Übersicht über die BitLocker-Wiederherstellung
Die BitLocker-Wiederherstellung ist der Prozess, mit dem der Zugriff auf ein durch BitLocker geschütztes Laufwerk wiederhergestellt werden kann, wenn das Laufwerk nicht mithilfe des Standardmäßigen Entsperrmechanismus entsperrt wird.
In diesem Artikel werden Szenarien beschrieben, die die BitLocker-Wiederherstellung auslösen, das Konfigurieren von Geräten zum Speichern von Wiederherstellungsinformationen und die Optionen zum Wiederherstellen des Zugriffs auf ein gesperrtes Laufwerk.
BitLocker-Wiederherstellungsszenarien
Die folgende Liste enthält Beispiele für häufige Ereignisse, die dazu führen, dass ein Gerät beim Starten von Windows in den BitLocker-Wiederherstellungsmodus wechselt:
Falsche PIN zu oft eingeben
Deaktivieren der Unterstützung für das Lesen des USB-Geräts in der Preboot-Umgebung aus der BIOS- oder UEFI-Firmware, wenn USB-basierte Schlüssel anstelle eines TPM verwendet werden
Das CD- oder DVD-Laufwerk vor der Festplatte in der BIOS-Startreihenfolge (üblich bei virtuellen Computern)
Andocken oder Ausdocken eines tragbaren Computers
Änderungen an der NTFS-Partitionstabelle auf dem Datenträger
Änderungen am Start-Manager
Verwenden des PXE-Starts
Deaktivieren, Deaktivieren, Deaktivieren oder Löschen des TPM
TPM-Selbsttestfehler
Upgrade der Hauptplatine auf eine neue mit einem neuen TPM
Aktualisieren wichtiger Komponenten für den frühen Start, z. B. ein BIOS- oder UEFI-Firmwareupgrade
Ausblenden des TPM vor dem Betriebssystem
Ändern der vom TPM-Validierungsprofil verwendeten Plattformkonfigurationsregister (PCRs)
Verschieben eines durch BitLocker geschützten Laufwerks auf einen neuen Computer
Ändern der Reihenfolge des BIOS- oder Firmwarestartgeräts auf Geräten mit TPM 1.2
Überschreiten der maximal zulässigen Anzahl von fehlgeschlagenen Anmeldeversuchen
Hinweis
Um diese Funktionalität nutzen zu können, müssen Sie die Richtlinieneinstellung Interaktive Anmeldung: Schwellenwert für computerkontosperren unter Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Sicherheitsoptionen konfigurieren. Alternativ können Sie die Richtlinieneinstellung Exchange ActiveSyncMaxFailedPasswordAttempts oder deviceLock Configuration Service Provider (CSP) verwenden.
Im Rahmen des BitLocker-Wiederherstellungsprozesses wird empfohlen, zu bestimmen, was dazu geführt hat, dass ein Gerät in den Wiederherstellungsmodus wechselt. Die Ursachenanalyse kann dazu beitragen, zu verhindern, dass das Problem in Zukunft erneut auftritt. Wenn Sie instance feststellen, dass ein Angreifer ein Gerät geändert hat, indem er physischen Zugriff erhält, können Sie neue Sicherheitsrichtlinien implementieren, um zu verfolgen, wer physisch vorhanden ist.
Bei geplanten Szenarien, z. B. bei bekannten Hardware- oder Firmwareupgrades, kann das Initiieren der Wiederherstellung vermieden werden, indem der BitLocker-Schutz vorübergehend ausgesetzt wird. Durch das Anhalten von BitLocker wird das Laufwerk vollständig verschlüsselt, und der Administrator kann den BitLocker-Schutz nach Abschluss der geplanten Aufgabe schnell fortsetzen. Wenn Sie anhalten und fortsetzen verwenden , wird auch der Verschlüsselungsschlüssel erneut verwendet, ohne dass die Eingabe des Wiederherstellungsschlüssels erforderlich ist.
Hinweis
Wenn das Gerät angehalten wird, setzt BitLocker den Schutz automatisch fort, wenn das Gerät neu gestartet wird, es sei denn, eine Neustartanzahl wird mithilfe von PowerShell oder dem manage-bde.exe
Befehlszeilentool angegeben. Weitere Informationen zum Anhalten von BitLocker finden Sie im BitLocker-Betriebshandbuch.
Tipp
Die Wiederherstellung wird im Kontext eines ungeplanten oder unerwünschten Verhaltens beschrieben. Die Wiederherstellung kann jedoch auch als beabsichtigtes Produktionsszenario verursacht werden, z. B. um die Zugriffssteuerung zu verwalten. Wenn Geräte für andere Abteilungen oder Mitarbeiter im organization erneut bereitgestellt werden, kann BitLocker zur Wiederherstellung gezwungen werden, bevor das Gerät an einen neuen Benutzer übermittelt wird.
Windows RE und BitLocker-Wiederherstellung
Die Windows-Wiederherstellungsumgebung (Windows RE) kann verwendet werden, um den Zugriff auf ein durch BitLocker geschütztes Laufwerk wiederherzustellen. Wenn ein Gerät nach zwei Fehlern nicht gestartet werden kann, wird die Startreparatur automatisch gestartet.
Wenn die Startreparatur aufgrund von Startfehlern automatisch gestartet wird, werden nur Betriebssystem- und Treiberdateireparaturen ausgeführt, vorausgesetzt, dass die Startprotokolle oder ein verfügbares Absturzabbild auf eine bestimmte beschädigte Datei verweisen. Auf Geräten, die bestimmte TPM-Messungen für PCR[7] unterstützen, überprüft das TPM, dass Windows RE eine vertrauenswürdige Betriebsumgebung ist, und entsperrt alle durch BitLocker geschützten Laufwerke, wenn Windows RE nicht geändert wurde. Wenn die Windows RE Umgebung geändert wurde, z. B. das TPM deaktiviert ist, bleiben die Laufwerke gesperrt, bis der BitLocker-Wiederherstellungsschlüssel bereitgestellt wird. Wenn die Startreparatur nicht automatisch ausgeführt werden kann und stattdessen Windows RE manuell von einem Reparaturdatenträger gestartet wird, muss der BitLocker-Wiederherstellungsschlüssel bereitgestellt werden, um die durch BitLocker geschützten Laufwerke zu entsperren.
Windows RE werden auch nach Ihrem BitLocker-Wiederherstellungsschlüssel gefragt, wenn Sie auf einem Gerät, das die Schutzvorrichtung "TPM + PIN" oder "Kennwort für Betriebssystemlaufwerke" verwendet, "Alles zurücksetzen von Windows RE entfernen" starten. Wenn Sie die BitLocker-Wiederherstellung auf einem tastaturlosen Gerät mit nur TPM-Schutz starten, fragt Windows RE und nicht der Start-Manager nach dem BitLocker-Wiederherstellungsschlüssel. Nachdem Sie den Schlüssel eingegeben haben, können Sie auf Windows RE Tools zur Problembehandlung zugreifen oder Windows normal starten.
Der BitLocker-Wiederherstellungsbildschirm, der von Windows RE angezeigt wird, enthält die Barrierefreiheitstools wie Sprachausgabe und Bildschirmtastatur, die Ihnen bei der Eingabe Ihres BitLocker-Wiederherstellungsschlüssels helfen:
- Um die Sprachausgabe während der BitLocker-Wiederherstellung in Windows RE zu aktivieren, drücken Sie DIESTRG-TASTE + +
- Tippen Sie auf ein Texteingabesteuerelement, um die Bildschirmtastatur zu aktivieren.
Wenn der BitLocker-Wiederherstellungsschlüssel vom Windows-Start-Manager angefordert wird, sind diese Tools möglicherweise nicht verfügbar.
BitLocker-Wiederherstellungsoptionen
In einem Wiederherstellungsszenario sind abhängig von den auf die Geräte angewendeten Richtlinieneinstellungen möglicherweise die folgenden Optionen zum Wiederherstellen des Zugriffs auf das Laufwerk verfügbar:
- Wiederherstellungskennwort: Eine 48-stellige Nummer, die verwendet wird, um ein Volume zu entsperren, wenn es sich im Wiederherstellungsmodus befindet. Das Wiederherstellungskennwort kann als Textdatei gespeichert, gedruckt oder in Microsoft Entra ID oder Active Directory gespeichert werden. Der Benutzer kann ggf. ein Wiederherstellungskennwort angeben.
