BitLocker-Gruppenrichtlinieneinstellungen

In diesem Thema für IT-Experten werden die Funktion, Position und der Effekt der einzelnen Gruppenrichtlinieneinstellungen zum Verwalten der BitLocker-Laufwerksverschlüsselung beschrieben.

Um zu steuern, welche Laufwerksverschlüsselungsaufgaben der Benutzer über die Windows-Systemsteuerung ausführen kann, oder um andere Konfigurationsoptionen zu ändern, können Sie die administrativen Gruppenrichtlinienvorlagen oder die lokalen Computerrichtlinieneinstellungen verwenden. Wie Sie diese Richtlinien konfigurieren, hängt davon ab, wie Sie BitLocker implementieren und welches Maß an Benutzerinteraktion zulässig ist.

Hinweis  

Ein separater Satz von Gruppenrichtlinien unterstützt die Verwendung des Trusted Platform Module (TPM). Weitere Informationen zu diesen Einstellungen finden Sie unter Gruppenrichtlinieneinstellungen für Trusted Platform Module-Dienste.

 

Der Zugriff auf BitLocker-Gruppenrichtlinieneinstellungen ist über den Editor für lokale Gruppenrichtlinien und die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung möglich.

Die meisten BitLocker-Gruppenrichtlinieneinstellungen werden angewendet, wenn BitLocker für ein Laufwerk zum ersten Mal aktiviert wird. Wenn ein Computer nicht mit vorhandenen Gruppenrichtlinieneinstellungen kompatibel ist, kann BitLocker erst aktiviert oder geändert werden, wenn sich der Computer in einem kompatiblen Zustand befindet. Wenn ein Laufwerk nicht mit Gruppenrichtlinieneinstellungen kompatibel ist (wenn z. B. eine Gruppenrichtlinieneinstellung nach der ersten BitLocker-Bereitstellung in Ihrer Organisation geändert wurde und die Einstellung dann auf zuvor verschlüsselte Laufwerke angewendet wurde), kann keine Änderung der BitLocker-Konfiguration dieses Laufwerks mit Ausnahme einer Änderung, die zur Kompatibilität führt, vorgenommen werden.

Wenn mehrere Änderungen erforderlich sind, um das Laufwerk kompatibel zu machen, müssen Sie den BitLocker-Schutz anhalten, die erforderlichen Änderungen vornehmen und anschließend den Schutz fortsetzen. Diese Situation kann z. B. auftreten, wenn ein Wechsellaufwerk ursprünglich so konfiguriert wurde, dass es mit einem Kennwort entsperrt wird, und dann Gruppenrichtlinieneinstellungen geändert werden, um Kennwörter zu verbieten und Smartcards erforderlich zu machen. In diesem Fall müssen Sie den BitLocker-Schutz mithilfe des Befehlszeilenprogramms Manage-bde aufheben, die Kennwortentsperrmethode löschen und die Smartcardmethode hinzufügen. Danach ist BitLocker mit der Gruppenrichtlinieneinstellung kompatibel, und der BitLocker-Schutz auf dem Laufwerk kann fortgesetzt werden.

BitLocker-Gruppenrichtlinieneinstellungen

Die folgenden Abschnitte enthalten eine umfassende Liste mit BitLocker-Gruppenrichtlinieneinstellungen, die nach ihrer Nutzung angeordnet sind. BitLocker-Gruppenrichtlinieneinstellungen enthalten die Einstellungen für bestimmte Laufwerkstypen (Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger) und Einstellungen, die auf alle Laufwerke angewendet werden.

Die folgenden Richtlinieneinstellungen können verwendet werden, um zu bestimmen, wie ein mit BitLocker geschütztes Laufwerk entsperrt werden kann.

  • Netzwerkentsperrung beim Start zulassen

  • Zusätzliche Authentifizierung beim Start anfordern

  • Erweiterte PINs für Systemstart zulassen

  • Minimale PIN-Länge für Systemstart konfigurieren

  • PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassen

  • Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren

  • Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 und Windows Vista)

  • Smartcard-Verwendung für Festplattenlaufwerke konfigurieren

  • Kennwortverwendung für Festplattenlaufwerke konfigurieren

  • Smartcard-Verwendung für Wechseldatenträger konfigurieren

  • Kennwortverwendung für Wechseldatenträger konfigurieren

  • Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen

  • Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren

Die folgenden Richtlinieneinstellungen steuern, wie Benutzer auf Laufwerke zugreifen können und wie sie BitLocker auf ihren Computern verwenden können.

  • Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind

  • Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind

  • Verwendung von BitLocker auf Wechseldatenträgern steuern

Die folgenden Richtlinieneinstellungen bestimmen die Verschlüsselungsmethoden und Verschlüsselungstypen, die mit BitLocker verwendet werden.

  • Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen

  • Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren

  • Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren

  • Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger konfigurieren

  • Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingen

  • Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

  • Laufwerkverschlüsselungstyp auf Wechseldatenträgern erzwingen

Die folgenden Richtlinieneinstellungen definieren die Wiederherstellungsmethoden, die verwendet werden können, um den Zugriff auf ein mit BitLocker geschütztes Laufwerk wiederherzustellen, wenn eine Authentifizierungsmethode einen Fehler verursacht oder nicht verwendet werden kann.

  • Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

  • Wiederherstellungsoptionen für BitLocker-geschützte Laufwerke für Benutzer auswählen (Windows Server 2008 und Windows Vista)

  • BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista)

  • Standardordner für Wiederherstellungskennwort auswählen

  • Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

  • Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

  • Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL

Die folgenden Richtlinien werden zur Unterstützung von benutzerdefinierten Bereitstellungsszenarios in Ihrer Organisation verwendet.

  • Sicheren Start für Integritätsüberprüfung zulassen

  • Eindeutige IDs für Ihre Organisation angeben

  • Überschreiben des Arbeitsspeichers beim Neustart verhindern

  • TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren

  • TPM-Plattformvalidierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

  • TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren

  • Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzen

  • Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden

  • Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen

  • Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen

Netzwerkentsperrung beim Start zulassen

Diese Richtlinie steuert einen Teil des Verhaltens der Netzwerkentsperrungsfunktion in BitLocker. Diese Richtlinie ist erforderlich, um die BitLocker-Netzwerkentsperrung in einem Netzwerk zu ermöglichen, da Clients mit BitLocker auf diese Weise Netzwerkschlüssel-Schutzvorrichtungen während der Verschlüsselung erstellen können. Diese Richtlinie wird zusätzlich zu der Sicherheitsrichtlinie „Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerkverschlüsselung“ (im Ordner Richtlinien öffentlicher Schlüssel der lokalen Computerrichtlinie) verwenden, um Systemen, die mit einem vertrauenswürdigen Netzwerk verbunden sind, die ordnungsgemäße Nutzung der Netzwerkentsprechungsfunktion zu ermöglichen.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, ob ein mit BitLocker geschützter Computer, der mit einem vertrauenswürdigen lokalen Netzwerk verbunden ist und Teil einer Domäne ist, Netzwerkschlüssel-Schutzvorrichtungen auf TPM-fähigen Computern erstellen und verwenden kann, um automatisch das Betriebssystemlaufwerk zu entsperren, wenn der Computer gestartet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Clients, die mit einem BitLocker-Netzwerkentsperrungszertifikat konfiguriert wurden, können Netzwerkschlüssel-Schutzvorrichtungen erstellen und verwenden.

Wenn deaktiviert oder nicht konfiguriert

Clients können keine Netzwerkschlüssel-Schutzvorrichtungen erstellen und verwenden.

 

Referenzen

Um eine Netzwerkschlüssel-Schutzvorrichtung zum Entsperren des Computers zu verwenden, müssen der Computer und der Server, der die Netzwerkentsperrung der BitLocker-Laufwerkverschlüsselung hostet, mit einem Netzwerkentsperrungszertifikat bereitgestellt werden. Das Netzwerkentsperrungszertifikat wird zum Erstellen einer Netzwerkschlüssel-Schutzvorrichtung und zum Schützen des Informationsaustauschs mit dem Server zum Entsperren des Computers verwendet. Sie können die Gruppenrichtlinieneinstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Zertifikat zur Netzwerkentsperrung für BitLocker-Laufwerkverschlüsselung auf dem Domänencontroller verwenden, um dieses Zertifikat auf Computer Ihrer Organisation zu verteilen. Diese Entsperrungsmethode verwendet das TPM auf dem Computer, sodass Computer, die über kein TPM verfügen, keine Netzwerkschlüssel-Schutzvorrichtungen zum automatischen Entsperren mithilfe der Netzwerkentsperrung erstellen können.

Hinweis  

Aus Gründen der Zuverlässigkeit und Sicherheit sollten Computer auch über einen TPM-Start-PIN verfügen, der verwendet werden kann, wenn der Computer vom Kabelnetzwerk getrennt ist oder beim Start keine Verbindung zum Domänencontroller herstellen kann.

 

Weitere Informationen zur Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung.

Zusätzliche Authentifizierung beim Start anfordern

Diese Richtlinieneinstellung wird verwendet, um zu steuern, welche Entsperrungsoptionen für Betriebssystemlaufwerke verfügbar sind.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung erfordert, und ob BitLocker mit Trusted Platform Module (TPM) verwendet wird. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Wenn eine Authentifizierungsmethode erforderlich ist, können keine anderen Methoden zulässig sein.

Die Verwendung von BitLocker mit einem TPM-Startschlüssel oder mit einem TPM-Startschlüssel und PIN darf nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

Wenn aktiviert

Benutzer können erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.

Wenn deaktiviert oder nicht konfiguriert

Benutzer können nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.

Nur eine der zusätzlichen Authentifizierungsoptionen darf beim Start erforderlich sein. Andernfalls tritt ein Richtlinienfehler auf.

 

Referenzen

Wenn Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen. In diesem Modus ist ein USB-Laufwerk für den Start erforderlich. Wichtige Informationen, die zum Verschlüsseln des Laufwerks verwendet werden, sind auf dem USB-Laufwerk, das einen USB-Stick erstellt, gespeichert. Wenn der USB-Stick eingesteckt wird, wird der Zugriff auf das Laufwerk authentifiziert, und das Laufwerk ist verfügbar. Wenn der USB-Stick verloren geht oder nicht verfügbar ist, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können vier Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Beim Start kann der Computer Folgendes verwenden:

  • nur das TPM für die Authentifizierung

  • Einstecken eines USB-Flashlaufwerk mit dem Startschlüssel

  • die Eingabe einer 4- bis 20-stelligen PIN

  • eine Kombination aus PIN und USB-Flashlaufwerk

Es gibt vier Optionen für TPM-fähige Computer oder Geräte:

  • TPM-Start konfigurieren

    • TPM zulassen

    • TPM erforderlich

    • TPM nicht zulassen

  • TPM-Systemstart-PIN konfigurieren

    • Systemstart-PIN bei TPM zulassen

    • Start-PIN bei TPM erforderlich

    • Systemstart-PIN bei TPM nicht zulassen

  • TPM-Systemstartschlüssel konfigurieren

    • Systemstartschlüssel bei TPM zulassen

    • Startschlüssel bei TPM erforderlich

    • Systemstartschlüssel bei TPM nicht zulassen

  • TPM-Systemstartschlüssel und -PIN konfigurieren

    • TPM-Systemstartschlüssel mit PIN zulassen

    • Systemstartschlüssel und PIN bei TPM erforderlich

    • TPM-Systemstartschlüssel mit PIN nicht zulassen

Erweiterte PINs für Systemstart zulassen

Diese Einstellung ermöglicht die Verwendung von erweiterten PINs, wenn Sie eine Entsperrungsmethode verwenden, die eine PIN enthält.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob erweiterte Systemstart-PINs mit BitLocker verwendet werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Alle neuen BitLocker-Systemstart-PINs, die festgelegt werden, sind erweiterte PINs. Vorhandene Laufwerke, die mit standardmäßigen Systemstart-PINs geschützt wurden, sind nicht betroffen.

Wenn deaktiviert oder nicht konfiguriert

Erweiterte PINs werden nicht verwendet.

 

Referenzen

Erweiterte Systemstart-PINs ermöglichen die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbolen, Ziffern und Leerzeichen). Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wichtig  

Nicht alle Computer unterstützen erweiterte PIN-Zeichen in der Vorinstallationsumgebung. Es empfiehlt sich, dass Benutzer eine Systemüberprüfung während des BitLocker-Setups durchführen, um sicherzustellen, dass die erweiterten PIN-Zeichen verwendet werden können.

 

Minimale PIN-Länge für Systemstart konfigurieren

Diese Richtlinieneinstellung wird verwendet, um eine PIN-Mindestlänge festzulegen, wenn Sie eine Entsperrungsmethode verwenden, die eine PIN enthält.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie eine Mindestlänge für eine TPM-Start-PIN konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Die Start-PIN muss eine Mindestlänge von 4 Ziffern haben und kann eine maximale Länge von 20 Ziffern aufweisen.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Sie können festlegen, dass Benutzer eine Mindestanzahl von Ziffern eingeben müssen, wenn sie ihre Start-PINs festlegen.

Wenn deaktiviert oder nicht konfiguriert

Benutzer können eine Start-PIN beliebiger Länge zwischen 4 und 20 Ziffern konfigurieren.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Die Start-PIN muss eine Mindestlänge von 4 Ziffern haben und kann eine maximale Länge von 20 Ziffern aufweisen.

PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassen

Mit dieser Einstellung können Sie konfigurieren, ob Standardbenutzer die PIN oder das Kennwort ändern dürfen, die bzw. das verwendet wird, um das Betriebssystemlaufwerk zu schützen.

Richtlinienbeschreibung

Mit dieser Einstellung können Sie konfigurieren, ob Standardbenutzer die PIN oder das Kennwort ändern dürfen, die bzw. das verwendet wird, um das Betriebssystemlaufwerk zu schützen.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Standardbenutzer dürfen keine BitLocker-PINs oder -Kennwörter ändern.

Wenn deaktiviert oder nicht konfiguriert

Standardbenutzer dürfen BitLocker-PINs oder -Kennwörter ändern.

 

Referenzen

Um die PIN oder das Kennwort zu ändern, muss der Benutzer die aktuelle PIN oder das aktuelle Kennwort bereitstellen können. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren

Diese Richtlinie steuert, wie nicht auf TPM basierende Systeme den Kennwortschutz verwenden. Zusammen mit der Richtlinie Kennwort muss Komplexitätsvoraussetzungen entsprechen ermöglicht diese Richtlinie Administratoren, eine bestimmte Kennwortlänge und -komplexität für die Verwendung des Kennwortschutzes anzufordern. Standardmäßig müssen Kennwörter mindestens acht Zeichen lang sein. Die Komplexitätskonfigurationsoptionen bestimmen, wie wichtig die Verbindung zur Domäne für den Client ist. Administratoren sollten für die höchste Kennwortsicherheit Kennwortkomplexität anfordern auswählen, da diese Einstellung eine Verbindung zur Domäne erfordert und voraussetzt, dass das BitLocker-Kennwort die gleichen Kennwortkomplexitätsanforderungen wie Domänenanmeldekennwörter erfüllt.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die Einschränkungen für Kennwörter angeben, die verwendet werden, um Betriebssystemlaufwerke zu entsperren, die mit BitLocker geschützt sind.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Kennwörter können nicht verwendet, wenn FIPS-Kompatibilität aktiviert ist.

Hinweis  

Die Richtlinieneinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen gibt an, ob FIPS-Kompatibilität aktiviert ist.

 

Wenn aktiviert

Benutzer können ein Kennwort konfigurieren, das den von Ihnen definierten Mindestanforderungen entspricht. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität anfordern aus.

Wenn deaktiviert oder nicht konfiguriert

Die Standardlängeneinschränkung von 8 Zeichen gilt für Betriebssystem-Laufwerkkennwörter, und es erfolgt keine Komplexitätsüberprüfung.

 

Referenzen

Wenn Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulässig sind, können Sie ein Kennwort bereitstellen, Komplexitätsanforderungen für das Kennwort erzwingen und eine Mindestlänge für das Kennwort konfigurieren. Damit die Einstellung für die Komplexitätsanforderung wirksam wird, muss zudem die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\ aktiviert werden.

Hinweis  

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet wird, nicht wenn ein Volume entsperrt wird. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer der Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

 

Bei Festlegung auf Kennwortkomplexität anfordern ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen. Bei Festlegung auf Kennwortkomplexität zulassen wird eine Verbindung mit einem Domänencontroller versucht, um zu überprüfen, ob die Komplexität den Regeln der Richtlinie entspricht. Wenn keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk mithilfe dieses Kennwort als Schutzvorrichtung verschlüsselt. Bei Festlegung auf Kennwortkomplexität nicht zulassen gibt es keine Überprüfung der Kennwortkomplexität.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in das Feld Minimale Kennwortlänge ein.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie die Option Kennwortkomplexität für Betriebssystemlaufwerke konfigurieren auf Folgendes festlegen:

  • Kennwortkomplexität zulassen

  • Kennwortkomplexität nicht zulassen

  • Kennwortkomplexität anfordern

Zusätzliche Authentifizierung beim Start anfordern (Windows Server 2008 und Windows Vista)

Mit dieser Richtlinieneinstellung steuern Sie, welche Entsperrungsoptionen für Computer unter Windows Server 2008 oder Windows Vista verfügbar sind.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, ob der BitLocker-Setup-Assistent auf Computern unter Windows Vista oder Windows Server 2008 eine zusätzliche Authentifizierungsmethode einrichten kann, die bei jedem Computerstart erforderlich ist.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerktyp

Betriebssystemlaufwerke (Windows Server 2008 und Windows Vista)

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Wenn Sie eine zusätzliche Authentifizierungsmethode benötigen, sind andere Authentifizierungsmethoden nicht zulässig.

Wenn aktiviert

Der BitLocker-Setup-Assistent zeigt die Seite an, die es dem Benutzer ermöglicht, erweiterte Startoptionen für BitLocker zu konfigurieren. Sie können außerdem Einstellungsoptionen für Computer mit oder ohne TPM konfigurieren.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent zeigt grundlegende Schritte an, mit denen Benutzer BitLocker auf Computern mit einem TPM aktivieren können. In diesem grundlegenden Assistenten kann kein weiterer Systemstartschlüssel und keine weitere Systemstart-PIN konfiguriert werden.

 

Referenzen

Auf einem Computer mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Beim Starten des Computers müssen Benutzer ein USB-Laufwerk einstecken, das einen Systemstartschlüssel enthält. Möglicherweise müssen Benutzer außerdem eine 4- bis 20-stellige Systemstart-PIN eingeben.

Auf Computern ohne kompatibles TPM ist ein USB-Laufwerk erforderlich, das einen Systemstartschlüssel enthält. Ohne TPM werden von BitLocker verschlüsselte Daten nur durch das Schlüsselmaterial auf dem USB-Laufwerk geschützt.

Es gibt zwei Optionen für TPM-fähige Computer oder Geräte:

  • TPM-Systemstart-PIN konfigurieren

    • Systemstart-PIN bei TPM zulassen

    • Start-PIN bei TPM erforderlich

    • Systemstart-PIN bei TPM nicht zulassen

  • TPM-Systemstartschlüssel konfigurieren

    • Systemstartschlüssel bei TPM zulassen

    • Startschlüssel bei TPM erforderlich

    • Systemstartschlüssel bei TPM nicht zulassen

Diese Optionen schließen sich gegenseitig aus. Wenn Sie den Systemstartschlüssel anfordern, dürfen Sie die Systemstart-PIN nicht zulassen. Wenn Sie die Systemstart-PIN anfordern, dürfen Sie den Systemstartschlüssel nicht zulassen. Andernfalls tritt ein Richtlinienfehler auf.

Um die erweiterte Seite auf einem TPM-fähigen Computer oder Gerät auszublenden, legen Sie diese Optionen auf Nicht zulassen für den Systemstartschlüssel und die Systemstart-PIN fest.

Smartcard-Verwendung für Festplattenlaufwerke konfigurieren

Diese Einstellung wird verwendet, um die Verwendung von Smartcards mit Festplattenlaufwerken anzufordern, zuzulassen oder zu verweigern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards zum Authentifizieren des Benutzerzugriffs auf die mit BitLocker geschützten Festplattenlaufwerke auf einem Computer verwendet werden können.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Um Smartcards mit BitLocker zu verwenden, müssen Sie möglicherweise auch die Objekt-ID-Einstellung in der Richtlinieneinstellung Computerkonfiguration\Administrative Vorlagen\BitLocker-Laufwerkverschlüsselung\Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen ändern, um der Objekt-ID der Smartcardzertifikate zu entsprechen.

Wenn aktiviert

Smartcards können verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren. Sie können die Smartcardauthentifizierung durch Aktivieren des Kontrollkästchens Smartcard-Verwendung für Festplattenlaufwerke anfordern anfordern.

Wenn deaktiviert

Benutzer können keine Smartcards verwenden, um den Zugriff auf die von BitLocker geschützten Festplattenlaufwerke zu authentifizieren.

Wenn nicht konfiguriert

Smartcards können verwendet werden, um den Benutzerzugriff auf ein mit BitLocker geschütztes Laufwerk zu authentifizieren.

 

Referenzen

Hinweis  

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet wird, nicht wenn ein Laufwerk entsperrt wird. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer der Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

 

Kennwortverwendung für Festplattenlaufwerke konfigurieren

Diese Einstellung wird verwendet, um die Verwendung von Kennwörtern mit Festplattenlaufwerken anzufordern, zuzulassen oder zu verweigern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie angeben, ob ein Kennwort zum Entsperren von mit BitLocker geschützten Festplattenlaufwerken erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Zum Verwenden der Kennwortkomplexität muss außerdem die Richtlinieneinstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwort muss Komplexitätsvoraussetzungen entsprechen aktiviert werden.

Wenn aktiviert

Benutzer können ein Kennwort konfigurieren, das den von Ihnen definierten Mindestanforderungen entspricht. Um die Verwendung eines Kennworts erforderlich zu machen, wählen Sie Kennwort für Festplattenlaufwerk anfordern aus. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität anfordern aus.

Wenn deaktiviert

Der Benutzer darf kein Kennwort verwenden.

Wenn nicht konfiguriert

Kennwörter werden mit den Standardeinstellungen unterstützt, die keine Kennwortkomplexitätsanforderung umfassen und nur 8 Zeichen erfordern.

 

Referenzen

Bei Festlegung auf Kennwortkomplexität anfordern ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.

Bei Festlegung auf Kennwortkomplexität zulassen wird eine Verbindung mit einem Domänencontroller versucht, um zu überprüfen, ob die Komplexität den Regeln der Richtlinie entspricht. Wenn aber keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk mithilfe dieses Kennwort als Schutzvorrichtung verschlüsselt.

Bei Festlegung auf Kennwortkomplexität nicht zulassen gibt es keine Überprüfung der Kennwortkomplexität.

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in das Feld Minimale Kennwortlänge ein.

Hinweis  

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet wird, nicht wenn ein Laufwerk entsperrt wird. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer der Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

 

Damit die Einstellung für die Komplexitätsanforderung wirksam wird, muss zudem die Gruppenrichtlinieneinstellung Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\Kennwort muss Komplexitätsvoraussetzungen entsprechen aktiviert werden.

Diese Richtlinieneinstellung wird pro Computer konfiguriert. Das bedeutet, dass sie für lokale Benutzerkonten und Domänenbenutzerkonten gilt. Da sich der Kennwortfilter, der zum Überprüfen der Komplexität von Kennwörtern verwendet wird, auf den Domänencontrollern befindet, können lokale Benutzerkonten nicht auf den Kennwortfilter zugreifen, da sie nicht für den Domänenzugriff authentifiziert sind. Wenn diese Richtlinieneinstellung aktiviert wird und Sie sich mit einem lokalen Benutzerkonto anmelden und versuchen, ein Laufwerk zu verschlüsseln oder ein Kennwort auf einem vorhandenen, mit BitLocker geschützten Laufwerk zu ändern, wird eine Fehlermeldung "Zugriff verweigert" angezeigt. In diesem Fall kann die Kennwortschlüssel-Schutzvorrichtung dem Laufwerk nicht hinzugefügt werden.

Das Aktivieren diese Einstellung setzt voraus, dass eine Verbindung zu einer Domäne hergestellt wird, bevor eine Kennwortschlüssel-Schutzvorrichtung einem mit BitLocker geschützten Laufwerk hinzugefügt wird. Benutzer, die Remote arbeiten und Zeiten haben, in denen Sie keine Verbindung zur Domäne herstellen können, sollten auf diese Anforderung hingewiesen werden, damit sie mit einer Uhrzeit planen können, zu der sie mit der Domäne verbunden sind, um BitLocker zu aktivieren oder ein Kennwort auf einem mit BitLocker geschützten Laufwerk zu ändern.

Wichtig  

Kennwörter können nicht verwendet, wenn FIPS-Kompatibilität aktiviert ist. Die Richtlinieneinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen gibt an, ob FIPS-Kompatibilität aktiviert ist.

 

Smartcard-Verwendung für Wechseldatenträger konfigurieren

Diese Einstellung wird verwendet, um die Verwendung von Smartcards mit Wechseldatenträgern anzufordern, zuzulassen oder zu verweigern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie angeben, ob Smartcards zum Authentifizieren des Benutzerzugriffs auf die mit BitLocker geschützten Wechseldatenträgern auf einem Computer verwendet werden können.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Um Smartcards mit BitLocker zu verwenden, müssen Sie möglicherweise auch die Objekt-ID-Einstellung in der Richtlinieneinstellung Computerkonfiguration\Administrative Vorlagen\BitLocker-Laufwerkverschlüsselung\Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen ändern, um der Objekt-ID der Smartcardzertifikate zu entsprechen.

Wenn aktiviert

Smartcards können verwendet werden, um den Benutzerzugriff auf das Laufwerk zu authentifizieren. Sie können die Smartcardauthentifizierung durch Aktivieren des Kontrollkästchens Smartcard-Verwendung für Wechseldatenträger anfordern anfordern.

Wenn deaktiviert oder nicht konfiguriert

Benutzer dürfen keine Smartcards verwenden, um den Zugriff auf mit BitLocker geschützte Wechseldatenträger zu authentifizieren.

Wenn nicht konfiguriert

Smartcards stehen für die Authentifizierung des Benutzerzugriffs auf einen mit BitLocker geschützten Wechseldatenträger zur Verfügung.

 

Referenzen

Hinweis  

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet wird, nicht wenn ein Laufwerk entsperrt wird. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer der Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

 

Kennwortverwendung für Wechseldatenträger konfigurieren

Diese Einstellung wird verwendet, um die Verwendung von Kennwörtern mit Wechseldatenträgern anzufordern, zuzulassen oder zu verweigern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie angeben, ob ein Kennwort zum Entsperren von mit BitLocker geschützten Wechseldatenträgern erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Zum Verwenden der Kennwortkomplexität muss die Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\ ebenfalls aktiviert werden.

Wenn aktiviert

Benutzer können ein Kennwort konfigurieren, das den von Ihnen definierten Mindestanforderungen entspricht. Um die Verwendung eines Kennworts erforderlich zu machen, wählen Sie Kennwort für Wechseldatenträger anfordern aus. Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität anfordern aus.

Wenn deaktiviert

Der Benutzer darf kein Kennwort verwenden.

Wenn nicht konfiguriert

Kennwörter werden mit den Standardeinstellungen unterstützt, die keine Kennwortkomplexitätsanforderung umfassen und nur 8 Zeichen erfordern.

 

Referenzen

Wenn Sie die Verwendung eines Kennworts zulassen, können Sie das Verwenden eines Kennworts anfordern, Komplexitätsanforderungen erzwingen und eine Mindestlänge konfigurieren. Damit die Einstellung für die Komplexitätsanforderung wirksam wird, muss zudem die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\ aktiviert werden.

Hinweis  

Diese Einstellungen werden erzwungen, wenn BitLocker eingeschaltet wird, nicht wenn ein Laufwerk entsperrt wird. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer der Schutzvorrichtungen, die auf dem Laufwerk verfügbar sind.

 

Kennwörter müssen mindestens 8 Zeichen lang sein. Um eine größere Mindestlänge für das Kennwort zu konfigurieren, geben Sie die gewünschte Anzahl von Zeichen in das Feld Minimale Kennwortlänge ein.

Bei Festlegung auf Kennwortkomplexität anfordern ist eine Verbindung mit einem Domänencontroller erforderlich, wenn BitLocker aktiviert ist, um die Komplexität des Kennworts zu überprüfen.

Bei Festlegung auf Kennwortkomplexität zulassen wird eine Verbindung mit einem Domänencontroller versucht, um zu überprüfen, ob die Komplexität den Regeln der Richtlinie entspricht. Wenn aber keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität akzeptiert, und das Laufwerk mithilfe dieses Kennwort als Schutzvorrichtung verschlüsselt.

Bei Festlegung auf Kennwortkomplexität nicht zulassen findet keine Überprüfung der Kennwortkomplexität statt.

Hinweis  

Kennwörter können nicht verwendet, wenn FIPS-Kompatibilität aktiviert ist. Die Richtlinieneinstellung Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen gibt an, ob FIPS-Kompatibilität aktiviert ist.

 

Informationen zu dieser Einstellung finden Sie unter Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden.

Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen

Mir dieser Richtlinieneinstellung wird bestimmt, welches Zertifikat mit BitLocker verwendet werden soll.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie eine Objekt-ID aus einem Smartcardzertifikat einem mit BitLocker geschützten Laufwerk zuordnen.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke und Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Keine

Wenn aktiviert

Die Objekt-ID, die in der EInstellung Objektkennung angegeben wird, muss der Objekt-ID im Smartcardzertifikat entsprechen.

Wenn deaktiviert oder nicht konfiguriert

Die Standard-Objekt-ID wird verwendet.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Die Objekt-ID wird in der erweiterten Schlüsselverwendung (Enhanced Key Usage, EKU) eines Zertifikats angegeben. BitLocker kann erkennen, welche Zertifikate zur Authentifizierung eines Benutzerzertifikats auf einem mit BitLocker geschützten Laufwerk verwendet werden kann, indem die Objekt-ID im Zertifikat mit der Objekt-ID, die von dieser Richtlinieneinstellung definiert wird, abgeglichen wird.

Die Standard-Objekt-ID ist 1.3.6.1.4.1.311.67.1.1.

Hinweis  

BitLocker erfordert nicht, dass ein Zertifikat über ein EKU-Attribut verfügt. Wenn allerdings eines für das Zertifikat konfiguriert wird, muss es auf eine Objekt-ID festgelegt werden, die der Objekt-ID entspricht, die für BitLocker konfiguriert wurde.

 

Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren

Mit dieser Richtlinieneinstellung können Benutzer Authentifizierungsoptionen aktivieren, die vor dem Start auch dann Benutzereingaben erfordern, wenn die Plattform scheinbar nicht über Eingabefunktionen vor dem Start verfügt.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie Benutzern das Aktivieren von Authentifizierungsoptionen ermöglichen, die vor dem Start auch dann Benutzereingaben erfordern, wenn die Plattform scheinbar nicht über Eingabefunktionen vor dem Start verfügt.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerk

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerk

Konflikte

Keine

Wenn aktiviert

Geräte benötigen ein alternatives Verfahren für Eingabefunktionen vor dem Start (z. B. eine angeschlossene USB-Tastatur).

Wenn deaktiviert oder nicht konfiguriert

Die Windows-Wiederherstellungsumgebung muss auf Tablets zur Unterstützung der Eingabe des BitLocker-Wiederherstellungskennworts aktiviert werden.

 

Referenzen

Die Windows-Bildschirmtastatur (wird z. B. von Tablets verwendet) ist in der Vorinstallationsumgebung, in der BitLocker zusätzliche Informationen benötigt, z. B. eine PIN oder ein Kennwort, nicht verfügbar.

Administratoren sollten diese Richtlinie nur für Geräte aktivieren, die über ein alternatives Verfahren für die Eingabe vor dem Start verfügen, z. B. eine angeschlossene USB-Tastatur.

Wenn die Windows-Wiederherstellungsumgebung und diese Richtlinie nicht aktiviert sind, können Sie BitLocker auf einem Gerät, das die Windows-Bildschirmtastatur verwendet, nicht aktivieren.

Wenn Sie diese Richtlinieneinstellung nicht aktivieren, sind die folgenden Optionen in der Richtlinie Zusätzliche Authentifizierung beim Start anfordern möglicherweise nicht verfügbar:

  • TPM-Systemstart-PIN konfigurieren: Erforderlich und Zulässig

  • TPM-Systemstartschlüssel und -PIN konfigurieren: Erforderlich und Zulässig

  • Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren

Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind

Diese Richtlinieneinstellung dient der Verschlüsselung von Festplattenlaufwerken vor dem Gewähren des Schreibzugriffs.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie festlegen, ob der BitLocker-Schutz für Festplattenlaufwerke auf einem Computer überschreibbar sein muss.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Eine Beschreibung der Konflikte finden Sie im Abschnitt „Referenzen“.

Wenn aktiviert

Alle Festplattenlaufwerke, die nicht mit BitLocker geschützt sind, werden als schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

Wenn deaktiviert oder nicht konfiguriert

Alle Festplattenlaufwerke auf dem Computer werden mit Lese- und Schreibzugriff bereitgestellt.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Konfliktaspekte umfassen u. a. folgende:

  1. Wenn diese Richtlinieneinstellung aktiviert ist, erhalten Benutzer Fehlermeldungen „Zugriff verweigert“, wenn sie versuchen, Daten auf unverschlüsselten Festplattenlaufwerken zu speichern. Informationen zu zusätzlichen Konflikten finden Sie im Abschnitt „Referenzen“.

  2. Wenn „BdeHdCfg.exe“ auf einem Computer ausgeführt wird, wenn diese Einstellung aktiviert ist, können die folgenden Probleme auftreten:

    • Wenn Sie versucht haben, das Laufwerk zu verkleinern und das Systemlaufwerk zu erstellen, wird die Laufwerksgröße erfolgreich verringert, und eine neue Partition wird erstellt. Allerdings ist die neue Partition nicht formatiert. Die folgende Fehlermeldung wird angezeigt: „Das neue aktive Laufwerk kann nicht formatiert werden. Sie müssen das Laufwerk möglicherweise manuell auf BitLocker vorbereiten.“

    • Wenn Sie versuchen, nicht zugewiesenen Speicherplatz zu verwenden, um das Systemlaufwerk zu erstellen, wird eine neue Partition erstellt. Die neue Partition wird jedoch nicht formatiert. Die folgende Fehlermeldung wird angezeigt: „Das neue aktive Laufwerk kann nicht formatiert werden. Sie müssen das Laufwerk möglicherweise manuell auf BitLocker vorbereiten.“

    • Wenn Sie versuchen, ein vorhandenes Laufwerk mit dem Systemlaufwerk zusammenzuführen, kann das Tool die benötigte Startdatei nicht auf den Zieldatenträger kopieren, um das Systemlaufwerk zu erstellen. Die folgende Fehlermeldung wird angezeigt: „Fehler beim Kopieren von Startdateien. Sie müssen das Laufwerk möglicherweise manuell auf BitLocker vorbereiten.“

  3. Wenn diese Richtlinieneinstellung erzwungen wird, kann keine Festplatte neu partitioniert werden, da das Laufwerk geschützt ist. Wenn Sie Computer in Ihrer Organisation von einer früheren Version von Windows aktualisieren und diese Computer mit einer einzigen Partition konfiguriert wurden, sollten Sie die erforderliche BitLocker-Systempartition erstellen, bevor Sie diese Richtlinieneinstellung auf die Computer anwenden.

Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind

Diese Richtlinieneinstellung wird verwendet, um festzulegen, dass Wechseldatenträger verschlüsselt werden müssen, bevor Sie Schreibzugriff erhalten, und um zu steuern, ob mit BitLocker geschützte Wechseldatenträger, die in einer anderen Organisation konfiguriert wurden, mit Schreibzugriff geöffnet werden können.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker-Schutz für einen Computer zum Schreiben von Daten auf einen Wechseldatenträger erforderlich ist.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Eine Beschreibung der Konflikte finden Sie im Abschnitt „Referenzen“.

Wenn aktiviert

Alle Wechseldatenträger, die nicht mit BitLocker geschützt sind, werden als schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

Wenn deaktiviert oder nicht konfiguriert

Alle Wechseldatenträger auf dem Computer werden mit Lese- und Schreibzugriff bereitgestellt.

 

Referenzen

Wenn die Option Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert wurden aktiviert ist, erhalten nur Laufwerke mit ID-Feldern, die mit den ID-Feldern des Computers übereinstimmen, Schreibzugriff. Beim Zugriff auf einen Wechseldatenträger wird überprüft, ob er über ein gültiges ID-Feld sowie über Felder für zulässige IDs verfügt. Diese Felder werden durch die Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben definiert.

Hinweis  

Diese Richtlinieneinstellung kann durch die Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff außer Kraft gesetzt werden. Wenn die Richtlinieneinstellung Wechseldatenträger: Schreibzugriff verweigern aktiviert ist, wird diese Richtlinieneinstellung ignoriert.

 

Konfliktaspekte umfassen u. a. folgende:

  1. Die Verwendung von BitLocker mit einem TPM plus Startschlüssel oder mit einem TPM plus Startschlüssel und PIN darf nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

  2. Die Verwendung von Wiederherstellungsschlüsseln darf nicht zulässig sein, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

  3. Sie müssen die Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben aktivieren, wenn Sie den Schreibzugriff auf Laufwerke, die in einer anderen Organisation konfiguriert wurden, verweigern möchten.

Verwendung von BitLocker auf Wechseldatenträgern steuern

Diese Richtlinieneinstellung wird verwendet, um zu verhindern, dass Benutzer BitLocker auf Wechseldatenträgern aktivieren oder deaktivieren.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die Verwendung von BitLocker auf Wechseldatenträgern steuern.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Keine

Wenn aktiviert

Sie können die Eigenschafseinstellungen auswählen, die steuern, wie Benutzer BitLocker konfiguriert können.

