügbar ist oder Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können vier Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er Folgendes verwenden:

• Nur TPM
• ein USB-Speicherstick mit einem Startschlüssel
• eine PIN (6-stellig bis 20-stellig)
• PIN + USB-Speicherstick

Hinweis

Wenn Sie die Verwendung einer Start-PIN und eines USB-Speichersticks benötigen möchten, müssen Sie BitLocker-Einstellungen mithilfe des Befehlszeilentools manage-bde anstelle des Setup-Assistenten für die BitLocker-Laufwerkverschlüsselung konfigurieren.

Es gibt vier Optionen für TPM-fähige Geräte:

• Konfigurieren des TPM-Starts

  • TPM zulassen
  • TPM erforderlich
  • TPM nicht zulassen

• Konfigurieren der TPM-Start-PIN

  • Zulassen der Start-PIN mit TPM
  • Anfordern der Start-PIN mit TPM
  • Start-PIN mit TPM nicht zulassen

• Konfigurieren des TPM-Startschlüssels

  • Startschlüssel mit TPM zulassen
  • Anfordern des Startschlüssels mit TPM
  • Startschlüssel mit TPM nicht zulassen

• Konfigurieren des TPM-Startschlüssels und der PIN

  • TPM-Startschlüssel mit PIN zulassen
  • Erfordern eines Startschlüssels und einer PIN mit TPM
  • TPM-Startschlüssel mit PIN nicht zulassen

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRequireStartupAuthentication
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung

Diese Richtlinieneinstellung bestimmt, ob Plattformvalidierungsdaten aktualisiert werden sollen, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Ein Plattformvalidierungsdatenprofil besteht aus den Werten in einem Satz von PCR-Indizes (Platform Configuration Register), die zwischen 0 und 23 liegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird. Hierbei handelt es sich um das standardmäßige Verhalten.
Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach der BitLocker-Wiederherstellung gestartet wird.

Weitere Informationen zum Wiederherstellungsvorgang finden Sie in der Übersicht über die BitLocker-Wiederherstellung.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Verwenden des erweiterten Profils für die Datenüberprüfung der Startkonfiguration

Diese Richtlinieneinstellung bestimmt bestimmte Einstellungen für Startkonfigurationsdaten (Boot Configuration Data, BCD), die während der Plattformüberprüfung überprüft werden sollen. Eine Plattformüberprüfung verwendet die Daten im Plattformvalidierungsprofil, das aus einer Reihe von PCR-Indizes (Platform Configuration Register) besteht, die zwischen 0 und 23 liegen.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, überprüft das Gerät die Windows BCD-Standardeinstellungen.

Hinweis

Wenn BitLocker den sicheren Start für die Plattform- und BCD-Integritätsüberprüfung verwendet, wie in der Richtlinieneinstellung Sicherer Start für die Integritätsüberprüfung zulassen definiert, wird diese Richtlinieneinstellung ignoriert. Die Einstellung, die das Startdebuggen 0x16000010 steuert, wird immer überprüft und hat keine Auswirkung, wenn sie in der Ein- oder Ausschlussliste enthalten ist.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke

Festplattenlaufwerke

Richtlinienname	CSP	GPO
Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können	✅	✅
Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke	❌	✅
Konfigurieren der Verwendung von Kennwörtern für Festplattenlaufwerke	❌	✅
Konfigurieren der Verwendung von Smartcards auf Festplattenlaufwerken	❌	✅
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind	✅	✅
Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken	✅	✅

Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Festplattenlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Festplattenlaufwerken zur Verfügung stehen. Hier sind die verfügbaren Optionen:

• Zertifikatbasierten Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Festplattenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
• Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
• Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
• BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
• Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.

Wichtig

Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Festplatten verweigern, die nicht durch BitLocker geschützt sind.

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRecoveryOptions
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke

Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Festplattenlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Festplattenlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.

Hinweis

Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.

Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:

• AES 128 im CBC-Modus OID: 2.16.840.1.101.3.4.1.2
• AES 256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Konfigurieren der Verwendung von Kennwörtern für Festplattenlaufwerke

Diese Richtlinieneinstellung gibt an, ob ein Kennwort erforderlich ist, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren. Wenn Sie die Verwendung eines Kennworts zulassen, können Sie die Verwendung eines Kennworts anfordern, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.

Wichtig

Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:

• Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
• Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
• Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.

Kennwörter müssen mindestens acht Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Konfigurieren der Verwendung von Smartcards auf Festplattenlaufwerken

Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards zum Authentifizieren des Benutzerzugriffs auf die durch BitLocker geschützten Festplattenlaufwerke verwendet werden können.

• Wenn Sie diese Richtlinieneinstellung aktivieren, können Smartcards verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren.
  • Sie können eine Intelligente Karte-Authentifizierung anfordern, indem Sie die Option Verwendung von Smartcards auf Festplattenlaufwerken anfordern auswählen.
• Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer smartcards nicht verwenden, um ihren Zugriff auf durch BitLocker geschützte Festplattenlaufwerke zu authentifizieren.
• Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Smartcards verwendet werden, um den Benutzerzugriff auf ein durch BitLocker geschütztes Laufwerk zu authentifizieren.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind

Diese Richtlinieneinstellung wird verwendet, um die Verschlüsselung von Festplattenlaufwerken vor dem Gewähren des Schreibzugriffs zu erfordern.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Festplattenlaufwerke, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Festplattenlaufwerke auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.

Hinweis

Wenn diese Richtlinieneinstellung aktiviert ist, erhalten Benutzer Fehlermeldungen vom Typ "Zugriff verweigert ", wenn sie versuchen, Daten auf unverschlüsselten Festplattenlaufwerken zu speichern.

Wenn das BitLocker-LaufwerkvorbereitungstoolBdeHdCfg.exe auf einem Computer ausgeführt wird, wenn diese Richtlinieneinstellung aktiviert ist, können die folgenden Probleme auftreten:

• Wenn Sie versuchen, ein Laufwerk zu verkleinern, um das Systemlaufwerk zu erstellen, wird die Laufwerksgröße erfolgreich reduziert, und eine unformatierte Partition wird erstellt. Die unformatierte Partition ist jedoch nicht formatiert. Die folgende Fehlermeldung wird angezeigt: Das neue aktive Laufwerk kann nicht formatiert werden. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.
• Wenn Sie versuchen, nicht zugewiesenen Speicherplatz zum Erstellen des Systemlaufwerks zu verwenden, wird eine unformatierte Partition erstellt. Die unformatierte Partition ist jedoch nicht formatiert. Die folgende Fehlermeldung wird angezeigt: Das neue aktive Laufwerk kann nicht formatiert werden. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.
• Wenn Sie versuchen, ein vorhandenes Laufwerk mit dem Systemlaufwerk zusammenzuführen, kann das Tool die erforderliche Startdatei nicht auf das Ziellaufwerk kopieren, um das Systemlaufwerk zu erstellen. Die folgende Fehlermeldung wird angezeigt: BitLocker-Setup konnte Startdateien nicht kopieren. Möglicherweise müssen Sie Ihr Laufwerk manuell für BitLocker vorbereiten.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRequireEncryption
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken

Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Festplattenlaufwerken.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt:

• Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
• Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Hinweis

Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.

Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesEncryptionType
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Festplattenlaufwerke

Wechseldatenträger

Richtlinienname	CSP	GPO
Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können	❌	✅
Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger	❌	✅
Konfigurieren der Verwendung von Kennwörtern für Wechseldatenträger	❌	✅
Konfigurieren der Verwendung von Smartcards auf Wechseldatenträgern	❌	✅
Steuern der Verwendung von BitLocker auf Wechseldatenträgern	✅	✅
Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind	✅	✅
Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern	✅	✅
Wechseldatenträger, die von der Verschlüsselung ausgeschlossen sind	✅	❌

Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Wechseldatenträger ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Wechseldatenlaufwerken zur Verfügung stehen. Hier sind die verfügbaren Optionen:

• Zertifikatbasierten Datenwiederherstellungs-Agent zulassen: Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Wechseldatenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel entweder in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor
• Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen: Wählen Sie aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, ob benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen.
• Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen: Verhindern Sie, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. Dies bedeutet, dass Benutzer beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll. BitLocker-Wiederherstellungsoptionen für das Laufwerk werden durch die Richtlinieneinstellung bestimmt.
• BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern: Wählen Sie aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert werden sollen. Wenn Sie Sicherungskennwort und Schlüsselpaket für die Wiederherstellung auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie Nur Wiederherstellungskennwort sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
• Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert sind: Verhindert, dass Benutzer BitLocker aktivieren, es sei denn, das Gerät ist mit der Domäne verbunden und die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Bei Verwendung dieser Option wird automatisch ein Wiederherstellungskennwort generiert.

Wichtig

Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern aktiviert ist, die nicht durch BitLocker geschützt sind.

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Konfigurieren der Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger

Mit dieser Richtlinieneinstellung können Sie die Verwendung der hardwarebasierten Verschlüsselung von BitLocker auf Wechseldatenträgern verwalten und angeben, welche Verschlüsselungsalgorithmen für die hardwarebasierte Verschlüsselung verwendet werden können. Die Verwendung der hardwarebasierten Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Optionen angeben, die steuern, ob die softwarebasierte BitLocker-Verschlüsselung anstelle der hardwarebasierten Verschlüsselung auf Geräten verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob Sie die Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken möchten, die bei der hardwarebasierten Verschlüsselung verwendet werden.

Wenn Sie diese Richtlinieneinstellung deaktivieren, kann BitLocker keine hardwarebasierte Verschlüsselung mit Wechseldatenträgern verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt ist.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet BitLocker die softwarebasierte Verschlüsselung, unabhängig von der verfügbarkeit der hardwarebasierten Verschlüsselung.

Hinweis

Die Richtlinieneinstellung Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Der von der hardwarebasierten Verschlüsselung verwendete Verschlüsselungsalgorithmus wird festgelegt, wenn das Laufwerk partitioniert wird. Standardmäßig verwendet BitLocker den auf dem Laufwerk konfigurierten Algorithmus, um das Laufwerk zu verschlüsseln.

Mit der Option Verschlüsselungsalgorithmen und Verschlüsselungssammlungen einschränken, die für die hardwarebasierte Verschlüsselung zulässig sind, können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit der Hardwareverschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben. Zum Beispiel:

• AES 128 im CBC-Modus OID: 2.16.840.1.101.3.4.1.2
• AES 256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Konfigurieren der Verwendung von Kennwörtern für Wechseldatenträger

Diese Richtlinieneinstellung gibt an, ob ein Kennwort erforderlich ist, um bitLocker-geschützte Wechseldatenträger zu entsperren. Wenn Sie die Verwendung eines Kennworts zulassen, können Sie die Verwendung eines Kennworts anfordern, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren.

Wichtig

Damit die Komplexitätsanforderungseinstellung wirksam ist, muss die Gruppenrichtlinieneinstellung Kennwort den Komplexitätsanforderungen entsprechen, die sich unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen Kontorichtlinien>>Kennwortrichtlinie befindet, ebenfalls aktiviert sein.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Komplexität erforderlich aus:

• Bei Festlegung auf Komplexität erforderlich ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.
• Bei Festlegung auf Komplexität zulassen wird versucht, eine Verbindung mit einem Domänencontroller zu überprüfen, ob die Komplexität den regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
• Bei Festlegung auf Komplexität nicht zulassen wird die Kennwortkomplexität nicht überprüft.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen unter Minimale Kennwortlänge an.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardlängeneinschränkung von acht Zeichen für Kennwörter von Betriebssystemlaufwerken, und es werden keine Komplexitätsprüfungen durchgeführt.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Konfigurieren der Verwendung von Smartcards auf Wechseldatenträgern

Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards verwendet werden können, um den Benutzerzugriff auf die durch BitLocker geschützten Wechseldatenlaufwerke zu authentifizieren.