-
Wiederherstellungsschlüssel: Ein Verschlüsselungsschlüssel, der auf Wechselmedien gespeichert ist und zum Wiederherstellen von Daten verwendet werden kann, die auf einem BitLocker-Volume verschlüsselt sind. Der Dateiname hat das Format
<protector_id>.bek
. Für das Betriebssystemlaufwerk kann der Wiederherstellungsschlüssel verwendet werden, um Zugriff auf das Gerät zu erhalten, wenn BitLocker eine Bedingung erkennt, die verhindert, dass das Laufwerk beim Starten des Geräts entsperrt wird. Ein Wiederherstellungsschlüssel kann auch verwendet werden, um Zugriff auf Festplattenlaufwerke und Wechseldatenträger zu erhalten, die mit BitLocker verschlüsselt sind, wenn das Kennwort aus irgendeinem Grund vergessen wird oder das Gerät nicht auf das Laufwerk zugreifen kann.
- Schlüsselpaket: Entschlüsselungsschlüssel, der mit dem BitLocker-Reparaturtool verwendet werden kann, um kritische Teile eines Laufwerks zu rekonstruieren und wiederherstellbare Daten zu retten. Mit dem Schlüsselpaket und dem Wiederherstellungskennwort oder dem Wiederherstellungsschlüssel können Teile eines beschädigten bitLocker-geschützten Laufwerks entschlüsselt werden. Jedes Schlüsselpaket funktioniert nur für ein Laufwerk, das über den entsprechenden Laufwerkbezeichner verfügt. Ein Schlüsselpaket wird nicht automatisch generiert und kann in einer Datei oder in Active Directory Domain Services gespeichert werden. Ein Schlüsselpaket kann nicht in Microsoft Entra ID gespeichert werden.
- Datenwiederherstellungs-Agent-Zertifikat: Ein Datenwiederherstellungs-Agent (DRA) ist ein Zertifikattyp, der einem Active Directory-Sicherheitsprinzipal zugeordnet ist und für den Zugriff auf alle mit BitLocker verschlüsselten Laufwerke verwendet werden kann, die mit dem entsprechenden öffentlichen Schlüssel konfiguriert sind. DRAs können ihre Anmeldeinformationen verwenden, um das Laufwerk zu entsperren. Wenn es sich bei dem Laufwerk um ein Betriebssystemlaufwerk handelt, muss das Laufwerk als Datenlaufwerk auf einem anderen Gerät bereitgestellt werden, damit der DRA es entsperren kann.
Tipp
Sowohl das Wiederherstellungskennwort als auch der Wiederherstellungsschlüssel können von Benutzern im Systemsteuerung Applet (für Daten- und Wechseldatenträger) oder im Bildschirm für die Wiederherstellung vor dem Start angegeben werden. Es wird empfohlen, Richtlinieneinstellungen zu konfigurieren, um den Wiederherstellungsbildschirm vor dem Start anzupassen, z. B. durch Hinzufügen einer benutzerdefinierten Nachricht, URL und Helpdesk-Kontaktinformationen. Weitere Informationen finden Sie im Artikel BitLocker preboot recovery screen .For more information, the article BitLocker preboot recovery screen.
Wenn Sie den BitLocker-Wiederherstellungsprozess planen, lesen Sie zunächst die aktuellen bewährten Methoden der organization zum Wiederherstellen vertraulicher Informationen. Zum Beispiel:
☑️ | Frage |
---|---|
🔲 | Wie behandelt die organization verlorene oder vergessene Kennwörter? |
🔲 | Wie führt das organization smarte Karte PIN-Zurücksetzungen durch? |
🔲 | Dürfen Benutzer Wiederherstellungsinformationen für die Geräte speichern oder abrufen, die sie besitzen? |
🔲 | Wie stark möchten Sie, dass Benutzer am BitLocker-Konfigurationsprozess beteiligt werden? Möchten Sie, dass Benutzer mit dem Prozess interagieren, im Hintergrund arbeiten oder beides? |
🔲 | Wo möchten Sie die BitLocker-Wiederherstellungsschlüssel speichern? |
🔲 | Möchten Sie die Rotation des Wiederherstellungskennworts aktivieren? |
Die Beantwortung der Fragen hilft, den besten BitLocker-Wiederherstellungsprozess für die organization zu bestimmen und die BitLocker-Richtlinieneinstellungen entsprechend zu konfigurieren. Wenn der organization beispielsweise über einen Prozess zum Zurücksetzen von Kennwörtern verfügt, kann ein ähnlicher Prozess für die BitLocker-Wiederherstellung verwendet werden. Wenn Benutzer keine Wiederherstellungsinformationen speichern oder abrufen dürfen, kann die organization datenwiederherstellungs-Agents (DRAs) verwenden oder wiederherstellungsinformationen automatisch sichern.
