Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

BitLocker-Gruppenrichtlinien

 

Betrifft: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dieses Referenzthema für IT-Experten beschreibt die Funktion, den Speicherort und die Auswirkung jeder Gruppenrichtlinien-Einstellung, die zum Verwalten von BitLocker Drive Encryption verwendet wird.

Steuern, welche Laufwerk Verschlüsselung-Aufgaben der Benutzer, in der Windows-Systemsteuerung ausführen kann oder andere Konfigurationsoptionen ändern, können Sie administrative Vorlagen für Gruppenrichtlinien oder Richtlinien des lokalen Computers verwenden. Wie Sie mit diesen Richtlinien konfigurieren, hängt davon ab zum Implementieren von BitLocker und welche Ebene der Benutzerinteraktion möglich ist.

System_CAPS_noteHinweis

Ein separater Satz von Gruppenrichtlinien unterstützt die Verwendung von Trusted Platform Module (TPM). Weitere Informationen zu diesen Einstellungen finden Sie unter Trusted Platform Modul Services-Gruppenrichtlinieneinstellungen.

BitLocker-Gruppenrichtlinien können zugegriffen werden, mit dem Editor für lokale Gruppenrichtlinien und die Gruppe Gruppenrichtlinien-Verwaltungskonsole (GPMC) unter Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung.

Die meisten der BitLocker-Gruppenrichtlinien-Einstellungen werden angewendet, wenn BitLocker ursprünglich für ein Laufwerk aktiviert ist. Wenn ein Computer nicht mit vorhandenen Gruppenrichtlinien kompatibel ist, BitLocker nicht aktiviert bzw. geändert werden, bis der Computer in einen kompatiblen Zustand befindet. Wenn ein Laufwerk ist nicht kompatibel mit Gruppenrichtlinien (beispielsweise, wenn nach der ersten Bereitstellung von BitLocker in Ihrer Organisation eine Gruppenrichtlinie geändert wurde, und klicken Sie dann die Einstellung auf zuvor verschlüsselte Laufwerke angewendet wurde), kann keine Änderung der BitLocker-Konfiguration dieses Laufwerks mit Ausnahme einer Änderung hergestellt werden, die es konform ist.

Wenn mehrere Änderungen für das Laufwerk konform erforderlich sind, müssen Sie Anhalten von BitLocker-Schutz, ändern und erst dann fortgesetzt, Schutz. Diese Situation kann z. B. auftreten, wenn ein Wechsellaufwerk wurde ursprünglich konfiguriert mit einem Kennwort aufgehoben werden, und klicken Sie dann Gruppenrichtlinien geändert sind, um Kennwörter unterbinden und Smartcards erforderlich. In dieser Situation müssen Sie Anhalten von BitLocker-Schutz mithilfe der Manage-Bde Befehlszeilenprogramm, löschen Sie das Kennwort unlock-Methode, und fügen die Smartcard-Methode. Nachdem dies abgeschlossen ist, BitLocker ist kompatibel mit der Gruppenrichtlinien-Einstellung und der BitLocker-Schutz auf dem Laufwerk wieder aufgenommen werden kann.

Die folgenden Abschnitte enthalten eine umfassende Liste der BitLocker-Gruppenrichtlinien-Einstellungen, die durch Verwendung organisiert sind. BitLocker-Gruppenrichtlinien Einstellungen umfassen auch bestimmte Laufwerkstypen (Betriebssystemlaufwerken, eingebauten Datenlaufwerken und Wechseldatenträgern) und Einstellungen, die auf alle Laufwerke angewendet werden.

Die folgenden Richtlinien können verwendet werden, um zu bestimmen, wie ein mit BitLocker geschütztes Laufwerk entsperrt werden kann.

Die folgenden Richtlinien werden zum Steuern, wie Benutzer Laufwerke zugreifen können und wie sie BitLocker auf ihren Computern verwenden können.

Die folgenden Richtlinien bestimmen Verschlüsselungsmethoden und Verschlüsselungstypen, die mit BitLocker verwendet werden.

Die folgenden Richtlinien definieren Sie die Recovery-Methoden, die verwendet werden können, um den Zugriff auf ein mit BitLocker geschütztes Laufwerk wiederherzustellen, wenn eine Authentifizierungsmethode fehlschlägt oder kann nicht verwendet werden.

Die folgenden Richtlinien werden verwendet, um benutzerdefinierte Bereitstellungsszenarien in Ihrer Organisation unterstützen.

Diese Richtlinie steuert einen Teil des Verhaltens der Funktion BitLocker-Netzwerkentsperrung. Diese Richtlinie ist erforderlich, um die BitLocker-Netzwerkentsperrung in einem Netzwerk aktiviert werden, da Clients, auf denen BitLocker notwendigen Schlüsselschutzvorrichtung, die bei der Verschlüsselung erstellen können. Diese Richtlinie wird neben der Sicherheitsrichtlinie BitLocker Drive Encryption-Netzwerkentsperrungs-Zertifikats verwendet (befindet sich der Richtlinien öffentlicher Schlüssel Ordner Richtlinien für Lokaler Computer) zu Systemen, die mit einem vertrauenswürdigen Netzwerk ordnungsgemäß der netzwerkentsperrung nutzen verbunden sind.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, ob ein BitLocker-geschützte Computer, der mit einem vertrauenswürdigen lokalen Netzwerk verbunden und Mitglied einer Domäne kann auf erstellen und Netzwerk Schlüsselschutzvorrichtungen TPM-fähige Computer automatisch das Betriebssystemlaufwerk entsperrt, wenn der Computer gestartet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Clients mit einem Zertifikat BitLocker-Netzwerkentsperrung konfiguriert können erstellen und Verwenden von Netzwerk-Schlüsselschutzvorrichtungen.

Wenn deaktiviert oder nicht konfiguriert

Clients können nicht erstellen und Verwenden von Netzwerk-Schlüsselschutzvorrichtungen

Verweis

Um einen Schlüsselprotektor Netzwerk zu verwenden, um den Computer, den Computer und dem Server, BitLocker Drive Encryption-Netzwerkentsperrung hostet entsperren müssen mit einer netzwerkentsperrungszertifikat bereitgestellt werden. Das netzwerkentsperrungszertifikat dient zum Erstellen eines Netzwerks Schlüsselschutzvorrichtung und den Austausch von Informationen mit dem Server zum Entsperren des Computers zu schützen. Sie können die Gruppenrichtlinie verwenden Computer Configuration\Windows Settings\Security Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel Policies\BitLocker Laufwerk Netzwerk entsperren Verschlüsselungszertifikat auf dem Domänencontroller, um dieses Zertifikat auf Computern in Ihrer Organisation zu verteilen. Hierdurch entsperrt-Methode verwendet das TPM auf dem Computer, daher können Computer ohne ein TPM Netzwerk Schlüsselschutzvorrichtungen automatisch entsperrt wird mithilfe der Netzwerkentsperrung erstellen.

System_CAPS_noteHinweis

Für Zuverlässigkeit und Sicherheit auf Computern sollte auch einen TPM-Start-PIN, die verwendet werden kann, wenn der Computer aus dem Netzwerk verbunden ist oder keine Verbindung mit dem Domänencontroller beim Start herstellen.

Weitere Informationen über die Netzwerkentsperrung finden Sie unter BitLocker: Vorgehensweise: Aktivieren der Netzwerkentsperrung.

Diese Einstellung wird verwendet, um steuern, welche Optionen zu entsperren für Betriebssystemlaufwerke verfügbar sind.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob BitLocker zusätzlichen Authentifizierung jedes Mal muss der Computer gestartet wird und ob Sie BitLocker mit einem Trusted Platform Module (TPM) verwenden. Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Wenn eine Authentifizierungsmethode erforderlich ist, können keine anderen Methoden zulässig.

Verwendung von BitLocker mit einem TPM-Systemstartschlüssel oder einen Systemstartschlüssel TPM und PIN muss nicht zugelassen werden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

Wenn diese Option aktiviert

Benutzer können erweiterte Startoptionen in der BitLocker-Setup-Assistenten konfigurieren.

Wenn deaktiviert oder nicht konfiguriert

Benutzer können nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.

Nur eine der Optionen zusätzliche Authentifizierung sein beim Start erforderlich; andernfalls tritt ein Fehler auf.

Verweis

Wenn Sie BitLocker auf einem Computer ohne TPM verwenden möchten, wählen Sie die BitLocker ohne kompatibles TPM zulassen das Kontrollkästchen. In diesem Modus ist ein USB-Laufwerk für den Start erforderlich. Wichtige Informationen, die zum Verschlüsseln des Laufwerks verwendet werden auf dem USB-Laufwerk gespeichert, der einen USB-Schlüssel erstellt. Wenn der USB-Schlüssel eingefügt wird, Zugriff auf das Laufwerk wird authentifiziert, und das Laufwerk verfügbar ist. Wenn der USB-Schlüssel verloren gehen oder nicht verfügbar ist, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um das Laufwerk zuzugreifen.

Bereitstellen zusätzlichen Schutz für verschlüsselte Daten können auf einem Computer mit einem kompatiblen TPM vier Typen von Authentifizierungsmethoden beim Start verwendet werden. Wenn der Computer gestartet wird, kann verwendet werden:

  • nur das TPM für die Authentifizierung

  • Einfügen eines USB-Flashlaufwerk mit dem Systemstartschlüssel

  • die Eingabe eine 4-Ziffer bis 20 Ziffern Geheimzahl (PIN)

  • eine Kombination von PIN und USB-Speicherstick

Es gibt vier Optionen für die TPM-fähigen Computern oder Geräten:

  • Konfigurieren Sie die TPM-Start

    • Zulassen von TPM

    • TPM ist

    • TPM nicht zulassen

  • Konfigurieren Sie die TPM-Start-PIN

    • Start-PIN mit TPM zulassen

    • Start-PIN mit TPM erforderlich

    • Start-PIN mit TPM nicht zulassen

  • Konfigurieren Sie die TPM-Systemstartschlüssel

    • Systemstartschlüssel mit TPM zulassen

    • Systemstartschlüssel mit TPM erforderlich

    • Systemstartschlüssel mit TPM nicht zulassen

  • Konfigurieren der Systemstartschlüssel TPM und PIN

    • Zulassen von TPM-Systemstartschlüssel mit PIN

    • Systemstartschlüssel und PIN mit TPM erforderlich

    • TPM-Systemstartschlüssel mit PIN nicht zulassen

Diese Einstellung ermöglicht die Verwendung erweiterter Pins, wenn Sie eine Methode zum Entsperren verwenden, die eine PIN enthält.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob erweiterte Systemstart-PINs mit BitLocker verwendet werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Alle neuen BitLocker-Systemstart-PINs, die festgelegt werden, als erweiterte PINs. Vorhandenen Laufwerke, die mithilfe von standard-Systemstart-PINs geschützt wurden, sind davon nicht betroffen.

Wenn deaktiviert oder nicht konfiguriert

Erweiterte PINs werden nicht verwendet werden.

Verweis

Erweiterte Systemstart-PINs ermöglichen die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen). Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

System_CAPS_importantWichtig

Nicht alle Computer unterstützen die verbesserte PIN-Zeichen in der Pre-Boot-Umgebung. Es wird dringend empfohlen, dass Benutzer eine systemüberprüfung durchgeführt, während der BitLocker-Setup, um sicherzustellen, dass die verbesserte PIN-Zeichen verwendet werden können.

Diese Einstellung wird verwendet, um eine PIN-Mindestlänge festgelegt wird, wenn Sie eine Methode zum Entsperren verwenden, die eine PIN enthält.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie eine Mindestlänge für PIN ein TPM-Start konfigurieren. Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. Die Start-PIN muss eine Mindestlänge von 4 Ziffern, und sie kann eine maximale Länge von 20 Ziffern aufweisen.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Sie können festlegen, dass Benutzer eine Mindestanzahl von Ziffern eingeben, wenn ihre Systemstart-PINs festlegen.

Wenn deaktiviert oder nicht konfiguriert

Benutzer können einen Start-PIN beliebiger Länge zwischen 4 und 20 Ziffern konfigurieren.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. Start-PIN muss eine Mindestlänge von 4 Ziffern und eine maximale Länge von 20 Ziffern.

Diese Einstellung können Sie konfigurieren, ob Standardbenutzer sind, ändern Sie die PIN oder Kennwort, das verwendet wird, um das Betriebssystemlaufwerk zu schützen.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob Standardbenutzer die PIN oder Kennwort verwendet, um das Betriebssystemlaufwerk schützen ändern dürfen.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Standardbenutzer sind nicht zulässig, BitLocker-PINs oder Kennwörter ändern.

Wenn deaktiviert oder nicht konfiguriert

Standardbenutzer sind zulässig, BitLocker-PINs oder Kennwörter ändern.

Verweis

Um die PIN oder Ihr Kennwort zu ändern, muss der Benutzer die aktuelle PIN oder Ihr Kennwort angeben können. Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Diese Richtlinie steuert, wie nicht-TPM-basierten Systemen die kennwortschutzvorrichtung nutzen. Wird in Verbindung mit der Kennwort muss komplexitätsvoraussetzungen entsprechen Richtlinie für diese Richtlinie ermöglicht Administratoren, lange und komplexe Kennwörter erforderlich für die Verwendung des Kennworts Schutzvorrichtung. Standardmäßig müssen Kennwörter acht Zeichen lang sein. Konfigurationsoptionen für die Komplexität zu bestimmen, wie wichtig Verbindung zur Domäne für den Client ist. Administratoren sollten für die höchste kennwortsicherheit auswählen Kennwortkomplexität da es erfordert eine domänenverbindung mit und erfordert, dass das Kennwort für BitLocker die gleichen Anforderungen an die Kennwortkomplexität als Domäne anmelden Kennwörter erfüllt.

Weitere Informationen finden Sie unter Das Kennwort muss komplexitätsvoraussetzungen entsprechen..

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Einschränkungen für Kennwörter angeben, mit denen Entschlüsseln von Betriebssystemlaufwerken, die mit BitLocker geschützt sind.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Kennwörter können nicht verwendet werden, wenn FIPS-Konformität aktiviert ist.

System_CAPS_noteHinweis

Die Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Einstellung am Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\sicherheitsoptionen gibt an, ob die FIPS-Konformität aktiviert ist.

Wenn diese Option aktiviert

Benutzer können ein Kennwort konfigurieren, die die Mindestanforderungen erfüllt, die Sie definieren. Um komplexitätsvoraussetzungen für das Kennwort zu erzwingen, wählen Komplexität erforderlich.

Wenn deaktiviert oder nicht konfiguriert

Die standardeinschränkung für die Länge von 8 Zeichen gilt für das Betriebssystem Laufwerk Kennwörter, und es erfolgt keine Überprüfung der Komplexität.

Verweis

Wenn auf Betriebssystemlaufwerken nicht-TPM-Schutzvorrichtungen zulässig sind, können Sie ein Kennwort bereitstellen, komplexitätsvoraussetzungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Für die komplexitätsanforderung effektiv sein, die Einstellung der Gruppenrichtlinie Kennwort muss komplexitätsvoraussetzungen entsprechen, befindet sich unter Computer Configuration\Windows Settings\Security Settings\Account Kontorichtlinien\Kennwortrichtlinien Policy\ muss ebenfalls aktiviert sein.

Weitere Informationen finden Sie unter Das Kennwort muss komplexitätsvoraussetzungen entsprechen..

System_CAPS_noteHinweis

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet nicht, wenn ein Volume zu entsperren. BitLocker ermöglicht das Entsperren des Laufwerks mit den Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

Bei Festlegung auf Komplexität erforderlich, eine Verbindung mit einem Domänencontroller ist erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen. Bei Festlegung auf Komplexität zulassen, eine Verbindung zu einem Domänencontroller wird versucht, um zu überprüfen, dass die Komplexität der Regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, das Kennwort werden unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk verschlüsselt das Kennwort als eine Schutzvorrichtung mit. Bei Festlegung auf Komplexität nicht erlauben, es erfolgt keine Überprüfung des Kennworts Komplexität.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in der Mindestlänge von Kennwörtern Feld.

Wenn diese Einstellung aktiviert ist, können Sie festlegen, dass die Option Komplexität von Kennwörtern für Betriebssystemlaufwerke konfigurieren an:

  • Komplexität von Kennwörtern zulassen

  • Komplexität von Kennwörtern nicht zulassen

  • Kennwortkomplexität

Diese Einstellung dient zur Steuerung, welche Unlock-Optionen für Computer unter Windows Server 2008 oder Windows Vista verfügbar sind.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, ob der BitLocker-Setup-Assistenten auf Computern unter Windows Vista oder Windows Server 2008 eine zusätzliche Authentifizierungsmethode einrichten können, die jedes Mal muss der Computer gestartet wird.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerkstyp

Betriebssystemlaufwerke (Windows Server 2008 und Windows Vista)

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Wenn Sie eine zusätzliche Authentifizierungsmethode hinzuzufügen möchten, können nicht andere Authentifizierungsmethoden zulässig.

Wenn diese Option aktiviert

Der BitLocker-Setup-Assistent zeigt die Seite, die dem Benutzer ermöglicht, die erweiterten Startoptionen für BitLocker zu konfigurieren. Sie können weiter Festlegen von Optionen für Computer mit oder ohne ein TPM konfigurieren.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent zeigt die grundlegenden Schritte, die zum Aktivieren von BitLocker auf Computern mit einem TPM ermöglicht. In diesem grundlegenden Assistenten kann keine zusätzliche Systemstartschlüssel oder Systemstart-PIN konfiguriert werden.

Verweis

Auf einem Computer mit einem kompatiblen TPM können zwei Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für die verschlüsselten Daten bereitzustellen. Beim Starten des Computers können sie Benutzern das Einfügen von einem USB-Laufwerk, das einem Systemstartschlüssel erforderlich. Sie können auch Benutzer eine 4-stellige auf 20 Ziffern Start-PIN eingeben müssen.

Auf Computern ohne ein kompatibles TPM ist ein USB-Laufwerk, das einem Systemstartschlüssel erforderlich. Ohne ein TPM ist BitLocker verschlüsselte Daten ausschließlich durch das Schlüsselmaterial geschützt, die auf diesem USB-Laufwerk ist.

Es gibt zwei Optionen für die TPM-fähigen Computern oder Geräten:

  • Konfigurieren Sie die TPM-Start-PIN

    • Start-PIN mit TPM zulassen

    • Start-PIN mit TPM erforderlich

    • Start-PIN mit TPM nicht zulassen

  • Konfigurieren Sie die TPM-Systemstartschlüssel

    • Systemstartschlüssel mit TPM zulassen

    • Systemstartschlüssel mit TPM erforderlich

    • Systemstartschlüssel mit TPM nicht zulassen

Diese Optionen schließen sich gegenseitig aus. Wenn der Schlüssel für den Systemstart benötigt wird, müssen Sie die PIN für den Start nicht zulassen. Wenn Sie die PIN für den Start benötigen, müssen Sie den Systemstartschlüssel nicht zulassen. Andernfalls wird ein Fehler auftreten.

Um die Seite "Erweitert" auf einem TPM-fähigen Computer oder Gerät auszublenden, legen Sie diese Optionen auf nicht zulassen für den Systemstartschlüssel und PIN für den Start.

Diese Einstellung wird verwendet, um erfordern, zulassen oder Verweigern der Verwendung von Smartcards mit Festplattenlaufwerken.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie angeben, ob Smartcards zur Authentifizierung der Benutzerzugriff auf die BitLocker-geschützte Festplattenlaufwerke und wurde auf einem Computer verwendet werden kann.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

Um Smartcards mit BitLocker verwenden, Sie müssen auch so ändern Sie die Objekt-ID-Einstellung in der Computer Configuration\Administrative Templates\BitLocker Laufwerk Encryption\Validate Smartcard Einhaltung Einstellung, um die Objekt-ID der Smartcard-Zertifikate übereinstimmen.

Wenn diese Option aktiviert

Smartcards können zum Authentifizieren der Benutzerzugriff auf das Laufwerk verwendet werden. Sie können Smartcardauthentifizierung durch Auswählen der erfordern die Verwendung von Smartcards auf eingebauten Datenlaufwerken das Kontrollkästchen.

Wenn deaktiviert

Smartcards Benutzer können keine verwenden zum Authentifizieren von ihren Zugriffs auf BitLocker-geschützte Festplattenlaufwerke.

Wenn nicht konfiguriert

Smartcards können zum Authentifizieren der Benutzerzugriff auf ein mit BitLocker geschütztes Laufwerk verwendet werden.

Verweis

System_CAPS_noteHinweis

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet nicht, wenn ein Laufwerk zu entsperren. BitLocker ermöglicht das Entsperren des Laufwerks mit den Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

Diese Einstellung wird verwendet, um erfordern, zulassen oder Verweigern der Verwendung von Kennwörtern mit Festplattenlaufwerken.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie angeben, ob ein Kennwort zum Entsperren von BitLocker geschützte integrierte Datenlaufwerke erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

Mit der Komplexität von Kennwörtern, die Computer Configuration\Windows Settings\Security Settings\Account Kontorichtlinien\Kennwortrichtlinien Policy\Password muss komplexitätsvoraussetzungen entsprechen Einstellung muss ebenfalls aktiviert werden.

Wenn diese Option aktiviert

Benutzer können ein Kennwort konfigurieren, die die Mindestanforderungen erfüllt, die Sie definieren. Wählen Sie ein Kennwort erforderlich, Kennwort für Festplattenlaufwerk anfordern. Um komplexitätsvoraussetzungen für das Kennwort zu erzwingen, wählen Komplexität erforderlich.

Wenn deaktiviert

Der Benutzer ist nicht zulässig, ein Kennwort zu verwenden.

Wenn nicht konfiguriert

Kennwörter werden mit den Standardeinstellungen unterstützt keine Anforderungen an die Kennwortkomplexität erforderlich sind und nur 8 Zeichen lang sein.

Verweis

Bei Festlegung auf Komplexität erforderlich, eine Verbindung zu einem Domänencontroller wird zum Überprüfen der Komplexität des Kennworts, wenn BitLocker aktiviert ist.

Bei Festlegung auf Komplexität zulassen, eine Verbindung zu einem Domänencontroller wird versucht, um zu überprüfen, dass die Komplexität der Regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, jedoch das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk wird verschlüsselt, das Kennwort als eine Schutzvorrichtung mit.

Bei Festlegung auf Komplexität nicht erlauben, erfolgt keine Validierung der Kennwort-Komplexität.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in der Mindestlänge von Kennwörtern Feld.

System_CAPS_noteHinweis

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet nicht, wenn ein Laufwerk zu entsperren. BitLocker ermöglicht das Entsperren des Laufwerks mit den Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

Für die komplexitätsanforderung wirksam ist, wird die Einstellung der Gruppenrichtlinie Computer Configuration\Windows Settings\Security Settings\Account Kontorichtlinien\Kennwortrichtlinien Policy\Password muss komplexitätsvoraussetzungen entsprechen muss ebenfalls aktiviert werden.

Diese Einstellung wird pro Computer konfiguriert. Dies bedeutet, dass sie mit lokalen Benutzerkonten und Domänenbenutzerkonten angewendet wird. Da Kennwortfilter, die zum Überprüfen der Komplexität von Kennwörtern auf dem Domänencontroller befindet, können nicht lokale Benutzerkonten Kennwortfilter zugreifen, da nicht für auf die Domäne authentifiziert werden. Wenn diese Einstellung, aktiviert ist Wenn Sie sich mit einem lokalen Benutzerkonto anmelden, und Sie versuchen, ein Laufwerk zu verschlüsseln, oder Ändern eines Kennwortes für ein vorhandenes Laufwerk mit BitLocker geschützte, wird eine Fehlermeldung "Zugriff verweigert" angezeigt. In diesem Fall kann die Kennwort-Schlüsselschutzvorrichtung auf das Laufwerk hinzugefügt werden.

Aktivieren diese Einstellung erfordert, dass die Verbindung mit einer Domäne hergestellt werden, bevor Sie ein Kennwort-Schlüsselschutzvorrichtung ein mit BitLocker geschütztes Laufwerk hinzufügen. Benutzer, die Remote arbeiten und Zeiträume in der Domäne herstellen kann nicht haben sollte diese Anforderung hingewiesen werden, damit sie einen Zeitpunkt planen können, wenn sie mit der Domäne, um BitLocker zu aktivieren oder Ändern eines Kennworts auf einem Laufwerk mit BitLocker geschützten Daten verbunden sind.

System_CAPS_importantWichtig

Kennwörter können nicht verwendet werden, wenn FIPS-Konformität aktiviert ist. Die Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Einstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\sicherheitsoptionen gibt an, ob die FIPS-Konformität aktiviert ist.

Diese Einstellung wird verwendet, um erfordern, zulassen oder verweigern die Verwendung von Smartcards mit Wechseldatenträger.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie angeben, ob Smartcards zur Authentifizierung der Benutzerzugriff auf BitLocker-geschützte Wechseldatenträger auf einem Computer verwendet werden kann.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

Um Smartcards mit BitLocker verwenden, Sie müssen auch so ändern Sie die Objekt-ID-Einstellung in der Computer Configuration\Administrative Templates\BitLocker Laufwerk Encryption\Validate Smartcard Einhaltung Einstellung, um die Objekt-ID der Smartcard-Zertifikate übereinstimmen.

Wenn diese Option aktiviert

Smartcards können zum Authentifizieren der Benutzerzugriff auf das Laufwerk verwendet werden. Sie können Smartcardauthentifizierung durch Auswählen der erfordern die Verwendung von Smartcards auf Wechseldatenträgern das Kontrollkästchen.

Wenn deaktiviert oder nicht konfiguriert

Benutzer sind nicht zulässig, Smartcards zu verwenden, um ihren Zugriff auf BitLocker-geschützte Wechseldatenträger zu authentifizieren.

Wenn nicht konfiguriert

Smartcards sind verfügbar, um Benutzerzugriff auf einem BitLocker-geschützte Wechseldatenträger zu authentifizieren.

Verweis

System_CAPS_noteHinweis

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet nicht, wenn ein Laufwerk zu entsperren. BitLocker ermöglicht das Entsperren des Laufwerks mit den Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

Diese Einstellung wird verwendet, um erfordern, zulassen oder Verweigern der Verwendung von Kennwörtern mit Wechseldatenträger.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie angeben, ob ein Kennwort erforderlich ist, um BitLocker geschützte Wechseldatenträger zu entsperren.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

Mit der Komplexität von Kennwörtern, die Kennwort muss komplexitätsvoraussetzungen entsprechen Einstellung am Computerkonfiguration\Windows-Einstellungen\sicherheitseinstellungen\kontenrichtlinien\kennwortrichtlinien muss ebenfalls aktiviert werden.