• Wenn Sie diese Richtlinieneinstellung aktivieren, können Smartcards verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren.
  • Sie können eine intelligente Karte-Authentifizierung anfordern, indem Sie die Option Verwendung von Smartcards auf Wechseldatenträgern anfordern auswählen.
• Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer smartcards nicht verwenden, um ihren Zugriff auf bitLocker-geschützte Wechseldatenlaufwerke zu authentifizieren.
• Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Smartcards verwendet werden, um den Benutzerzugriff auf ein durch BitLocker geschütztes Laufwerk zu authentifizieren.

	Pfad
CSP	Nicht verfügbar
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Steuern der Verwendung von BitLocker auf Wechseldatenträgern

Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie Eigenschafteneinstellungen auswählen, die steuern, wie Benutzer BitLocker konfigurieren können:

• Wählen Sie Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben aus, damit der Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenlaufwerk ausführen kann.
• Wählen Sie Zulassen, dass Benutzer BitLocker auf Wechseldatenträgern anhalten und entschlüsseln können, damit der Benutzer die BitLocker-Verschlüsselung vom Laufwerk entfernen oder die Verschlüsselung anhalten kann, während die Wartung durchgeführt wird.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesConfigureBDE
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind

Mit dieser Richtlinieneinstellung wird konfiguriert, ob BitLocker-Schutz erforderlich ist, damit ein Gerät Daten auf ein Wechseldatenlaufwerk schreiben kann.

Wenn Sie diese Richtlinieneinstellung aktivieren:

• Alle Wechseldatenträger, die nicht mit BitLocker geschützt sind, werden schreibgeschützt bereitgestellt.
• Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
• Wenn die Option Schreibzugriff auf Geräte verweigern aktiviert ist, die in einer anderen organization konfiguriert sind, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff.
  • Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird es auf gültige Identifikationsfelder und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung (Geben Sie die eindeutigen Bezeichner für Ihre organization)[]

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.

Hinweis

Diese Richtlinieneinstellung wird ignoriert, wenn die Richtlinieneinstellungen Wechseldatenträger: Schreibzugriff verweigern aktiviert sind.

Wichtig

Wenn Sie diese Richtlinie aktivieren:

• Die Verwendung von BitLocker mit dem TPM-Startschlüssel oder TPM-Schlüssel und der PIN muss nicht zulässig sein.
• Die Verwendung von Wiederherstellungsschlüsseln muss nicht zulässig sein.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesRequireEncryption
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern

Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Verschlüsselungstypoption im BitLocker-Setup-Assistenten nicht angeboten:

• Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist.
• Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Zum Speichern von Daten verwendete Teil des Laufwerks verschlüsselt ist, wenn BitLocker aktiviert ist.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Hinweis

Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird.

Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde.exe -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesEncryptionType
GPO	Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Wechseldatenträger

Wechseldatenträger, die von der Verschlüsselung ausgeschlossen sind

	Pfad
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesExcludedFromEncryption
GPO	Nicht verfügbar

BitLocker- und Richtlinieneinstellungskonformität

Wenn ein Gerät nicht mit den konfigurierten Richtlinieneinstellungen kompatibel ist, ist BitLocker möglicherweise nicht aktiviert, oder die BitLocker-Konfiguration wird möglicherweise geändert, bis sich das Gerät in einem konformen Zustand befindet. Wenn ein Laufwerk nicht mehr mit den Richtlinieneinstellungen konform ist, sind nur Änderungen an der BitLocker-Konfiguration zulässig, die es in Kompatibilität bringen. Ein solches Szenario kann beispielsweise auftreten, wenn ein zuvor verschlüsseltes Laufwerk durch eine Änderung der Richtlinieneinstellung nicht konform wird.

Wenn mehrere Änderungen erforderlich sind, um die Konformität des Laufwerks zu erreichen, muss der BitLocker-Schutz möglicherweise ausgesetzt, die erforderlichen Änderungen vorgenommen und dann der Schutz fortgesetzt werden. Eine solche Situation kann beispielsweise auftreten, wenn ein Wechseldatenträger anfänglich für die Entsperrung mit einem Kennwort konfiguriert ist und dann die Richtlinieneinstellungen geändert werden, um Smartcards zu erfordern. In diesem Szenario muss der BitLocker-Schutz angehalten, die Kennwortentsperrungsmethode gelöscht und die Smart Karte-Methode hinzugefügt werden. Nach Abschluss dieses Vorgangs ist BitLocker mit der Richtlinieneinstellung kompatibel, und der BitLocker-Schutz auf dem Laufwerk kann fortgesetzt werden.

In anderen Szenarien muss BitLocker möglicherweise deaktiviert und das Laufwerk entschlüsselt werden, gefolgt von der erneuten Aktivierung von BitLocker und anschließendem erneuten Verschlüsseln des Laufwerks, um das Laufwerk mit einer Änderung der Richtlinieneinstellungen in Einklang zu bringen. Ein Beispiel für dieses Szenario ist, wenn die BitLocker-Verschlüsselungsmethode oder die Verschlüsselungsstärke geändert wird.

Weitere Informationen zum Verwalten von BitLocker finden Sie im BitLocker-Betriebshandbuch.

Konfigurieren und Verwalten von Servern

Server werden häufig mithilfe von PowerShell bereitgestellt, konfiguriert und verwaltet. Es wird empfohlen, Gruppenrichtlinieneinstellungen zum Konfigurieren von BitLocker auf Servern und zum Verwalten von BitLocker mithilfe von PowerShell zu verwenden.

BitLocker ist eine optionale Komponente in Windows Server. Befolgen Sie die Anweisungen unter Installieren von BitLocker unter Windows Server , um die optionale BitLocker-Komponente hinzuzufügen.

Die minimale Serverschnittstelle ist eine Voraussetzung für einige BitLocker-Verwaltungstools. Bei einer Server Core-Installation müssen zuerst die erforderlichen GUI-Komponenten hinzugefügt werden. Die Schritte zum Hinzufügen von Shellkomponenten zu Server Core werden in Verwenden von bedarfsbasierten Features mit aktualisierten Systemen und gepatchten Images und Aktualisieren von lokalen Quellmedien, um Rollen und Features hinzuzufügen beschrieben. Wenn ein Server manuell installiert wird, ist die Auswahl von Server mit Desktopdarstellung der einfachste Pfad, da dadurch die Schritte zum Hinzufügen einer GRAFISCHEn Benutzeroberfläche zu Server Core vermieden werden.

Lights-out-Rechenzentren können die erhöhte Sicherheit eines zweiten Faktors nutzen und gleichzeitig die Notwendigkeit eines Benutzereingriffs bei Neustarts vermeiden, indem sie optional eine Kombination aus BitLocker (TPM+PIN) und BitLocker-Netzwerkentsperrung verwenden. Die BitLocker-Netzwerkentsperrung vereint die besten Merkmale von Hardwareschutz, Standortabhängigkeit und automatischer Entsperrung, während sie sich am vertrauenswürdigen Speicherort befindet. Die Konfigurationsschritte finden Sie unter Netzwerkentsperrung.

Nächste Schritte

Lesen Sie den BitLocker-Betriebsleitfaden, um zu erfahren, wie Sie verschiedene Tools zum Verwalten und Betreiben von BitLocker verwenden.

BitLocker-Betriebshandbuch >