Wenn deaktiviert

Benutzer können BitLocker auf Wechseldatenträgern nicht verwenden.

Wenn nicht konfiguriert

Benutzer können BitLocker auf Wechseldatenträgern verwenden.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Informationen zum Anhalten des BitLocker-Schutzes finden Sie unter Grundlegende BitLocker-Bereitstellung.

Es gibt folgende Optionen für die Auswahl der Eigenschaftseinstellungen, die steuern, wie Benutzer BitLocker konfigurieren können:

  • Benutzer können BitLocker-Schutz auf Wechseldatenträger anwenden Ermöglicht dem Benutzer das Ausführen des BitLocker-Setup-Assistenten auf einem Wechseldatenträger .

  • Benutzer dürfen BitLocker auf Wechseldatenträgern anhalten und entschlüsseln Ermöglicht dem Benutzer das Entfernen von BitLocker vom Laufwerk oder das Anhalten der Verschlüsselung beim Ausführen der Wartung.

Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen

Mit dieser Richtlinieneinstellung wird die Verschlüsselungsmethode und Verschlüsselungsstärke gesteuert.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die Verschlüsselungsmethode und die -stärke für Laufwerke steuern.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Alle Laufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Keine

Wenn aktiviert

Sie können einen Verschlüsselungsalgorithmus und eine Schlüsselverschlüsselungsstärke für BitLocker zum Verschlüsseln von Laufwerken auswählen.

Wenn deaktiviert oder nicht konfiguriert

BitLocker verwendet die standardmäßige Verschlüsselungsmethode AES 128-Bit oder die Verschlüsselungsmethode, die durch das Setupskript angegeben wird.

 

Referenzen

Standardmäßig verwendet BitLocker AES 128-Bit-Verschlüsselung. Verfügbare Optionen sind AES-128 und AES-256. Die Werte dieser Richtlinie bestimmen die Stärke der Verschlüsselung, die BitLocker für die Verschlüsselung verwendet. Unternehmen möchten möglicherweise die Verschlüsselung steuern, um die Sicherheit zu erhöhen (AES-256 ist stärker als AES-128).

Das Ändern der Verschlüsselungsmethode hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung gerade ausgeführt wird. In diesen Fällen wird diese Richtlinieneinstellung ignoriert.

Warnung  

Diese Richtlinie gilt nicht für verschlüsselte Laufwerke. Verschlüsselte Laufwerke nutzen ihren eigenen Algorithmus, der während der Partitionierung vom Laufwerk festgelegt wird.

 

Wenn diese Richtlinieneinstellung deaktiviert ist, verwendet BitLocker AES mit der gleichen Bit-Stärke (128-Bit- oder 256-Bit) gemäß der Richtlinieneinstellung Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows Vista, Windows Server 2008, Windows 7). Wenn keine Richtlinie festgelegt wird, verwendet BitLocker die standardmäßige Verschlüsselungsmethode AES-128 oder die Verschlüsselungsmethode, die im Setupskript angegeben ist.

Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren

Diese Richtlinie steuert, wie BitLocker auf Systeme reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Festplattenvolumes verwendet werden. Die hardwarebasierte Verschlüsselung kann die Leistung der Laufwerksvorgänge, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen, verbessern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die BitLocker-Verwendung der hardwarebasierten Verschlüsselung auf Festplattenlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen BitLocker mit der hardwarebasierten Verschlüsselung verwenden kann.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Keine

Wenn aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob die softwarebasierte Verschlüsselung von BitLocker anstelle der hardwarebasierten Verschlüsselung auf Computern verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob die Verschlüsselungsalgorithmen und Verschlüsselungssuiten, die mit der hardwarebasierten Verschlüsselung verwendet werden, eingeschränkt werden sollen.

Wenn deaktiviert

BitLocker kann keine hardwarebasierte Verschlüsselung mit Festplattenlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt wird.

Wenn nicht konfiguriert

BitLocker verwendet die hardwarebasierte Verschlüsselung mit dem Verschlüsselungsalgorithmus, der für das Laufwerk festgelegt ist. Wenn keine hardwarebasierte Verschlüsselung verfügbar ist, wird stattdessen die softwarebasierte BitLocker-Verschlüsselung verwendet.

 

Referenzen

Hinweis  

Die Richtlinieneinstellung Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

 

Der Verschlüsselungsalgorithmus, der von der hardwarebasierten Verschlüsselung verwendet wird, wird bei der Partitionierung des Laufwerks festgelegt. BitLocker verwendet standardmäßig den Algorithmus, der auf dem Laufwerk zum Verschlüsseln des Laufwerks konfiguriert wurde. Mit der Option Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränken dieser Einstellung können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit Hardwareverschlüsselung verwenden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining-Modus (CBC), OID: 2.16.840.1.101.3.4.1.2

  • AES 256 im CBC-Modus, OID: 2.16.840.1.101.3.4.1.42

Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren

Diese Richtlinie steuert, wie BitLocker reagiert, wenn verschlüsselte Laufwerke als Betriebssystemlaufwerke verwendet werden. Die hardwarebasierte Verschlüsselung kann die Leistung der Laufwerksvorgänge, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen, verbessern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die BitLocker-Verwendung der hardwarebasierten Verschlüsselung auf Betriebssystemlaufwerken verwalten und angeben, welche Verschlüsselungsalgorithmen BitLocker mit der hardwarebasierten Verschlüsselung verwenden kann.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob die softwarebasierte Verschlüsselung von BitLocker anstelle der hardwarebasierten Verschlüsselung auf Computern verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob die Verschlüsselungsalgorithmen und Verschlüsselungssuiten, die mit der hardwarebasierten Verschlüsselung verwendet werden, eingeschränkt werden sollen.

Wenn deaktiviert

BitLocker kann keine hardwarebasierte Verschlüsselung mit Betriebssystemlaufwerken verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt wird.

Wenn nicht konfiguriert

BitLocker verwendet die hardwarebasierte Verschlüsselung mit dem Verschlüsselungsalgorithmus, der für das Laufwerk festgelegt ist. Wenn keine hardwarebasierte Verschlüsselung verfügbar ist, wird stattdessen die softwarebasierte BitLocker-Verschlüsselung verwendet.

 

Referenzen

Wenn keine hardwarebasierte Verschlüsselung verfügbar ist, wird stattdessen die softwarebasierte BitLocker-Verschlüsselung verwendet.

Hinweis  

Die Richtlinieneinstellung Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

 

Der Verschlüsselungsalgorithmus, der von der hardwarebasierten Verschlüsselung verwendet wird, wird bei der Partitionierung des Laufwerks festgelegt. BitLocker verwendet standardmäßig den Algorithmus, der auf dem Laufwerk zum Verschlüsseln des Laufwerks konfiguriert wurde. Mit der Option Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränken dieser Einstellung können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit Hardwareverschlüsselung verwenden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining-Modus (CBC), OID: 2.16.840.1.101.3.4.1.2

  • AES 256 im CBC-Modus, OID: 2.16.840.1.101.3.4.1.42

Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträger konfigurieren

Diese Richtlinie steuert, wie BitLocker auf verschlüsselte Laufwerke reagiert, wenn sie als Wechseldatenträger verwendet werden. Die hardwarebasierte Verschlüsselung kann die Leistung der Laufwerksvorgänge, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk umfassen, verbessern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die BitLocker-Verwendung der hardwarebasierten Verschlüsselung auf Wechseldatenträgern verwalten und angeben, welche Verschlüsselungsalgorithmen BitLocker mit der hardwarebasierten Verschlüsselung verwenden kann.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Keine

Wenn aktiviert

Sie können zusätzliche Optionen angeben, die steuern, ob die softwarebasierte Verschlüsselung von BitLocker anstelle der hardwarebasierten Verschlüsselung auf Computern verwendet wird, die keine hardwarebasierte Verschlüsselung unterstützen. Sie können auch angeben, ob die Verschlüsselungsalgorithmen und Verschlüsselungssuiten, die mit der hardwarebasierten Verschlüsselung verwendet werden, eingeschränkt werden sollen.

Wenn deaktiviert

BitLocker kann keine hardwarebasierte Verschlüsselung mit Wechseldatenträgern verwenden, und die softwarebasierte BitLocker-Verschlüsselung wird standardmäßig verwendet, wenn das Laufwerk verschlüsselt wird.

Wenn nicht konfiguriert

BitLocker verwendet die hardwarebasierte Verschlüsselung mit dem Verschlüsselungsalgorithmus, der für das Laufwerk festgelegt ist. Wenn keine hardwarebasierte Verschlüsselung verfügbar ist, wird stattdessen die softwarebasierte BitLocker-Verschlüsselung verwendet.

 

Referenzen

Wenn keine hardwarebasierte Verschlüsselung verfügbar ist, wird stattdessen die softwarebasierte BitLocker-Verschlüsselung verwendet.

Hinweis  

Die Richtlinieneinstellung Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

 

Der Verschlüsselungsalgorithmus, der von der hardwarebasierten Verschlüsselung verwendet wird, wird bei der Partitionierung des Laufwerks festgelegt. BitLocker verwendet standardmäßig den Algorithmus, der auf dem Laufwerk zum Verschlüsseln des Laufwerks konfiguriert wurde. Mit der Option Zulässige Verschlüsselungsalgorithmen und Verschlüsselungssammlungen für die hardwarebasierte Verschlüsselung einschränken dieser Einstellung können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker mit Hardwareverschlüsselung verwenden kann. Wenn der Algorithmus, der für das Laufwerk festgelegt ist, nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung. Verschlüsselungsalgorithmen werden durch Objektbezeichner (OID) angegeben:

  • Advanced Encryption Standard (AES) 128 im Cipher Block Chaining-Modus (CBC), OID: 2.16.840.1.101.3.4.1.2

  • AES 256 im CBC-Modus, OID: 2.16.840.1.101.3.4.1.42

Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingen

Diese Richtlinie steuert, ob Festplattenlaufwerke die auf belegten Speicherplatz beschränkte Verschlüsselung oder die vollständige Verschlüsselung nutzen. Durch das Festlegen dieser Richtlinie überspringt der BitLocker-Setup-Assistent außerdem die Seite mit den Verschlüsselungsoptionen, sodass dem Benutzer keine Verschlüsselungsauswahl angezeigt wird.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Festplattenlaufwerk

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Keine

Wenn aktiviert

Diese Richtlinie definiert den Verschlüsselungstyp, den BitLocker zur Verschlüsselung von Laufwerken verwendet, und die Verschlüsselungstypoption wird nicht im BitLocker-Setup-Assistenten angezeigt.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer zur Auswahl des Verschlüsselungstyps auf, bevor BitLocker aktiviert wird.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung gerade ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, wenn erforderlich ist, dass bei der Aktivierung von BitLocker das gesamte Laufwerk verschlüsselt wird. Wählen Sie die auf belegten Speicherplatz beschränkte Verschlüsselung aus, wenn nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, bei der Aktivierung von BitLocker verschlüsselt werden muss.

Hinweis  

Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet. Wenn z. B. ein Laufwerk, das die auf belegten Speicherplatz beschränkte Verschlüsselung verwendet, erweitert wird, wird der neue freie Speicherplatz nicht bereinigt, wie es bei einem Laufwerk, das die vollständige Verschlüsselung verwendet, der Fall wäre. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit der auf belegten Speicherplatz beschränkten Verschlüsselung mithilfe des folgenden Befehls bereinigen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

 

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

Diese Richtlinie steuert, ob Betriebssystemlaufwerke die vollständige Verschlüsselung oder die auf belegten Speicherplatz beschränkte Verschlüsselung nutzen. Durch das Festlegen dieser Richtlinie überspringt der BitLocker-Setup-Assistent außerdem die Seite mit den Verschlüsselungsoptionen, sodass dem Benutzer keine Verschlüsselungsauswahl angezeigt wird.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerk

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Diese Richtlinie definiert den Verschlüsselungstyp, den BitLocker zur Verschlüsselung von Laufwerken verwendet, und die Verschlüsselungstypoption wird nicht im BitLocker-Setup-Assistenten angezeigt.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer zur Auswahl des Verschlüsselungstyps auf, bevor BitLocker aktiviert wird.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung gerade ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, wenn erforderlich ist, dass bei der Aktivierung von BitLocker das gesamte Laufwerk verschlüsselt wird. Wählen Sie die auf belegten Speicherplatz beschränkte Verschlüsselung aus, wenn nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, bei der Aktivierung von BitLocker verschlüsselt werden muss.

Hinweis  

Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet. Wenn z. B. ein Laufwerk, das die auf belegten Speicherplatz beschränkte Verschlüsselung verwendet, erweitert wird, wird der neue freie Speicherplatz nicht bereinigt, wie es bei einem Laufwerk, das die vollständige Verschlüsselung verwendet, der Fall wäre. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit der auf belegten Speicherplatz beschränkten Verschlüsselung mithilfe des folgenden Befehls bereinigen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

 

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

Laufwerkverschlüsselungstyp auf Wechseldatenträgern erzwingen

Diese Richtlinie steuert, ob Festplattenlaufwerke die vollständige Verschlüsselung oder die auf belegten Speicherplatz beschränkte Verschlüsselung nutzen. Durch das Festlegen dieser Richtlinie überspringt der BitLocker-Setup-Assistent außerdem die Seite mit den Verschlüsselungsoptionen, sodass dem Benutzer keine Verschlüsselungsauswahl angezeigt wird.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie den Verschlüsselungstyp konfigurieren, der von BitLocker verwendet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Keine

Wenn aktiviert

Diese Richtlinie definiert den Verschlüsselungstyp, den BitLocker zur Verschlüsselung von Laufwerken verwendet, und die Verschlüsselungstypoption wird nicht im BitLocker-Setup-Assistenten angezeigt.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent fordert den Benutzer zur Auswahl des Verschlüsselungstyps auf, bevor BitLocker aktiviert wird.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung gerade ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, wenn erforderlich ist, dass bei der Aktivierung von BitLocker das gesamte Laufwerk verschlüsselt wird. Wählen Sie die auf belegten Speicherplatz beschränkte Verschlüsselung aus, wenn nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, bei der Aktivierung von BitLocker verschlüsselt werden muss.

Hinweis  

Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet. Wenn z. B. ein Laufwerk, das die auf belegten Speicherplatz beschränkte Verschlüsselung verwendet, erweitert wird, wird der neue freie Speicherplatz nicht bereinigt, wie es bei einem Laufwerk, das die vollständige Verschlüsselung verwendet, der Fall wäre. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit der auf belegten Speicherplatz beschränkten Verschlüsselung mithilfe des folgenden Befehls bereinigen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

 

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Diese Richtlinieneinstellung wird zum Konfigurieren von Wiederherstellungsmethoden für Betriebssystemlaufwerke verwendet.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, wie mit BitLocker geschützte Betriebssystemlaufwerke ohne Informationen zum erforderlichen Systemstartschlüssel wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Sie dürfen die Verwendung von Wiederherstellungsschlüsseln nicht zulassen, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

Wenn Sie Datenwiederherstellungs-Agents verwenden, müssen Sie die Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben aktivieren.

Wenn aktiviert

Sie können die Methoden steuern, die für Benutzer zum Wiederherstellen von Daten aus mit BitLocker geschützten Betriebssystemlaufwerken verfügbar sind.

Wenn deaktiviert oder nicht konfiguriert

Die Standardwiederherstellungsoptionen werden für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist ein Datenwiederherstellungs-Agent zulässig, die Wiederherstellungsoptionen können durch den Benutzer angegeben werden (einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel), und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Das Kontrollkästchen Datenwiederherstellungs-Agents zulassen wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit durch BitLocker geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus Richtlinien öffentlicher Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden.

Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie unter Grundlegende BitLocker-Bereitstellung.

Wählen Sie unter Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren aus, ob es für Benutzer zulässig, erforderlich oder nicht zulässig ist, ein 48-stelliges Wiederherstellungskennwort zu generieren.

Wählen Sie Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie auf einem Laufwerk BitLocker aktivieren. Das bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden soll. Stattdessen werden BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.

Wählen Sie unter BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern aus, welche BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in Active Directory-Domänendienste (AD DS) gespeichert werden sollen. Bei Auswahl von Wiederherstellungskennwörter und Schlüsselpakete speichern werden das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt das Wiederherstellen von Daten von einem Laufwerk, das physisch beschädigt ist. Wenn Sie die Option Nur Wiederherstellungskennwörter speichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden, wenn Benutzer BitLocker nur dann aktivieren sollen, wenn der Computer mit der Domäne verbunden ist und die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS erfolgreich ist.

Hinweis  

Wenn das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

 

Wiederherstellungsoptionen für BitLocker-geschützte Laufwerke für Benutzer auswählen (Windows Server 2008 und Windows Vista)

Diese Richtlinieneinstellung wird zum Konfigurieren von Wiederherstellungsmethoden für mit BitLocker geschützte Laufwerke auf Computern unter Windows Server 2008 oder Windows Vista verwendet.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, ob der BitLocker-Setup-Assistent BitLocker-Wiederherstellungsoptionen anzeigen und angeben kann.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerktyp

Betriebssystemlaufwerke und Festplattenlaufwerke auf Computern unter Windows Server 2008 und Windows Vista

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Diese Richtlinieneinstellung bietet eine administrative Methode zum Wiederherstellen von Daten, die von BitLocker verschlüsselt werden, um Datenverluste aufgrund fehlender Schlüsselinformationen zu verhindern. Bei Auswahl der Option Nicht zulassen für beide Benutzerwiederherstellungsoptionen müssen Sie die Richtlinieneinstellung BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista) aktivieren, um einen Richtlinienfehler zu vermeiden.

Wenn aktiviert

Sie können die Optionen konfigurieren, die der BitLocker-Setup-Assistent Benutzern zum Wiederherstellen von mit BitLocker verschlüsselten Daten angezeigt.

Wenn deaktiviert oder nicht konfiguriert

Der BitLocker-Setup-Assistent stellt Benutzern Methoden zum Speichern von Wiederherstellungsoptionen bereit.

 

Referenzen

Diese Richtlinie gilt nur für Computer unter Windows Server 2008 oder Windows Vista. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Zwei Wiederherstellungsoptionen können verwendet werden, um mit BitLocker verschlüsselte Daten ohne die erforderlichen Systemstartschlüsselinformationen zu entsperren. Benutzer können ein 48-stelliges numerisches Wiederherstellungskennwort eingeben oder ein USB-Laufwerk anschließen, das einen 256-Bit-Wiederherstellungsschlüssel enthält.

Beim Speichern des Wiederherstellungskennworts auf einem USB-Laufwerk wird das 48-stellige Wiederherstellungskennwort als Textdatei und der 256-Bit-Wiederherstellungsschlüssel als ausgeblendete Datei gespeichert. Beim Speichern in einem Ordner wird das 48-stellige Wiederherstellungskennwort als Textdatei gespeichert. Beim Drucken wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Wenn beispielsweise das 48-stellige Wiederherstellungskennwort nicht zulässig ist, können Benutzer die Wiederherstellungsinformationen weder drucken noch in einem Ordner speichern.

Wichtig  

Wenn während des BitLocker-Setups die TPM-Initialisierung erfolgt, werden die TPM-Besitzerinformationen mit den BitLocker-Wiederherstellungsinformationen gespeichert oder gedruckt.

Das 48-stellige Wiederherstellungskennwort ist im FIPS-Kompatibilitätsmodus nicht verfügbar.

 

Wichtig  

Um Datenverluste zu vermeiden, müssen Sie eine Möglichkeit zum Wiederherstellen der BitLocker-Verschlüsselungsschlüssel haben. Wenn Sie keine der beiden Wiederherstellungsoptionen zulassen, müssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS ermöglichen. Andernfalls tritt ein Richtlinienfehler auf.

 

BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista)

Diese Richtlinieneinstellung wird zum Konfigurieren des Speicherns von BitLocker-Wiederherstellungsinformationen in AD DS verwendet. Dadurch wird eine administrative Methode zum Wiederherstellen von Daten bereitgestellt, die von BitLocker verschlüsselt werden, um Datenverluste aufgrund fehlender Schlüsselinformationen zu verhindern.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die AD DS-Sicherung der Wiederherstellungsinformationen der BitLocker-Laufwerksverschlüsselung verwalten.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerktyp

Betriebssystemlaufwerke und Festplattenlaufwerke auf Computern unter Windows Server 2008 und Windows Vista.

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Keine

Wenn aktiviert

BitLocker-Wiederherstellungsinformationen werden automatisch und im Hintergrund in AD DS gesichert, wenn BitLocker für einen Computer aktiviert wird.

Wenn deaktiviert oder nicht konfiguriert

BitLocker-Wiederherstellungsinformationen werden nicht auf AD DS gesichert.

 

Referenzen

Diese Richtlinie gilt nur für Computer unter Windows Server 2008 oder Windows Vista.

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

BitLocker-Wiederherstellungsinformationen enthalten das Wiederherstellungskennwort und eindeutige Bezeichnerdaten. Sie können auch ein Paket einschließen, das einen Verschlüsselungsschlüssel für ein mit BitLocker geschütztes Laufwerk enthält. Dieses Schlüsselpaket wird durch mindestens ein Wiederherstellungskennwort gesichert und kann zum Durchführen einer speziellen Wiederherstellung verwendet werden, wenn die Festplatte beschädigt oder fehlerhaft ist.

Wenn Sie die Option erfordern BitLocker-Sicherung auf AD DS auswählen, kann BitLocker nur aktiviert werden, wenn der Computer mit der Domäne verbunden ist und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS erfolgreich ist. Diese Option ist standardmäßig aktiviert, um sicherzustellen, dass die BitLocker-Wiederherstellung möglich ist.

Ein Wiederherstellungskennwort ist eine 48-stellige Zahl, die den Zugriff auf ein mit BitLocker geschütztes Laufwerk entsperrt. Ein Schlüsselpaket enthält den BitLocker-Verschlüsselungsschlüssel eines Laufwerks, das durch mindestens ein Wiederherstellungskennwort geschützt ist. Schlüsselpakete können dabei helfen, eine spezielle Wiederherstellung auszuführen, wenn die Festplatte beschädigt oder fehlerhaft ist.

Wenn die Option BitLocker-Sicherung in AD DS erforderlich nicht aktiviert ist, wird eine AD DS-Sicherung versucht, aber Netzwerk- oder andere Sicherungsfehler verhindern nicht das BitLocker-Setup. Der Sicherungsvorgang wird nicht automatisch erneut ausgeführt, und das Wiederherstellungskennwort wird während des BitLocker-Setups möglicherweise nicht in AD DS gespeichert.

TPM-Initialisierung kann während des BitLocker-Setups erforderlich sein. Aktivieren Sie die Richtlinieneinstellung Aktivieren der TPM-Sicherung für Active Directory Domain Services in Computerkonfiguration\Administrative Vorlagen\System\Trusted Platform Module-Dienste, um sicherzustellen, dass auch TPM-Informationen gesichert werden.

Weitere Informationen zu dieser Einstellung finden Sie unter Gruppenrichtlinieneinstellungen für TPM-Dienste.

Bei Verwendung von Domänencontrollern unter Windows Server 2003 mit Service Pack 1 müssen Sie zunächst entsprechende Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Domäne einrichten, bevor eine Sicherung auf AD DS erfolgreich ausgeführt werden kann. Weitere Informationen finden Sie unter Sichern der BitLocker- und TPM-Wiederherstellungsdaten in AD DS.

Standardordner für Wiederherstellungskennwort auswählen

Diese Richtlinieneinstellung dient zum Konfigurieren des Standardordners für Wiederherstellungskennwörter.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie den Standardpfad angeben, der angezeigt wird, wenn der BitLocker-Setup-Assistent den Benutzer zur Eingabe des Speicherorts eines Ordners auffordert, in dem das Wiederherstellungskennwort gespeichert werden soll.

Eingeführt

Windows Vista

Laufwerktyp

Alle Laufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Keine

Wenn aktiviert

Sie können den Pfad angeben, der als Standardspeicherort verwendet wird, wenn der Benutzer die Option zum Speichern des Wiederherstellungskennworts in einem Ordner auswählt. Sie können einen vollqualifizierten Pfad angeben oder die Umgebungsvariablen des Zielcomputers im Pfad einschließen. Wenn der Pfad nicht gültig ist, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene auf dem Computer an.

Wenn deaktiviert oder nicht konfiguriert

Die BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene auf dem Computer an, wenn der Benutzer die Option zum Speichern des Wiederherstellungskennworts in einem Ordner auswählt.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Hinweis  

Diese Richtlinieneinstellung verhindert nicht, dass der Benutzer das Wiederherstellungskennwort in einem anderen Ordner speichert.

 

Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

Diese Richtlinieneinstellung wird zum Konfigurieren von Wiederherstellungsmethoden für Festplattenlaufwerke verwendet.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, wie mit BitLocker geschützte Festplatten ohne die erforderlichen Anmeldeinformationen wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Sie dürfen die Verwendung von Wiederherstellungsschlüsseln nicht zulassen, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

Wenn Sie Datenwiederherstellungs-Agents verwenden, müssen Sie die Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben aktivieren und konfigurieren.

Wenn aktiviert

Sie können die Methoden steuern, die für Benutzer zum Wiederherstellen von Daten aus mit BitLocker geschützten Festplattenlaufwerken verfügbar sind.

Wenn deaktiviert oder nicht konfiguriert

Die Standardwiederherstellungsoptionen werden für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist ein Datenwiederherstellungs-Agent zulässig, die Wiederherstellungsoptionen können durch den Benutzer angegeben werden (einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel), und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Das Kontrollkästchen Datenwiederherstellungs-Agents zulassen wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit durch BitLocker geschützten Festplattenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus Richtlinien öffentlicher Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden.

Wählen Sie unter Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren aus, ob es für Benutzer zulässig, erforderlich oder nicht zulässig ist, ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel zu generieren.

Wählen Sie Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie auf einem Laufwerk BitLocker aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden sollen. Stattdessen werden BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.

Wählen Sie unter BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden sollen. Bei Auswahl von Wiederherstellungskennwort und Schlüsselpaket sichern werden das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt das Wiederherstellen von Daten von einem Laufwerk, das physisch beschädigt wurde. Um diese Daten wiederherzustellen, können Sie das Repair-bde-Befehlszeilentool verwenden. Wenn Sie die Option Nur Wiederherstellungskennwörter sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.

Weitere Informationen zum BitLocker-Reparaturtool finden Sie unter Repair-bde.

Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden, wenn Sie möchten, dass Benutzer BitLocker nur dann aktivieren können, wenn der Computer mit der Domäne verbunden ist und die Sicherung von BitLocker-Wiederherstellungsinformationen für das Laufwerk in AD DS erfolgreich ist.

Hinweis  

Wenn das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

 

Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können

Diese Richtlinieneinstellung wird zum Konfigurieren von Wiederherstellungsmethoden für Wechseldatenträger verwendet.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, wie mit BitLocker geschützte Wechseldatenträger ohne die erforderlichen Anmeldeinformationen wiederhergestellt werden.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Sie dürfen die Verwendung von Wiederherstellungsschlüsseln nicht zulassen, wenn die Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind aktiviert ist.

Wenn Sie Datenwiederherstellungs-Agents verwenden, müssen Sie die Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben aktivieren und konfigurieren.

Wenn aktiviert

Sie können die Methoden steuern, die für Benutzer zum Wiederherstellen von Daten aus mit BitLocker geschützten Wechseldatenträgern verfügbar sind.

Wenn deaktiviert oder nicht konfiguriert

Die Standardwiederherstellungsoptionen werden für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist ein Datenwiederherstellungs-Agent zulässig, die Wiederherstellungsoptionen können durch den Benutzer angegeben werden (einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel), und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Das Kontrollkästchen Datenwiederherstellungs-Agents zulassen wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit durch BitLocker geschützten Wechseldatenträgern verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus Richtlinien öffentlicher Schlüssel hinzugefügt werden. Der Zugriff erfolgt über die Gruppenrichtlinien-Verwaltungskonsole oder den Editor für lokale Gruppenrichtlinien.

Wählen Sie unter Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren aus, ob es für Benutzer zulässig, erforderlich oder nicht zulässig ist, ein 48-stelliges Wiederherstellungskennwort zu generieren.

Wählen Sie Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie auf einem Laufwerk BitLocker aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden sollen. Stattdessen werden BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.

Wählen Sie unter BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Wechseldatenträger gespeichert werden sollen. Bei Auswahl von Wiederherstellungskennwort und Schlüsselpaket sichern werden das BitLocker-Wiederherstellungskennwort und das Schlüsselpaket in AD DS gespeichert. Wenn Sie die Option Nur Wiederherstellungskennwörter sichern auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Wechseldatenträger in AD DS gespeichert wurden, wenn Sie möchten, dass Benutzer BitLocker nur dann aktivieren können, wenn der Computer mit der Domäne verbunden ist und die Sicherung von BitLocker-Wiederherstellungsinformationen für das Laufwerk in AD DS erfolgreich ist.

Hinweis  

Wenn das Kontrollkästchen BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

 

Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL

Diese Richtlinieneinstellung wird verwendet, um die gesamte Wiederherstellungsmeldung zu konfigurieren und um die vorhandene URL, die auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt wird, zu ersetzen, wenn das Betriebssystemlaufwerk gesperrt ist.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie den BitLocker-Wiederherstellungsbildschirm zum Anzeigen einer benutzerdefinierten Meldung und URL konfigurieren.

Eingeführt

Windows 10

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke\Meldung und URL für die Pre-Boot-Wiederherstellung konfigurieren

Konflikte

Keine

Wenn aktiviert

Die benutzerdefinierte Meldung und die URL werden auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsmeldung und eine benutzerdefinierte URL aktiviert haben und die Standardmeldung und -URL wiederherstellen möchten, müssen Sie die Richtlinieneinstellung weiterhin aktiviert lassen und die Option Standard-Wiederherstellungsmeldung und -URL verwenden auswählen.

Wenn deaktiviert oder nicht konfiguriert

Wenn die Einstellung zuvor noch nicht aktiviert wurde, wird der standardmäßige Bildschirm der Pre-Boot-Wiederherstellung für die BitLocker-Wiederherstellung angezeigt. Wenn die Einstellung zuvor aktiviert wurde und anschließend deaktiviert wird, wird die letzte Nachricht in den Startkonfigurationsdaten (Boot Configuration Data, BCD) unabhängig davon angezeigt, ob es sich um die standardmäßige Wiederherstellungsmeldung oder die benutzerdefinierte Meldung gehandelt hat.

 

Referenzen

Durch das Aktivieren der Richtlinieneinstellung Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL können Sie die standardmäßige Meldung des Wiederherstellungsbildschirms und die Standard-URL anpassen, um Kunden bei der Wiederherstellung des Schlüssels zu helfen.

Nach dem Aktivieren der Einstellung haben Sie drei Optionen:

  • Bei Auswahl der Option Standard-Wiederherstellungsmeldung und -URL verwenden werden die standardmäßige BitLocker-Wiederherstellungsmeldung und die Standard-URL auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt.

  • Bei Auswahl der Option Benutzerdefinierte Wiederherstellungsmeldung verwenden geben Sie die benutzerdefinierte Nachricht in das Textfeld Option für benutzerdefinierte Wiederherstellungsmeldung ein. Die Meldung, die Sie in das Textfeld Option für benutzerdefinierte Wiederherstellungsmeldung eingeben, wird auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt. Wenn eine Wiederherstellungs-URL verfügbar ist, schließen Sie sie in die Meldung ein.

  • Bei Auswahl der Option Benutzerdefinierte Wiederherstellungs-URL verwenden geben Sie die benutzerdefinierte Meldungs-URL in das Textfeld Option für benutzerdefinierte Wiederherstellungs-URL ein. Die URL, die Sie in das Textfeld Option für benutzerdefinierte Wiederherstellungs-URL eingeben, ersetzt die Standard-URL in der standardmäßigen Wiederherstellungsmeldung, die auf dem Bildschirm der Pre-Boot-Wiederherstellung angezeigt wird.

Wichtig  

Nicht alle Zeichen und Sprachen werden in der Pre-Boot-Umgebung unterstützt. Es wird dringend empfohlen, die richtige Darstellung der Zeichen, die Sie für die benutzerdefinierte Meldung und die benutzerdefinierte URL auf dem Bildschirm der Pre-Boot-Wiederherstellung verwenden, zu überprüfen.

 

Wichtig  

Da Sie BCDEdit-Befehle manuell ändern können, bevor Sie Gruppenrichtlinieneinstellungen festgelegt haben, können Sie die Richtlinieneinstellung nicht auf die Standardeinstellung zurücksetzen, indem Sie die Option Nicht konfiguriert nach dem Konfigurieren dieser Richtlinieneinstellung auswählen. Um zum standardmäßigen Bildschirm der Pre-Boot-Wiederherstellung zurückzukehren, lassen Sie die Richtlinieneinstellung aktiviert, und wählen Sie die Option Standardmeldung verwenden im Dropdown-Listenfeld Option für die Pre-Boot-Wiederherstellungsnachricht auswählen aus.

 

Sicheren Start für Integritätsüberprüfung zulassen

Diese Richtlinie steuert, wie BitLocker-fähige Systemvolumes in Verbindung mit dem Feature für den sicheren Start verarbeitet werden. Durch das Aktivieren dieses Features wird die Überprüfung des sicheren Starts während des Startvorgangs erzwungen. Außerdem werden die Einstellungen der Startkonfigurationsdaten (Boot Configuration Data, BCD) gemäß der Richtlinie für einen sicheren Start überprüft.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob der sichere Start als Plattformintegritätsanbieter für BitLocker-Betriebssystemlaufwerke zulässig ist.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Alle Laufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Wenn die Gruppenrichtlinieneinstellung TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren aktiviert und PCR 7 weggelassen wird, kann BitLocker den sicheren Start nicht für die Überprüfung der Plattform- oder BCD-Integrität verwenden.

Weitere Informationen zu PCR 7 finden Sie unter Plattformkonfigurationsregister (Platform Configuration Register, PCR) in diesem Thema.

Wenn aktiviert oder nicht konfiguriert

BitLocker verwendet den sicheren Start für die Plattformintegrität, sofern die Plattform eine auf dem sicheren Start basierende Überprüfung unterstützt.

Wenn deaktiviert

BitLocker verwendet Legacy-Plattformintegritätsüberprüfung – sogar auf Systemen, die für die Überprüfung der Integrität auf Basis des sicheren Starts geeignet sind.

 

Referenzen

Durch den sicheren Start wird sichergestellt, dass die Pre-Boot-Umgebung des Computers nur Firmware lädt, die von autorisierten Softwareherausgebern signiert wurde. Der sichere Start bietet außerdem mehr Flexibilität für das Verwalten von Pre-Boot-Konfigurationen als BitLocker-Integritätsüberprüfungen vor Windows Server 2012 und Windows 8.

Wenn diese Richtlinie aktiviert ist und die Hardware den sicheren Start für BitLocker-Szenarios verwenden kann, wird die Gruppenrichtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden ignoriert, und der sichere Start überprüft BCD-Einstellungen gemäß der Richtlinieneinstellung des sicheren Starts, die separat durch BitLocker konfiguriert wird.

Warnung  

Das Aktivieren dieser Richtlinie kann zu einer BitLocker-Wiederherstellung führen, wenn herstellerspezifische Firmware aktualisiert wird. Wenn Sie diese Richtlinie deaktivieren, haltenSie BitLocker vor dem Anwenden von Firmwareupdates an.

 

Eindeutige IDs für Ihre Organisation angeben

Mit dieser Richtlinieneinstellung wird ein Bezeichner festgelegt, der auf alle Laufwerke angewendet wird, die in Ihrer Organisation verschlüsselt sind.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie eindeutige Organisationbezeichner einem neuen Laufwerk zuordnen, das mit BitLocker aktiviert wird.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Alle Laufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

ID-Felder sind zum Verwalten von zertifikatsbasierten Datenwiederherstellungs-Agents auf mit BitLocker geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert zertifikatsbasierte DatenwiederherstellungsAgents nur, wenn das ID-Feld auf einem Laufwerk vorhanden und identisch mit dem Wert ist, der auf dem Computer konfiguriert ist.

Wenn aktiviert

Sie können das ID-Feld auf dem mit BitLocker geschützten Laufwerk und alle zulässigen ID-Feldern, die von der Organisation verwendet werden, konfigurieren.

Wenn deaktiviert oder nicht konfiguriert

Das ID-Feld ist nicht erforderlich.

 

Referenzen

Diese Bezeichner werden als ID-Feld und zulässiges ID-Feld gespeichert. Das ID-Feld ermöglicht Ihnen das Zuordnen einer eindeutigen Organisations-ID zu mit BitLocker geschützten Laufwerken. Diese ID wird automatisch neuen mit BitLocker geschützten Laufwerken hinzugefügt und kann auf vorhandenen mit BitLocker geschützten Laufwerken mit dem Befehlszeilentool Manage-bde aktualisiert werden.

Ein ID-Feld ist zum Verwalten von zertifikatsbasierten Datenwiederherstellungs-Agents auf mit BitLocker geschützten Laufwerken und für potenzielle Aktualisierungen des BitLocker To Go-Lesetools erforderlich. BitLocker verwaltet und aktualisiert Datenwiederherstellungs-Agents nur, wenn das ID-Feld auf dem Laufwerk mit dem Wert übereinstimmt, der im ID-Feld konfiguriert ist. Auf ähnliche Weise aktualisiert BitLocker das BitLocker To Go-Lesetool nur, wenn das ID-Feld auf dem Laufwerk mit dem Wert übereinstimmt, der für das ID-Feld konfiguriert ist.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

Das zulässige ID-Feld wird in Kombination mit der Richtlinieneinstellung Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind verwendet, um die Verwendung von Wechseldatenträgern in Ihrer Organisation zu steuern. Es handelt sich um eine durch Kommata getrennte Liste der ID-Felder aus Ihrer Organisation oder externen Organisationen.

Sie können die ID-Felder auf vorhandenen Laufwerken mit dem Befehlszeilentool Manage-bde konfigurieren.

Wenn ein mit BitLocker geschütztes Laufwerk auf einem anderen Computer mit BitLocker bereitgestellt wird, werden das ID-Feld und das Feld für zulässige IDs verwendet, um zu ermitteln, ob das Laufwerk aus einer anderen Organisation stammt.

Mehrere durch Kommata getrennte Werte können in das ID-Feld und das Feld für zulässige IDs eingegeben werden. Das ID-Feld kann einen beliebigen Wert mit bis zu 260 Zeichen enthalten.

Überschreiben des Arbeitsspeichers beim Neustart verhindern

Mit dieser Richtlinieneinstellung wird gesteuert, ob der Arbeitsspeicher des Computers beim nächsten Neustart des Computers überschrieben wird.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie die Neustartleistung des Computers unter dem Risiko des Verfügbarmachens von BitLocker-Schlüsseln steuern.

Eingeführt

Windows Vista

Laufwerktyp

Alle Laufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerksverschlüsselung

Konflikte

Keine

Wenn aktiviert

Der Computer überschreibt beim Neustart den Arbeitsspeicher nicht. Das Verhindern des Überschreibens des Arbeitsspeichers kann die Neustartleistung verbessern, aber das Risiko des Verfügbarmachens von BitLocker-Schlüsseln erhöhen.

Wenn deaktiviert oder nicht konfiguriert

BitLocker-Schlüssel werden beim Neustart des Computers aus dem Arbeitsspeicher entfernt.

 

Referenzen

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. BitLocker-Schlüssel enthalten Schlüsselmaterial, das zum Verschlüsseln von Daten verwendet wird. Diese Richtlinieneinstellung gilt nur, wenn der BitLocker-Schutz aktiviert ist.

TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren

Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es Startkomponenten überprüft, bevor es ein Betriebssystemlaufwerk auf einem Computer mit BIOS-Konfiguration oder UEFI-Firmware entsperrt, für den das Compatibility Support Module (CSM) aktiviert wurde.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Sie können die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entsperren des Laufwerks nicht frei. Stattdessen zeigt der Computer die BitLocker-Wiederherstellungskonsole an und erfordert, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

Das TPM verwendet das standardmäßige Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setupskript angegeben wird.

 

Referenzen

Diese Richtlinieneinstellung gilt nicht, wenn der Computer kein kompatibles TPM hat oder wenn BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig  

Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware mit aktiviertem CSM. Computer, die eine systemeigene UEFI-Firmwarekonfiguration verwenden, speichern verschiedene Werte in den Plattformkonfigurationsregistern (PCRs). Verwenden Sie die Gruppenrichtlinieneinstellung TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren, um das TPM PCR-Profil für Computer zu konfigurieren, die eine systemeigene UEFI-Firmware verwenden.

 

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes zwischen 0 und 23. Das Standard-Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel gegen Änderungen an Folgendem:

  • Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0)

  • Options-ROM-Code (PCR 2)

  • Master Boot Record (MBR)-Code (PCR 4)

  • NTFS-Startsektor (PCR 8)

  • NTFS-Startblock (PCR 9)

  • Start-Manager (PCR 10)

  • BitLocker-Zugriffssteuerung (PCR 11)

Hinweis  

Das Ändern des Standard-Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltung Ihres Computers aus. Die BitLocker-Empfindlichkeit bezüglich Plattformänderungen (schädliche oder autorisierte) wird je nach der Aufnahme oder Ausschluss der PCRs erhöht oder verringert.

 

Die folgende Liste identifiziert alle verfügbaren PCRs:

  • PCR 0: Core Root-of-Trust for Measurement, BIOS und Plattformerweiterungen

  • PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten.

  • PCR 2: Options-ROM-Code

  • PCR 3: Options-ROM-Daten und -Konfiguration

  • PCR 4: Master Boot Record (MBR)-Code

  • PCR 5: Master Boot Record (MBR)-Partitionstabelle

  • PCR 6: Statusübergang und Aktivierungsereignisse

  • PCR 7: Computerhersteller-spezifisch

  • PCR 8: NTFS-Startsektor

  • PCR 9: NTFS-Startblock

  • PCR 10: Start-Manager

  • PCR 11: BitLocker-Zugriffssteuerung

  • PCR 12-23: Reserviert für die zukünftige Verwendung

TPM-Plattformvalidierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es Startkomponenten überprüft, bevor ein Laufwerk auf einem Computer unter Windows Vista, Windows Server 2008 oder Windows 7 entsperrt wird.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2008 und Windows Vista

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Sie können die Startkomponenten konfigurieren, die das TPM überprüft, bevor der Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt wird. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entsperren des Laufwerks nicht frei. Stattdessen zeigt der Computer die BitLocker-Wiederherstellungskonsole an und erfordert, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

Das TPM verwendet das standardmäßige Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setupskript angegeben wird.

 

Referenzen

Diese Richtlinieneinstellung gilt nicht, wenn der Computer kein kompatibles TPM hat oder wenn BitLocker bereits mit TPM-Schutz aktiviert wurde.

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes zwischen 0 und 23. Das Standard-Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel gegen Änderungen an Folgendem:

  • Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0)

  • Options-ROM-Code (PCR 2)

  • Master Boot Record (MBR)-Code (PCR 4)

  • NTFS-Startsektor (PCR 8)

  • NTFS-Startblock (PCR 9)

  • Start-Manager (PCR 10)

  • BitLocker-Zugriffssteuerung (PCR 11)

Hinweis  

Die standardmäßigen PCR-Einstellungen des TPM-Überprüfungsprofils für Computer, die eine EFI (Extensible Firmware Interface) verwenden, sind nur die PCRs 0, 2, 4 und 11.

 

Die folgende Liste identifiziert alle verfügbaren PCRs:

  • PCR 0: Core Root-of-Trust for Measurement, EFI-Start- und Laufzeitdienste, EFI-Treiber (im System-ROM integriert), statische ACPI-Tabellen, eingebetteter SMM-Code und BIOS-Code

  • PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten. Übergebene Tabellen und EFI-Variablen, die sich auf die Systemkonfiguration auswirken.

  • PCR 2: Options-ROM-Code

  • PCR 3: Options-ROM-Daten und -Konfiguration

  • PCR 4: Master Boot Record (MBR)-Code oder Code aus anderen Startgeräten

  • PCR 5: Master Boot Record (MBR)-Partitionstabelle. Verschiedene EFI-Variablen und die GPT-Tabelle

  • PCR 6: Statusübergang und Aktivierungsereignisse

  • PCR 7: Computerhersteller-spezifisch

  • PCR 8: NTFS-Startsektor

  • PCR 9: NTFS-Startblock

  • PCR 10: Start-Manager

  • PCR 11: BitLocker-Zugriffssteuerung

  • PCR 12 – 23: Reserviert für die zukünftige Verwendung

Warnung  

Das Ändern des Standard-Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltung Ihres Computers aus. Die BitLocker-Empfindlichkeit bezüglich Plattformänderungen (schädliche oder autorisierte) wird je nach der Aufnahme oder Ausschluss der PCRs erhöht oder verringert.

 

TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren

Diese Richtlinieneinstellung bestimmt, welche Werte das TPM misst, wenn es Startkomponenten vor dem Entsperren eines Betriebssystemlaufwerks auf einem Computer mit systemeigenen UEFI-Firmwarekonfigurationen überprüft.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschlüsselungsschlüssel schützt.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Das Festlegen dieser Richtlinie ohne PCR 7 setzt die Gruppenrichtlinieneinstellung Sicheren Start für Integritätsüberprüfung zulassen außer Kraft und verhindert, dass BitLocker den sicheren Start für die Plattform- oder Startkonfigurationsdaten-Integritätsüberprüfung (Boot Configuration Data, BCD) verwendet.

Wenn Ihre Umgebungen TPM und den sicheren Start für Plattformintegritätsüberprüfungen verwenden, sollte diese Richtlinie nicht konfiguriert werden.

Weitere Informationen zu PCR 7 finden Sie unter Plattformkonfigurationsregister (Platform Configuration Register, PCR) in diesem Thema.

Wenn aktiviert

Bevor Sie BitLocker aktivieren, können Sie die Startkomponenten konfigurieren, die das TPM überprüft, bevor es den Zugriff auf das mit BitLocker verschlüsselte Betriebssystemlaufwerk entsperrt. Wenn eine dieser Komponenten geändert wird, während der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschlüsselungsschlüssel zum Entsperren des Laufwerks nicht frei. Stattdessen zeigt der Computer die BitLocker-Wiederherstellungskonsole an und erfordert, dass das Wiederherstellungskennwort oder der Wiederherstellungsschlüssel zum Entsperren des Laufwerks bereitgestellt wird.

Wenn deaktiviert oder nicht konfiguriert

BitLocker verwendet das standardmäßige Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das durch das Setupskript angegeben wird.

 

Referenzen

Diese Richtlinieneinstellung gilt nicht, wenn der Computer kein kompatibles TPM hat oder wenn BitLocker bereits mit TPM-Schutz aktiviert wurde.

Wichtig  

Diese Gruppenrichtlinieneinstellung gilt nur für Computer mit einer systemeigenen UEFI-Firmwarekonfiguration. Computer mit BIOS oder UEFI-Firmware mit aktiviertem Kompatibilitätsunterstützungsmodul (Compatibility Support Module, CSM) speichern verschiedene Werte in den Plattformkonfigurationsregistern (PCRs). Verwenden Sie die Gruppenrichtlinieneinstellung TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfigurationen konfigurieren , um das TPM PCR-Profil für Computer mit BIOS-Konfigurationen oder für Computer mit UEFI-Firmware und aktiviertem CSM zu konfigurieren.

 

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes zwischen 0 und 23. Das standardmäßige Plattformvalidierungsprofil sichert den Verschlüsselungsschlüssel gegen Änderungen am ausführbaren Code für Kernsystemfirmware (PCR 0), am erweiterten oder austauschbaren ausführbaren Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).

Die folgende Liste identifiziert alle verfügbaren PCRs:

  • PCR 0: Ausführbarer Code für Kernsystemfirmware

  • PCR 1: Kernsystemfirmware-Daten

  • PCR 2: Erweiterter oder austauschbarer ausführbarer Code

  • PCR 3: Erweiterte oder austauschbare Firmwaredaten

  • PCR 4: Start-Manager

  • PCR 5: GPT-/Partitionstabelle

  • PCR 6: Wiederaufnahme aus Energiestatusereignissen S4 und S5

  • PCR 7: Zustand des sicheren Starts

    Weitere Informationen zu diesem PCR finden Sie unter Plattformkonfigurationsregister (Platform Configuration Register, PCR) in diesem Thema.

  • PCR 8: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)

  • PCR 9: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)

  • PCR 10: Initialisiert auf 0 ohne Erweiterungen (reserviert für zukünftige Verwendung)

  • PCR 11: BitLocker-Zugriffssteuerung

  • PCR 12: Datenereignisse und stark veränderliche Ereignisse

  • PCR 13: Startmoduldetails

  • PCR 14: Startbefugnisse

  • PCR 15 – 23: Reserviert für die zukünftige Verwendung

Warnung  

Das Ändern des Standard-Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltung Ihres Computers aus. Die BitLocker-Empfindlichkeit bezüglich Plattformänderungen (schädliche oder autorisierte) wird je nach der Aufnahme oder Ausschluss der PCRs erhöht oder verringert.

 

Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzen

Diese Richtlinieneinstellung legt fest, ob die Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird. Ein Plattformvalidierungsdaten-Profil besteht aus den Werten in einer Gruppe von PCR-Indizes von 0 bis 23.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie steuern, ob Plattformvalidierungsdaten aktualisiert werden, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Keine

Wenn aktiviert

Plattformvalidierungsdaten werden aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Wenn deaktiviert

Plattformvalidierungsdaten werden nicht aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

Wenn nicht konfiguriert

Plattformvalidierungsdaten werden aktualisiert, wenn Windows nach einer BitLocker-Wiederherstellung gestartet wird.

 

Referenzen

Weitere Informationen zum Wiederherstellungsprozess finden Sie im BitLocker-Wiederherstellungsleitfaden.

Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden

Diese Richtlinieneinstellung bestimmt spezielle, während der Plattformvalidierung zu überprüfende BCD-Einstellungen. Eine Plattformvalidierung verwendet die Daten im Plattformvalidierungsprofil, das aus einer Reihe von PCR-Indizes von 0 bis 23 besteht.

Richtlinienbeschreibung

Mir dieser Richtlinieneinstellung können Sie während der Plattformvalidierung zu überprüfende BCD-Einstellungen angeben.

Eingeführt

Windows Server 2012 und Windows 8

Laufwerktyp

Betriebssystemlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke

Konflikte

Wenn BitLocker den sicheren Start für die Plattform- und Startkonfigurationsdaten-Integritätsvalidierung verwendet, wird die Gruppenrichtlinieneinstellung Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden ignoriert (gemäß der Gruppenrichtlinieneinstellung Sicheren Start für Integritätsüberprüfung zulassen).

Wenn aktiviert

Sie können zusätzliche BCD-Einstellungen hinzufügen, angegebene BCD-Einstellungen ausschließen oder Ein- und Ausschlussregeln kombinieren, um ein angepasstes BCD-Validierungsprofil zu erstellen, das Ihnen die Möglichkeit bietet, diese BCD-Einstellungen zu überprüfen.

Wenn deaktiviert

Der Computer wird auf eine BCD-Profilvalidierung ähnlich dem Standard-BCD-Profil, das von Windows 7 verwendet wird, zurückgesetzt.

Wenn nicht konfiguriert

Der Computer überprüft die Standard-BCD-Einstellungen in Windows.

 

Referenzen

Hinweis  

Die Einstellung, die das Startdebuggen steuert (0x16000010), wird immer validiert und hat keine Auswirkung, wenn sie in der Aufnahme- oder der Ausschlussliste enthalten ist.

 

Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen

Diese Richtlinieneinstellung wird verwendet, um zu steuern, ob Zugriff auf Laufwerke mit dem BitLocker To Go-Lesetool zulässig ist und ob die Anwendung auf dem Laufwerk installiert ist.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern unter Windows Vista, Windows XP mit Service Pack 3 (SP3) oder Windows XP mit Service Pack 2 (SP2) entsperrt und angezeigt werden können.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Festplattenlaufwerke

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Festplattenlaufwerke

Konflikte

Keine

Wenn aktiviert und Wenn nicht konfiguriert

Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, können auf Computern unter Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden, und ihre Inhalte können angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützten Zugriff auf mit BitLocker geschützte Laufwerke.

Wenn deaktiviert

Festplattenlaufwerke, die mit dem FAT-Dateisystem formatiert und mit BitLocker geschützt sind, können nicht auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden. BitLocker To Go-Lesetool (bitlockertogo.exe) ist nicht installiert.

 

Referenzen

Hinweis  

Diese Richtlinieneinstellung gilt nicht für Laufwerke, die mit dem NTFS-Dateisystem formatiert sind.

 

Wenn diese Richtlinieneinstellung aktiviert ist, aktivieren Sie das Kontrollkästchen BitLocker To Go-Lesetool nicht auf FAT-Festplattenlaufwerken installieren, um zu verhindern, dass Benutzer das BitLocker To Go-Lesetool auf ihren lokalen Festplattenlaufwerken ausführen. Wenn das BitLocker To Go-Lesetool (bitlockertogo.exe) auf einem Laufwerk vorhanden ist, für das kein ID-Feld angegeben wurde, oder wenn das Laufwerk das gleiche ID-Feld wie in der Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben angegeben aufweist, wird der Benutzer aufgefordert, BitLocker zu aktualisieren, und das BitLocker To Go-Lesetool wird vom Laufwerk gelöscht. In diesem Fall muss das BitLocker To Go-Lesetool auf dem Computer installiert sein, damit das Festplattenlaufwerk auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden kann. Wenn dieses Kontrollkästchen nicht aktiviert ist, wird das BitLocker To Go -Lesetool auf dem Festplattenlaufwerk installiert, um Benutzern das Entsperren des Laufwerks auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 zu ermöglichen.

Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen

Diese Richtlinieneinstellung steuert den Zugriff auf Wechseldatenträger, die das BitLocker To Go-Lesetool verwenden. Außerdem steuert sie, ob das BitLocker To Go-Lesetool auf dem Laufwerk installiert werden kann.

Richtlinienbeschreibung

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob mit dem FAT-Dateisystem formatierte Wechseldatenträger auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt und angezeigt werden können.

Eingeführt

Windows Server 2008 R2 und Windows 7

Laufwerktyp

Wechseldatenträger

Richtlinienpfad

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Wechseldatenträger

Konflikte

Keine

Wenn aktiviert und Wenn nicht konfiguriert

Wechseldatenträger, die mit dem FAT-Dateisystem formatiert sind, können auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden, und ihre Inhalte können angezeigt werden. Diese Betriebssysteme verfügen über schreibgeschützten Zugriff auf mit BitLocker geschützte Laufwerke.

Wenn deaktiviert

Wechseldatenträger, die mit dem FAT-Dateisystem formatiert und mit BitLocker geschützt sind, können nicht auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden. BitLocker To Go-Lesetool (bitlockertogo.exe) ist nicht installiert.

 

Referenzen

Hinweis  

Diese Richtlinieneinstellung gilt nicht für Laufwerke, die mit dem NTFS-Dateisystem formatiert sind.

 

Wenn diese Richtlinieneinstellung aktiviert ist, aktivieren Sie das Kontrollkästchen BitLocker To Go-Lesetool nicht auf FAT-Wechseldatenträgern installieren, um zu verhindern, dass Benutzer das BitLocker To Go-Lesetool auf ihren lokalen Wechseldatenträgern ausführen. Wenn das BitLocker To Go-Lesetool (bitlockertogo.exe) auf einem Laufwerk vorhanden ist, für das kein ID-Feld angegeben wurde, oder wenn das Laufwerk das gleiche ID-Feld wie in der Richtlinieneinstellung Eindeutige IDs für Ihre Organisation angeben angegeben aufweist, wird der Benutzer aufgefordert, BitLocker zu aktualisieren, und das BitLocker To Go-Lesetool wird vom Laufwerk gelöscht. In diesem Fall muss das BitLocker To Go-Lesetool auf dem Computer installiert sein, damit der Wechseldatenträger auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt werden kann. Wenn dieses Kontrollkästchen nicht aktiviert ist, wird das BitLocker To Go-Lesetool auf dem Wechseldatenträger installiert, damit Benutzer das Laufwerk auf Computern unter Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2, auf denen das BitLocker To Go-Lesetool nicht installiert ist, entsperren können.

FIPS-Einstellung

Sie können die FIPS-Einstellung (Federal Information Processing Standard) für die FIPS-Kompatibilität konfigurieren. Als Effekt der FIPS-Kompatibilität können Benutzer kein BitLocker-Kennwort für die Wiederherstellung oder als Schlüsselschutzvorrichtung erstellen oder speichern. Die Verwendung eines Wiederherstellungsschlüssels ist zulässig.

Richtlinienbeschreibung

Hinweise

Eingeführt

Windows Server 2003 mit SP1

Laufwerktyp

Systemweit

Richtlinienpfad

Lokale Richtlinien\Sicherheitsoptionen\Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden

Konflikte

Einige Anwendungen, z. B. Terminaldienste, unterstützen FIPS-140 nicht auf allen Betriebssystemen.

Wenn aktiviert

Benutzer können ein Wiederherstellungskennwort nicht an einem beliebigen Ort speichern. Dazu zählen AD DS- und Netzwerkordner. Darüber hinaus können Sie weder WMI noch den BitLocker-Laufwerksverschlüsselungs-Setup-Assistenten zum Erstellen eines Wiederherstellungskennworts verwenden.

Wenn deaktiviert oder nicht konfiguriert

Es wird kein BitLocker-Verschlüsselungsschlüssel generiert

 

Referenzen

Diese Richtlinie muss aktiviert sein, damit ein Verschlüsselungsschlüssel für BitLocker generiert werden kann. Beachten Sie, dass BitLocker beim Aktivieren dieser Richtlinie das Erstellen oder Verwenden von Wiederherstellungskennwörtern verhindert, sodass stattdessen Wiederherstellungsschlüssel verwendet werden sollten.

Sie können den optionalen Wiederherstellungsschlüssel auf einem USB-Laufwerk speichern. Da Wiederherstellungskennwörter bei aktiviertem FIPS nicht in AD DS gespeichert werden können, wird ein Fehler verursacht, wenn die AD DS-Sicherung durch eine Gruppenrichtlinie benötigt wird.

Sie können die FIPS-Einstellung mit dem Sicherheitsrichtlinien-Editor (Secpol.msc) oder durch Ändern der Windows-Registrierung bearbeiten. Dafür müssen Sie ein Administrator sein.

Weitere Informationen zum Festlegen dieser Richtlinie finden Sie unter Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden.

Energieverwaltungs-Gruppenrichtlinieneinstellungen: Standbymodus und Ruhezustand

Durch die Standard-Energieverwaltungseinstellungen für einen Computer wird der Computer häufig in den Ruhemodus versetzt, um im Leerlauf Energie zu sparen und die Akkulaufzeit des Systems zu verlängern. Wenn ein Computer in den Standbymodus übergeht, bleiben geöffnete Programme und Dokumente im Arbeitsspeicher erhalten. Wenn ein Computer aus dem Energiesparmodus reaktiviert wird, müssen sich Benutzer nicht mit einer PIN oder einem USB-Systemstartschlüssel erneut authentifizieren, um auf verschlüsselte Daten zuzugreifen. Dies kann zu Situationen führen, in denen die Datensicherheit gefährdet ist.

Wenn ein Computer aber in den Ruhezustand wechselt, wird das Laufwerk gesperrt. Beim Fortsetzen aus dem Ruhezustand wird das Laufwerk entsperrt, was bedeutet, dass Benutzer eine PIN oder einen Systemstartschlüssel angeben müssen, wenn die kombinierte Authentifizierung mit BitLocker verwendet wird. Daher verwenden Organisationen, die BitLocker verwenden, möglicherweise lieber den Ruhezustand anstatt den Standbymodus zum Erhöhen der Sicherheit. Diese Einstellung hat keine Auswirkungen auf den Nur-TPM-Modus, da sie eine transparente Benutzeroberfläche beim Start und bei der Wiederaufnahme aus dem Ruhezustand bereitstellt.

Sie können die folgenden Gruppenrichtlinien, die sich unter Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung befinden, deaktivieren, um alle verfügbaren Standbyzustände zu deaktivieren:

  • Standbyzustände (S1-S3) zulassen (Netzbetrieb)

  • Standbyzustände (S1-S3) zulassen (Akkubetrieb)

Informationen zum Plattformkonfigurationsregister (PCR)

Ein Plattformvalidierungsprofil besteht aus einer Reihe von PCR-Indizes zwischen 0 und 23. Der Bereich der Werte kann sich auf die Version des Betriebssystems beziehen.

Das Ändern des Standard-Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltung Ihres Computers aus. Die BitLocker-Empfindlichkeit bezüglich Plattformänderungen (schädliche oder autorisierte) wird je nach der Aufnahme oder Ausschluss der PCRs erhöht oder verringert.

Informationen zu PCR 7

PCR 7 misst den Zustand des sicheren Starts. Mit PCR 7 kann BitLocker den sicheren Start zur Integritätsvalidierung nutzen. Durch den sicheren Start wird sichergestellt, dass die Pre-Boot-Umgebung des Computers nur Firmware lädt, die von autorisierten Softwareherausgebern signiert wurde. PCR 7-Messungen geben an, ob der sichere Start aktiviert ist und welche Schlüssel auf der Plattform als vertrauenswürdig eingestuft werden. Wenn der sichere Start aktiviert ist und die Firmware PCR 7 korrekt per UEFI-Spezifikation misst, kann BitLocker eine Bindung zu diesen Informationen anstatt zu PCRs 0, 2 und 4 herstellen, die die Messungen der genauen Bootmgr-Images geladen haben. Dies reduziert die Wahrscheinlichkeit des Starts von BitLocker im Wiederherstellungsmodus als Ergebnis von Firmware- und Imageaktualisierungen und bietet Ihnen größere Flexibilität beim Verwalten der Pre-Boot-Konfiguration.

PCR 7-Messungen müssen den Richtlinien folgen, die in Anhang A: EFI-Protokoll für Trusted Execution Environment beschrieben sind.

PCR 7-Messungen sind eine obligatorische Anforderung für Systeme, die InstantGo unterstützen (auch bekannt als Always On, Always Connected), z. B. die Microsoft Surface RT. Wenn auf solchen Systemen das TPM mit der PCR 7-Messung und dem sicheren Start richtig konfiguriert sind, bindet BitLocker PCR 7 und PCR 11 standardmäßig.

Weitere Informationen

Trusted Platform Module

TPM-Gruppenrichtlinieneinstellungen

Häufig gestellte Fragen (Frequently Asked Questions, FAQ) zu BitLocker

BitLocker-Übersicht

Vorbereiten Ihrer Organisation auf BitLocker: Planung und Richtlinien