Planen der Gruppenrichtlinienanforderungen für MBAM 1.0
Letzte Aktualisierung: November 2012
Betrifft: Microsoft BitLocker Administration and Monitoring 1.0
Für die Clientverwaltung von Microsoft BitLocker-Administration und Überwachung (MBAM) sind benutzerdefinierte Gruppenrichtlinieneinstellungen erforderlich. In diesem Thema werden die verfügbaren Richtlinienoptionen für Gruppenrichtlinienobjekte (Group Policy Object, GPO) beim Verwalten der BitLocker-Laufwerkverschlüsselung im Unternehmen mithilfe von MBAM beschrieben.
Wichtig
Von MBAM werden nicht die Standard-GPO-Einstellungen für die Windows BitLocker-Laufwerkverschlüsselung verwendet. Wenn die Standardeinstellungen aktiviert sind, können dadurch Konflikte entstehen. Damit BitLocker von MBAM verwaltet werden kann, müssen Sie nach der Installation der MBAM-Gruppenrichtlinienvorlage die GPO-Richtlinieneinstellungen definieren.
Nach der Installation der MBAM-Gruppenrichtlinienvorlage können Sie die verfügbaren benutzerdefinierten MBAM-GPO-Richtlinieneinstellungen anzeigen und ändern, mit deren Hilfe die BitLocker-Verschlüsselung des Unternehmens von MBAM verwaltet werden kann. Die MBAM-Gruppenrichtlinienvorlage muss auf einem Computer installiert sein, auf dem die Gruppenrichtlinien-Verwaltungskonsole oder die MDOP-Technologie „Erweiterte Gruppenrichtlinienverwaltung“ ausgeführt werden kann. Öffnen Sie zum Bearbeiten der entsprechenden GPO als nächsten Schritt die Gruppenrichtlinien-Verwaltungskonsole bzw. die erweiterte Gruppenrichtlinienverwaltung, und navigieren Sie dann zum folgenden GPO-Knoten: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).
Der GPO-Knoten „MDOP MBAM (BitLocker Management)“ enthält vier globale Richtlinieneinstellungen und vier entsprechende untergeordnete GPO-Einstellungsknoten. Die vier globalen GPO-Richtlinieneinstellungen sind: Clientverwaltung, Lokales Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den nachfolgenden Abschnitten werden Richtliniendefinitionen und empfohlene Richtlinieneinstellungen aufgeführt, um Sie beim Planen der Anforderungen für MBAM-GPO-Richtlinieneinstellungen zu unterstützen.
Hinweis
Weitere Informationen zum Konfigurieren der mindestens empfohlenen GPO-Einstellungen für die Verwaltung der BitLocker-Verschlüsselung durch MBAM finden Sie unter Vorgehensweise beim Bearbeiten der GPO-Einstellungen für MBAM 1.0.
Globale Richtliniendefinitionen
In diesem Abschnitt werden die globalen MBAM-Richtliniendefinitionen beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).
Richtlinienname | Übersicht und empfohlene Richtlinieneinstellung |
---|---|
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird von BitLocker die Standardverschlüsselungsmethode AES (128 Bit mit Diffuser) bzw. die im Setupskript angegebene Verschlüsselungsmethode verwendet. |
Überschreiben des Arbeitsspeichers beim Neustart verhindern |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um die Leistung beim Neustart zu erhöhen, indem geheime BitLocker-Informationen im Arbeitsspeicher beim Neustart nicht überschrieben werden. Wenn diese Richtlinie nicht konfiguriert ist, werden geheime BitLocker-Informationen aus dem Arbeitsspeicher entfernt, wenn der Computer neu gestartet wird. |
Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Schutz mit Smartcard-Zertifikat zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird für das Angeben eines Zertifikats die Standard-Objekt-ID „1.3.6.1.4.1.311.67.1.1“ verwendet. |
Eindeutige IDs für Ihre Organisation angeben |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um einen zertifikatbasierten Datenwiederherstellungs-Agent oder das BitLocker To Go-Lesetool zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld ID nicht verwendet. Wenn für Ihr Unternehmen erhöhte Sicherheitsmaßnahmen erforderlich sind, können Sie das Feld ID konfigurieren und sicherstellen, dass es für alle USB-Geräte festgelegt ist und diese an der Gruppenrichtlinieneinstellung ausgerichtet sind. |
Richtliniendefinitionen für die Clientverwaltung
In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für die Clientverwaltung beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Clientverwaltung.