Wenn diese Option aktiviert

Benutzer können ein Kennwort konfigurieren, die die Mindestanforderungen erfüllt, die Sie definieren. Wählen Sie ein Kennwort erforderlich, Kennwort für Wechseldatenträger anfordern. Um komplexitätsvoraussetzungen für das Kennwort zu erzwingen, wählen Komplexität erforderlich.

Wenn deaktiviert

Der Benutzer ist nicht zulässig, ein Kennwort zu verwenden.

Wenn nicht konfiguriert

Kennwörter werden mit den Standardeinstellungen unterstützt keine Anforderungen an die Kennwortkomplexität erforderlich sind und nur 8 Zeichen lang sein.

Verweis

Wenn Sie die Verwendung eines Kennworts zulassen, können Sie ein Kennwort verwendet werden, komplexitätsvoraussetzungen erzwingen und eine Mindestlänge konfigurieren müssen. Für die komplexitätsanforderung wirksam ist, wird die Einstellung der Gruppenrichtlinie Kennwort muss komplexitätsvoraussetzungen entsprechen, befindet sich unter Computerkonfiguration\Windows-Einstellungen\sicherheitseinstellungen\kontenrichtlinien\kennwortrichtlinien muss ebenfalls aktiviert werden.

Informationen zu dieser Einstellung finden Sie unter Kennwort muss komplexitätsvoraussetzungen entsprechen.

System_CAPS_noteHinweis

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet nicht, wenn ein Laufwerk zu entsperren. BitLocker ermöglicht das Entsperren des Laufwerks mit den Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in der Mindestlänge von Kennwörtern Feld.

Bei Festlegung auf Komplexität erforderlich, eine Verbindung mit einem Domänencontroller ist erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.

Bei Festlegung auf Komplexität zulassen, eine Verbindung mit einem Domänencontroller versucht zu überprüfen, ob die Komplexität, die Regeln der Richtlinie entspricht. Wenn jedoch kein Domänencontroller gefunden werden, unabhängig von der tatsächlichen Kennwortkomplexität werden immer noch das Kennwort akzeptiert und dieses Kennwort als eine Schutzvorrichtung mit wird das Laufwerk verschlüsselt werden.

Bei Festlegung auf Komplexität nicht erlauben, erfolgt keine Überprüfung der Komplexität Kennwort.

System_CAPS_noteHinweis

Kennwörter können nicht verwendet werden, wenn FIPS-Konformität aktiviert ist. Die Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur Einstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\sicherheitsoptionen gibt an, ob die FIPS-Konformität aktiviert ist.

Informationen zu dieser Einstellung finden Sie unter Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur.

Diese Einstellung wird verwendet, um welches Zertifikat für die Verwendung mit BitLocker zu bestimmen.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie eine Objekt-ID aus einem Smartcard-Zertifikat, ein mit BitLocker geschütztes Laufwerk zuordnen.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Datenlaufwerke und Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

NONE

Wenn diese Option aktiviert

Die Objekt-ID, die in angegeben ist die Objektbezeichner Einstellung die Objekt-ID des Smartcard-Zertifikats entsprechen muss.

Wenn deaktiviert oder nicht konfiguriert

Die Standard-Objekt-ID wird verwendet.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Die Objekt-ID wird in die Verbesserte Schlüsselverwendung (EKU) eines Zertifikats angegeben. BitLocker erkennen, welche Zertifikate zum Authentifizieren eines Benutzerzertifikats, ein mit BitLocker geschütztes Laufwerk durch entsprechende die Objekt-ID in das Zertifikat mit der Objekt-ID, die durch diese Einstellung definiert ist, verwendet werden können.

Die Standard-Objekt-ID ist "1.3.6.1.4.1.311.67.1.1".

System_CAPS_noteHinweis

BitLocker ist nicht erforderlich, ein Zertifikat eine EKU-Attribut verfügen. jedoch wenn für das Zertifikat konfiguriert ist, muss er auf eine Objekt-ID festgelegt werden, die die Objekt-ID für BitLocker konfiguriert entspricht.

Diese Einstellung ermöglicht das Authentifizierungsoptionen zu aktivieren, die Benutzereingaben aus der Pre-Boot-Umgebung, selbst wenn einen Mangel an preboot input-Funktion für die Plattform steht erfordern.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie Benutzern Authentifizierungsoptionen zu aktivieren, die Benutzereingaben aus der Pre-Boot-Umgebung benötigen, selbst wenn einen Mangel an preboot input-Funktion für die Plattform steht.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerk

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker Encryption\Operating Systemlaufwerk

Konflikte

NONE

Wenn diese Option aktiviert

Geräte müssen eine alternative Möglichkeit, preboot Eingabe (z. B. eine angeschlossene USB-Tastatur).

Wenn deaktiviert oder nicht konfiguriert

Unterstützung der BitLocker-Wiederherstellungskennwort eingeben muss Windows Recovery Environment auf Tablets aktiviert werden.

Verweis

Die Windows Touch-Tastatur (wie z. B. von Tablets verwendet) ist nicht verfügbar in der Pre-Boot-Umgebung, in denen BitLocker auf zusätzliche Informationen, z. B. eine PIN oder ein Kennwort erfordert.

Es wird empfohlen, dass Administratoren diese Richtlinie nur für Geräte, die überprüft werden aktivieren, um eine alternative Möglichkeit, Preboot eingegeben, wie z. B. eine USB-Tastatur anschließen.

Wenn Windows Recovery Environment nicht aktiviert ist, und diese Richtlinie nicht aktiviert ist, kann nicht aktivieren von BitLocker auf einem Gerät, die die Windows Touch-Tastatur verwendet.

Wenn Sie diese Einstellung nicht aktivieren, werden die folgenden Optionen der erfordert zusätzlichen Authentifizierung beim Start Richtlinie möglicherweise nicht zur Verfügung:

  • Konfigurieren Sie die TPM-Start-PIN: erforderlich und zulässig

  • Konfigurieren der Systemstartschlüssel TPM und PIN: erforderlich und zulässig

  • Konfigurieren von Kennwörtern für Betriebssystemlaufwerke

Diese Einstellung wird verwendet, um die Verschlüsselung der Festplattenlaufwerke vor Schreibzugriff erteilen erzwingen.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie festlegen, ob der BitLocker-Schutz für integrierte Datenlaufwerke, Schreibzugriff auf einem Computer erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

Finden Sie im Abschnitt "Referenz" eine Beschreibung der Konflikte.

Wenn diese Option aktiviert

Alle Festplattenlaufwerke, die nicht von BitLocker geschützt sind, werden als schreibgeschützt bereitgestellt. Wenn das Laufwerk mit BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff eingebunden.

Wenn deaktiviert oder nicht konfiguriert

Alle Festplattenlaufwerke auf dem Computer werden mit Lese- und Schreibzugriff eingebunden.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Konflikt berücksichtigt werden:

  1. Wenn diese Einstellung aktiviert ist, erhalten Benutzer Fehlermeldungen "Zugriff verweigert", wenn sie versuchen, Daten in unverschlüsselten Festplattenlaufwerken zu speichern. Finden Sie im Abschnitt "Referenz" Weitere Konflikte.

  2. Wenn BdeHdCfg.exe auf einem Computer ausgeführt wird, wenn diese Einstellung aktiviert ist, können Sie die folgenden Probleme auftreten:

    • Wenn Sie versuchen Größe wird das Laufwerk verkleinern und erstellen das Systemlaufwerk und das Laufwerk erfolgreich reduziert und eine Rawpartition erstellt. Allerdings ist die raw-Partition nicht formatiert. Die folgende Fehlermeldung wird angezeigt: "das neue aktive Laufwerk kann nicht formatiert werden. Sie müssen das Laufwerk manuell auf BitLocker vorbereiten."

    • Wenn Sie versuchen, Speicherplatz zu verwenden, um das Systemlaufwerk zu erstellen, wird eine unformatierte Partition erstellt werden. Allerdings wird die raw-Partition nicht formatiert. Die folgende Fehlermeldung wird angezeigt: "das neue aktive Laufwerk kann nicht formatiert werden. Sie müssen das Laufwerk manuell auf BitLocker vorbereiten."

    • Wenn Sie versuchen, ein vorhandenes Laufwerk mit dem Systemlaufwerk zusammenzuführen, nicht das Tool auf das Ziellaufwerk zum Erstellen des Systemlaufwerks benötigte Startdatei zu kopieren. Die folgende Fehlermeldung wird angezeigt: "Fehler beim Kopieren von Startdateien BitLocker. Sie müssen das Laufwerk manuell auf BitLocker vorbereiten."

  3. Wenn diese Einstellung aktiviert ist, kann keine Festplatte neu partitioniert werden, weil es geschützt ist. Wenn Sie ein der Computer in Ihrer Organisation aus einer früheren Version von Windows Upgrade und die Computer mit einer einzigen Partition konfiguriert wurden, sollten Sie die erforderliche BitLocker-Systempartition erstellen, bevor Sie diese Einstellung auf die Computer anwenden.

Diese Einstellung wird verwendet, um festzulegen, dass Wechseldatenträger verschlüsselt sind, bevor Sie Schreibzugriff erteilen und zu steuern, ob BitLocker geschützte Wechseldatenträger, die in einer anderen Organisation konfiguriert wurden, mit Schreibzugriff geöffnet werden können.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob der BitLocker-Schutz für einen Computer zum Schreiben von Daten auf einem Wechseldatenträger können erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

Finden Sie im Abschnitt "Referenz" eine Beschreibung der Konflikte.

Wenn diese Option aktiviert

Alle Wechseldatenträger, die nicht von BitLocker geschützt sind, werden als schreibgeschützt bereitgestellt. Wenn das Laufwerk mit BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff eingebunden.

Wenn deaktiviert oder nicht konfiguriert

Alle Wechseldatenträger auf dem Computer werden mit Lese- und Schreibzugriff eingebunden.

Verweis

Wenn die Verweigern des Schreibzugriffs auf Geräten, die in einer anderen Organisation konfiguriert ausgewählt ist, nur Laufwerke mit Identifizierungsfelder, die dem Computer identifizierende Felder entsprechen Schreibzugriff angegeben werden. Ein Wechseldatenträger zugegriffen wird, wird geprüft, ob eine gültige ID-Feld und Identifizierungsfelder zulässig. Diese Felder sind definiert, indem die eindeutige IDs für Ihre Organisation angeben Einstellung.

System_CAPS_noteHinweis

Sie können diese Einstellung mit den Richtlinien unter überschreiben Benutzerzugriff für die Speicherung von Benutzerkonfiguration\Administrative Templates\System\Removable. Wenn die Wechseldatenträger: Verweigern des Schreibzugriffs Richtlinie aktiviert ist, wird diese Einstellung ignoriert.

Konflikt berücksichtigt werden:

  1. Verwendung von BitLocker mit TPM plus einen Systemstartschlüssel oder mit dem TPM und eine PIN und Schlüssel zum Systemstart muss nicht zugelassen werden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

  2. Verwendung von Wiederherstellungsschlüsseln muss nicht zugelassen werden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

  3. Müssen Sie aktivieren die eindeutige IDs für Ihre Organisation angeben Richtlinie festlegen, wenn Sie Schreibzugriff auf Laufwerke, die in einer anderen Organisation konfiguriert wurden, verweigern möchten.

Diese Einstellung wird verwendet, um zu verhindern, dass BitLocker aktiviert oder deaktiviert auf Wechseldatenträgern aktivieren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Verwendung von BitLocker auf Wechseldatenträgern steuern.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

NONE

Wenn diese Option aktiviert

Sie können Eigenschaften auswählen, die steuern, wie Benutzer BitLocker konfigurieren können.

Wenn deaktiviert

Benutzer können BitLocker auf Wechseldatenträgern nicht verwenden.

Wenn nicht konfiguriert

Benutzer können BitLocker auf Wechseldatenträgern.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Informationen zum Aufheben von BitLocker-Schutz finden Sie unter grundlegende Bereitstellung von BitLocker.

Die Optionen für die Auswahl von Eigenschaften, die steuern, wie Benutzer BitLocker konfigurieren sind:

  • Benutzer können BitLocker-Schutz auf Wechseldatenträgern   ermöglicht es dem Benutzer die BitLocker-Setup-Assistenten auf einem Wechseldatenträger ausgeführt.

  • Benutzerberechtigungen zum Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern   ermöglicht es dem Benutzer, die zum Entfernen von BitLocker auf dem Laufwerk oder Anhalten die Verschlüsselung während der Ausführung der Wartung.

Diese Einstellung dient zum Steuern der Verschlüsselungsmethode und Verschlüsselungsstärke.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke steuern.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Alle Laufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

NONE

Wenn diese Option aktiviert

Sie können einen Verschlüsselungsalgorithmus und wichtige Verschlüsselungsstärke für BitLocker zum Verschlüsseln von Laufwerken.

Wenn deaktiviert oder nicht konfiguriert

BitLocker verwendet die Standardverschlüsselungsmethode AES-128-Bit- oder die Verschlüsselungsmethode, die durch das Setup-Skript angegeben wird.

Verweis

BitLocker verwendet standardmäßig die AES-128-Bit-Verschlüsselung. Die verfügbaren Optionen sind AES-128 und AES-256. Die Werte dieser Richtlinie bestimmen die Stärke der Verschlüsselung, die BitLocker für die Verschlüsselung verwendet. Unternehmen möchten möglicherweise die Verschlüsselungsstufe für erhöhte Sicherheit steuern (AES-256 ist stärker als AES-128).

Die Verschlüsselungsmethode geändert hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder Verschlüsselung durchgeführt wird. In diesen Fällen wird diese Einstellung ignoriert.

System_CAPS_warningWarnung

Diese Richtlinie gilt nicht für verschlüsselte Laufwerke. Verschlüsselte Laufwerke nutzen ihre eigenen Algorithmus, der während der Partitionierung des Laufwerks festgelegt ist.

Wenn diese Einstellung deaktiviert ist, verwendet BitLocker AES mit der gleichen Bit-Stärke (128-Bit- oder 256-Bit) gemäß der Einstellung Wählen Sie die Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk (Windows Vista, Windows Server 2008, Windows 7). Wenn keine Richtlinie festgelegt ist, verwendet BitLocker die Standardverschlüsselungsmethode AES-128 und/oder die Verschlüsselungsmethode aus, die in das Setup-Skript angegeben wird.

Diese Richtlinie steuert, wie BitLocker auf Systemen reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als verwendet werden, feste Datenvolumes. Mit Hardware-basierte Verschlüsselung kann die Leistung von Laufwerk verbessern, die häufig lesen oder Schreiben von Daten in das Laufwerk beinhalten.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie BitLocker Verwendung von Hardware-basierte Verschlüsselung auf eingebauten Datenlaufwerken verwalten und um welche Verschlüsselungsalgorithmen angeben kann BitLocker mit Hardware-basierte Verschlüsselung verwenden.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob anstelle von Hardware-basierte Verschlüsselung auf Computern, die Hardware-basierte Verschlüsselung nicht unterstützen, softwarebasierte BitLocker-Verschlüsselung verwendet wird. Sie können auch angeben, ob Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die mit Hardware-basierte Verschlüsselung verwendet werden soll.

Wenn deaktiviert

BitLocker kann Hardware-basierte Verschlüsselung für Festplattenlaufwerke und Software-Verschlüsselung standardmäßig verwendet wird, wenn das Laufwerk verschlüsselt BitLocker verwenden.

Wenn nicht konfiguriert

BitLocker verwendet den Hardware-basierte Verschlüsselung mit dem Algorithmus für Verschlüsselung, der für das Laufwerk festgelegt ist. Wenn Hardware-basierte Verschlüsselung nicht verfügbar ist, wird stattdessen softwarebasierte BitLocker-Verschlüsselung verwendet.

Verweis

System_CAPS_noteHinweis

Die Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen Einstellung gilt nicht für Hardware-basierte Verschlüsselung.

Der Verschlüsselungsalgorithmus, der von der Hardware-basierte Verschlüsselung verwendet wird, wird festgelegt, wenn das Laufwerk partitioniert ist. Standardmäßig verwendet BitLocker den Algorithmus, der auf dem Laufwerk, das Laufwerk verschlüsseln konfiguriert ist. Die Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die für die Hardware-basierte Verschlüsselung zulässig Option dieser Einstellung können Sie die Verschlüsselungsalgorithmen einzuschränken, die BitLocker mit Hardware zur Verschlüsselung verwendet werden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, wird BitLocker die Verwendung von Hardware-basierte Verschlüsselung deaktiviert. Verschlüsselungsalgorithmen werden z. B. von Objektbezeichnern (OIDS), angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining (CBC) Modus OID: 2.16.840.1.101.3.4.1.2

  • AES-256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

Diese Richtlinie steuert, wie BitLocker reagiert, wenn verschlüsselte Laufwerke als Betriebssystemlaufwerke verwendet werden. Mit Hardware-basierte Verschlüsselung kann die Leistung von Laufwerk verbessern, die häufig lesen oder Schreiben von Daten in das Laufwerk beinhalten.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie BitLocker die Verwendung von Hardware-basierte Verschlüsselung auf Betriebssystemlaufwerken verwalten und geben die Verschlüsselungsalgorithmen in Hardware-basierte Verschlüsselung verwendet werden kann.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob anstelle von Hardware-basierte Verschlüsselung auf Computern, die Hardware-basierte Verschlüsselung nicht unterstützen, softwarebasierte BitLocker-Verschlüsselung verwendet wird. Sie können auch angeben, ob Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die mit Hardware-basierte Verschlüsselung verwendet werden soll.

Wenn deaktiviert

BitLocker kann Hardware-basierte Verschlüsselung für Betriebssystemlaufwerke und Software-Verschlüsselung standardmäßig verwendet wird, wenn das Laufwerk verschlüsselt BitLocker verwenden.

Wenn nicht konfiguriert

BitLocker verwendet den Hardware-basierte Verschlüsselung mit dem Algorithmus für Verschlüsselung, der für das Laufwerk festgelegt ist. Wenn Hardware-basierte Verschlüsselung nicht verfügbar ist, wird stattdessen softwarebasierte BitLocker-Verschlüsselung verwendet.

Verweis

Wenn Hardware-basierte Verschlüsselung nicht verfügbar ist, wird stattdessen softwarebasierte BitLocker-Verschlüsselung verwendet.

System_CAPS_noteHinweis

Die Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen Einstellung gilt nicht für Hardware-basierte Verschlüsselung.

Der Verschlüsselungsalgorithmus, der von der Hardware-basierte Verschlüsselung verwendet wird, wird festgelegt, wenn das Laufwerk partitioniert ist. Standardmäßig verwendet BitLocker den Algorithmus, der auf dem Laufwerk, das Laufwerk verschlüsseln konfiguriert ist. Die Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die für die Hardware-basierte Verschlüsselung zulässig Option dieser Einstellung können Sie die Verschlüsselungsalgorithmen einzuschränken, die BitLocker mit Hardware zur Verschlüsselung verwendet werden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, wird BitLocker die Verwendung von Hardware-basierte Verschlüsselung deaktiviert. Verschlüsselungsalgorithmen werden z. B. von Objektbezeichnern (OIDS), angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining (CBC) Modus OID: 2.16.840.1.101.3.4.1.2

  • AES-256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

Diese Richtlinie steuert, wie BitLocker auf verschlüsselten Laufwerken reagiert, wenn sie als Wechseldatenträger verwendet werden. Mit Hardware-basierte Verschlüsselung kann die Leistung von Laufwerk verbessern, die häufig lesen oder Schreiben von Daten in das Laufwerk beinhalten.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie Hardware-basierte Verschlüsselung für Wechseldatenträger BitLocker Verwendung verwalten, und geben die Verschlüsselungsalgorithmen in Hardware-basierte Verschlüsselung verwendet werden kann.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

NONE

Wenn diese Option aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob anstelle von Hardware-basierte Verschlüsselung auf Computern, die Hardware-basierte Verschlüsselung nicht unterstützen, softwarebasierte BitLocker-Verschlüsselung verwendet wird. Sie können auch angeben, ob Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die mit Hardware-basierte Verschlüsselung verwendet werden soll.

Wenn deaktiviert

BitLocker kann Hardware-basierte Verschlüsselung für Wechseldatenträger und Software-Verschlüsselung standardmäßig verwendet wird, wenn das Laufwerk verschlüsselt BitLocker verwenden.

Wenn nicht konfiguriert

BitLocker verwendet den Hardware-basierte Verschlüsselung mit dem Algorithmus für Verschlüsselung, der für das Laufwerk festgelegt ist. Wenn Hardware-basierte Verschlüsselung nicht verfügbar ist, wird stattdessen softwarebasierte BitLocker-Verschlüsselung verwendet.

Verweis

Wenn Hardware-basierte Verschlüsselung nicht verfügbar ist, wird stattdessen softwarebasierte BitLocker-Verschlüsselung verwendet.

System_CAPS_noteHinweis

Die Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen Einstellung gilt nicht für Hardware-basierte Verschlüsselung.

Der Verschlüsselungsalgorithmus, der von der Hardware-basierte Verschlüsselung verwendet wird, wird festgelegt, wenn das Laufwerk partitioniert ist. Standardmäßig verwendet BitLocker den Algorithmus, der auf dem Laufwerk, das Laufwerk verschlüsseln konfiguriert ist. Die Verschlüsselungsalgorithmen einschränken und dieses Feld enthält die Testsammlungen, die für die Hardware-basierte Verschlüsselung zulässig Option dieser Einstellung können Sie die Verschlüsselungsalgorithmen einzuschränken, die BitLocker mit Hardware zur Verschlüsselung verwendet werden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, wird BitLocker die Verwendung von Hardware-basierte Verschlüsselung deaktiviert. Verschlüsselungsalgorithmen werden z. B. von Objektbezeichnern (OIDS), angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining (CBC) Modus OID: 2.16.840.1.101.3.4.1.2

  • AES-256 im CBC-Modus OID: 2.16.840.1.101.3.4.1.42

Diese Richtlinie steuert, ob Festplattenlaufwerke nur verwendeten Speicherplatz oder vollständige Verschlüsselung nutzen. Durch Festlegen dieser Richtlinie bewirkt, dass auch der BitLocker-Setup-Assistenten überspringen die Optionsseite Verschlüsselung keine Verschlüsselung Auswahl zeigt dem Benutzer.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Integriertes Datenlaufwerk

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Diese Richtlinie definiert den Verschlüsselungstyp an, dem BitLocker verwendet, um die Laufwerke verschlüsselt, und die Verschlüsselungsoption für den Typ wird nicht in den BitLocker-Setup-Assistenten.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer den Verschlüsselungstyp auswählen, bevor Sie BitLocker aktivieren.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. Ändern Sie den Verschlüsselungstyp hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder Verschlüsselung durchgeführt wird. Wählen Sie die vollständige Verschlüsselung erforderlich ist, dass das gesamte Laufwerk verschlüsselt werden, wenn BitLocker aktiviert ist. Wählen Sie nur verwendeten Speicherplatz Verschlüsselung erforderlich ist, dass nur der Teil des Laufwerks, das verwendet wird, zum Speichern von Daten verschlüsselt werden, wenn BitLocker aktiviert ist.

System_CAPS_noteHinweis

Diese Richtlinie wird ignoriert, wenn Sie verkleinern oder erweitern ein Datenträgers und der BitLocker-Treiber die Verschlüsselung verwendet. Z. B. wenn ein Laufwerk, das nur verwendeten Speicherplatz Verschlüsselung verwendet erweitert wird, wird der neue Speicherplatz nicht zurückgesetzt wie für ein Laufwerk, das die vollständige Verschlüsselung verwendet. Der Benutzer konnte den freien Speicherplatz auf einem Laufwerk nur verwendeten Speicherplatz mit dem folgenden Befehl Zurücksetzen: Verwalten-Bde - w. Wenn das Volume verkleinert wird, ist keine Aktion für die neue freier Speicherplatz.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-Bde.

Diese Richtlinie steuert, ob Betriebssystemlaufwerke vollständige oder nur verwendeten Speicherplatz Verschlüsselung nutzen. Wird diese Richtlinie auch festgelegt, wird der BitLocker-Setup-Assistenten auf die Optionsseite für die Verschlüsselung zu überspringen, also keine Verschlüsselungsauswahl dem Benutzer angezeigt.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerk

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Der Verschlüsselungstyp, den von BitLocker verwendet, um die Laufwerke verschlüsselt wird von dieser Richtlinie definiert, und die Verschlüsselungsoption für den Typ der BitLocker-Setup-Assistenten nicht angezeigt wird.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer den Verschlüsselungstyp auswählen, bevor Sie BitLocker aktivieren.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. Ändern Sie den Verschlüsselungstyp hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder Verschlüsselung durchgeführt wird. Wählen Sie die vollständige Verschlüsselung erforderlich ist, dass das gesamte Laufwerk verschlüsselt werden, wenn BitLocker aktiviert ist. Wählen Sie nur verwendeten Speicherplatz Verschlüsselung erforderlich ist, dass nur der Teil des Laufwerks, das verwendet wird, zum Speichern von Daten verschlüsselt werden, wenn BitLocker aktiviert ist.

System_CAPS_noteHinweis

Diese Richtlinie wird ignoriert, wenn verkleinern oder vergrößern ein Volume aus, und der BitLocker-Treiber verwendet die Verschlüsselung. Z. B. wenn ein Laufwerk, das nur verwendeten Speicherplatz Verschlüsselung verwendet erweitert wird, wird der neue Speicherplatz nicht zurückgesetzt wie für ein Laufwerk, das die vollständige Verschlüsselung verwendet. Der Benutzer konnte den freien Speicherplatz auf einem Laufwerk nur verwendeten Speicherplatz mit dem folgenden Befehl Zurücksetzen: Verwalten-Bde - w. Wenn das Volume verkleinert wird, ist keine Aktion für die neue freier Speicherplatz.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-Bde.

Diese Richtlinie steuert, ob Festplattenlaufwerke vollständige oder nur verwendeten Speicherplatz Verschlüsselung nutzen. Wird diese Richtlinie auch festgelegt, wird der BitLocker-Setup-Assistenten auf die Optionsseite für die Verschlüsselung zu überspringen, also keine Verschlüsselungsauswahl dem Benutzer angezeigt.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

NONE

Wenn diese Option aktiviert

Der Verschlüsselungstyp, den von BitLocker verwendet, um die Laufwerke verschlüsselt wird von dieser Richtlinie definiert, und die Verschlüsselungsoption für den Typ der BitLocker-Setup-Assistenten nicht angezeigt wird.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer den Verschlüsselungstyp auswählen, bevor Sie BitLocker aktivieren.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. Ändern Sie den Verschlüsselungstyp hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder Verschlüsselung durchgeführt wird. Wählen Sie die vollständige Verschlüsselung erforderlich ist, dass das gesamte Laufwerk verschlüsselt werden, wenn BitLocker aktiviert ist. Wählen Sie nur verwendeten Speicherplatz Verschlüsselung erforderlich ist, dass nur der Teil des Laufwerks, das verwendet wird, zum Speichern von Daten verschlüsselt werden, wenn BitLocker aktiviert ist.

System_CAPS_noteHinweis

Diese Richtlinie wird ignoriert, wenn verkleinern oder vergrößern ein Volume aus, und der BitLocker-Treiber verwendet die Verschlüsselung. Z. B. wenn ein Laufwerk, das nur verwendeten Speicherplatz Verschlüsselung verwendet erweitert wird, wird der neue Speicherplatz nicht zurückgesetzt wie für ein Laufwerk, das die vollständige Verschlüsselung verwendet. Der Benutzer konnte den freien Speicherplatz auf einem Laufwerk nur verwendeten Speicherplatz mit dem folgenden Befehl Zurücksetzen: Verwalten-Bde - w. Wenn das Volume verkleinert wird, ist keine Aktion für die neue freier Speicherplatz.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-Bde.

Diese Einstellung wird verwendet, um Wiederherstellungsmethoden für Betriebssystemlaufwerke konfigurieren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, wie mit BitLocker geschützte Laufwerke fehlen die erforderlichen Schlüssel Startinformationen wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Sie müssen die Verwendung von Wiederherstellungsschlüsseln unterbinden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

Wenn Sie Data Recovery Agents verwenden, müssen Sie aktivieren die eindeutige IDs für Ihre Organisation angeben Einstellung.

Wenn diese Option aktiviert

Sie können die Methoden steuern, die zum Wiederherstellen von BitLocker geschützte Betriebssystemlaufwerke Benutzern zur Verfügung stehen.

Wenn deaktiviert oder nicht konfiguriert

Die Standardoptionen für die Wiederherstellung werden für BitLocker-Wiederherstellung unterstützt. Standardmäßig ein Data Recovery Agent zulässig ist, wird durch den Benutzer (einschließlich das Wiederherstellungskennwort und Wiederherstellungsschlüssel) die Optionen angegeben werden können, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Die datenwiederherstellungs-Agents zulassen Kontrollkästchen wird verwendet, um anzugeben, ob ein Data Recovery Agent mit BitLocker geschützte Betriebssystemlaufwerke verwendet werden kann. Bevor ein Data Recovery Agent verwendet werden kann, muss er von hinzugefügt werden Richtlinien öffentlicher Schlüssel, der sich in der Gruppe Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder in den Editor für lokale Gruppenrichtlinien befindet.

Weitere Informationen zum Hinzufügen von datenwiederherstellungs-Agents finden Sie unter BitLocker-Basic-Bereitstellung.

In Benutzer Speichern von BitLocker-Wiederherstellungsinformationen konfigurieren, aus, ob Benutzer zulässig sind, erforderlich oder nicht zulässig, ein 48-stelliges Wiederherstellungskennwort zu generieren.

Wählen Sie weglassen Wiederherstellungsoptionen aus den BitLocker-Setup-Assistenten um zu verhindern, dass Benutzer Wiederherstellungsoptionen beim Aktivieren von BitLocker auf einem Laufwerk angeben. Dies bedeutet, dass Sie nicht angeben, welche Recovery-Option verwenden, wenn Sie BitLocker aktivieren können. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Einstellung bestimmt.

In Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory, wählen Sie die BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendienste (AD DS) für Betriebssystemlaufwerke speichern. Bei Auswahl von Wiederherstellung Kennwörter und Schlüssel Pakete speichern, das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert sind. Speichern das Schlüsselpaket unterstützt die Wiederherstellung von Daten von einer Festplatte, die physisch beschädigt ist. Wenn Sie die Option Store Wiederherstellungskennwort nur, nur das Wiederherstellungskennwort in AD DS gespeichert wird.

Wählen Sie die Aktivieren Sie BitLocker bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert ist nicht Kontrollkästchen, wenn Sie verhindern, dass Benutzer die Aktivierung von BitLocker, wenn der Computer mit der Domäne verbunden ist, und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS wird erfolgreich ausgeführt werden soll.

System_CAPS_noteHinweis

Wenn die Aktivieren Sie BitLocker bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert ist nicht das Kontrollkästchen aktiviert ist, wird ein Wiederherstellungskennwort automatisch generiert.

Diese Einstellung dient zum Konfigurieren von Wiederherstellungsmethoden für BitLocker-geschützten Laufwerken auf Computern unter Windows Server 2008 oder Windows Vista.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, ob der BitLocker-Setup-Assistent anzuzeigen und BitLocker-Wiederherstellungsoptionen angeben können.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerkstyp

Betriebssystem- und Festplattenlaufwerke auf Computern unter Windows Server 2008 und Windows Vista

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

Diese Einstellung bietet eine Verwaltungsmethode zum Wiederherstellen von Daten, die von BitLocker, um zu verhindern, dass Datenverlust aufgrund mangelnder Schlüsselinformationen verschlüsselt ist. Bei Auswahl der nicht zulassen Option müssen Sie für beide Benutzer Wiederherstellungsoptionen, Aktivieren der Store BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services (Windows Server 2008 und Windows Vista) Einstellung, um zu verhindern, dass einen Fehler.

Wenn diese Option aktiviert

Sie können die Optionen konfigurieren, die den Bitlocker-Setup-Assistenten für Benutzer angezeigt, für die Wiederherstellung mit BitLocker verschlüsselten Daten.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent stellt Benutzern Möglichkeiten, um Wiederherstellungsoptionen zu speichern.

Verweis

Diese Richtlinie gilt nur für Computer unter Windows Server 2008 oder Windows Vista. Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Zwei Wiederherstellungsoptionen können verwendet werden, zum Entsperren von BitLocker-verschlüsselte Daten fehlen die erforderlichen Schlüssel Startinformationen. Benutzer können ein 48 Ziffern bestehenden numerischen Wiederherstellungskennwort eingeben, oder sie können ein USB-Laufwerk, das einen 256-Bit-Wiederherstellungsschlüssel enthält einfügen.

Speichern das Wiederherstellungskennwort auf einem USB-Laufwerk speichert das 48-stellige Wiederherstellungskennwort als eine Textdatei und 256-Bit-Wiederherstellungsschlüssel als eine ausgeblendete Datei. In einem Ordner speichern, speichert das 48-stellige Wiederherstellungskennwort als Textdatei. Drucken, wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Zum Beispiel verhindert nicht gestattet, dass das 48-stellige Wiederherstellungskennwort drucken oder Speichern von Wiederherstellungsinformationen in einen Ordner.

System_CAPS_importantWichtig

Wenn der TPM-Initialisierung während der BitLocker-Setup ausgeführt wird, TPM-Besitzerinformationen speichern oder Drucken mit der BitLocker-Wiederherstellungsinformationen.

Das 48-stellige Wiederherstellungskennwort ist nicht im FIPS-Kompatibilitätsmodus verfügbar.

System_CAPS_importantWichtig

Um Datenverluste zu vermeiden, müssen Sie eine Möglichkeit zum Wiederherstellen von BitLocker-Verschlüsselungsschlüssel verfügen. Wenn Sie nicht beide Optionen Recovery zulassen, müssen Sie die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Fehler auf.

Diese Einstellung wird verwendet, um die Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS zu konfigurieren. Dadurch wird eine Verwaltungsmethode zum Wiederherstellen von Daten, die von BitLocker, um zu verhindern, dass Datenverlust aufgrund mangelnder Schlüsselinformationen verschlüsselt ist.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die AD DS-Sicherung von der BitLocker-Wiederherstellungsinformationen verwalten.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerkstyp

Betriebssystem- und Festplattenlaufwerke Laufwerke auf Computern unter Windows Server 2008 und Windows Vista.

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

NONE

Wenn diese Option aktiviert

BitLocker-Wiederherstellungsinformationen wird automatisch und im Hintergrund in AD DS gesichert, wenn BitLocker für einen Computer aktiviert ist.

Wenn deaktiviert oder nicht konfiguriert

BitLocker-Wiederherstellungsinformationen nicht in AD DS gesichert wird.

Verweis

Diese Richtlinie gilt nur für Computer unter Windows Server 2008 oder Windows Vista.

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

BitLocker-Wiederherstellungsinformationen enthält das Wiederherstellungskennwort und der eindeutige Bezeichnerdaten. Sie können auch ein Paket einschließen, die einen Schlüssel für ein mit BitLocker geschütztes Laufwerk enthält. Dieses Schlüsselpaket wird durch eine oder mehrere Wiederherstellungskennwörter gesichert, und es können spezielle Wiederherstellung durchführen, wenn der Datenträger beschädigt oder fehlerhaft ist.

Wenn Sie die Option erfordern BitLocker-Sicherung in AD DS, BitLocker nicht aktiviert werden, wenn der Computer mit der Domäne verbunden ist und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Diese Option ist standardmäßig ausgewählt, um sicherzustellen, dass BitLocker-Wiederherstellung möglich ist.

Ein Wiederherstellungskennwort ist eine 48-stellige Zahl, die Zugriff auf ein mit BitLocker geschütztes Laufwerk entsperrt. Ein Schlüsselpaket enthält ein Laufwerk BitLocker-Verschlüsselungsschlüssel, der durch einen oder mehrere Wiederherstellungskennwörter gesichert ist. Schlüsselpakete können Sie spezielle Wiederherstellung durchführen, wenn der Datenträger beschädigt oder fehlerhaft ist.

Wenn die erfordern BitLocker-Sicherung in AD DS nicht ausgewählt ist, AD DS-Sicherung versucht wird, aber Netzwerk- oder anderen Sicherungsfehler verhindern nicht, dass die BitLocker-Setup. Der Backup-Prozess nicht automatisch erneut ausgeführt, und das Wiederherstellungskennwort möglicherweise nicht in AD DS gespeichert werden, während der BitLocker-Setup.

TPM-Initialisierung möglicherweise bei der BitLocker-Setup benötigt werden. Aktivieren der TPM Sicherung in Active Directory-Domänendiensten aktivieren Einstellung Computer Configuration\Administrative Templates\System\Trusted Platform Module-Dienste um sicherzustellen, dass die TPM-Informationen ebenfalls gesichert werden.

Weitere Informationen zu dieser Einstellung finden Sie unter TPM Sicherung in Active Directory-Domänendiensten aktivieren.

Wenn Sie Domänencontroller unter Windows Server 2003 mit Service Pack 1 verwenden, müssen Sie entsprechende schemaerweiterungen einrichten und Einstellungen in der Domäne zugreifen, bevor Sie eine Sicherung in AD DS erfolgreich ausgeführt werden kann. Weitere Informationen finden Sie unter Sichern von BitLocker- und TPM-Wiederherstellungsinformationen in AD DS.

Diese Einstellung wird verwendet, um den Standardordner zum Wiederherstellen von Kennwörtern zu konfigurieren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Standardpfad angeben, der angezeigt wird, wenn der BitLocker-Setup-Assistent den Benutzer zur Eingabe der Speicherort eines Ordners in dem Sie das Wiederherstellungskennwort speichern aufgefordert werden.

Eingeführt

Windows Vista

Laufwerkstyp

Alle Laufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

NONE

Wenn diese Option aktiviert

Sie können den Pfad angeben, der als der Standardspeicherort verwendet wird, wenn der Benutzer die Option aus, um das Wiederherstellungskennwort in einem Ordner zu speichern. Sie können einen vollqualifizierten Pfad angeben oder des Zielcomputers-Umgebungsvariablen im Pfad enthalten. Wenn der Pfad nicht gültig ist, Ansicht der BitLocker-Setup-Assistent den Computer Ordner der obersten Ebene.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent Ansicht des Computers Ordner der obersten Ebene, wenn der Benutzer die Option aus, um das Wiederherstellungskennwort in einem Ordner zu speichern.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

System_CAPS_noteHinweis

Diese Einstellung verhindert nicht, dass den Benutzer das Wiederherstellungskennwort in einem anderen Ordner speichern.

Diese Einstellung wird verwendet, um Wiederherstellungsmethoden für Festplattenlaufwerke konfigurieren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, wie BitLocker-geschützte Festplattenlaufwerke Laufwerke fehlen die erforderlichen Anmeldeinformationen wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

Sie müssen die Verwendung von Wiederherstellungsschlüsseln unterbinden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

Wenn Sie Data Recovery Agents verwenden, müssen Sie aktivieren und Konfigurieren der eindeutige IDs für Ihre Organisation angeben Einstellung.

Wenn diese Option aktiviert

Sie können die Methoden steuern, die zum Wiederherstellen von BitLocker geschützte integrierte Datenlaufwerke Benutzern zur Verfügung stehen.

Wenn deaktiviert oder nicht konfiguriert

Die Standardoptionen für die Wiederherstellung werden für BitLocker-Wiederherstellung unterstützt. Standardmäßig ein Data Recovery Agent zulässig ist, wird durch den Benutzer (einschließlich das Wiederherstellungskennwort und Wiederherstellungsschlüssel) die Optionen angegeben werden können, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Die datenwiederherstellungs-Agents zulassen Kontrollkästchen wird verwendet, um anzugeben, ob ein Data Recovery Agent mit BitLocker geschützte integrierte Datenlaufwerke verwendet werden kann. Bevor ein Data Recovery Agent verwendet werden kann, muss er von hinzugefügt werden Richtlinien öffentlicher Schlüssel, der sich in der Gruppe Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder in den Editor für lokale Gruppenrichtlinien befindet.

In Benutzer Speichern von BitLocker-Wiederherstellungsinformationen konfigurieren, aus, ob Benutzer zulässig sind, erforderlich sind oder ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren nicht zulässig.

Wählen Sie weglassen Wiederherstellungsoptionen aus den BitLocker-Setup-Assistenten um zu verhindern, dass Benutzer Wiederherstellungsoptionen beim Aktivieren von BitLocker auf einem Laufwerk angeben. Dies bedeutet, dass Sie die Wiederherstellungsoption zu verwenden, wenn Sie BitLocker aktivieren angeben können. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Einstellung bestimmt.

In Speichern von BitLocker-Wiederherstellungsinformationen auf Active Directory-Domänendienste, wählen Sie die BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke zu speichern. Wenn Sie die Option Backup Wiederherstellungskennwort und Schlüsselpaket, das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert sind. Speichern das Schlüsselpaket unterstützt die Wiederherstellung von Daten von einer Festplatte, die physisch beschädigt wurde. Um diese Daten wiederherzustellen, können Sie die Repair-Bde -Befehlszeilentool. Wenn Sie die Option Wiederherstellungskennwort nur Sicherung, nur das Wiederherstellungskennwort in AD DS gespeichert wird.

Weitere Informationen zu BitLocker-Reparaturtool, finden Sie unter Repair-Bde.

Wählen Sie die Aktivieren Sie BitLocker bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert ist nicht Kontrollkästchen, wenn Sie verhindern, dass Benutzer die Aktivierung von BitLocker, wenn der Computer mit der Domäne verbunden ist, und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS wird erfolgreich ausgeführt werden soll.

System_CAPS_noteHinweis

Wenn die Aktivieren Sie BitLocker bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert ist nicht das Kontrollkästchen aktiviert ist, wird ein Wiederherstellungskennwort automatisch generiert.

Diese Einstellung wird verwendet, um Wiederherstellungsmethoden für Wechseldatenträger konfigurieren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, wie mit BitLocker geschützte Wechseldatenträger Laufwerke fehlen die erforderlichen Anmeldeinformationen wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

Sie müssen die Verwendung von Wiederherstellungsschlüsseln unterbinden, wenn die Verweigern des Schreibzugriffs auf nicht mit BitLocker geschützte Wechseldatenträger aktiviert ist.

Wenn Sie Data Recovery Agents verwenden, müssen Sie aktivieren und Konfigurieren der eindeutige IDs für Ihre Organisation angeben Einstellung.

Wenn diese Option aktiviert

Sie können die Methoden steuern, die zum Wiederherstellen von BitLocker geschützte Wechseldatenträger Benutzern zur Verfügung stehen.

Wenn deaktiviert oder nicht konfiguriert

Die Standardoptionen für die Wiederherstellung werden für BitLocker-Wiederherstellung unterstützt. Standardmäßig ein Data Recovery Agent zulässig ist, wird durch den Benutzer (einschließlich das Wiederherstellungskennwort und Wiederherstellungsschlüssel) die Optionen angegeben werden können, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren.

Die datenwiederherstellungs-Agents zulassen Kontrollkästchen wird verwendet, um anzugeben, ob ein Data Recovery Agent mit BitLocker geschützte Wechseldatenträger verwendet werden kann. Bevor ein Data Recovery Agent verwendet werden kann, muss er von hinzugefügt werden Richtlinien öffentlicher Schlüssel , mit der Gruppenrichtlinien-Verwaltungskonsole oder den Editor für lokale Gruppenrichtlinien zugegriffen wird.

In Benutzer Speichern von BitLocker-Wiederherstellungsinformationen konfigurieren, aus, ob Benutzer zulässig sind, erforderlich oder nicht zulässig, ein 48-stelliges Wiederherstellungskennwort zu generieren.

Wählen Sie weglassen Wiederherstellungsoptionen aus den BitLocker-Setup-Assistenten um zu verhindern, dass Benutzer Wiederherstellungsoptionen beim Aktivieren von BitLocker auf einem Laufwerk angeben. Dies bedeutet, dass Sie die Wiederherstellungsoption zu verwenden, wenn Sie BitLocker aktivieren angeben können. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Einstellung bestimmt.

In Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory, wählen Sie die BitLocker-Wiederherstellungsinformationen in AD DS für Wechseldatenträger zu speichern. Wenn Sie die Option Backup Wiederherstellungskennwort und Schlüsselpaket, das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert sind. Wenn Sie die Option Wiederherstellungskennwort nur Sicherung, nur das Wiederherstellungskennwort in AD DS gespeichert wird.

Wählen Sie die Aktivieren Sie BitLocker nicht, bis die Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert ist Kontrollkästchen, wenn Sie verhindern, dass Benutzer die Aktivierung von BitLocker, wenn der Computer mit der Domäne verbunden ist, und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS wird erfolgreich ausgeführt werden soll.

System_CAPS_noteHinweis

Wenn die Aktivieren Sie BitLocker bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert ist nicht das Kontrollkästchen aktiviert ist, wird ein Wiederherstellungskennwort automatisch generiert.

Diese Einstellung wird verwendet, um die gesamte Wiederherstellungsschlüssel-Nachricht zu konfigurieren und zum Ersetzen der vorhandenen URL, die auf dem wiederherstellungsbildschirm Pre-Boot-angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die BitLocker-wiederherstellungsbildschirm zum Anzeigen einer benutzerdefinierten Meldung und URL konfigurieren.

Eingeführt

Windows 10

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration \ Administrative Vorlagen \ Windows-Komponenten \ BitLocker Drive Encryption \ Betriebssystemlaufwerke \ Pre-Boot-Recovery-Nachricht und -URL konfigurieren

Konflikte

NONE

Wenn diese Option aktiviert

Die benutzerdefinierte Meldung und der URL werden auf dem wiederherstellungsbildschirm Pre-Boot-angezeigt. Wenn Sie eine benutzerdefinierte Wiederherstellung Meldung URL, und möchten die Standardnachricht und URL Wiederherstellen zuvor aktiviert haben, müssen Sie die Einstellung aktiviert bleiben und Auswählen der Wiederherstellung Standardnachricht und URL verwenden Option.

Wenn deaktiviert oder nicht konfiguriert

Wenn die Einstellung nicht aktiviert ist der Pre-Boot-Wiederherstellung Standardbildschirm für BitLocker-Wiederherstellung angezeigt. Wenn die Einstellung zuvor aktiviert wurde und wird anschließend deaktiviert die letzte Nachricht in der Windows-Verwaltungsinstrumentation (Boot Configuration Data, BCD) angezeigt, ob die Wiederherstellung Standard oder die benutzerdefinierte Meldung war.

Verweis

Aktivieren der konfigurieren den Pre-Boot-Recovery-Nachricht und die URL Richtlinie können Sie die Standardnachricht Recovery-Bildschirm und die URL, um Kunden bei der Wiederherstellung ihrer Schlüssels anpassen.

Nachdem Sie die Einstellung aktivieren, haben Sie drei Optionen:

  • Bei Auswahl der Wiederherstellung Standardnachricht und URL verwenden Option, die Standardnachricht für BitLocker-Wiederherstellung und die URL auf dem wiederherstellungsbildschirm Pre-Boot-angezeigt werden.

  • Bei Auswahl der verwenden benutzerdefinierte Wiederherstellung Nachricht option, und geben Sie die benutzerdefinierte Meldung in das benutzerdefinierte Meldung Wiederherstellungsoption Textfeld. Die Nachricht, die Sie eingeben der benutzerdefinierte Meldung Wiederherstellungsoption auf dem wiederherstellungsbildschirm Pre-Boot-wird im Textfeld angezeigt. Wenn eine URL für die Wiederherstellung verfügbar ist, wird eingeschlossen Sie es in der Nachricht.

  • Bei Auswahl der Verwenden Sie benutzerdefinierte Wiederherstellung URL option, geben Sie die URL der benutzerdefinierten Meldung in die benutzerdefinierte Wiederherstellungsoption URL Textfeld. Die URL, die Eingabe in die benutzerdefinierte Wiederherstellungsoption URL Textfeld ersetzt die Standard-URL in die Standardnachricht für die Wiederherstellung, der auf dem wiederherstellungsbildschirm Pre-Boot-angezeigt wird.

System_CAPS_importantWichtig

Nicht alle Zeichen und Sprachen werden in der Pre-Boot-Umgebung unterstützt. Es wird dringend empfohlen, dass Sie die richtige Darstellung der Zeichen überprüfen, die Sie für die benutzerdefinierte Meldung und die URL auf dem Bildschirm Pre-Boot-Recovery verwenden.

System_CAPS_importantWichtig

Da Sie BCDEdit-Befehlen manuell ändern können, bevor Sie Gruppenrichtlinien festgelegt haben, können Sie die Einstellung an die Standardeinstellung zurückgeben, durch Auswählen der nicht konfiguriert option, wenn Sie diese Einstellung konfiguriert haben. Die Standardeinstellung wiederherstellen Pre-Boot-wiederherstellungsbildschirm, lassen Sie die Einstellung aktiviert, und wählen Sie die Standardnachricht verwenden Optionen aus den Wählen Sie eine Option für die Wiederherstellung der Pre-Boot-Nachricht im Dropdown Listenfeld.

Diese Richtlinie steuert, wie BitLocker-fähiges System Volumes in Verbindung mit dem sicheren Start Feature behandelt werden. Die Aktivierung dieser Funktion erzwingt sicherer Start Überprüfung während des Startvorgangs und (Boot Configuration Data, BCD) Einstellungen entsprechend der Richtlinie Sicherer Start überprüft wird.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob Secure Boot für Betriebssystemlaufwerke BitLocker als Plattform Integrität Anbieter zulässig ist.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Alle Laufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Wenn die Konfigurieren TPM-Plattformvalidierungsprofil für native UEFI Firmware Configurations der Gruppenrichtlinie aktiviert ist, und PCR 7 ausgelassen wird, wird BitLocker mithilfe von sicheren Start für die Plattform oder Überprüfung der Datenintegrität BCD verhindert.

Weitere Informationen zu PCR-7 finden Sie unter Informationen zu der Plattformkonfigurationsregister (PCR) in diesem Thema.

Wenn aktiviert oder nicht konfiguriert

BitLocker verwendet sicherer Start für Plattformintegrität, wenn die Plattform sicherer Start basierende integritätsüberprüfung kann.

Wenn deaktiviert

BitLocker verwendet integritätsüberprüfung der legacy-Plattform, auch in der Überprüfung der Datenintegrität Secure Boot-basierten Systemen.

Verweis

Secure Boot wird sichergestellt, dass der Computer preboot-Umgebung nur Firmware lädt, die von autorisierten Softwareherausgeber digital signiert ist. Secure Boot bietet auch mehr Flexibilität beim Verwalten von Pre-Boot-Konfigurationen als BitLocker Integrität vor dem überprüft Windows Server 2012 und Windows 8.

Wenn diese Richtlinie aktiviert ist, und die Hardware mithilfe von sicheren Start für BitLocker-Szenarien kann, die Use enhanced Boot Configuration Daten Validation Profile Gruppenrichtlinien-Einstellung wird ignoriert, und sicherer Start überprüft BCD-Einstellungen gemäß der Einstellung der sicheren Start-Richtlinie, die getrennt von BitLocker konfiguriert ist.

System_CAPS_warningWarnung

Diese Richtlinie aktivieren, kommen BitLocker-Wiederherstellung, wenn herstellerspezifische Firmware aktualisiert wird. Wenn Sie diese Richtlinie deaktivieren, halten Sie BitLocker vor dem Firmware-Updates anwenden.

Diese Einstellung wird verwendet, um einen Bezeichner einzurichten, der auf alle Laufwerke angewendet wird, die in Ihrer Organisation verschlüsselt werden.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie Organisationseinheiten UIDs auf ein neues Laufwerk, das aktiviert ist mit BitLocker zuordnen.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Alle Laufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

Identifizierende Felder werden zur Verwaltung von zertifikatbasierten datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken. BitLocker verwaltet und aktualisiert zertifikatbasierte Data Recovery Agents, nur, wenn das ID-Feld auf einem Laufwerk vorhanden ist, und es ist identisch mit dem Wert, der auf dem Computer konfiguriert ist.

Wenn diese Option aktiviert

Sie können konfigurieren, das ID-Feld auf das mit BitLocker geschützte Laufwerk und zulässige ID-Feld, das von Ihrer Organisation verwendet wird.

Wenn deaktiviert oder nicht konfiguriert

Das ID-Feld ist nicht erforderlich.

Verweis

Diese Bezeichner werden als das ID-Feld und das Kennungsfeld zulässigen gespeichert. Das ID-Feld können Sie eine eindeutige Organisations-ID für BitLocker geschützte Laufwerke zuordnen. Dieser Bezeichner wird automatisch auf neue BitLocker-geschützten Laufwerken hinzugefügt und auf BitLocker-geschützten Laufwerken mit aktualisiert werden die Manage-Bde -Befehlszeilentool.

Ein ID-Feld ist erforderlich, um zertifikatbasierten datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken und potenzielle Updates für die BitLocker To Go-Lesetool zu verwalten. BitLocker verwaltet und aktualisiert Data Recovery Agents, nur, wenn das ID-Feld auf dem Laufwerk mit dem Wert übereinstimmt, der im ID-Feld konfiguriert ist. Auf ähnliche Weise aktualisiert BitLocker das BitLocker To Go-Lesetool nur, wenn das ID-Feld auf dem Laufwerk mit dem Wert übereinstimmt, der für das ID-Feld konfiguriert ist.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-Bde.

Das zulässige ID-Feld wird verwendet, in Kombination mit der Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt Einstellung, um die Verwendung von Wechselmedien steuern Laufwerke in Ihrer Organisation. Es ist eine durch Trennzeichen getrennte Liste der identifizierende Felder aus der Organisation oder externen Organisationen.

Sie können die ID-Felder auf Laufwerken konfigurieren, mit der Manage-Bde -Befehlszeilentool.

Wenn ein mit BitLocker geschütztes Laufwerk auf einem anderen BitLocker-aktivierten Computer bereitgestellt ist, werden das ID-Feld und das zulässige ID-Feld verwendet, zu bestimmen, ob das Laufwerk aus einer externen Organisation ist.

Mehrere durch Kommas getrennte Werte können die Identifizierung eingegeben und Identifizierungsfelder zulässig. Das ID-Feld kann einen beliebigen Wert bis zu 260 Zeichen sein.

Diese Einstellung wird verwendet, zu steuern, ob der Arbeitsspeicher des Computers das nächste Mal überschrieben, das der Computer neu gestartet wird.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Leistung des Computers Neustart Ihres Verfügbarmachen von BitLocker-Schlüssel steuern.

Eingeführt

Windows Vista

Laufwerkstyp

Alle Laufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-komponenten\bitlocker-Laufwerkverschlüsselung

Konflikte

NONE

Wenn diese Option aktiviert

Der Computer wird Arbeitsspeicher nicht überschrieben, beim Neustart. Verhindert, dass Speicher überschreiben kann die Leistung beim Neustart verbessern, aber es erhöht das Risiko der Offenlegung von BitLocker-Schlüssel.

Wenn deaktiviert oder nicht konfiguriert

Beim Neustart des Computers, werden geheime BitLocker-Informationen aus dem Arbeitsspeicher entfernt.

Verweis

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren. BitLocker-Schlüssel enthalten Schlüsselmaterial, das zum Verschlüsseln von Daten verwendet wird. Diese Einstellung gilt nur, wenn der BitLocker-Schutz aktiviert ist.

Diese Einstellung bestimmt, welche Werte TPM gemessen, wenn es früher Startkomponenten überprüft, bevor es ein Laufwerk des Betriebssystems auf einem Computer mit einer BIOS-Konfiguration oder mit UEFI-Firmware, die die Kompatibilität Unterstützung Module (CSM entsperrt) aktiviert ist.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Sie können die Boot-Komponenten konfigurieren, die vom TPM validiert werden, bevor Sie den Zugriff auf die BitLocker-verschlüsselte Betriebssystemlaufwerk. Wenn eine dieser Komponenten ändern, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Der Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt und erfordert, dass das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

Das TPM verwendet das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setup-Skript angegeben wird.

Verweis

Diese Einstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert wurde.

System_CAPS_importantWichtig

Gruppenrichtlinien-Einstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit dem CSM aktiviert. Auf Computern mit systemeigener UEFI-Firmwarekonfiguration werden verschiedene Werte in den Plattformkonfigurationsregistern (PCRs) speichern. Verwenden Sie die Konfigurieren TPM-Plattformvalidierungsprofil für native UEFI Firmware Configurations Gruppenrichtlinie so konfigurieren Sie das TPM-PCR-Profil für Computer, die systemeigene UEFI-Firmware verwendet.

Eine Plattformvalidierungsprofil besteht aus einem Satz von PCR-Indizes, die zwischen 0 und 23 liegen. Das Standard-Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel für Änderungen an der folgenden:

  • Core-Stamm der Vertrauenswürdigkeit der Messung (CRTM) und BIOS-Erweiterungen (PCR 0)

  • Option-ROM-Code (PCR 2)

  • Master Boot Record (MBR)-Code (PCR-4)

  • NTFS-Bootsektor (PCR 8)

  • NTFS-Boot-Block (PCR-9)

  • Start-Manager (PCR 10)

  • BitLocker-Access Control (PCR 11)

System_CAPS_noteHinweis

Ändern von Standard-Plattformvalidierungsprofil wirkt sich auf die Sicherheit und Verwaltung des Computers. BitLocker Empfindlichkeit gegenüber Plattform Änderungen (böswillige oder autorisierte) erhöht oder verringert wird je nach Einschluss oder Ausschluss (jeweils) der PCRS dargestellt.

Die folgende Liste enthält alle von der PCRS-Anwendung zur Verfügung:

  • PCR 0: Core des-Vertrauensstellung für die Messung, BIOS und Plattform Erweiterungen

  • PCR 1: Konfiguration von Plattform und Hauptplatine und Daten.

  • PCR 2: Option-ROM-code

  • PCR 3: Option-ROM-Daten und Konfigurationsinformationen

  • PCR 4: Master Boot Record (MBR)-code

  • PCR 5: Master Boot Record (MBR)-Partitionstabelle

  • PCR 6: Übergang zu Status und Ereignisse aktiviert werden

  • PCR 7: Computer herstellerspezifische

  • PCR 8: NTFS-Bootsektor

  • PCR 9: NTFS-Startblock

  • PCR 10: Start-manager

  • PCR 11: BitLocker-Zugriffskontrolle

  • PCR-12-23: für die zukünftige Verwendung reserviert

Diese Einstellung bestimmt, welche Werte TPM gemessen, wenn es früher Startkomponenten validiert werden, bevor das Entsperren des Laufwerks auf einem Computer unter Windows Vista, Windows Server 2008 oder Windows 7.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Sie können die Boot-Komponenten konfigurieren, die vom TPM validiert werden, bevor Sie den Zugriff auf die BitLocker-verschlüsselte Betriebssystemlaufwerk. Wenn eine dieser Komponenten ändern, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Der Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt und erfordert, dass das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

Das TPM verwendet das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setup-Skript angegeben wird.

Verweis

Diese Einstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert ist.

Eine Plattformvalidierungsprofil besteht aus einem Satz von PCR-Indizes, die zwischen 0 und 23 liegen. Das Standard-Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel für Änderungen an der folgenden:

  • Core-Stamm der Vertrauenswürdigkeit der Messung (CRTM) und BIOS-Erweiterungen (PCR 0)

  • Option-ROM-Code (PCR 2)

  • Master Boot Record (MBR)-Code (PCR-4)

  • NTFS-Bootsektor (PCR 8)

  • NTFS-Boot-Block (PCR-9)

  • Start-Manager (PCR 10)

  • BitLocker-Access Control (PCR 11)

System_CAPS_noteHinweis

Die TPM Validierung Profil PCR für Computer, die eine Extensible Firmware Interface (EFI) sind die PCRs 0, 2, 4 und nur 11.

Die folgende Liste enthält alle von der PCRS-Anwendung zur Verfügung:

  • PCR 0: Core-des-Vertrauensstellung für Messung, EFI-Start und Laufzeitdienste, EFI-Treiber im System-ROM, statischen ACPI-Tabellen, eingebetteten SMM-Code und BIOS-Code eingebettet

  • PCR 1: Konfiguration von Plattform und Hauptplatine und Daten. Übergabe Tabellen und EFI-Variablen, die Systemkonfiguration auswirken.

  • PCR 2: Option-ROM-code

  • PCR 3: Option-ROM-Daten und Konfigurationsinformationen

  • PCR 4: Master Boot Record (MBR) Code oder Code aus anderen Startgeräte

  • PCR 5: Master Boot Record (MBR) der Partitionstabelle. Verschiedene EFI-Variablen und der GPT-Tabelle

  • PCR 6: Übergang zu Status und Ereignisse aktiviert werden

  • PCR 7: Computer herstellerspezifische

  • PCR 8: NTFS-Bootsektor

  • PCR 9: NTFS-Startblock

  • PCR 10: Start-manager

  • PCR 11: BitLocker-Zugriffskontrolle

  • PCR-12-23: für die zukünftige Verwendung reserviert

System_CAPS_warningWarnung

Ändern von Standard-Plattformvalidierungsprofil wirkt sich auf die Sicherheit und Verwaltung des Computers. BitLocker Empfindlichkeit gegenüber Plattform Änderungen (böswillige oder autorisierte) erhöht oder verringert wird je nach Einschluss oder Ausschluss (jeweils) der PCRS dargestellt.

Diese Einstellung bestimmt, welche Werte das TPM misst, wenn es früher Startkomponenten validiert werden, bevor ein Laufwerk des Betriebssystems auf einem Computer mit native UEFI Firmware Configurations entsperren.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, wie die Trusted Platform Module (TPM)-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Durch Festlegen dieser Richtlinie PCR 7 weggelassen wird, überschreibt die Zulassen sicherer Start für die integritätsüberprüfung Gruppenrichtlinie, und es wird verhindert, dass BitLocker sicherer Start für die Plattform oder Überprüfung der Datenintegrität (Boot Configuration Data, BCD).

Wenn die Umgebung für die Plattform überprüft TPM und sicherem starten verwenden, sollte diese Richtlinie nicht konfiguriert werden.

Weitere Informationen zu PCR-7 finden Sie unter Informationen zu der Plattformkonfigurationsregister (PCR) in diesem Thema.

Wenn diese Option aktiviert

Bevor Sie BitLocker aktivieren, können Sie die Boot-Komponenten konfigurieren, dass das TPM überprüft, bevor sie den Zugriff auf das BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt. Wenn eine dieser Komponenten ändern, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entschlüsseln des Laufwerks nicht frei. Der Computer wird stattdessen die BitLocker-Wiederherstellungskonsole angezeigt und erfordert, dass das Wiederherstellungskennwort oder den Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

BitLocker verwendet das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setup-Skript angegeben wird.

Verweis

Diese Einstellung gilt nicht, wenn der Computer nicht über ein kompatibles TPM verfügt oder BitLocker bereits mit TPM-Schutz aktiviert ist.

System_CAPS_importantWichtig

Gruppenrichtlinien-Einstellung gilt nur für Computer mit systemeigener UEFI-Firmwarekonfiguration. Computer mit BIOS oder UEFI-Firmware mit einem Kompatibilitätsgrad Unterstützung Module (CSM) aktiviert werden verschiedene Werte in den Plattformkonfigurationsregistern (PCRs) speichern. Verwenden der Konfigurieren TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen Gruppenrichtlinie so konfigurieren Sie das TPM-PCR-Profil für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit einem CSM aktiviert.

Eine Plattformvalidierungsprofil besteht aus einem Satz von Plattform Konfiguration registrieren (PCR) Indizes im Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel vor Änderungen an den Core System Firmware ausführbaren Code (PCR 0), erweitert oder austauschbare ausführbaren Code (PCR-2), Start-Manager (PCR-4) und die BitLocker-Zugriffssteuerungslisten (PCR 11).

Die folgende Liste enthält alle von der PCRS-Anwendung zur Verfügung:

  • PCR 0: Core Systemfirmware ausführbaren code

  • PCR 1: Systemfirmware Core-Daten

  • PCR 2: Erweiterte oder austauschbare ausführbaren code

  • PCR 3: Erweiterte oder austauschbare Firmware-Daten

  • PCR 4: Start-Manager

  • PCR 5: Die GPT-Partition Tabelle

  • PCR 6: Fortsetzen Sie aus S4 und S5 Energiestatus-Ereignisse

  • PCR 7: Sichere Startstatus

    Weitere Informationen zu diesem PCR, finden Sie unter Informationen zu der Plattformkonfigurationsregister (PCR) in diesem Thema.

  • PCR 8: Mit 0 initialisiert, mit der keine erweitert (reserviert für zukünftige Verwendung)

  • PCR 9: Mit 0 initialisiert, mit der keine erweitert (reserviert für zukünftige Verwendung)

  • PCR 10: Mit 0 initialisiert, mit der keine erweitert (reserviert für zukünftige Verwendung)

  • PCR 11: BitLocker-Zugriffskontrolle

  • PCR 12: Daten und stark veränderlichen Ereignisse

  • PCR 13: Start-Moduldetails

  • PCR 14: Boot Behörden

  • PCR 15 – 23: für die zukünftige Verwendung reserviert

System_CAPS_warningWarnung

Ändern von Standard-Plattformvalidierungsprofil wirkt sich auf die Sicherheit und Verwaltung des Computers. BitLocker Empfindlichkeit gegenüber Plattform Änderungen (böswillige oder autorisierte) erhöht oder verringert wird je nach Einschluss oder Ausschluss (jeweils) der PCRS dargestellt.

Diese Einstellung bestimmt, ob Sie möchten plattformvalidierungsdaten aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Ein Daten-Plattformvalidierungsprofil bestehen aus den Werten in einem Satz von Indizes (Platform Configuration registrieren, PCR) zwischen 0 und 23.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie steuern, ob plattformvalidierungsdaten aktualisiert werden, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

NONE

Wenn diese Option aktiviert

Plattformvalidierungsdaten werden aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Wenn deaktiviert

Plattformvalidierungsdaten werden nicht aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Wenn nicht konfiguriert

Plattformvalidierungsdaten werden aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Verweis

Weitere Informationen zur Wiederherstellung finden Sie unter der Für die BitLocker-Wiederherstellung.

Diese Einstellung bestimmt, während der plattformvalidierung bestimmte (Boot Configuration Data, BCD) Einstellungen. Eine Plattform-Überprüfung verwendet die Daten in das Plattformvalidierungsprofil, das einem Satz von Indizes (Platform Configuration registrieren, PCR) zwischen 0 und 23 besteht.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie die Einstellungen (Boot Configuration Data, BCD) während der plattformvalidierung angeben.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerkstyp

Betriebssystemlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerksverschlüsselung\betriebssystemlaufwerke

Konflikte

Wenn BitLocker sicherer Start für die Plattform und Startkonfigurationsdaten, verwendet die Use enhanced Boot Configuration Daten Validation Profile Gruppenrichtlinien-Einstellung wird ignoriert (gemäß der Zulassen sicherer Start für die integritätsüberprüfung Gruppenrichtlinie).

Wenn diese Option aktiviert

Sie können zusätzliche BCD-Einstellungen hinzufügen, schließen Sie die BCD-Einstellungen, die Sie angeben, oder Kombinieren von ein- und Ausschlussregeln Listen zum Erstellen eines benutzerdefinierten BCD-Überprüfung-Profils, was Ihnen die Möglichkeit, die BCD-Einstellungen zu überprüfen.

Wenn deaktiviert

Der Computer wird zurückgesetzt, um eine Überprüfung der BCD-Profil ähnlich dem standardmäßigen Startkonfigurationsdaten-Profil, mit dem Windows 7.

Wenn nicht konfiguriert

Der Computer wird überprüft, ob die Standardeinstellungen für die Startkonfigurationsdaten in Windows.

Verweis

System_CAPS_noteHinweis

Die Einstellung, die Startdebugger (steuert, 0 x 16000010) steuert, wird immer überprüft, und es hat keine Auswirkung, wenn er in die Aufzählung oder der Ausschlussliste enthalten ist.

Diese Einstellung wird verwendet, um zu steuern, ob Zugriff auf Laufwerke mit dem BitLocker To Go-Lesetool zulässig ist, und die Anwendung auf dem Laufwerk installiert ist.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob die Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind nicht gesperrt und auf Computern unter Windows Vista, Windows XP mit Service Pack 3 (SP3) oder Windows XP mit Service Pack 2 (SP2) angezeigt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Festplattenlaufwerke

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\festplattenlaufwerke

Konflikte

NONE

Bei aktivierter und nicht konfiguriert

Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind auf Computern unter Windows Server 2008, Windows Vista, Windows XP SP3 oder Windows XP mit SP2 entsperrt und ihre Inhalte angezeigt werden kann. Diese Betriebssysteme verfügen über schreibgeschützten Zugriff auf BitLocker-geschützten Laufwerken.

Wenn deaktiviert

Die mit dem FAT-Dateisystem formatiert sind und BitLocker-geschützte Festplattenlaufwerke können nicht auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2 nicht entsperrt werden. BitLocker To Go-Lesetool (bitlockertogo.exe) ist nicht installiert.

Verweis

System_CAPS_noteHinweis

Diese Einstellung gilt nicht für Laufwerke, die mit dem NTFS-Dateisystem formatiert sind.

Wenn diese Einstellung aktiviert ist, wählen Sie die Installieren Sie BitLocker To Go-Lesetool auf FAT-formatiert Festplattenlaufwerke nicht das Kontrollkästchen, um zu verhindern, dass Benutzer ihre Festplattenlaufwerke BitLocker To Go-Lesetool ausführen. Wenn BitLocker To Go-Lesetool (bitlockertogo.exe) auf einem Laufwerk vorhanden ist, die keine haben ein ID-Feld angegeben ist oder wenn das Laufwerk mit der gleichen ID-Feld als hat angegeben der stellen eindeutige Bezeichner für Ihre Organisation Richtlinie festlegen, der Benutzer wird aufgefordert, zum Aktualisieren von BitLocker und BitLocker To Go-Lesetool wird vom Laufwerk gelöscht. In diesem Fall für den festen Laufwerk auf Computern mit Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt werden muss BitLocker To Go-Lesetool auf dem Computer installiert werden. Wenn dieses Kontrollkästchen nicht aktiviert ist, wird BitLocker To Go-Lesetool auf dem Festplattenlaufwerk können auch Benutzer zum Entsperren des Laufwerks auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2 installiert.

Diese Einstellung steuert den Zugriff auf Wechseldatenträger, die verwenden das BitLocker To Go-Lesetool und gibt an, ob das BitLocker To Go-Lesetool auf dem Laufwerk installiert werden kann.

Beschreibung der Richtlinie

Mit dieser Einstellung können Sie konfigurieren, ob der Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind nicht gesperrt und auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2, angezeigt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerkstyp

Wechseldatenträger

Richtlinienpfad

Computer Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\bitlocker-Laufwerkverschlüsselung\wechseldatenträger

Konflikte

NONE

Bei aktivierter und nicht konfiguriert

Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2 entsperrt und ihre Inhalte angezeigt werden kann. Diese Betriebssysteme verfügen über schreibgeschützten Zugriff auf BitLocker-geschützten Laufwerken.

Wenn deaktiviert

Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, die BitLocker-geschützte können nicht auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2 nicht entsperrt werden. BitLocker To Go-Lesetool (bitlockertogo.exe) ist nicht installiert.

Verweis

System_CAPS_noteHinweis

Diese Einstellung gilt nicht für Laufwerke, die mit dem NTFS-Dateisystem formatiert sind.

Wenn diese Einstellung aktiviert ist, wählen Sie die nicht installieren BitLocker To Go-Lesetool auf FAT formatiert Wechseldatenträger das Kontrollkästchen, um zu verhindern, dass Benutzer ihre Wechseldatenträger BitLocker To Go-Lesetool ausführen. Wenn BitLocker To Go-Lesetool (bitlockertogo.exe) auf einem Laufwerk vorhanden ist, die keine haben ein ID-Feld angegeben ist oder wenn das Laufwerk mit der gleichen ID-Feld als hat angegeben der stellen eindeutige Bezeichner für Ihre Organisation Richtlinie festlegen, die Benutzer werden aufgefordert, Aktualisieren von BitLocker und BitLocker To Go-Lesetool wird vom Laufwerk gelöscht. In diesem Fall für den Wechseldatenträger auf Computern mit Windows Vista, Windows XP SP3 oder Windows XP SP2 entsperrt werden muss BitLocker To Go-Lesetool auf dem Computer installiert werden. Wenn dieses Kontrollkästchen nicht aktiviert ist, wird BitLocker To Go-Lesetool installiert auf dem Wechseldatenträger ermöglichen Benutzern, die zum Entsperren des Laufwerks auf Computern unter Windows Vista, Windows XP SP3 oder Windows XP mit SP2, die keine BitLocker To Go-Lesetool installiert haben.

Sie können die Federal Information Processing Standard (FIPS)-Einstellung für die FIPS-Konformität konfigurieren. Als Folge der FIPS-Kompatibilität nicht Benutzer erstellt oder ein BitLocker-Kennwort für die Wiederherstellung oder als Schlüsselprotektor speichern. Die Verwendung von einen Wiederherstellungsschlüssel ist zulässig.

Beschreibung der Richtlinie

Hinweise

Eingeführt

Windows Server 2003 mit SP1

Laufwerkstyp

Systemweite

Richtlinienpfad

Lokale Sicherheitsoptionen Options\System Kryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur

Konflikte

Einige Objekte, wie z. B. Terminaldienste, unterstützen keine FIPS 140 auf allen Betriebssystemen.

Wenn diese Option aktiviert

Benutzer werden kann kein Wiederherstellungskennwort an einem beliebigen Speicherort gespeichert. Dies schließt die AD DS und Netzwerk-Ordner. Darüber hinaus können WMI oder der Installation von BitLocker Drive Encryption wurde Sie ein Wiederherstellungskennwort erstellen.

Wenn deaktiviert oder nicht konfiguriert

Es wird keine BitLocker-Verschlüsselungsschlüssel generiert.

Verweis

Diese Richtlinie muss aktiviert werden, bevor alle Verschlüsselungsschlüssel für BitLocker generiert wird. Beachten Sie, dass BitLocker erstellen, wenn diese Richtlinie aktiviert ist verhindert, oder verwenden die Wiederherstellungskennwörter, also Wiederherstellungsschlüssel sollte stattdessen verwendet werden.

Sie können die optionale Wiederherstellungsschlüssel auf ein USB-Laufwerk speichern. Da Wiederherstellungskennwörter bei aktiviertem FIPS in AD DS gespeichert werden können, wird ein Fehler verursacht, wenn AD DS-Sicherung durch eine Gruppenrichtlinie erforderlich ist.

Sie können die FIPS-Einstellung mithilfe der Editors für Sicherheitsrichtlinien (Secpol.msc) oder durch Bearbeiten der Windows-Registrierung bearbeiten. Sie müssen ein Administrator diese Prozeduren sein.

Weitere Informationen zum Festlegen dieser Richtlinie finden Sie unter Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur.

PCs Power Standardeinstellungen für einen Computer führt dazu, dass den Computer häufig schonen im Leerlauf und das System Verlängerung der Akkulebensdauer Energiesparmodus. Bei ein Computer in Standbymodus übergeht, werden die geöffneten Programme und Dokumente im Arbeitsspeicher beibehalten. Wenn Sie ein Computer aus dem Standbymodus reaktiviert wird, müssen Benutzer nicht erneut authentifizieren mit einer PIN oder ein USB-Systemstartschlüssel auf verschlüsselte Daten zugreifen. Dies kann dazu führen, in denen Sicherheit gefährdet ist.

Jedoch, wenn ein Computer in den Ruhezustand wechselt das Laufwerk ist gesperrt, und wenn er aus dem Ruhezustand wieder aufnimmt wird das Laufwerk entsperrt, was bedeutet, dass Benutzer eine PIN oder ein Systemstartschlüssel angeben, wenn mehrstufigen Authentifizierung mit BitLocker verwenden müssen. Aus diesem Grund sollten Organisationen mit BitLocker Standby und Ruhezustand vorzuziehen, zur Verbesserung der Sicherheit. Diese Einstellung wirkt sich auf nur-TPM-Modus keinen da dadurch ein transparentes Benutzererlebnis beim Start und bei der Wiederaufnahme aus dem Ruhezustand Staaten.

Können Sie deaktivieren die folgenden Gruppenrichtlinien-Einstellungen, die sich in befinden Computer Configuration\Administrative Templates\System\Power Management gibt alle verfügbaren Ruhezustand zu deaktivieren:

  • Zulassen Sie verschiedene Statusoptionen (S1-S3) beim im Ruhezustand (Netzbetrieb)

  • Zulassen Sie Statusoptionen (S1-S3) beim Ruhezustand (Akkubetrieb)

Eine Plattformvalidierungsprofil besteht aus einem Satz von PCR-Indizes, die zwischen 0 und 23 liegen. Der Bereich der Werte kann nur auf die Version des Betriebssystems sein.

Ändern von Standard-Plattformvalidierungsprofil wirkt sich auf die Sicherheit und Verwaltung des Computers. BitLocker Empfindlichkeit gegenüber Plattform Änderungen (böswillige oder autorisierte) erhöht oder verringert wird je nach Einschluss oder Ausschluss (jeweils) der PCRS dargestellt.

Informationen zu PCR 7

PCR 7 misst den Status des sicheren Start. Mit PCR-7 kann BitLocker sicherer Start für die Überprüfung der Datenintegrität nutzen. Secure Boot wird sichergestellt, dass der Computer preboot-Umgebung nur Firmware lädt, die von autorisierten Softwareherausgeber digital signiert ist. 7 PCR-Messung Geben Sie an, ob sicherer Start aktiviert ist, und welche Schlüssel auf der Plattform als vertrauenswürdig eingestuft werden. Wenn Secure Boot ist und die Firmware PCR 7 ordnungsgemäß pro UEFI-Spezifikation misst, kann BitLocker binden, diese Informationen anstelle von PCRs 0, 2 und 4, die die Maße des genauen Firmware- und Bootmgr Bilder geladen haben. Dies verringert die Wahrscheinlichkeit von BitLocker starten im Wiederherstellungsmodus aufgrund Firmware und Image-Updates, und es bietet Ihnen größere Flexibilität beim Verwalten der Pre-Boot-Konfiguration.

7 PCR-Messung befolgen die Anweisungen, die in beschrieben wird Anhang A vertrauenswürdige Ausführung Umgebung EFI-Protokoll.

PCR 7 Messungen sind eine obligatorische Logo-Anforderung für Systeme, wie z. B. der Microsoft Surface RT InstantGo (auch bekannt als immer, PCs immer verbunden) unterstützen Auf den Systemen Wenn das TPM mit 7 PCR-Messung und sicherer Start ordnungsgemäß konfiguriert sind, bindet BitLocker PCR-7 und 11 PCR standardmäßig.

Anzeigen: