Planen der Gruppenrichtlinienanforderungen für MBAM 2.5

  • Artikel

Letzte Aktualisierung: August 2015

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Bestimmen Sie anhand der folgenden Informationen die Typen von BitLocker-Schutzvorrichtungen, die Sie verwenden können, um die Microsoft BitLocker Administration and Monitoring (MBAM)-Clientcomputer in Ihrem Unternehmen zu verwalten.

Typen von BitLocker-Schutzvorrichtungen, die MBAM unterstützt

MBAM unterstützt die folgenden Typen von BitLocker-Schutzvorrichtungen.

Typ des Laufwerks Unterstützte BitLocker-Schutzvorrichtungen

Betriebssystemlaufwerke
  • Trusted Platform Module (TPM)

  • TPM und PIN

  • TPM und USB-Schlüssel – Wird nur unterstützt, wenn das Betriebssystemlaufwerk vor der Installation von MBAM verschlüsselt wird.

  • TPM und PIN und USB-Schlüssel – Wird nur unterstützt, wenn das Betriebssystemlaufwerk vor der Installation von MBAM verschlüsselt wird.

  • Kennwort – Wird nur bei Windows To Go-Geräten, Festplattenlaufwerken und Windows 8-, Windows 8.1- und Windows 10-Geräten unterstützt, die nicht über ein TPM verfügen.

  • Numerisches Kennwort – Wird automatisch bei der Laufwerkverschlüsselung angewendet und muss nur im FIPS-Modus auf Windows 7 konfiguriert werden.

  • Datenwiederherstellungs-Agent (Data Recovery Agent, DRA)

Festplattenlaufwerke
  • Kennwort

  • Automatisches Entsperren

  • Numerisches Kennwort – Wird automatisch bei der Laufwerkverschlüsselung angewendet und muss nur im FIPS-Modus auf Windows 7 konfiguriert werden.

  • Datenwiederherstellungs-Agent (Data Recovery Agent, DRA)

Wechseldatenträger
  • Kennwort

  • Automatisches Entsperren

  • Numerisches Kennwort – Wird automatisch bei der Laufwerkverschlüsselung angewendet und muss nicht konfiguriert werden.

  • Datenwiederherstellungs-Agent (Data Recovery Agent, DRA)

Unterstützung der BitLocker-Richtlinie zur Verschlüsselung von verwendetem Speicherplatz

Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.

Diese Gruppenrichtlinieneinstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich unter folgendem GPO-Knoten: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerksverschlüsselung > Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und den Verschlüsselungstyp Nur verwendeten Speicherplatz verschlüsseln auswählen, wird die Richtlinie von MBAM berücksichtigt, und BitLocker verschlüsselt nur Speicherplatz, der auf dem Datenträger verwendet wird.

Abrufen der MBAM-Gruppenrichtlinienvorlagen und Bearbeiten der Einstellungen

Wenn Sie bereit sind, die gewünschten MBAM-Gruppenrichtlinieneinstellungen zu konfigurieren, gehen Sie folgendermaßen vor:

Erforderliche Schritte Wo Sie Anleitungen finden

Kopieren Sie die MBAM-Gruppenrichtlinienvorlagen unter Verwaltungsvorlagen für Microsoft Desktop Optimization Pack 2.0, und installieren Sie sie auf einem Computer, auf dem die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder die Erweiterte Gruppenrichtlinienverwaltung (AGPM) ausgeführt werden kann.

Kopieren der Gruppenrichtlinienvorlagen für MBAM 2.5

Konfigurieren Sie die Gruppenrichtlinieneinstellungen, die Sie in Ihrem Unternehmen verwenden möchten.

Bearbeiten der Gruppenrichtlinieneinstellungen für MBAM 2.5

Beschreibungen der MBAM-Gruppenrichtlinieneinstellungen

Der GPO-Knoten MDOP MBAM (BitLocker Management) enthält vier globale Richtlinieneinstellungen und vier untergeordnete GPO-Knoten: Clientverwaltung, Lokales Festplattenlaufwerk, Betriebssystemlaufwerk und Wechseldatenträger. In den folgenden Abschnitten werden mögliche Werte für die MBAM-Gruppenrichtlinieneinstellungen erläutert und empfohlen.

