Planen der Gruppenrichtlinienanforderungen für MBAM 2.0

Artikel
12/17/2014

Letzte Aktualisierung: April 2013

Betrifft: Microsoft BitLocker Administration and Monitoring 2.0

Zum Verwalten von Microsoft BitLocker-Administration und Überwachung (MBAM)-Clientcomputern müssen Sie die BitLocker-Schutzvorrichtungstypen berücksichtigen, die in Ihrer Organisation unterstützt werden sollen, und dann die entsprechende Gruppenrichtlinie konfigurieren, die angewendet werden soll. In diesem Thema werden die Gruppenrichtlinieneinstellungen beschrieben, die Sie verwenden können, wenn Sie die BitLocker-Laufwerkverschlüsselung im Unternehmen mit Microsoft BitLocker Administration and Monitoring verwalten.

In MBAM werden die folgenden BitLocker-Schutzvorrichtungstypen für Betriebssystemlaufwerke unterstützt: Trusted Platform Module (TPM), TPM und PIN, TPM und USB-Schlüssel, TPM und PIN und USB-Schlüssel, Kennwort, numerisches Kennwort, Datenwiederherstellungs-Agent. Die Kennwortschutzvorrichtung wird nur für Geräte mit Windows To Go sowie für Geräte mit Windows 8 ohne TPM unterstützt. In MBAM werden die Schutzvorrichtungen TPM und USB-Schlüssel sowie TPM und PIN und USB-Schlüssel nur dann unterstützt, wenn das Betriebssystemlaufwerk vor der Installation von MBAM verschlüsselt wurde.

In MBAM werden die folgenden BitLocker-Schutzvorrichtungstypen für Festplattenlaufwerke unterstützt: Kennwort, automatisches Entsperren, numerisches Kennwort und Datenwiederherstellungs-Agent.

Die Schutzvorrichtung mit numerischem Kennwort wird als Teil der Laufwerkverschlüsselung automatisch angewendet und muss nicht konfiguriert werden.

Wichtig

Die Standardeinstellungen der Gruppenrichtlinienobjekte (GPOs) für die Windows BitLocker-Laufwerkverschlüsselung werden von MBAM nicht verwendet. Werden sie aktiviert, kann es zu Konflikten kommen. Zum Aktivieren von MBAM für die Verwaltung von BitLocker dürfen Sie die Einstellungen für MBAM-Gruppenrichtlinien erst nach dem Installieren der MBAM-Gruppenrichtlinienvorlage definieren.

Erweiterter Start-PINs können Zeichen wie z. B. Groß- und Kleinbuchstaben sowie Zahlen enthalten. Anders als bei BitLocker wird die Verwendung von Symbolen und Leerzeichen für erweiterte PINs in MBAM nicht unterstützt.

Installieren Sie die MBAM-Gruppenrichtlinienvorlage auf einem Computer, auf dem die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die MDOP-Technologie „Erweiterte Gruppenrichtlinienverwaltung“ (AGPM) ausgeführt werden kann. Zum Bearbeiten der GPO-Einstellungen, von denen die MBAM-Funktion aktiviert wird, müssen Sie zuerst die MBAM-Gruppenrichtlinienvorlage installieren, das entsprechende GPO mithilfe von GPMC oder AGPM bearbeiten und dann zum folgenden GPO-Knoten navigieren: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).

Der GPO-Knoten „MDOP MBAM (BitLocker Management)“ enthält vier globale Richtlinieneinstellungen und vier untergeordnete GPO-Einstellungsknoten: Clientverwaltung, Lokales Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. Die folgenden Abschnitte enthalten Richtliniendefinitionen und empfohlene Richtlinieneinstellungen, die Sie zum Planen der Anforderungen für MBAM-GPO-Richtlinieneinstellungen verwenden können.

Hinweis

Weitere Informationen zum Konfigurieren der mindestens empfohlenen GPO-Einstellungen für die Verwaltung der BitLocker-Verschlüsselung mit MBAM finden Sie unter Gewusst wie: Bearbeiten von MBAM 2.0 GPO-Einstellungen.

Globale Richtliniendefinitionen

In diesem Abschnitt werden die globalen MBAM-Richtliniendefinitionen beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird von BitLocker die Standardverschlüsselungsmethode AES (128 Bit mit Diffuser) bzw. die im Setupskript angegebene Verschlüsselungsmethode verwendet.
Überschreiben des Arbeitsspeichers beim Neustart verhindern	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um die Leistung beim Neustart zu erhöhen, indem geheime BitLocker-Informationen im Arbeitsspeicher beim Neustart nicht überschrieben werden. Wenn diese Richtlinie nicht konfiguriert ist, werden geheime BitLocker-Informationen aus dem Arbeitsspeicher entfernt, wenn der Computer neu gestartet wird.
Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Schutz mit Smartcard-Zertifikat zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird für das Angeben eines Zertifikats die Standard-Objekt-ID „1.3.6.1.4.1.311.67.1.1“ verwendet.
Eindeutige IDs für Ihre Organisation angeben	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um einen zertifikatbasierten Datenwiederherstellungs-Agent oder das BitLocker To Go-Lesetool zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld ID nicht verwendet. Wenn für Ihr Unternehmen erhöhte Sicherheitsmaßnahmen erforderlich sind, können Sie das Feld ID konfigurieren und sicherstellen, dass es für alle USB-Geräte festgelegt ist und diese an der Gruppenrichtlinieneinstellung ausgerichtet sind.

Richtliniendefinitionen für die Clientverwaltung

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für die Clientverwaltung beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management)\Clientverwaltung.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellungen
MBAM-Dienst konfigurieren	Empfohlene Konfiguration: Aktiviert Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware: Verwenden Sie diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung. Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMRecoveryAndHardwareService/CoreService.svc. Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst für das Sichern der BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie den Statusberichtsdienst für das Sammeln von Kompatibilitäts- und Überwachungsberichten konfigurieren. Durch die Richtlinie wird eine Verwaltungsmethode zum Wiederherstellen von BitLocker-verschlüsselten Daten bereitgestellt, um Datenverluste aufgrund von fehlenden Schlüsselinformationen zu vermeiden. Statusberichts- und Schlüsselwiederherstellungsaktivitäten werden automatisch im Hintergrund an den konfigurierten Berichtsserver gemeldet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder sie deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gesichert und Statusberichts- und Schlüsselwiederherstellungsaktivitäten nicht an den Server gemeldet. Wenn für diese Einstellung Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch im Hintergrund auf dem konfigurierten Schlüsselwiederherstellungsserver gesichert. Geben Sie die Frequenz der Statusüberprüfung durch den Client (in Minuten) ein: Mit dieser Richtlinieneinstellung wird die Häufigkeit verwaltet, mit der Überprüfungen der BitLocker-Schutzrichtlinien und des Status auf dem Clientcomputer durchgeführt werden. Mit dieser Richtlinie wird auch verwaltet, wie oft der Konformitätsstatus des Clients auf dem Server gespeichert wird. Vom Client werden mit der konfigurierten Frequenz die BitLocker-Schutzrichtlinien und der Status auf dem Clientcomputer überprüft sowie der Clientwiederherstellungsschlüssel gesichert. Legen Sie die Frequenz gemäß den Anforderungen fest, die in Ihrem Unternehmen für die Häufigkeit von Konformitätsstatusüberprüfungen bei Computern und die Häufigkeit der Sicherungen von Clientwiederherstellungsschlüsseln gelten. Endpunkt des Berichtsdiensts für den MBAM-Status: Sie müssen diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung konfigurieren. Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt: http(s)://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMComplianceStatusService/StatusReportingService.svc.
Richtlinie für Benutzerausnahme konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder sie deaktivieren, werden den Benutzern die Anweisungen nicht angezeigt. Hinweis Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim gleichen Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt.
Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit	Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten können. Mit diesem Programm werden Informationen zur Computerhardware und zur Verwendung von MBAM gesammelt, ohne die Arbeit der Benutzer zu unterbrechen. Mithilfe der Information kann Microsoft identifizieren, welche MBAM-Funktionen verbessert werden sollten. Microsoft verwendet diese Informationen nicht dazu, MBAM-Benutzer zu identifizieren oder zu kontaktieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit nicht beitreten. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten.

MBAM-Dienst konfigurieren

Empfohlene Konfiguration: Aktiviert

Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware: Verwenden Sie diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung. Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMRecoveryAndHardwareService/CoreService.svc.
Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst für das Sichern der BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie den Statusberichtsdienst für das Sammeln von Kompatibilitäts- und Überwachungsberichten konfigurieren. Durch die Richtlinie wird eine Verwaltungsmethode zum Wiederherstellen von BitLocker-verschlüsselten Daten bereitgestellt, um Datenverluste aufgrund von fehlenden Schlüsselinformationen zu vermeiden. Statusberichts- und Schlüsselwiederherstellungsaktivitäten werden automatisch im Hintergrund an den konfigurierten Berichtsserver gemeldet.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder sie deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gesichert und Statusberichts- und Schlüsselwiederherstellungsaktivitäten nicht an den Server gemeldet. Wenn für diese Einstellung Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch im Hintergrund auf dem konfigurierten Schlüsselwiederherstellungsserver gesichert.
Geben Sie die Frequenz der Statusüberprüfung durch den Client (in Minuten) ein: Mit dieser Richtlinieneinstellung wird die Häufigkeit verwaltet, mit der Überprüfungen der BitLocker-Schutzrichtlinien und des Status auf dem Clientcomputer durchgeführt werden. Mit dieser Richtlinie wird auch verwaltet, wie oft der Konformitätsstatus des Clients auf dem Server gespeichert wird. Vom Client werden mit der konfigurierten Frequenz die BitLocker-Schutzrichtlinien und der Status auf dem Clientcomputer überprüft sowie der Clientwiederherstellungsschlüssel gesichert.

Legen Sie die Frequenz gemäß den Anforderungen fest, die in Ihrem Unternehmen für die Häufigkeit von Konformitätsstatusüberprüfungen bei Computern und die Häufigkeit der Sicherungen von Clientwiederherstellungsschlüsseln gelten.
Endpunkt des Berichtsdiensts für den MBAM-Status: Sie müssen diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung konfigurieren. Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt: http(s)://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMComplianceStatusService/StatusReportingService.svc.

Richtlinie für Benutzerausnahme konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können.

Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder sie deaktivieren, werden den Benutzern die Anweisungen nicht angezeigt.

Hinweis

Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim gleichen Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt.

Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten können. Mit diesem Programm werden Informationen zur Computerhardware und zur Verwendung von MBAM gesammelt, ohne die Arbeit der Benutzer zu unterbrechen. Mithilfe der Information kann Microsoft identifizieren, welche MBAM-Funktionen verbessert werden sollten. Microsoft verwendet diese Informationen nicht dazu, MBAM-Benutzer zu identifizieren oder zu kontaktieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit nicht beitreten.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten.

Richtliniendefinitionen für Festplattenlaufwerke

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für Festplattenlaufwerke beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management)\Lokales Festplattenlaufwerk.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Verschlüsselungseinstellungen für Festplattenlaufwerk	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie steuern, ob Festplattenlaufwerke verschlüsselt werden müssen. Wenn ein Verschlüsseln des Betriebssytemlaufwerks erforderlich ist, wählen Sie die Option Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren aus. Wenn Sie diese Richtlinie aktivieren, dürfen Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nur dann deaktivieren, wenn die Verwendung der automatischen Entsperrung für Festplattenlaufwerke gestattet oder erforderlich ist. Ist die Verwendung der automatischen Entsperrung für Festplattenlaufwerke erforderlich, müssen Sie Betriebssystemlaufwerke so konfigurieren, dass sie verschlüsselt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz stellen, wodurch die Laufwerke verschlüsselt werden. Wenn Sie diese Richtlinie nicht konfigurieren, müssen Benutzer die Festplattenlaufwerke nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie nach dem Verschlüsseln der Festplattenlaufwerke anwenden, werden die verschlüsselten Festplattenlaufwerke vom MBAM-Agent entschlüsselt. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz stellen.
Verweigern des Schreibzugriffs auf Festplatten, die nicht von BitLocker geschützt werden	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung wird festgelegt, ob der BitLocker-Schutz für die Festplattenlaufwerke eines Computers erforderlich ist, damit Schreibzugriff besteht. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke des Computers mit Lese-/Schreibzugriff eingebunden.
Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden. Wenn die Richtlinie aktiviert oder nicht konfiguriert ist, können Festplattenlaufwerke mit dem FAT-Dateisystem auf Computern, mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme verfügen nur über Lesezugriff auf BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.
Kennwortverwendung für Festplattenlaufwerke konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Verwenden Sie diese Richtlinie, um anzugeben, ob zum Entschlüsseln BitLocker-geschützter Festplattenlaufwerke ein Kennwort erforderlich sein soll. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das den von Ihnen definierten Anforderungen entspricht. Von BitLocker wird den Benutzern das Entschlüsseln eines Laufwerks gestattet, auf dem beliebige Schutzvorrichtungen verfügbar sind. Diese Einstellungen werden beim Aktivieren von BitLocker erzwungen, nicht beim Entschlüsseln eines Laufwerks. Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen hinsichtlich der Kennwortkomplexität bestehen. Aktivieren Sie zum Erhöhen der Sicherheit diese Richtlinie, und wählen Sie Kennwort für Festplattenlaufwerk anfordern sowie Kennwortkomplexität anfordern aus, und legen Sie dann die gewünschte Minimale Kennwortlänge fest. Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen hinsichtlich der Kennwortkomplexität bestehen.
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Richtliniendefinitionen für Betriebssystemlaufwerke

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für Betriebssystemlaufwerke beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management)\Betriebssystemlaufwerk.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie steuern, ob das Betriebssystemlaufwerk verschlüsselt werden muss. Erwägen Sie, aus Sicherheitsgründen die folgenden Richtlinieneinstellungen unter System/Energieverwaltung/Energiesparmoduseinstellungen zu deaktivieren, sofern Sie sie mit der Schutzvorrichtung TPM und PIN aktivieren: Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb) Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb) Wenn Sie Microsoft Windows 8 oder neuer verwenden, und Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist zum Starten ein Kennwort erforderlich. Wenn Sie das Kennwort vergessen, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen. Auf einem Computer mit kompatiblem TPM können zwei Typen von Authentifizierungsmethoden beim Start verwendet werden, um verschlüsselte Daten zusätzlich zu schützen. Beim Computerstart kann nur das TPM zur Authentifizierung verwendet werden, oder es kann zusätzlich die Eingabe einer persönlichen Identifikationsnummer (PIN) erforderlich sein. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz stellen, wodurch das Laufwerk verschlüsselt wird. Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt. Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz gestellt werden.
TPM-Plattformvalidierungsprofil konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware des Computers gesichert wird. Die Richtlinieneinstellung gilt nicht, wenn der Computer über kein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird das Standard-Plattformvalidierungsprofil bzw. das im Setupskript angegebene Plattformvalidierungsprofil von TPM verwendet.
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn Sie diese Richtlinie nicht konfigurieren, ist der Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie steuern, ob das Betriebssystemlaufwerk verschlüsselt werden muss.

Erwägen Sie, aus Sicherheitsgründen die folgenden Richtlinieneinstellungen unter System/Energieverwaltung/Energiesparmoduseinstellungen zu deaktivieren, sofern Sie sie mit der Schutzvorrichtung TPM und PIN aktivieren:

Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb)
Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb)

Wenn Sie Microsoft Windows 8 oder neuer verwenden, und Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist zum Starten ein Kennwort erforderlich. Wenn Sie das Kennwort vergessen, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit kompatiblem TPM können zwei Typen von Authentifizierungsmethoden beim Start verwendet werden, um verschlüsselte Daten zusätzlich zu schützen. Beim Computerstart kann nur das TPM zur Authentifizierung verwendet werden, oder es kann zusätzlich die Eingabe einer persönlichen Identifikationsnummer (PIN) erforderlich sein.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz stellen, wodurch das Laufwerk verschlüsselt wird.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt.

Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz gestellt werden.

TPM-Plattformvalidierungsprofil konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware des Computers gesichert wird. Die Richtlinieneinstellung gilt nicht, wenn der Computer über kein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird das Standard-Plattformvalidierungsprofil bzw. das im Setupskript angegebene Plattformvalidierungsprofil von TPM verwendet.

Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern.

Wenn Sie diese Richtlinie nicht konfigurieren, ist der Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Richtliniendefinitionen für Wechseldatenträger

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für Wechseldatenträger beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management)\ Wechseldatenträger.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Steuern der Verwendung von BitLocker auf Wechseldatenträgern	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinie wird die Verwendung von BitLocker auf Wechseldatenträgern gesteuert. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden, um Benutzern das Ausführen des BitLocker-Setup-Assistenten auf einem Wechseldatenträger zu gestatten. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsseln, um Benutzern das Entfernen der BitLocker-Laufwerkverschlüsselung von dem Laufwerk oder das Anhalten der Verschlüsselung während der Wartung zu gestatten. Wenn Sie diese Richtlinie aktivieren und die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden auswählen, werden die Wiederherstellungsinformationen für Wechseldatenträger vom MBAM-Client auf dem MBAM-Schlüsselwiederherstellungsserver gespeichert, und bei Verlust des Kennworts können Benutzer das Laufwerk wiederherstellen.
Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht von BitLocker geschützt werden	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um auf BitLocker-geschützte Laufwerke nur Schreibzugriffe zuzulassen. Wenn Sie diese Richtlinie aktivieren, ist bei allen Wechseldatenträgern des Computers eine Verschlüsselung erforderlich, bevor Schreibzugriffe zugelassen werden.
Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, damit Wechseldatenträger mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden können. Wenn die Richtlinie nicht konfiguriert ist, können Wechseldatenträger mit dem FAT-Dateisystem auf Computern, mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme verfügen nur über Lesezugriff auf BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.
Konfigurieren der Kennwortverwendung für Wechseldatenträger	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Wechseldatenträger zu konfigurieren. Wenn diese Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden. Zum Erhöhen der Sicherheit können Sie diese Richtlinie aktivieren, die Optionen Kennwort für Wechseldatenträger anfordern sowie Kennwortkomplexität anfordern auswählen und dann die bevorzugte Minimale Kennwortlänge festlegen.
Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn für diese Richtlinie Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Siehe auch

Konzepte

Bereitstellungsvoraussetzungen für MBAM 2.0

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----

Freigeben über

Planen der Gruppenrichtlinienanforderungen für MBAM 2.0

Globale Richtliniendefinitionen

Richtliniendefinitionen für die Clientverwaltung

Richtliniendefinitionen für Festplattenlaufwerke

Richtliniendefinitionen für Betriebssystemlaufwerke

Richtliniendefinitionen für Wechseldatenträger

Siehe auch

Konzepte

Zusätzliche Ressourcen