Die folgenden Richtlinieneinstellungen definieren die Wiederherstellungsmethoden, die zum Wiederherstellen des Zugriffs auf ein bitLocker-geschütztes Laufwerk verwendet werden können:
- Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
- Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
- Auswählen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können
Tipp
Wählen Sie in jeder dieser Richtlinien BitLocker-Wiederherstellungsinformationen speichern aus, um Active Directory Domain Services, und wählen Sie dann aus, welche BitLocker-Wiederherstellungsinformationen in AD DS gespeichert werden sollen. Verwenden Sie die Option BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS gespeichert sind, um zu verhindern, dass Benutzer BitLocker aktivieren, es sei denn, die Sicherung der BitLocker-Wiederherstellungsinformationen für das Laufwerk Microsoft Entra ID oder AD DS ist erfolgreich.
BitLocker-Wiederherstellungskennwort
Um BitLocker wiederherzustellen, kann ein Benutzer ein Wiederherstellungskennwort verwenden, sofern verfügbar. Das BitLocker-Wiederherstellungskennwort ist für das Gerät eindeutig, auf dem es erstellt wurde, und kann auf unterschiedliche Weise gespeichert werden. Abhängig von den konfigurierten Richtlinieneinstellungen kann das Wiederherstellungskennwort wie folgt lauten:
- Gespeichert in Microsoft Entra ID für Microsoft Entra
- Gespeichert in AD DS für Geräte, die mit Active Directory verknüpft sind
- In Textdatei gespeichert
- Gedruckt
Der Zugriff auf das Wiederherstellungskennwort ermöglicht es dem Inhaber, ein bitLocker-geschütztes Volume zu entsperren und auf alle seine Daten zuzugreifen. Daher ist es wichtig, dass Ihre organization Verfahren einrichten, um den Zugriff auf Wiederherstellungskennwörter zu steuern und sicherzustellen, dass sie sicher und getrennt von den Geräten gespeichert werden, die sie schützen.
Hinweis
Es gibt eine Option zum Speichern des BitLocker-Wiederherstellungsschlüssels im Microsoft-Konto eines Benutzers. Die Option ist für Geräte verfügbar, die keine Mitglieder einer Domäne sind und der Benutzer ein Microsoft-Konto verwendet. Das Speichern des Wiederherstellungskennworts in einem Microsoft-Konto ist die empfohlene Standardspeichermethode für den Wiederherstellungsschlüssel für Geräte, die nicht Microsoft Entra oder in Active Directory eingebunden sind.
Die Sicherung des Wiederherstellungskennworts sollte vor der Aktivierung von BitLocker konfiguriert werden, kann aber auch nach der Verschlüsselung erfolgen, wie im BitLocker-Betriebsleitfaden beschrieben.
Die bevorzugte Sicherungsmethodik in einer organization besteht darin, BitLocker-Wiederherstellungsinformationen automatisch an einem zentralen Ort zu speichern. Abhängig von den Anforderungen der organization können die Wiederherstellungsinformationen in Microsoft Entra ID, AD DS oder Dateifreigaben gespeichert werden.
Es wird empfohlen, die folgenden BitLocker-Sicherungsmethoden zu verwenden:
- Speichern Sie für Microsoft Entra verbundene Geräte den Wiederherstellungsschlüssel in Microsoft Entra ID
- Speichern Sie den Wiederherstellungsschlüssel für in Active Directory eingebundene Geräte in AD DS.
Hinweis
Es gibt keine automatische Möglichkeit, den Wiederherstellungsschlüssel für Wechseldatenträger in Microsoft Entra ID oder AD DS zu speichern. Sie können hierzu jedoch PowerShell oder den manage.bde.exe
Befehl verwenden. Weitere Informationen und Beispiele finden Sie im BitLocker-Betriebshandbuch.
Datenwiederherstellungs-Agents
DRAs können verwendet werden, um Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger wiederherzustellen. Bei Verwendung zum Wiederherstellen von Betriebssystemlaufwerken muss das Betriebssystemlaufwerk jedoch auf einem anderen Gerät als Datenlaufwerk bereitgestellt werden, damit der DRA das Laufwerk entsperren kann. Datenwiederherstellungs-Agents werden dem Laufwerk hinzugefügt, wenn es verschlüsselt ist, und können nach der Verschlüsselung aktualisiert werden.
Der Vorteil der Verwendung eines DRA gegenüber der Kennwort- oder Schlüsselwiederherstellung besteht darin, dass der DRA als master Schlüssel für BitLocker fungiert. Mit einem DRA können Sie jedes volume wiederherstellen, das durch die Richtlinie geschützt ist, ohne ein bestimmtes Kennwort oder Schlüssel für jedes einzelne Volume finden zu müssen.
Zum Konfigurieren von DRAs für Geräte, die in eine Active Directory-Domäne eingebunden sind, sind die folgenden Schritte erforderlich:
- Rufen Sie ein DRA-Zertifikat ab. Die folgenden Schlüsselverwendungs- und erweiterten Schlüsselverwendungsattribute werden von BitLocker überprüft, bevor das Zertifikat verwendet wird.
- Wenn ein Schlüsselverwendungsattribut vorhanden ist, muss folgendes sein:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE
- Wenn ein EKU-Attribut (Enhanced Key Usage, erweiterte Schlüsselverwendung) vorhanden ist, muss folgendes sein:
- Wie in der Richtlinieneinstellung oder in der Standardeinstellung angegeben
1.3.6.1.4.1.311.67.1.1
- Alle EKU-Objektbezeichner, die von Ihrer Zertifizierungsstelle (CA) unterstützt werden
- Wie in der Richtlinieneinstellung oder in der Standardeinstellung angegeben
- Wenn ein Schlüsselverwendungsattribut vorhanden ist, muss folgendes sein:
- Fügen Sie den DRA über eine Gruppenrichtlinie mithilfe des Pfads hinzu: Computerkonfigurationsrichtlinien>>Windows-Einstellungen>Sicherheitseinstellungen>Public Key-Richtlinien>BitLocker-Laufwerkverschlüsselung
- Konfigurieren Sie die Einstellung Geben Sie die eindeutigen Bezeichner für Ihre organization Richtlinien an, um einem neuen Laufwerk, das mit BitLocker aktiviert ist, einen eindeutigen Bezeichner zuzuordnen. Ein Identifikationsfeld ist eine Zeichenfolge, die verwendet wird, um eine Geschäftseinheit oder organization eindeutig zu identifizieren. Identifikationsfelder sind für die Verwaltung von Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert DRAs nur, wenn ein Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Gerät konfigurierten Wert identisch ist.
- Konfigurieren Sie die folgenden Richtlinieneinstellungen, um die Wiederherstellung mit einem DRA für jeden Laufwerktyp zu ermöglichen:
In Microsoft Entra ID gespeicherte BitLocker-Wiederherstellungsinformationen
Die BitLocker-Wiederherstellungsinformationen für Microsoft Entra eingebundene Geräte können in Microsoft Entra ID gespeichert werden. Der Vorteil der Speicherung der BitLocker-Wiederherstellungskennwörter in Microsoft Entra ID besteht darin, dass Benutzer die Kennwörter für die ihnen zugewiesenen Geräte problemlos aus dem Web abrufen können, ohne den Helpdesk einzubeziehen.
Der Zugriff auf Wiederherstellungskennwörter kann auch an den Helpdesk delegiert werden, um Supportszenarien zu vereinfachen.
Die bitLocker-Wiederherstellungskennwortinformationen, die in Microsoft Entra ID gespeichert sind, sind ein bitlockerRecoveryKey
Ressourcentyp. Die Ressource kann aus dem Microsoft Entra Admin Center, dem Microsoft Intune Admin Center (für Geräte, die bei Microsoft Intune registriert sind), mithilfe von PowerShell oder mithilfe von Microsoft Graph abgerufen werden. Weitere Informationen finden Sie unter bitlockerRecoveryKey-Ressourcentyp.
In AD DS gespeicherte BitLocker-Wiederherstellungsinformationen
Die BitLocker-Wiederherstellungsinformationen für ein Gerät, das mit einer Active Directory-Domäne verknüpft ist, können in AD DS gespeichert werden. Die Informationen werden in einem untergeordneten Objekt des Computerobjekts selbst gespeichert. Jedes BitLocker-Wiederherstellungsobjekt enthält das Wiederherstellungskennwort und andere Wiederherstellungsinformationen. Unter jedem Computerobjekt können mehrere BitLocker-Wiederherstellungsobjekte vorhanden sein, da einem BitLocker-fähigen Volume mehrere Wiederherstellungskennwörter zugeordnet sein können.