Wichtig

Ändern Sie die Gruppenrichtlinieneinstellungen im Knoten BitLocker-Laufwerkverschlüsselung nicht, da MBAM andernfalls nicht einwandfrei funktioniert. MBAM konfiguriert die Einstellungen in diesem Knoten automatisch, wenn Sie die Einstellungen im Knoten MDOP MBAM (BitLocker Management) konfigurieren.

Globale Gruppenrichtliniendefinitionen

In diesem Abschnitt werden die globalen MBAM-Gruppenrichtliniendefinitionen beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management).

Richtlinienname Übersicht und empfohlene Gruppenrichtlinieneinstellungen

Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen

Empfohlene Konfiguration: Aktiviert

Konfigurieren Sie diese Richtlinie, um eine bestimmte Verschlüsselungsmethode und Verschlüsselungsstärke zu verwenden.

Wenn diese Richtlinie nicht konfiguriert ist, verwendet BitLocker die Standardverschlüsselungsmethode: AES 128 Bit mit Diffuser.

Hinweis

Aufgrund eines Problems mit dem Bericht „BitLocker - Computerkonformität“ wird „Unbekannt“ als Wert für die Verschlüsselungsstärke angezeigt, auch wenn Sie den Standardwert verwenden. Aktivieren Sie als Behelfslösung für dieses Problem diese Einstellung, und legen Sie einen Wert für die Verschlüsselungsstärke fest.

  • AES 128 Bit mit Diffuser – nur für Windows 7

  • AES 128 für Windows 8, Windows 8.1 und Windows 10

Überschreiben des Arbeitsspeichers beim Neustart verhindern

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um die Leistung beim Neustart zu erhöhen, indem geheime BitLocker-Informationen im Arbeitsspeicher beim Neustart nicht überschrieben werden.

Wenn diese Richtlinie nicht konfiguriert ist, werden geheime BitLocker-Informationen aus dem Arbeitsspeicher entfernt, wenn der Computer neu gestartet wird.

Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Schutz mit Smartcard-Zertifikat zu verwenden.

Wenn diese Richtlinie nicht konfiguriert ist, wird für das Angeben eines Zertifikats die Standard-Objekt-ID „1.3.6.1.4.1.311.67.1.1“ verwendet.

Eindeutige IDs für Ihre Organisation angeben

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um einen zertifikatbasierten Datenwiederherstellungs-Agent oder das BitLocker To Go-Lesetool zu verwenden.

Wenn diese Richtlinie nicht konfiguriert ist, wird das Feld ID nicht verwendet.

Wenn für Ihr Unternehmen erhöhte Sicherheitsmaßnahmen erforderlich sind, können Sie das Feld ID konfigurieren und sicherstellen, dass es für alle USB-Geräte festgelegt ist und diese an der Gruppenrichtlinieneinstellung ausgerichtet sind.

Gruppenrichtliniendefinitionen für die Clientverwaltung

In diesem Abschnitt werden die MBAM-Richtliniendefinitionen für die Clientverwaltung beschrieben, die sich unter dem folgenden GPO-Knoten befinden: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management) > Clientverwaltung.

Für die eigenständige und die System Center Configuration Manager-Integrationstopologie können Sie bis auf eine Ausnahme die gleichen Gruppenrichtlinieneinstellungen verwenden: Deaktivieren Sie wie in der folgenden Tabelle angegeben die Einstellung MBAM-Dienste konfigurieren > Endpunkt des Berichtsdiensts für den MBAM-Status, wenn Sie die Configuration Manager-Integrationstopologie verwenden.

Richtlinienname Übersicht und empfohlene Gruppenrichtlinieneinstellungen

MBAM-Dienst konfigurieren

Empfohlene Konfiguration: Aktiviert

  • Endpunkt des MBAM-Diensts für Wiederherstellung und Hardware: Verwenden Sie diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung. Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt: http(s)://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Wählen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus: Mit dieser Richtlinieneinstellung können Sie den Schlüsselwiederherstellungsdienst für das Sichern der BitLocker-Wiederherstellungsinformationen konfigurieren. Außerdem können Sie einen Statusberichtsdienst für das Sammeln von Berichten konfigurieren. Durch die Richtlinie wird eine Verwaltungsmethode zum Wiederherstellen von BitLocker-verschlüsselten Daten bereitgestellt, um Datenverluste aufgrund von fehlenden Schlüsselinformationen zu vermeiden. Die Statusberichts- und Schlüsselwiederherstellungsaktivitäten werden automatisch im Hintergrund an den konfigurierten Berichtsserver gemeldet.

    Wenn Sie diese Richtlinieneinstellung nicht konfigurieren bzw. sie deaktivieren, werden die Schlüsselwiederherstellungsinformationen nicht gesichert und die Statusberichts- und Schlüsselwiederherstellungsaktivitäten nicht an den Server gemeldet. Wenn für diese Einstellung Wiederherstellungskennwort und Schlüsselpaket festgelegt ist, werden das Wiederherstellungskennwort und das Schlüsselpaket automatisch im Hintergrund auf dem konfigurierten Schlüsselwiederherstellungsserver gesichert.

  • Geben Sie die Frequenz der Statusüberprüfung durch den Client (in Minuten) ein: Mit dieser Richtlinieneinstellung wird die Häufigkeit verwaltet, mit der Überprüfungen der BitLocker-Schutzrichtlinien und des Status auf dem Clientcomputer durchgeführt werden. Mit dieser Richtlinie wird auch verwaltet, wie oft der Konformitätsstatus des Clients auf dem Server gespeichert wird. Vom Client werden mit der konfigurierten Frequenz die BitLocker-Schutzrichtlinien und der Status auf dem Clientcomputer überprüft sowie der Clientwiederherstellungsschlüssel gesichert.

    Legen Sie die Frequenz gemäß den Anforderungen fest, die in Ihrem Unternehmen für die Häufigkeit von Konformitätsstatusüberprüfungen bei Computern und die Häufigkeit der Sicherungen von Clientwiederherstellungsschlüsseln gelten.

  • MBAM Endpunkt des Berichtsdiensts für den -Status:

    Für MBAM in einer eigenständigen Topologie: Sie müssen diese Einstellung zum Aktivieren der MBAM-Verwaltung der BitLocker-Clientverschlüsselung konfigurieren.

    Geben Sie eine Endpunktposition ein, die dem folgenden Beispiel ähnelt:

    http(s)://<Name des MBAM Administration and Monitoring-Servers>:<Port des Webdiensts>/MBAMComplianceStatusService/StatusReportingService.svc.

    Für MBAM in der Configuration Manager-Integrationstopologie: Deaktivieren Sie diese Einstellung.

Richtlinie für Benutzerausnahme konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie eine Websiteadresse, eine E-Mail-Adresse oder eine Telefonnummer für die Anweisungen konfigurieren, nach denen Benutzer eine Ausnahme von der BitLocker-Verschlüsselung anfordern können.

Wenn Sie diese Richtlinieneinstellung aktivieren und eine Websiteadresse, E-Mail-Adresse oder Telefonnummer angeben, wird den Benutzern ein Dialogfeld mit Anweisungen angezeigt, nach denen sie eine Ausnahme vom BitLocker-Schutz beantragen können. Weitere Informationen zum Aktivieren von Ausnahmen von der BitLocker-Verschlüsselung für Benutzer finden Sie unter Vorgehensweise beim Verwalten von BitLocker-Verschlüsselungsausnahmen für Benutzer.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren oder deaktivieren, werden den Benutzern die Anweisungen nicht angezeigt.

Hinweis

Benutzerausnahmen werden benutzergebunden und nicht computergebunden verwaltet. Wenn sich mehrere Benutzer beim gleichen Computer anmelden und für einen dieser Benutzer keine Ausnahme besteht, wird der Computer verschlüsselt.

Konfigurieren des Programms zur Verbesserung der Benutzerfreundlichkeit

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie MBAM-Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten können. Mit diesem Programm werden Informationen zur Computerhardware und zur Verwendung von MBAM gesammelt, ohne die Arbeit der Benutzer zu unterbrechen. Mithilfe der Information kann Microsoft identifizieren, welche MBAM-Funktionen verbessert werden sollten. Microsoft verwendet diese Informationen nicht dazu, MBAM-Benutzer zu identifizieren oder zu kontaktieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit nicht beitreten.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer dem Programm zur Verbesserung der Benutzerfreundlichkeit beitreten.

Provide the URL for the Security Policy link

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um einen URL anzugeben, der den Endbenutzern als Link mit dem Namen „Sicherheitsrichtlinie des Unternehmens“ angezeigt wird. Der Link verweist auf die interne Sicherheitsrichtlinie Ihres Unternehmens und gibt den Endbenutzern Informationen über Verschlüsselungsanforderungen. Der Link wird angezeigt, wenn die Benutzer von MBAM aufgefordert werden, ein Laufwerk zu verschlüsseln.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie den URL für den Sicherheitsrichtlinien-Link konfigurieren.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Link den Benutzern nicht angezeigt.

Gruppenrichtliniendefinitionen für Festplattenlaufwerke

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für Festplattenlaufwerke beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management) > Lokales Festplattenlaufwerk.

Richtlinienname Übersicht und empfohlene Gruppenrichtlinieneinstellungen

Verschlüsselungseinstellungen für Festplattenlaufwerk

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie steuern, ob Festplattenlaufwerke verschlüsselt werden müssen.

Wenn ein Verschlüsseln des Betriebssystemlaufwerks erforderlich ist, klicken Sie auf Automatische Aufhebung der Sperre für Festplattenlaufwerk aktivieren.

Wenn Sie diese Richtlinie aktivieren, dürfen Sie die Richtlinie Kennwortverwendung für Festplattenlaufwerke konfigurieren nur dann deaktivieren, wenn die Verwendung der automatischen Entsperrung für Festplattenlaufwerke gestattet oder erforderlich ist.

Ist die Verwendung der automatischen Entsperrung für Festplattenlaufwerke erforderlich, müssen Sie Betriebssystemlaufwerke so konfigurieren, dass sie verschlüsselt werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer alle Festplattenlaufwerke unter BitLocker-Schutz stellen, wodurch die Laufwerke verschlüsselt werden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, müssen Benutzer die Festplattenlaufwerke nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie nach dem Verschlüsseln von Festplattenlaufwerken anwenden, werden die verschlüsselten Festplattenlaufwerke vom MBAM-Agenten entschlüsselt.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz stellen.

Verweigern des Schreibzugriffs auf Festplatten, die nicht von BitLocker geschützt werden

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung wird festgelegt, ob der BitLocker-Schutz für die Festplattenlaufwerke eines Computers erforderlich ist, damit Schreibzugriff besteht. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wenn die Richtlinie nicht konfiguriert ist, werden alle Festplattenlaufwerke des Computers mit Lese-/Schreibberechtigung eingebunden.

Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, damit Laufwerke mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden können.

Wenn die Richtlinie aktiviert oder nicht konfiguriert ist, können Festplattenlaufwerke mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme verfügen nur über Leseberechtigung für BitLocker-geschützte Laufwerke.

Wenn die Richtlinie deaktiviert ist, können Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.

Kennwortverwendung für Festplattenlaufwerke konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinie, um anzugeben, ob zum Entschlüsseln BitLocker-geschützter Festplattenlaufwerke ein Kennwort erforderlich sein soll.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das den von Ihnen definierten Anforderungen entspricht. BitLocker gibt den Benutzern die Möglichkeit, ein Laufwerk mit den auf dem Laufwerk verfügbaren Schutzvorrichtungen zu entschlüsseln.

Diese Einstellungen werden beim Aktivieren von BitLocker erzwungen, nicht beim Entschlüsseln eines Laufwerks.

Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.

Wenn die Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen hinsichtlich der Kennwortkomplexität bestehen.

Aktivieren Sie zum Erhöhen der Sicherheit diese Richtlinie, und wählen Sie Kennwort für Festplattenlaufwerk anfordern aus, klicken Sie auf Kennwortkomplexität anfordern, und legen Sie dann die gewünschte Minimale Kennwortlänge fest.

Wenn Sie diese Richtlinieneinstellung deaktivieren, dürfen Benutzer kein Kennwort verwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen hinsichtlich der Kennwortkomplexität bestehen.

Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern.

Wenn diese Richtlinie nicht konfiguriert ist, ist der BitLocker-Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Einstellungen für die Erzwingung der Verschlüsselungsrichtlinie

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um zu konfigurieren, für wie viele Tage Festplattenlaufwerke nicht konform bleiben können, bis ihre Konformität mit MBAM-Richtlinien erzwungen wird. Nach der Toleranzperiode können die Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme davon anfordern. Die Toleranzperiode beginnt, wenn die Nichtkonformität des Festplattenlaufwerks festgestellt wurde. Die Richtlinie für Festplattenlaufwerke wird jedoch erst erzwungen, wenn das Betriebssystemlaufwerk konform ist.

Wenn die Toleranzperiode verstrichen ist und das Festplattenlaufwerk noch immer nicht konform ist, haben die Benutzer nicht die Option, eine Aktion zu verschieben oder eine Ausnahme anzufordern. Wenn der Verschlüsselungsprozess eine Benutzereingabe verlangt, wird ein Dialogfeld angezeigt, dass erst nach Eingabe der erforderlichen Informationen geschlossen werden kann.

Geben Sie 0 unter Länge der Toleranzperiode für lokale Festplattenlaufwerke (in Tagen) bei Nichtkompatibilität konfigurieren ein, um den Beginn des Verschlüsselungsprozesses unmittelbar nach Ablauf der Toleranzperiode für das Betriebssystemlaufwerk zu erzwingen.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden die Benutzer nicht gezwungen, die MBAM-Richtlinien einzuhalten.

Wenn keine Benutzerinteraktion erforderlich ist, um eine Schutzvorrichtung hinzuzufügen, beginnt die Verschlüsselung nach Ablauf der Toleranzperiode im Hintergrund.

Gruppenrichtliniendefinitionen für Betriebssystemlaufwerke

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Richtliniendefinitionen für Betriebssystemlaufwerke beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management) > Betriebssystemlaufwerk.

Richtlinienname Übersicht und empfohlene Gruppenrichtlinieneinstellungen

Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinieneinstellung können Sie steuern, ob das Betriebssystemlaufwerk verschlüsselt werden muss.

Erwägen Sie, die folgenden Richtlinieneinstellungen unter System > Energieverwaltung > Energiesparmoduseinstellungen aus Sicherheitsgründen zu deaktivieren, sofern Sie sie mit der Schutzvorrichtung TPM und PIN aktivieren:

  • Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Netzbetrieb)

  • Verschiedene Statusoptionen (S1-S3) beim Wechsel in den Energiesparmodus zulassen (Akkubetrieb)

Wenn Sie Microsoft Windows 8 oder neuer verwenden, und Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist zum Starten ein Kennwort erforderlich. Wenn Sie das Kennwort vergessen, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit kompatiblem TPM können zwei Typen von Authentifizierungsmethoden beim Start verwendet werden, um verschlüsselte Daten zusätzlich zu schützen. Beim Computerstart kann nur das TPM zur Authentifizierung verwendet werden, oder es kann zusätzlich die Eingabe einer persönlichen Identifikationsnummer (PIN) erforderlich sein.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz stellen, wodurch das Laufwerk verschlüsselt wird.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz stellen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, wird das Laufwerk entschlüsselt.

Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht unter BitLocker-Schutz gestellt werden.

Erweiterte PINs für Systemstart zulassen

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um zu konfigurieren, ob mit BitLocker erweiterte PINs für den Systemstart verwendet werden. Erweiterte PINs für den Systemstart gestatten die Verwendung von Zeichen wie z. B. Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, hat der Benutzer bei allen neu festgelegten BitLocker-PINs für den Systemstart die Möglichkeit, erweiterte PINs zu erstellen. Erweiterte PINs werden in der Pre-Boot-Umgebung jedoch nicht von allen Computern unterstützt. Wir empfehlen Administratoren dringend zu prüfen, ob ihre Systeme mit dieser Funktion kompatibel sind, bevor sie deren Einsatz aktivieren.

Aktivieren Sie das Kontrollkästchen Require ASCII-only PINs, damit erweiterte PINs kompatibler mit Computern sind, die Art und Anzahl der Zeichen begrenzen, die in der Pre-Boot-Umgebung eingegeben werden können.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden erweiterte PINs nicht verwendet.

Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern.

Wenn Sie diese Richtlinie nicht konfigurieren, ist der Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Kennwortverwendung für Betriebssystemlaufwerke konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um die Einschränkungen für Kennwörter festzulegen, die zum Entschlüsseln von Betriebssystemlaufwerken mit BitLocker-Schutz verwendet werden. Wenn auf Betriebssystemlaufwerken Nicht-TPM-Schutzvorrichtungen zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsvoraussetzungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Damit die festgelegte Komplexitätsanforderung wirksam ist, müssen Sie auch die Gruppenrichtlinieneinstellung „Kennwort muss Komplexitätsvoraussetzungen entsprechen“ unter Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie aktivieren.

Hinweis

Diese Einstellungen werden beim Aktivieren von BitLocker erzwungen, nicht beim Entschlüsseln eines Laufwerks. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entschlüsseln.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das den von Ihnen definierten Anforderungen entspricht. Um Komplexitätsvoraussetzungen für ein Kennwort zu erzwingen, klicken Sie auf Kennwortkomplexität anfordern.

TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung konfigurieren Sie, wie die Trusted Platform Modul (TPM)-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Die Richtlinieneinstellung gilt nicht, wenn der Computer über kein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig

Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware, auf denen ein Compatibility Service Module (CSM) aktiviert ist. Auf Computern mit systemeigener UEFI-Firmwarekonfiguration werden verschiedene Werte in den Plattformkonfigurationsregistern (PCRs) gespeichert. Verwenden Sie die Gruppenrichtlinieneinstellung „TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren“, um das TPM-PCR-Profil für Computer zu konfigurieren, auf denen systemeigene UEFI-Firmware verwendet wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor BitLocker eingeschaltet wird, können Sie die Boot-Komponenten konfigurieren, die vom TPM validiert werden, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk freigeben. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiv ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Auf dem Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt, und Sie müssen entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel eingeben, um das Laufwerk zu entschlüsseln.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das im Setupskript angegebene Plattformvalidierungsprofil.

TPM-Plattformvalidierungsprofil konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung konfigurieren Sie, wie die Trusted Platform Modul (TPM)-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Die Richtlinieneinstellung gilt nicht, wenn der Computer über kein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor BitLocker eingeschaltet wird, können Sie die Boot-Komponenten konfigurieren, die vom TPM validiert werden, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk freigeben. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiv ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Auf dem Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt, und Sie müssen entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel eingeben, um das Laufwerk zu entschlüsseln.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das im Setupskript angegebene Plattformvalidierungsprofil.

TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung konfigurieren Sie, wie die Trusted Platform Modul (TPM)-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt. Die Richtlinieneinstellung gilt nicht, wenn der Computer über kein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig

Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit systemeigener UEFI-Firmwarekonfiguration.

Wenn Sie diese Richtlinieneinstellung aktivieren, bevor BitLocker eingeschaltet wird, können Sie die Boot-Komponenten konfigurieren, die vom TPM validiert werden, bevor Sie den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk freigeben. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiv ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Auf dem Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt, und Sie müssen entweder das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel eingeben, um das Laufwerk zu entschlüsseln.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das im Setupskript angegebene Plattformvalidierungsprofil.

Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzen

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Richtlinieneinstellung, um festzulegen, ob Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden Plattformvalidierungsdaten aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Plattformvalidierungsdaten nicht aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Plattformvalidierungsdaten aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden

Empfohlene Konfiguration: Nicht konfiguriert

Mit dieser Richtlinieneinstellung können Sie während der Plattformvalidierung bestimmte Startkonfigurationsdaten-Einstellungen wählen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie zusätzliche Einstellungen hinzufügen, die Standardeinstellungen entfernen oder beides. Wenn Sie diese Richtlinieneinstellung deaktivieren, verwendet der Computer ein Startkonfigurationsdaten-Profil ähnlich dem von Windows 7 verwendeten standardmäßigen Startkonfigurationsdaten-Profil. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verifiziert der Computer die Standardeinstellungen von Windows für die Startkonfigurationsdaten.

Hinweis

Wenn BitLocker „Sicherer Start“ zur Validierung der Integrität von Plattform und Startkonfigurationsdaten entsprechend der Richtlinie „Allow Secure Boot for integrity validation“ verwendet, wird die Richtlinie „Use enhanced Boot Configuration Daten validation profile“ ignoriert.

Die Einstellung, die den Startdebugger steuert (0x16000010) steuert, wird stets validiert und ist unwirksam, wenn sie in den bereitgestellten Feldern enthalten ist.

Einstellungen für die Erzwingung der Verschlüsselungsrichtlinie

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Richtlinieneinstellung, um die Anzahl der Tage zu konfigurieren, um die die Benutzer die Einhaltung von MBAM-Richtlinien für das Betriebssystemlaufwerk verschieben können. Die Toleranzperiode beginnt, wenn das Betriebssystem erstmals als nicht konform erkannt wird. Nach Ablauf dieser Toleranzperiode können die Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme davon anfordern.

Wenn der Verschlüsselungsprozess eine Benutzereingabe verlangt, wird ein Dialogfeld angezeigt, dass erst nach Eingabe der erforderlichen Informationen geschlossen werden kann.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden die Benutzer nicht gezwungen, die MBAM-Richtlinien einzuhalten.

Wenn keine Benutzerinteraktion erforderlich ist, um eine Schutzvorrichtung hinzuzufügen, beginnt die Verschlüsselung nach Ablauf der Toleranzperiode im Hintergrund.

Meldung und URL für die Pre-Boot-Wiederherstellung konfigurieren

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinieneinstellung, um eine benutzerdefinierte Wiederherstellungsmeldung zu konfigurieren oder eine URL anzugeben, die dann auf dem Pre-Boot-BitLocker-Wiederherstellungsbildschirm angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern mit Windows 10 verfügbar.

Wenn diese Richtlinie aktiviert ist, können Sie eine der folgenden Optionen für die Pre-Boot-Wiederherstellungsmeldung auswählen:

  • Benutzerdefinierte Wiederherstellungsmeldung verwenden: Wählen Sie diese Option, um eine benutzerdefinierte Meldung auf dem Pre-Boot-BitLocker-Wiederherstellungsbildschirm anzuzeigen. Geben Sie im Feld Option für benutzerdefinierte Wiederherstellungsmeldung die anzuzeigende Meldung ein. Wenn Sie außerdem eine Wiederherstellungs-URL angeben möchten, schließen Sie diese als Teil der benutzerdefinierten Wiederherstellungsmeldung ein.

  • Benutzerdefinierte Wiederherstellungs-URL verwenden: Wählen Sie diese Option, um die Standard-URL zu ersetzen, die auf dem Pre-Boot-BitLocker-Wiederherstellungbildschirm angezeigt wird. Geben Sie im Feld Option für benutzerdefinierte Wiederherstellungs-URL die anzuzeigende URL ein.

  • Standard-Wiederherstellungsmeldung und -URL verwenden: Wählen Sie diese Option, um die standardmäßige BitLocker-Wiederherstellungsmeldung und -URL auf dem Pre-Boot-BitLocker-Wiederherstellungsbildschirm anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsmeldung oder -URL konfiguriert haben und zur Standardmeldung zurückkehren möchten, müssen Sie diese Richtlinie aktivieren und die Option Standard-Wiederherstellungsmeldung und -URL verwenden auswählen.

Hinweis

Nicht alle Zeichen und Sprachen werden im Pre-Boot-Modus unterstützt. Es wird empfohlen, die für die benutzerdefinierte Meldung oder URL verwendeten Zeichen zu testen, damit sie auf dem Pre-Boot-BitLocker-Wiederherstellungsbildschirm ordnungsgemäß angezeigt werden.

Gruppenrichtliniendefinitionen für Wechseldatenträger

In diesem Abschnitt werden die Microsoft BitLocker Administration and Monitoring-Gruppenrichtliniendefinitionen für Wechseldatenträger beschrieben, die sich unter folgendem GPO-Knoten befinden: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM (BitLocker Management) > Wechseldatenträger.

Richtlinienname Übersicht und empfohlene Gruppenrichtlinieneinstellungen

Steuern der Verwendung von BitLocker auf Wechseldatenträgern

Empfohlene Konfiguration: Aktiviert

Mit dieser Richtlinie wird die Verwendung von BitLocker auf Wechseldatenträgern gesteuert.

Klicken Sie auf Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden, um Benutzern das Ausführen des BitLocker-Setup-Assistenten auf einem Wechseldatenträger zu gestatten.

Klicken Sie auf Benutzer können BitLocker-Schutz auf Wechseldatenträgern anhalten und entschlüsseln, um Benutzern das Entfernen der BitLocker-Laufwerkverschlüsselung von dem Laufwerk oder das Anhalten der Verschlüsselung während der Wartung zu gestatten.

Wenn Sie diese Richtlinie aktivieren und Sie auf Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden klicken, werden die Wiederherstellungsinformationen für Wechseldatenträger vom MBAM-Client auf dem MBAM-Schlüsselwiederherstellungsserver gespeichert, und bei Verlust des Kennworts können Benutzer das Laufwerk wiederherstellen.

Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht von BitLocker geschützt werden

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, um auf BitLocker-geschützten Laufwerken nur die Schreibberechtigung zuzulassen.

Wenn Sie diese Richtlinie aktivieren, ist bei allen Wechseldatenträgern des Computers eine Verschlüsselung erforderlich, bevor eine Schreibberechtigung gewährt wird.

Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, damit Festplattenlaufwerke mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden können.

Wenn diese Richtlinie nicht konfiguriert ist, können Wechseldatenträger mit dem FAT-Dateisystem auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme verfügen nur über Leseberechtigung für BitLocker-geschützte Laufwerke.

Wenn die Richtlinie deaktiviert ist, können Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP SP2 nicht entsperrt und ihre Inhalte nicht angezeigt werden.

Konfigurieren der Kennwortverwendung für Wechseldatenträger

Empfohlene Konfiguration: Nicht konfiguriert

Aktivieren Sie diese Richtlinie, um den Kennwortschutz für Wechseldatenträger zu konfigurieren.

Wenn diese Richtlinie nicht konfiguriert ist, werden Kennwörter mit den Standardeinstellungen unterstützt. Dies bedeutet, dass nur acht Zeichen erforderlich sind und keine Anforderungen an die Kennwortkomplexität gestellt werden.

Zum Erhöhen der Sicherheit können Sie diese Richtlinie aktivieren und Kennwort für Wechseldatenträger anfordern auswählen, auf Kennwortkomplexität anfordern klicken und dann die bevorzugte Minimale Kennwortlänge festlegen.

Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um den BitLocker-Datenwiederherstellungs-Agent zu aktivieren oder um die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) zu speichern.

Wenn für diese Richtlinie Nicht konfiguriert festgelegt ist, ist der Datenwiederherstellungs-Agent zugelassen, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Für den Betrieb von MBAM ist das Sichern der Wiederherstellungsinformationen in AD DS nicht erforderlich.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Weitere Ressourcen

Vorbereiten der Umgebung für MBAM 2.5
Bereitstellungsvoraussetzungen für MBAM 2.5