Richtlinienname | Übersicht und empfohlene Richtlinieneinstellungen |
---|---|
MBAM-Dienst konfigurieren |
Empfohlene Konfiguration: Aktiviert
|
Überprüfen der Hardwarekompatibilität zulassen |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie die Überprüfung der Hardwarekompatibilität verwalten, bevor Sie den BitLocker-Schutz für die Laufwerke von MBAM-Clientcomputern aktivieren. Sie sollten diese Richtlinienoption aktivieren, wenn Ihr Unternehmen über ältere Computerhardware bzw. über Computer verfügt, von denen Trusted Platform Module (TPM) nicht unterstützt wird. Wenn eines dieser Kriterien zutrifft, aktivieren Sie die Überprüfung der Hardwarekompatibilität, und stellen Sie dadurch sicher, dass MBAM nur auf Computermodelle angewendet wird, von denen BitLocker unterstützt wird. Wenn BitLocker von allen Computern in Ihrer Organisation unterstützt wird, müssen Sie die Hardwarekompatibilitätsfunktion nicht bereitstellen. Sie können dann für diese Richtlinie Nicht konfiguriert festlegen. Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Modell des Computers alle 24 Stunden mit der Hardwarekompatibilitätsliste abgeglichen, bevor durch die Richtlinie der BitLocker-Schutz auf einem Laufwerk des Computers aktiviert wird. Hinweis Stellen Sie sicher, dass in den Richtlinienoptionen MBAM-Dienst konfigurieren die Einstellung Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware konfiguriert ist, bevor Sie diese Richtlinieneinstellung aktivieren. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, wird das Computermodell nicht mit der Hardwarekompatibilitätsliste abgeglichen. |
Richtlinie für Benutzerausnahme konfigurieren |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden den Benutzern die Anweisungen zum Beantragen einer Ausnahme nicht angezeigt. Hinweis Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim selben Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt. |
Richtliniendefinitionen für Festplattenlaufwerke
In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Festplattenlaufwerke beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Lokales Festplattenlaufwerk.
Richtlinienname | Übersicht und empfohlene Richtlinieneinstellung |
---|---|
Verschlüsselungseinstellungen für Festplattenlaufwerk |
Empfohlene Konfiguration: Aktiviert. Aktivieren Sie zusätzlich das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren, wenn das Betriebssystemvolume verschlüsselt werden muss. Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Festplattenlaufwerke verschlüsselt werden sollen. Deaktivieren Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nicht, wenn Sie diese Richtlinie aktivieren. Wenn das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren aktiviert ist, muss das Betriebssystemvolume verschlüsselt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz stellen, wodurch die Laufwerke verschlüsselt werden. Wenn Sie diese Richtlinie nicht konfigurieren bzw. sie deaktivieren, müssen Benutzer die Festplattenlaufwerke nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie deaktivieren, werden alle verschlüsselten Festplattenlaufwerke vom MBAM-Agent entschlüsselt. Wenn das Verschlüsseln des Betriebssystemvolumes nicht erforderlich ist, deaktivieren Sie das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren. |
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung wird festgelegt, ob der BitLocker-Schutz für die Festplattenlaufwerke eines Computers erforderlich ist, damit Schreibzugriff besteht. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke des Computers mit Lese-/Schreibberechtigungen eingebunden. |
Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 die Festplattenlaufwerke zu entsperren und anzuzeigen, die mit dem FAT-Dateisystem (File Allocation Table) formatiert sind. Diese Betriebssysteme verfügen nur über Leseberechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden. |
Kennwortverwendung für Festplattenlaufwerke konfigurieren |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Festplattenlaufwerke zu konfigurieren. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden. Aktivieren Sie zum Erhöhen der Sicherheit diese Richtlinie, und wählen Sie Kennwort für Festplattenlaufwerk anfordern sowie Kennwortkomplexität anfordern aus, und legen Sie dann die gewünschte Minimale Kennwortlänge fest. |
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich. |
Richtliniendefinitionen für Betriebssystemlaufwerke
In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Betriebssystemlaufwerke beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Betriebssystemlaufwerk.
Richtlinienname | Übersicht und empfohlene Richtlinieneinstellung |
---|---|
Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung wird festgelegt, ob das Betriebssystemlaufwerk verschlüsselt wird. Konfigurieren Sie die Richtlinie, um die folgenden Aktionen ausführen:
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk mit BitLocker sichern. Wenn Sie diese Einstellung nicht konfigurieren bzw. sie deaktivieren, müssen Benutzer das Betriebssystemlaufwerk nicht mit BitLocker sichern. Wenn Sie diese Richtlinie deaktivieren, werden verschlüsselte Betriebssystemvolumes vom MBAM-Agent entschlüsselt. Wenn die Richtlinieneinstellung aktiviert ist, müssen Benutzer das Betriebssystem mit BitLocker-Schutz sichern, und das Laufwerk wird verschlüsselt. Je nach Ihren Verschlüsselungsanforderungen können Sie die Schutzmethode für das Betriebssystemlaufwerk auswählen. Verwenden Sie bei erhöhten Sicherheitsanforderungen die Option „TPM und PIN“, lassen Sie erweiterte PINs zu, und legen Sie die Mindestlänge für PINs auf acht Zeichen fest. Wenn diese Richtlinie mit der Schutzvorrichtung „TPM und PIN“ aktiviert ist, können Sie die Deaktivierung der folgenden Richtlinien unter System / Energieverwaltung / Energiesparmoduseinstellungen in Betracht ziehen:
|
TPM-Plattformvalidierungsprofil konfigurieren |
Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware des Computers gesichert wird. Die Richtlinieneinstellung gilt nicht, wenn der Computer nicht über kompatibles TPM verfügt oder wenn der TPM-Schutz von BitLocker bereits aktiviert ist. Wenn diese Richtlinie nicht konfiguriert ist, wird von TPM das Standard-Plattformvalidierungsprofil bzw. das im Setupskript angegebene Plattformvalidierungsprofil verwendet. |
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden |
Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich. |
Richtliniendefinitionen für Wechseldatenträger
In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Wechseldatenträger beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Wechseldatenträger.
Richtlinienname | Übersicht und empfohlene Richtlinieneinstellung |
---|---|
Verwendung von BitLocker auf Wechseldatenträgern steuern |
Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinie wird die Verwendung von BitLocker auf Wechseldatenträgern gesteuert. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden, um Benutzern das Ausführen des BitLocker-Setup-Assistenten auf einem Wechseldatenträger zu gestatten. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsseln, um Benutzern das Entfernen der BitLocker-Laufwerkverschlüsselung von dem Laufwerk oder das Anhalten der Verschlüsselung während der Wartung zu gestatten. Wenn diese Richtlinie aktiviert und die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden ausgewählt ist, werden die Wiederherstellungsinformationen für Wechseldatenträger vom MBAM-Client auf dem MBAM-Schlüsselwiederherstellungsserver gespeichert, und Benutzer können das Laufwerk wiederherstellen, wenn das Kennwort verloren gegangen ist. |
Schreibberechtigungen für Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um Schreibberechtigungen nur für BitLocker-geschützte Laufwerke zuzulassen. Wenn diese Richtlinie aktiviert ist, ist für alle Wechseldatenträger des Computers Verschlüsselung erforderlich, bevor Schreibberechtigungen zugelassen werden. |
Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 die Festplattenlaufwerke zu entsperren und anzuzeigen, die mit dem FAT-Dateisystem formatiert sind. Diese Betriebssysteme verfügen nur über Leseberechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden. |
Kennwortverwendung für Wechseldatenträger konfigurieren |
Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Wechseldatenträger zu konfigurieren. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden. Zum Erhöhen der Sicherheit können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern sowie Kennwortkomplexität anfordern auswählen und dann die bevorzugte Minimale Kennwortlänge festlegen. |
Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können |
Empfohlene Konfiguration: Nicht konfiguriert Sie können diese Richtlinie konfigurieren, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn für diese Richtlinie Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich. |
Siehe auch
Andere Ressourcen
Vorbereiten der Umgebung für MBAM 1.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----