(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Szenario 7: Angeben der Entsperrmethode für mit BitLocker geschützte integrierte Datenlaufwerke oder Wechseldatenlaufwerke (Windows 7)

Letzte Aktualisierung: August 2009

Betrifft: Windows 7

In diesem Szenario werden Sie bestimmen, welche Methoden zum Entsperren für integrierte Laufwerke und Wechseldatenträger verwendet werden können, indem Sie die entsprechenden Gruppenrichtlinieneinstellungen konfigurieren.

Vorbereitungen

Für die Verfahren in diesem Szenario ist Folgendes erforderlich:

  • Sie müssen Administratoranmeldeinformationen angeben können.

  • Der Testcomputer muss Bestandteil einer Domäne sein, wenn Sie die Kennwortkomplexitätsvoraussetzungen testen möchten.

  • Separate integrierte Datenlaufwerke und Wechseldatenträger müssen verfügbar sein.

  • Sie müssen den Computer von einem mit BitLocker geschützten Betriebssystemlaufwerk starten, um die Methode für die automatische Entsperrung für integrierte Datenlaufwerke zu verwenden.

  • Sie müssen eine PKI-Architektur (Public Key-Infrastruktur) für die Verwendung mit Smartcards bereitgestellt haben.

  • Ihr Computer muss die Anforderungen für BitLocker erfüllen. Weitere Informationen finden Sie unter "Anforderungen für die BitLocker-Laufwerkverschlüsselung" in Schrittweise Anleitung zur BitLocker-Laufwerkverschlüsselung für Windows 7.

noteHinweis
Falls BitLocker auf dem Betriebssystemlaufwerk aktiviert ist, können Sie beim Aktivieren von BitLocker für ein integriertes Datenlaufwerk zulassen, dass das Laufwerk automatisch entsperrt wird, wenn das Betriebssystemlaufwerk entsperrt ist. Beim folgenden Verfahren wird davon ausgegangen, dass das integrierte Datenlaufwerk zuvor mit BitLocker geschützt war und die Methode für die automatische Entsperrung nicht ausgewählt war. Für Wechseldatenlaufwerke ist neben der Methode für die automatische Entsperrung entweder eine Entsperrmethode per Kennwort oder Smartcard erforderlich. Das automatische Entsperren kann nicht direkt mithilfe von Richtlinieneinstellungen angegeben werden.

So konfigurieren Sie das automatische Entsperren für ein mit BitLocker geschütztes integriertes Datenlaufwerk oder Wechseldatenlaufwerk

  1. Klicken Sie auf Start, klicken Sie auf Computer, und klicken Sie dann mit der rechten Maustaste auf das mit BitLocker geschützte integrierte Datenlaufwerk oder das Wechseldatenlaufwerk, das Sie automatisch entsperren möchten.

  2. Klicken Sie auf BitLocker verwalten, klicken Sie auf Laufwerk auf diesem Computer automatisch entsperren.

So geben Sie die Kennwortverwendung für mit BitLocker geschützte integrierte Datenlaufwerke oder Wechseldatenlaufwerke an

  1. Klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpedit.msc ein, und drücken Sie die EINGABETASTE.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung auf Integrierte Datenlaufwerke.

  4. Standardmäßig können Kennwörter zusammen mit BitLocker verwendet werden, um integrierte Datenlaufwerke zu schützen. Die Standardeinstellungen erzwingen keine Kennwortkomplexitätsvoraussetzungen, aber das Kennwort muss aus mindestens 8 Zeichen bestehen. Um andere Einstellungen anzugeben, doppelklicken Sie im Detailbereich auf Kennwortverwendung für Festplattenlaufwerke konfigurieren, um die Richtlinieneinstellung zu öffnen.

  5. Klicken Sie auf Deaktiviert, um die Verwendung von Kennwörtern für integrierte Datenlaufwerke zu verhindern, oder klicken Sie auf Aktiviert, und konfigurieren Sie die folgenden Einstellungen:

    • Aktivieren Sie das Kontrollkästchen Kennwort für Festplattenlaufwerk anfordern, wenn Sie möchten, dass der Benutzer ein Kennwort eingeben muss, um BitLocker auf einem integrierten Datenlaufwerk zu aktivieren. Falls andere Entsperrmethoden für das Laufwerk konfiguriert wurden, können diese Methoden zum Entsperren des Laufwerks verwendet werden.

    • Unter Kennwortkomplexität für Festplattenlaufwerke konfigurieren können Sie auswählen, ob Sie die Erzwingung von Kennwortkomplexitätsregeln mit BitLocker-Kennwörtern für integrierte Datenlaufwerke zulassen, erzwingen oder nicht zulassen möchten.

      Wenn Sie Kennwortkomplexität anfordern auswählen, müssen Sie auch die Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien konfigurieren. Darüber hinaus muss der Computer mit der Domäne verbunden sein, wenn das BitLocker-Kennwort für das Laufwerk festgelegt ist (z. B., wenn BitLocker aktiviert ist oder wenn ein Kennwort geändert wird), damit der Domänencontroller überprüfen kann, ob das für das Laufwerk angegebene Kennwort die Komplexitätsregeln erfüllt.

      Wenn Sie Kennwortkomplexität zulassen auswählen, versucht BitLocker eine Verbindung mit dem Domänencontroller herzustellen, um das Kennwort zu überprüfen. Für den Fall, dass keine Verbindung möglich ist, wird das Kennwort übernommen und das Laufwerk mit dem Kennwort verschlüsselt. Dabei spielt es keine Rolle, ob das Kennwort mit den durch die Kennwortrichtlinie definierten Komplexitätsregeln kompatibel ist.

      Wenn Sie Kennwortkomplexität nicht zulassen auswählen, versucht BitLocker nicht zu überprüfen, ob es sich bei dem angegebenen Kennwort um ein komplexes Kennwort handelt.

    • Unter Minimale Kennwortlänge für Festplattenlaufwerk können Sie eine Zahl zwischen 8 und 99 eingeben, die definiert, wie lang das für das Laufwerk angegebene Kennwort sein muss. Kennwörter müssen immer aus mindestens 8 Zeichen bestehen.

  6. Nachdem Sie die entsprechenden Optionen ausgewählt haben, klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen, und schließen Sie dann das Dialogfeld.

  7. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerke.

  8. Standardmäßig können Kennwörter zusammen mit BitLocker verwendet werden, um Wechseldatenlaufwerke zu schützen. Die Standardeinstellungen erzwingen keine Kennwortkomplexitätsvoraussetzungen, aber das Kennwort muss aus mindestens 8 Zeichen bestehen. Um andere Einstellungen anzugeben, doppelklicken Sie im Detailbereich auf Kennwortverwendung für Wechseldatenträger konfigurieren, um die Richtlinieneinstellung zu öffnen.

  9. Klicken Sie auf Deaktiviert, um die Verwendung von Kennwörtern für Wechseldatenlaufwerke zu verhindern, oder klicken Sie auf Aktiviert, und konfigurieren Sie die folgenden Einstellungen:

    • Aktivieren Sie das Kontrollkästchen Kennwort für Wechseldatenträger anfordern, wenn Sie möchten, dass der Benutzer ein Kennwort eingeben muss, um BitLocker auf einem Wechseldatenlaufwerk zu aktivieren. Falls andere Entsperrmethoden für das Laufwerk konfiguriert wurden, können diese Methoden zum Entsperren des Laufwerks verwendet werden.

    • Unter Kennwortkomplexität für Wechseldatenträger konfigurieren können Sie auswählen, ob Sie die Erzwingung von Kennwortkomplexitätsregeln mit BitLocker-Kennwörtern für Wechseldatenlaufwerke zulassen, erzwingen oder nicht zulassen möchten.

      Wenn Sie Kennwortkomplexität anfordern auswählen, müssen Sie auch die Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien konfigurieren. Darüber hinaus muss der Computer mit der Domäne verbunden sein, wenn BitLocker aktiviert ist, damit der Domänencontroller überprüfen kann, ob das für das Laufwerk angegebene Kennwort die Komplexitätsregeln erfüllt.

      Wenn Sie Kennwortkomplexität zulassen auswählen, versucht BitLocker eine Verbindung mit dem Domänencontroller herzustellen, um das Kennwort zu überprüfen. Für den Fall, dass keine Verbindung möglich ist, wird das Kennwort übernommen und das Laufwerk mit dem Kennwort verschlüsselt. Dabei spielt es keine Rolle, ob das Kennwort mit den durch die Kennwortrichtlinie definierten Komplexitätsregeln kompatibel ist.

      Wenn Sie Kennwortkomplexität nicht zulassen auswählen, versucht BitLocker nicht zu überprüfen, ob es sich bei dem angegebenen Kennwort um ein komplexes Kennwort handelt.

    • Unter Minimale Kennwortlänge für Festplattenlaufwerk können Sie eine Zahl zwischen 8 und 99 eingeben, die definiert, wie lang das für das Laufwerk angegebene Kennwort sein muss. Kennwörter müssen immer aus mindestens 8 Zeichen bestehen.

  10. Nachdem Sie die entsprechenden Optionen ausgewählt haben, klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen, und schließen Sie dann das Dialogfeld.

  11. Schließen Sie den Editor für lokale Gruppenrichtlinien.

  12. Wenn die Änderungen in den Gruppenrichtlinien sofort übernommen werden sollen, klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpupdate.exe /force ein, und drücken Sie die EINGABETASTE. Warten Sie, bis der Vorgang abgeschlossen ist.

So geben Sie die Smartcardverwendung für mit BitLocker geschützte integrierte Datenlaufwerke oder Wechseldatenlaufwerke an

  1. Klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpedit.msc ein, und drücken Sie die EINGABETASTE.

  2. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion der gewünschten Aktion entspricht, und klicken Sie anschließend auf Ja.

  3. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung auf Integrierte Datenlaufwerke.

  4. Standardmäßig können Smartcards zusammen mit BitLocker verwendet werden, um integrierte Datenlaufwerke zu schützen. Um die Verwendung von Smartcards zu erzwingen oder zu verhindern, doppelklicken Sie im Detailbereich auf Smartcard-Verwendung für Festplattenlaufwerke konfigurieren, um die Richtlinieneinstellung zu öffnen.

  5. Klicken Sie auf Deaktiviert, um die Verwendung von Smartcards für integrierte Datenlaufwerke zu verhindern.

  6. Klicken Sie auf Aktiviert, und aktivieren Sie das Kontrollkästchen Smartcard-Verwendung für Festplattenlaufwerke anfordern, wenn Sie möchten, dass der Benutzer zum Aktivieren von BitLocker eine Smartcard einführen muss.

    Falls andere Entsperrmethoden für das Laufwerk konfiguriert wurden, können diese Methoden zum Entsperren des Laufwerks verwendet werden.

  7. Nachdem Sie die entsprechenden Optionen ausgewählt haben, klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen, und schließen Sie dann das Dialogfeld.

  8. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten auf BitLocker-Laufwerkverschlüsselung.

  9. Wenn Sie über mehrere Smartcardzertifikate verfügen, können Sie angeben, welche Smartcardzertifikate mit BitLocker verwendet werden können. Doppelklicken Sie dazu im Detailbereich auf die Richtlinieneinstellung Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen.

    Standardmäßig verwendet BitLocker Smartcardzertifikate, deren Attribut für die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) der BitLocker-Objektkennung 1.3.6.1.4.1.311.67.1.1 entspricht. Für BitLocker ist es jedoch nicht erforderlich, dass das EKU-Attribut vorhanden ist, damit das Zertifikat mit BitLocker verwendet wird. Sie können jedoch für diese Richtlinie Aktiviert festlegen und einen Wert für Objektkennung eingeben, damit ein Zertifikat für die Verwendung mit BitLocker ein bestimmtes EKU-Attribut aufweisen muss. Wenn Sie für diese Richtlinie Deaktiviert oder Nicht konfiguriert festlegen, wird die standardmäßige Objektkennung verwendet.

  10. Nachdem Sie die entsprechenden Optionen ausgewählt haben, klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen, und schließen Sie dann das Dialogfeld.

  11. Klicken Sie in der Konsolenstruktur unter Richtlinie für 'Lokaler Computer'\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung auf Wechseldatenlaufwerke.

  12. Standardmäßig können Smartcards zusammen mit BitLocker verwendet werden, um Wechseldatenlaufwerke zu schützen. Um die Verwendung von Smartcards zu erzwingen oder zu verhindern, doppelklicken Sie im Detailbereich auf Smartcardverwendung für Wechseldatenträger konfigurieren, um die Richtlinieneinstellung zu öffnen.

  13. Klicken Sie auf Deaktiviert, um die Verwendung von Smartcards für Wechseldatenlaufwerke zu verhindern.

  14. Klicken Sie auf Aktiviert, und aktivieren Sie das Kontrollkästchen Smartcard-Verwendung für Wechseldatenträger anfordern, wenn Sie möchten, dass der Benutzer zum Aktivieren von BitLocker eine Smartcard einführen muss.

  15. Nachdem Sie die entsprechenden Optionen ausgewählt haben, klicken Sie auf Übernehmen, um die Einstellungen zu übernehmen, und schließen Sie dann das Dialogfeld.

  16. Schließen Sie den Editor für lokale Gruppenrichtlinien.

  17. Wenn die Änderungen in den Gruppenrichtlinien sofort übernommen werden sollen, klicken Sie auf Start, geben Sie im Feld Programme/Dateien durchsuchen die Zeichenfolge gpupdate.exe /force ein, und drücken Sie die EINGABETASTE. Warten Sie, bis der Vorgang abgeschlossen ist.

Durch Ausführen der Verfahren in diesem Szenario haben Sie die Methoden angegeben, die Benutzer zum Entsperren von mit BitLocker geschützten Laufwerken verwenden können. Diese Richtlinien werden auf Laufwerken erzwungen, wenn BitLocker aktiviert ist.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft