Planen der Gruppenrichtlinienanforderungen für MBAM 1.0

Artikel
12/19/2014

Letzte Aktualisierung: November 2012

Betrifft: Microsoft BitLocker Administration and Monitoring 1.0

Für die Clientverwaltung von Microsoft BitLocker-Administration und Überwachung (MBAM) sind benutzerdefinierte Gruppenrichtlinieneinstellungen erforderlich. In diesem Thema werden die verfügbaren Richtlinienoptionen für Gruppenrichtlinienobjekte (Group Policy Object, GPO) beim Verwalten der BitLocker-Laufwerkverschlüsselung im Unternehmen mithilfe von MBAM beschrieben.

Wichtig

Von MBAM werden nicht die Standard-GPO-Einstellungen für die Windows BitLocker-Laufwerkverschlüsselung verwendet. Wenn die Standardeinstellungen aktiviert sind, können dadurch Konflikte entstehen. Damit BitLocker von MBAM verwaltet werden kann, müssen Sie nach der Installation der MBAM-Gruppenrichtlinienvorlage die GPO-Richtlinieneinstellungen definieren.

Nach der Installation der MBAM-Gruppenrichtlinienvorlage können Sie die verfügbaren benutzerdefinierten MBAM-GPO-Richtlinieneinstellungen anzeigen und ändern, mit deren Hilfe die BitLocker-Verschlüsselung des Unternehmens von MBAM verwaltet werden kann. Die MBAM-Gruppenrichtlinienvorlage muss auf einem Computer installiert sein, auf dem die Gruppenrichtlinien-Verwaltungskonsole oder die MDOP-Technologie „Erweiterte Gruppenrichtlinienverwaltung“ ausgeführt werden kann. Öffnen Sie zum Bearbeiten der entsprechenden GPO als nächsten Schritt die Gruppenrichtlinien-Verwaltungskonsole bzw. die erweiterte Gruppenrichtlinienverwaltung, und navigieren Sie dann zum folgenden GPO-Knoten: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).

Der GPO-Knoten „MDOP MBAM (BitLocker Management)“ enthält vier globale Richtlinieneinstellungen und vier entsprechende untergeordnete GPO-Einstellungsknoten. Die vier globalen GPO-Richtlinieneinstellungen sind: Clientverwaltung, Lokales Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den nachfolgenden Abschnitten werden Richtliniendefinitionen und empfohlene Richtlinieneinstellungen aufgeführt, um Sie beim Planen der Anforderungen für MBAM-GPO-Richtlinieneinstellungen zu unterstützen.

Hinweis

Weitere Informationen zum Konfigurieren der mindestens empfohlenen GPO-Einstellungen für die Verwaltung der BitLocker-Verschlüsselung durch MBAM finden Sie unter Vorgehensweise beim Bearbeiten der GPO-Einstellungen für MBAM 1.0.

Globale Richtliniendefinitionen

In diesem Abschnitt werden die globalen MBAM-Richtliniendefinitionen beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management).

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird von BitLocker die Standardverschlüsselungsmethode AES (128 Bit mit Diffuser) bzw. die im Setupskript angegebene Verschlüsselungsmethode verwendet.
Überschreiben des Arbeitsspeichers beim Neustart verhindern	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um die Leistung beim Neustart zu erhöhen, indem geheime BitLocker-Informationen im Arbeitsspeicher beim Neustart nicht überschrieben werden. Wenn diese Richtlinie nicht konfiguriert ist, werden geheime BitLocker-Informationen aus dem Arbeitsspeicher entfernt, wenn der Computer neu gestartet wird.
Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Schutz mit Smartcard-Zertifikat zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird für das Angeben eines Zertifikats die Standard-Objekt-ID „1.3.6.1.4.1.311.67.1.1“ verwendet.
Eindeutige IDs für Ihre Organisation angeben	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um einen zertifikatbasierten Datenwiederherstellungs-Agent oder das BitLocker To Go-Lesetool zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld ID nicht verwendet. Wenn für Ihr Unternehmen erhöhte Sicherheitsmaßnahmen erforderlich sind, können Sie das Feld ID konfigurieren und sicherstellen, dass es für alle USB-Geräte festgelegt ist und diese an der Gruppenrichtlinieneinstellung ausgerichtet sind.

Richtliniendefinitionen für die Clientverwaltung

In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für die Clientverwaltung beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Clientverwaltung.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellungen
MBAM-Dienst konfigurieren	Empfohlene Konfiguration: Aktiviert Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware: Hierbei handelt es sich um die erste Richtlinieneinstellung, die Sie konfigurieren müssen, um die Verwaltung der BitLocker-Verschlüsselung für MBAM-Clients zu aktivieren. Geben Sie für diese Einstellung den Pfad des Endpunkts nach dem folgenden Muster ein: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMRecoveryAndHardwareService/CoreService.svc. Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst für das Sichern der BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie den Statusberichtsdienst für das Sammeln von Kompatibilitäts- und Überwachungsberichten konfigurieren. Durch die Richtlinie wird eine Verwaltungsmethode zum Wiederherstellen von BitLocker-verschlüsselten Daten bereitgestellt, um Datenverluste aufgrund von fehlenden Schlüsselinformationen zu vermeiden. Statusberichts- und Schlüsselwiederherstellungsaktivitäten werden automatisch im Hintergrund an den konfigurierten Berichtsserver gemeldet. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gesichert und Statusberichts- und Schlüsselwiederherstellungsaktivitäten nicht an den Server gemeldet. Wenn für diese Einstellung Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch im Hintergrund auf dem konfigurierten Schlüsselwiederherstellungsserver gesichert. Geben Sie die Frequenz der Statusüberprüfung durch den Client (in Minuten) ein: Mit dieser Richtlinieneinstellung wird die Häufigkeit verwaltet, mit der vom Client Überprüfungen der BitLocker-Schutzrichtlinien und des Status auf dem Clientcomputer durchgeführt werden. Mit dieser Richtlinie wird auch verwaltet, wie oft der Konformitätsstatus des Clients auf dem Server gespeichert wird. Vom Client werden mit der konfigurierten Frequenz die BitLocker-Schutzrichtlinien und der Status auf dem Clientcomputer überprüft sowie der Clientwiederherstellungsschlüssel gesichert. Legen Sie die Frequenz gemäß den Anforderungen fest, die in Ihrem Unternehmen für die Häufigkeit von Konformitätsstatusüberprüfungen bei Computern und die Häufigkeit der Sicherungen von Clientwiederherstellungsschlüsseln gelten. Endpunkt des Berichtsdiensts für den MBAM-Status: Hierbei handelt es sich um die zweite Richtlinieneinstellung, die Sie konfigurieren müssen, um die Verwaltung der BitLocker-Verschlüsselung für MBAM-Clients zu aktivieren. Geben Sie für diese Einstellung den Pfad des Endpunkts nach dem folgenden Muster ein: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMComplianceStatusService/StatusReportingService.svc.
Überprüfen der Hardwarekompatibilität zulassen	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung können Sie die Überprüfung der Hardwarekompatibilität verwalten, bevor Sie den BitLocker-Schutz für die Laufwerke von MBAM-Clientcomputern aktivieren. Sie sollten diese Richtlinienoption aktivieren, wenn Ihr Unternehmen über ältere Computerhardware bzw. über Computer verfügt, von denen Trusted Platform Module (TPM) nicht unterstützt wird. Wenn eines dieser Kriterien zutrifft, aktivieren Sie die Überprüfung der Hardwarekompatibilität, und stellen Sie dadurch sicher, dass MBAM nur auf Computermodelle angewendet wird, von denen BitLocker unterstützt wird. Wenn BitLocker von allen Computern in Ihrer Organisation unterstützt wird, müssen Sie die Hardwarekompatibilitätsfunktion nicht bereitstellen. Sie können dann für diese Richtlinie Nicht konfiguriert festlegen. Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Modell des Computers alle 24 Stunden mit der Hardwarekompatibilitätsliste abgeglichen, bevor durch die Richtlinie der BitLocker-Schutz auf einem Laufwerk des Computers aktiviert wird. Hinweis Stellen Sie sicher, dass in den Richtlinienoptionen MBAM-Dienst konfigurieren die Einstellung Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware konfiguriert ist, bevor Sie diese Richtlinieneinstellung aktivieren. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, wird das Computermodell nicht mit der Hardwarekompatibilitätsliste abgeglichen.
Richtlinie für Benutzerausnahme konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können. Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden den Benutzern die Anweisungen zum Beantragen einer Ausnahme nicht angezeigt. Hinweis Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim selben Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt.

MBAM-Dienst konfigurieren

Empfohlene Konfiguration: Aktiviert

Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware: Hierbei handelt es sich um die erste Richtlinieneinstellung, die Sie konfigurieren müssen, um die Verwaltung der BitLocker-Verschlüsselung für MBAM-Clients zu aktivieren. Geben Sie für diese Einstellung den Pfad des Endpunkts nach dem folgenden Muster ein: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMRecoveryAndHardwareService/CoreService.svc.
Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst für das Sichern der BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie den Statusberichtsdienst für das Sammeln von Kompatibilitäts- und Überwachungsberichten konfigurieren. Durch die Richtlinie wird eine Verwaltungsmethode zum Wiederherstellen von BitLocker-verschlüsselten Daten bereitgestellt, um Datenverluste aufgrund von fehlenden Schlüsselinformationen zu vermeiden. Statusberichts- und Schlüsselwiederherstellungsaktivitäten werden automatisch im Hintergrund an den konfigurierten Berichtsserver gemeldet.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gesichert und Statusberichts- und Schlüsselwiederherstellungsaktivitäten nicht an den Server gemeldet. Wenn für diese Einstellung Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch im Hintergrund auf dem konfigurierten Schlüsselwiederherstellungsserver gesichert.
Geben Sie die Frequenz der Statusüberprüfung durch den Client (in Minuten) ein: Mit dieser Richtlinieneinstellung wird die Häufigkeit verwaltet, mit der vom Client Überprüfungen der BitLocker-Schutzrichtlinien und des Status auf dem Clientcomputer durchgeführt werden. Mit dieser Richtlinie wird auch verwaltet, wie oft der Konformitätsstatus des Clients auf dem Server gespeichert wird. Vom Client werden mit der konfigurierten Frequenz die BitLocker-Schutzrichtlinien und der Status auf dem Clientcomputer überprüft sowie der Clientwiederherstellungsschlüssel gesichert.

Legen Sie die Frequenz gemäß den Anforderungen fest, die in Ihrem Unternehmen für die Häufigkeit von Konformitätsstatusüberprüfungen bei Computern und die Häufigkeit der Sicherungen von Clientwiederherstellungsschlüsseln gelten.
Endpunkt des Berichtsdiensts für den MBAM-Status: Hierbei handelt es sich um die zweite Richtlinieneinstellung, die Sie konfigurieren müssen, um die Verwaltung der BitLocker-Verschlüsselung für MBAM-Clients zu aktivieren. Geben Sie für diese Einstellung den Pfad des Endpunkts nach dem folgenden Muster ein: http://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMComplianceStatusService/StatusReportingService.svc.

Überprüfen der Hardwarekompatibilität zulassen

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie die Überprüfung der Hardwarekompatibilität verwalten, bevor Sie den BitLocker-Schutz für die Laufwerke von MBAM-Clientcomputern aktivieren.

Sie sollten diese Richtlinienoption aktivieren, wenn Ihr Unternehmen über ältere Computerhardware bzw. über Computer verfügt, von denen Trusted Platform Module (TPM) nicht unterstützt wird. Wenn eines dieser Kriterien zutrifft, aktivieren Sie die Überprüfung der Hardwarekompatibilität, und stellen Sie dadurch sicher, dass MBAM nur auf Computermodelle angewendet wird, von denen BitLocker unterstützt wird. Wenn BitLocker von allen Computern in Ihrer Organisation unterstützt wird, müssen Sie die Hardwarekompatibilitätsfunktion nicht bereitstellen. Sie können dann für diese Richtlinie Nicht konfiguriert festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Modell des Computers alle 24 Stunden mit der Hardwarekompatibilitätsliste abgeglichen, bevor durch die Richtlinie der BitLocker-Schutz auf einem Laufwerk des Computers aktiviert wird.

Hinweis

Stellen Sie sicher, dass in den Richtlinienoptionen MBAM-Dienst konfigurieren die Einstellung Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware konfiguriert ist, bevor Sie diese Richtlinieneinstellung aktivieren.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, wird das Computermodell nicht mit der Hardwarekompatibilitätsliste abgeglichen.

Richtlinie für Benutzerausnahme konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können.

Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden den Benutzern die Anweisungen zum Beantragen einer Ausnahme nicht angezeigt.

Hinweis

Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim selben Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt.

Richtliniendefinitionen für Festplattenlaufwerke

In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Festplattenlaufwerke beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Lokales Festplattenlaufwerk.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Verschlüsselungseinstellungen für Festplattenlaufwerk	Empfohlene Konfiguration: Aktiviert. Aktivieren Sie zusätzlich das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren, wenn das Betriebssystemvolume verschlüsselt werden muss. Mit dieser Richtlinieneinstellung können Sie festlegen, ob die Festplattenlaufwerke verschlüsselt werden sollen. Deaktivieren Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nicht, wenn Sie diese Richtlinie aktivieren. Wenn das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren aktiviert ist, muss das Betriebssystemvolume verschlüsselt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz stellen, wodurch die Laufwerke verschlüsselt werden. Wenn Sie diese Richtlinie nicht konfigurieren bzw. sie deaktivieren, müssen Benutzer die Festplattenlaufwerke nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie deaktivieren, werden alle verschlüsselten Festplattenlaufwerke vom MBAM-Agent entschlüsselt. Wenn das Verschlüsseln des Betriebssystemvolumes nicht erforderlich ist, deaktivieren Sie das Kontrollkästchen Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren.
Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung wird festgelegt, ob der BitLocker-Schutz für die Festplattenlaufwerke eines Computers erforderlich ist, damit Schreibzugriff besteht. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke des Computers mit Lese-/Schreibberechtigungen eingebunden.
Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 die Festplattenlaufwerke zu entsperren und anzuzeigen, die mit dem FAT-Dateisystem (File Allocation Table) formatiert sind. Diese Betriebssysteme verfügen nur über Leseberechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.
Kennwortverwendung für Festplattenlaufwerke konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Festplattenlaufwerke zu konfigurieren. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden. Aktivieren Sie zum Erhöhen der Sicherheit diese Richtlinie, und wählen Sie Kennwort für Festplattenlaufwerk anfordern sowie Kennwortkomplexität anfordern aus, und legen Sie dann die gewünschte Minimale Kennwortlänge fest.
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Richtliniendefinitionen für Betriebssystemlaufwerke

In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Betriebssystemlaufwerke beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Betriebssystemlaufwerk.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinieneinstellung wird festgelegt, ob das Betriebssystemlaufwerk verschlüsselt wird. Konfigurieren Sie die Richtlinie, um die folgenden Aktionen ausführen: Erzwingen des BitLocker-Schutzes für das Betriebssystemlaufwerk Konfigurieren der PIN-Verwendung für das Verwenden einer Trusted Platform Module-PIN (TPM-PIN) für den Betriebssystemschutz Konfigurieren erweiterter Start-PINs zum Zulassen von Zeichen wie z. B. Groß- und Kleinbuchstaben sowie Zahlen. Die Verwendung von Symbolen und Leerzeichen für erweiterte PINs wird in MBAM nicht unterstützt, auch wenn Symbole und Leerzeichen von BitLocker unterstützt werden. Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk mit BitLocker sichern. Wenn Sie diese Einstellung nicht konfigurieren bzw. sie deaktivieren, müssen Benutzer das Betriebssystemlaufwerk nicht mit BitLocker sichern. Wenn Sie diese Richtlinie deaktivieren, werden verschlüsselte Betriebssystemvolumes vom MBAM-Agent entschlüsselt. Wenn die Richtlinieneinstellung aktiviert ist, müssen Benutzer das Betriebssystem mit BitLocker-Schutz sichern, und das Laufwerk wird verschlüsselt. Je nach Ihren Verschlüsselungsanforderungen können Sie die Schutzmethode für das Betriebssystemlaufwerk auswählen. Verwenden Sie bei erhöhten Sicherheitsanforderungen die Option „TPM und PIN“, lassen Sie erweiterte PINs zu, und legen Sie die Mindestlänge für PINs auf acht Zeichen fest. Wenn diese Richtlinie mit der Schutzvorrichtung „TPM und PIN“ aktiviert ist, können Sie die Deaktivierung der folgenden Richtlinien unter System / Energieverwaltung / Energiesparmoduseinstellungen in Betracht ziehen: Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb) Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb)
TPM-Plattformvalidierungsprofil konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware des Computers gesichert wird. Die Richtlinieneinstellung gilt nicht, wenn der Computer nicht über kompatibles TPM verfügt oder wenn der TPM-Schutz von BitLocker bereits aktiviert ist. Wenn diese Richtlinie nicht konfiguriert ist, wird von TPM das Standard-Plattformvalidierungsprofil bzw. das im Setupskript angegebene Plattformvalidierungsprofil verwendet.
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden	Empfohlene Konfiguration: Nicht konfiguriert Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung wird festgelegt, ob das Betriebssystemlaufwerk verschlüsselt wird.

Konfigurieren Sie die Richtlinie, um die folgenden Aktionen ausführen:

Erzwingen des BitLocker-Schutzes für das Betriebssystemlaufwerk
Konfigurieren der PIN-Verwendung für das Verwenden einer Trusted Platform Module-PIN (TPM-PIN) für den Betriebssystemschutz
Konfigurieren erweiterter Start-PINs zum Zulassen von Zeichen wie z. B. Groß- und Kleinbuchstaben sowie Zahlen. Die Verwendung von Symbolen und Leerzeichen für erweiterte PINs wird in MBAM nicht unterstützt, auch wenn Symbole und Leerzeichen von BitLocker unterstützt werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk mit BitLocker sichern.

Wenn Sie diese Einstellung nicht konfigurieren bzw. sie deaktivieren, müssen Benutzer das Betriebssystemlaufwerk nicht mit BitLocker sichern.

Wenn Sie diese Richtlinie deaktivieren, werden verschlüsselte Betriebssystemvolumes vom MBAM-Agent entschlüsselt.

Wenn die Richtlinieneinstellung aktiviert ist, müssen Benutzer das Betriebssystem mit BitLocker-Schutz sichern, und das Laufwerk wird verschlüsselt. Je nach Ihren Verschlüsselungsanforderungen können Sie die Schutzmethode für das Betriebssystemlaufwerk auswählen.

Verwenden Sie bei erhöhten Sicherheitsanforderungen die Option „TPM und PIN“, lassen Sie erweiterte PINs zu, und legen Sie die Mindestlänge für PINs auf acht Zeichen fest.

Wenn diese Richtlinie mit der Schutzvorrichtung „TPM und PIN“ aktiviert ist, können Sie die Deaktivierung der folgenden Richtlinien unter System / Energieverwaltung / Energiesparmoduseinstellungen in Betracht ziehen:

Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb)
Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb)

TPM-Plattformvalidierungsprofil konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie der BitLocker-Verschlüsselungsschlüssel durch die TPM-Sicherheitshardware des Computers gesichert wird. Die Richtlinieneinstellung gilt nicht, wenn der Computer nicht über kompatibles TPM verfügt oder wenn der TPM-Schutz von BitLocker bereits aktiviert ist.

Wenn diese Richtlinie nicht konfiguriert ist, wird von TPM das Standard-Plattformvalidierungsprofil bzw. das im Setupskript angegebene Plattformvalidierungsprofil verwendet.

Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern.

Wenn diese Richtlinie nicht konfiguriert ist, ist der Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Richtliniendefinitionen für Wechseldatenträger

In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für Wechseldatenträger beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\MDOP MBAM (BitLocker Management) \ Wechseldatenträger.

Richtlinienname	Übersicht und empfohlene Richtlinieneinstellung
Verwendung von BitLocker auf Wechseldatenträgern steuern	Empfohlene Konfiguration: Aktiviert Mit dieser Richtlinie wird die Verwendung von BitLocker auf Wechseldatenträgern gesteuert. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden, um Benutzern das Ausführen des BitLocker-Setup-Assistenten auf einem Wechseldatenträger zu gestatten. Aktivieren Sie die Option Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsseln, um Benutzern das Entfernen der BitLocker-Laufwerkverschlüsselung von dem Laufwerk oder das Anhalten der Verschlüsselung während der Wartung zu gestatten. Wenn diese Richtlinie aktiviert und die Option Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden ausgewählt ist, werden die Wiederherstellungsinformationen für Wechseldatenträger vom MBAM-Client auf dem MBAM-Schlüsselwiederherstellungsserver gespeichert, und Benutzer können das Laufwerk wiederherstellen, wenn das Kennwort verloren gegangen ist.
Schreibberechtigungen für Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um Schreibberechtigungen nur für BitLocker-geschützte Laufwerke zuzulassen. Wenn diese Richtlinie aktiviert ist, ist für alle Wechseldatenträger des Computers Verschlüsselung erforderlich, bevor Schreibberechtigungen zugelassen werden.
Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 die Festplattenlaufwerke zu entsperren und anzuzeigen, die mit dem FAT-Dateisystem formatiert sind. Diese Betriebssysteme verfügen nur über Leseberechtigungen für BitLocker-geschützte Laufwerke. Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.
Kennwortverwendung für Wechseldatenträger konfigurieren	Empfohlene Konfiguration: Nicht konfiguriert Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Wechseldatenträger zu konfigurieren. Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden. Zum Erhöhen der Sicherheit können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern sowie Kennwortkomplexität anfordern auswählen und dann die bevorzugte Minimale Kennwortlänge festlegen.
Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können	Empfohlene Konfiguration: Nicht konfiguriert Sie können diese Richtlinie konfigurieren, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern. Wenn für diese Richtlinie Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zugelassen und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Siehe auch

Andere Ressourcen

Vorbereiten der Umgebung für MBAM 1.0

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----

Share via

Planen der Gruppenrichtlinienanforderungen für MBAM 1.0

Globale Richtliniendefinitionen

Richtliniendefinitionen für die Clientverwaltung

Richtliniendefinitionen für Festplattenlaufwerke

Richtliniendefinitionen für Betriebssystemlaufwerke

Richtliniendefinitionen für Wechseldatenträger

Siehe auch

Andere Ressourcen

Zusätzliche Ressourcen