Der Name des BitLocker-Wiederherstellungsobjekts enthält eine GUID (Globally Unique Identifier) sowie Datums- und Uhrzeitinformationen für eine feste Länge von 63 Zeichen. Die Syntax ist <Object Creation Date and Time><Recovery GUID>
.
Hinweis
Active Directory verwaltet den Verlauf aller Wiederherstellungskennwörter für ein Computerobjekt. Alte Wiederherstellungsschlüssel werden nicht automatisch aus AD DS entfernt, es sei denn, das Computerobjekt wird gelöscht.
Der allgemeine Name (cn) für das BitLocker-Wiederherstellungsobjekt lautet ms-FVE-RecoveryInformation
. Jedes ms-FVE-RecoveryInformation
Objekt verfügt über die folgenden Attribute:
Attributname | Beschreibung |
---|---|
ms-FVE-RecoveryPassword |
Das 48-stellige Wiederherstellungskennwort, das zum Wiederherstellen eines mit BitLocker verschlüsselten Datenträgervolumes verwendet wird. |
ms-FVE-RecoveryGuid |
GUID, die einem BitLocker-Wiederherstellungskennwort zugeordnet ist. Im Wiederherstellungsmodus von BitLocker wird dem Benutzer die GUID angezeigt, sodass das richtige Wiederherstellungskennwort gefunden werden kann, um das Volume zu entsperren. Die GUID ist auch im Namen des Wiederherstellungsobjekts enthalten. |
ms-FVE-VolumeGuid |
GUID, die einem von BitLocker unterstützten Datenträgervolume zugeordnet ist. Während das Kennwort (gespeichert in ms-FVE-RecoveryGuid ) für jedes Wiederherstellungskennwort eindeutig ist, ist der Volumebezeichner für jedes mit BitLocker verschlüsselte Volume eindeutig. |
ms-FVE-KeyPackage |
Der BitLocker-Verschlüsselungsschlüssel des Volumes, der durch das entsprechende Wiederherstellungskennwort geschützt ist. Mit diesem Schlüsselpaket und dem Wiederherstellungskennwort (gespeichert in ms-FVE-RecoveryPassword ) können Teile eines durch BitLocker geschützten Volumes entschlüsselt werden, wenn der Datenträger beschädigt ist. Jedes Schlüsselpaket funktioniert nur für ein Volume mit dem entsprechenden Volumebezeichner (gespeichert in ms-FVE-VolumeGuid ). Das BitLocker-Reparaturtool kann verwendet werden, um das Schlüsselpaket zu verwenden. |
Weitere Informationen zu den in AD DS gespeicherten BitLocker-Attributen finden Sie in den folgenden Artikeln:
Das BitLocker-Schlüsselpaket wird nicht standardmäßig gespeichert. Um das Paket zusammen mit dem Wiederherstellungskennwort in AD DS zu speichern, muss in der Richtlinie, die die Wiederherstellungsmethode steuert, die Einstellung Sicherungswiederherstellungskennwort und Schlüsselpaketrichtlinie ausgewählt werden. Das Schlüsselpaket kann auch aus einem Arbeitsvolume exportiert werden.
Wenn Die Wiederherstellungsinformationen nicht in AD DS gesichert werden oder Sie ein Schlüsselpaket an einem anderen Speicherort speichern möchten, verwenden Sie den folgenden Befehl, um ein Schlüsselpaket für ein Volume zu generieren:
manage-bde.exe -KeyPackage C: -id <id> -path <path>
Eine Datei mit dem Dateinamenformat wird BitLocker Key Package {<id>}.KPG
im angegebenen Pfad erstellt.
Hinweis
Um ein neues Schlüsselpaket aus einem entsperrten, bitLocker-geschützten Volume zu exportieren, ist lokaler Administratorzugriff auf das Arbeitsvolume erforderlich, bevor es zu Schäden am Volume kommt.
Nächste Schritte
Erfahren Sie, wie Sie BitLocker-Wiederherstellungsinformationen für Microsoft Entra eingebundene, Microsoft Entra hybrid eingebundene und in Active Directory eingebundene Geräte abrufen und den Zugriff auf ein gesperrtes Laufwerk wiederherstellen: