Teilen über


Referenz zu BitLocker-Einstellungen

Gilt für: Configuration Manager (Current Branch)

BitLocker-Verwaltungsrichtlinien in Configuration Manager enthalten die folgenden Richtliniengruppen:

  • Setup
  • Betriebssystemlaufwerk
  • Festplattenlaufwerk
  • Wechseldatenträger
  • Kundenverwaltung

In den folgenden Abschnitten werden Konfigurationen für die Einstellungen in jeder Gruppe beschrieben und vorgeschlagen.

Setup

Die Einstellungen auf dieser Seite konfigurieren globale BitLocker-Verschlüsselungsoptionen.

Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke

Empfohlene Konfiguration: Aktiviert mit der Standardverschlüsselungsmethode oder höher.

Hinweis

Die Seite Setupeigenschaften enthält zwei Gruppen von Einstellungen für verschiedene Versionen von Windows. In diesem Abschnitt werden beide beschrieben.

Windows 8.1-Geräte

Aktivieren Sie für Windows 8.1 Geräte die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke, und wählen Sie eine der folgenden Verschlüsselungsmethoden aus:

  • AES 128-Bit mit Diffusor
  • AES 256-Bit mit Diffusor
  • AES 128-Bit (Standard)
  • AES 256-Bit

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBLEncryptionMethodPolicy.

Windows 10- oder höhere Geräte

Aktivieren Sie für geräte Windows 10 oder höher die Option Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 oder höher). Wählen Sie dann einzeln eine der folgenden Verschlüsselungsmethoden für Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger aus:

  • AES-CBC 128-Bit
  • AES-CBC 256-Bit
  • XTS-AES 128-Bit (Standard)
  • XTS-AES 256-Bit

Tipp

BitLocker verwendet Advanced Encryption Standard (AES) als Verschlüsselungsalgorithmus mit konfigurierbaren Schlüssellängen von 128 oder 256 Bit. Auf Windows 10 oder höheren Geräten unterstützt die AES-Verschlüsselung CBC (Cipher Block Chaining) oder Ciphertext Stealing (XTS).

Wenn Sie auf Geräten, auf denen keine Windows 10 ausgeführt werden, ein Wechseldatenträger verwenden müssen, verwenden Sie AES-CBC.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBLEncryptionMethodWithXts.

Allgemeine Hinweise zur Verwendung von Laufwerksverschlüsselung und Verschlüsselungsstärke

  • Wenn Sie diese Einstellungen deaktivieren oder nicht konfigurieren, verwendet BitLocker die Standardverschlüsselungsmethode.

  • Configuration Manager wendet diese Einstellungen an, wenn Sie BitLocker aktivieren.

  • Wenn das Laufwerk bereits verschlüsselt ist oder gerade ausgeführt wird, ändert jede Änderung dieser Richtlinieneinstellungen nicht die Laufwerkverschlüsselung auf dem Gerät.

  • Wenn Sie den Standardwert verwenden, wird im Bericht zur BitLocker-Computerkonformität möglicherweise die Verschlüsselungsstärke als unbekannt angezeigt. Um dieses Problem zu umgehen, aktivieren Sie diese Einstellung, und legen Sie einen expliziten Wert für die Verschlüsselungsstärke fest.

Verhindern des Überschreibens des Arbeitsspeichers beim Neustart

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie, um die Neustartleistung zu verbessern, ohne beim Neustart BitLocker-Geheimnisse im Arbeitsspeicher zu überschreiben.

Wenn Sie diese Richtlinie nicht konfigurieren, entfernt BitLocker seine Geheimnisse aus dem Arbeitsspeicher, wenn der Computer neu gestartet wird.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMNoOverwritePolicy.

Überprüfen der Konformität von Smart Karte-Zertifikatverwendungsregeln

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie für die Verwendung des zertifikatbasierten BitLocker-Schutzes für Smartcards. Geben Sie dann den Zertifikatobjektbezeichner an.

Wenn Sie diese Richtlinie nicht konfigurieren, verwendet BitLocker den Standardobjektbezeichner 1.3.6.1.4.1.311.67.1.1 , um ein Zertifikat anzugeben.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMScCompliancePolicy.

Eindeutige Organisationsbezeichner

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie diese Richtlinie für die Verwendung eines zertifikatbasierten Datenwiederherstellungs-Agents oder des BitLocker To Go-Readers.

Wenn Sie diese Richtlinie nicht konfigurieren, verwendet BitLocker das Feld Identifikation nicht.

Wenn Ihr organization höhere Sicherheitsmessungen erfordert, konfigurieren Sie das Feld Identifikation. Legen Sie dieses Feld auf allen zielorientierten USB-Geräten fest, und richten Sie es an dieser Einstellung aus.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUidPolicy.

Betriebssystemlaufwerk

Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselungseinstellungen für das Laufwerk, auf dem Windows installiert ist.

Verschlüsselungseinstellungen für Betriebssystemlaufwerke

Empfohlene Konfiguration: Aktiviert

Wenn Sie diese Einstellung aktivieren, muss der Benutzer das Betriebssystemlaufwerk schützen, und BitLocker verschlüsselt das Laufwerk. Wenn Sie es deaktivieren, kann der Benutzer das Laufwerk nicht schützen. Wenn Sie diese Richtlinie nicht konfigurieren, ist auf dem Betriebssystemlaufwerk kein BitLocker-Schutz erforderlich.

Hinweis

Wenn das Laufwerk bereits verschlüsselt ist und Sie diese Einstellung deaktivieren, entschlüsselt BitLocker das Laufwerk.

Wenn Sie Über Geräte ohne Trusted Platform Module (TPM) verfügen, verwenden Sie die Option BitLocker ohne kompatibles TPM zulassen (kennwort erforderlich). Mit dieser Einstellung kann BitLocker das Betriebssystemlaufwerk verschlüsseln, auch wenn das Gerät über kein TPM verfügt. Wenn Sie diese Option zulassen, fordert Windows den Benutzer auf, ein BitLocker-Kennwort anzugeben.

Auf Geräten mit einem kompatiblen TPM können zwei Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern. Konfigurieren Sie die folgenden Einstellungen:

  • Schutzvorrichtung für Betriebssystemlaufwerk auswählen: Konfigurieren Sie es für die Verwendung eines TPM und einer PIN oder nur des TPM.

  • Konfigurieren der minimalen PIN-Länge für den Start: Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist 4die minimale PIN-Länge .

Tipp

Wenn Sie Geräte mit TPM - und PIN-Schutz aktivieren, sollten Sie aus Sicherheitsgründen die folgenden Gruppenrichtlinieneinstellungen in den Einstellungen für den EnergiesparmodusderSystemenergieverwaltung>>deaktivieren:

  • Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)

  • Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSOSDEncryptionPolicy.

Erweiterte PINs für den Start zulassen

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie BitLocker für die Verwendung erweiterter Start-PINs. Diese PINs ermöglichen die Verwendung weiterer Zeichen wie Groß- und Kleinbuchstaben, Symbole, Zahlen und Leerzeichen. Diese Einstellung gilt, wenn Sie BitLocker aktivieren.

Wichtig

Nicht alle Computer können erweiterte PINs in der Umgebung vor dem Start unterstützen. Bevor Sie die Verwendung aktivieren, bewerten Sie, ob Ihre Geräte mit diesem Feature kompatibel sind.

Wenn Sie diese Einstellung aktivieren, ermöglichen alle neuen BitLocker-Start-PINs dem Benutzer das Erstellen erweiterter PINs.

  • Nur ASCII-PINs erforderlich: Helfen Sie dabei, erweiterte PINs mit Computern kompatibel zu machen, die den Typ oder die Anzahl der Zeichen einschränken, die Sie in der Umgebung vor dem Start eingeben können.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker keine erweiterten PINs.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMEnhancedPIN.

Kennwortrichtlinie für Betriebssystemlaufwerke

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter festzulegen, um bitLocker-geschützte Betriebssystemlaufwerke zu entsperren. Wenn Sie Nicht-TPM-Schutzvorrichtungen auf Betriebssystemlaufwerken zulassen, konfigurieren Sie die folgenden Einstellungen:

  • Konfigurieren der Kennwortkomplexität für Betriebssystemlaufwerke: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.

  • Minimale Kennwortlänge für Betriebssystemlaufwerk: Standardmäßig ist 8die Mindestlänge .

  • Nur ASCII-Kennwörter für Wechselbetriebssystemlaufwerke erforderlich

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Anforderungen erfüllt.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMOSPassphrase.

Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Betriebssystemlaufwerke

  • Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.

  • BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.

  • Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.

Zurücksetzen der Plattformvalidierungsdaten nach der BitLocker-Wiederherstellung

Empfohlene Konfiguration: Nicht konfiguriert

Steuern Sie, ob Windows die Plattformvalidierungsdaten aktualisiert, wenn sie nach der BitLocker-Wiederherstellung gestartet werden.

Wenn Sie diese Einstellung aktivieren oder nicht konfigurieren, aktualisiert Windows in diesem Fall die Plattformvalidierungsdaten.

Wenn Sie diese Richtlinieneinstellung deaktivieren, aktualisiert Windows in diesem Fall keine Plattformvalidierungsdaten.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMTpmAutoResealPolicy.

Wiederherstellungsnachricht und URL vor dem Start

Empfohlene Konfiguration: Nicht konfiguriert

Wenn BitLocker das Betriebssystemlaufwerk sperrt, verwenden Sie diese Einstellung, um eine benutzerdefinierte Wiederherstellungsnachricht oder eine URL auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Diese Einstellung gilt nur für Windows 10 oder höhere Geräte.

Wenn Sie diese Einstellung aktivieren, wählen Sie eine der folgenden Optionen für die Wiederherstellungsnachricht vor dem Start aus:

  • Standardwiederherstellungsmeldung und -URL verwenden: Zeigen Sie die BitLocker-Standardwiederherstellungsnachricht und -URL auf dem Bildschirm für die BitLocker-Wiederherstellung vor dem Start an. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben, verwenden Sie diese Option, um die Standardnachricht zu rückgängig machen.

  • Benutzerdefinierte Wiederherstellungsmeldung verwenden: Schließen Sie eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start ein.

    • Benutzerdefinierte Wiederherstellungsmeldungsoption: Geben Sie die anzuzeigende benutzerdefinierte Nachricht ein. Wenn Sie auch eine Wiederherstellungs-URL angeben möchten, schließen Sie sie als Teil dieser benutzerdefinierten Wiederherstellungsnachricht ein. Die maximale Zeichenfolgenlänge beträgt 32.768 Zeichen.
  • Benutzerdefinierte Wiederherstellungs-URL verwenden: Ersetzen Sie die Standard-URL, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird.

    • Option "Benutzerdefinierte Wiederherstellungs-URL": Geben Sie die anzuzeigende URL ein. Die maximale Zeichenfolgenlänge beträgt 32.768 Zeichen.

Hinweis

Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Testen Sie zunächst Ihre benutzerdefinierte Nachricht oder URL, um sicherzustellen, dass sie auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt wird.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMPrebootRecoveryInfo.

Einstellungen für die Erzwingung von Verschlüsselungsrichtlinien (Betriebssystemlaufwerk)

Empfohlene Konfiguration: Aktiviert

Konfigurieren Sie die Anzahl der Tage, mit denen Benutzer die BitLocker-Konformität für das Betriebssystemlaufwerk verschieben können. Die Toleranzperiode für Nichtkonformität beginnt, wenn Configuration Manager sie zum ersten Mal als nicht konform erkennt. Nach Ablauf dieser Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme anfordern.

Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird in Windows ein Dialogfeld angezeigt, das der Benutzer erst schließen kann, wenn er die erforderlichen Informationen bereitstellt. In zukünftigen Benachrichtigungen für Fehler oder status gelten diese Einschränkung nicht.

Wenn BitLocker keine Benutzerinteraktion erfordert, um eine Schutzvorrichtung hinzuzufügen, startet BitLocker nach Ablauf der Toleranzperiode die Verschlüsselung im Hintergrund.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, müssen benutzer Configuration Manager die BitLocker-Richtlinien nicht einhalten.

Um die Richtlinie sofort zu erzwingen, legen Sie eine Karenzzeit von fest 0.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUseOsEnforcePolicy.

Festplattenlaufwerk

Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselung für andere Datenlaufwerke auf einem Gerät.

Verschlüsselung von Festplattenlaufwerken

Empfohlene Konfiguration: Aktiviert

Verwalten Sie Ihre Anforderungen an die Verschlüsselung von Festplattenlaufwerken. Wenn Sie diese Einstellung aktivieren, erfordert BitLocker, dass Benutzer alle Festplattenlaufwerke unter Schutz stellen. Anschließend werden die Datenlaufwerke verschlüsselt.

Wenn Sie diese Richtlinie aktivieren, aktivieren Sie entweder die automatische Entsperrung oder die Einstellungen für die Kennwortrichtlinie für Festplattenlaufwerke.

  • Konfigurieren der automatischen Entsperrung für Festplattenlaufwerke: Zulassen oder anfordern, dass BitLocker jedes verschlüsselte Datenlaufwerk automatisch entsperrt. Um die automatische Entsperrung zu verwenden, müssen Sie auch BitLocker zum Verschlüsseln des Betriebssystemlaufwerks anfordern.

Wenn Sie diese Einstellung nicht konfigurieren, müssen Benutzer von BitLocker keine Festplattenlaufwerke schützen.

Wenn Sie diese Einstellung deaktivieren, können Benutzer ihre Festplattenlaufwerke nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie deaktivieren, nachdem BitLocker Festplattenlaufwerke verschlüsselt hat, entschlüsselt BitLocker die Festplattenlaufwerke.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSFDVEncryptionPolicy.

Verweigern des Schreibzugriffs auf Festplattenlaufwerke, die nicht durch BitLocker geschützt sind

Empfohlene Konfiguration: Nicht konfiguriert

BitLocker-Schutz für Windows erforderlich, um Daten auf Festplattenlaufwerke auf dem Gerät zu schreiben. BitLocker wendet diese Richtlinie an, wenn Sie sie aktivieren.

Wenn Sie diese Einstellung aktivieren:

  • Wenn BitLocker ein Festplattenlaufwerk schützt, stellt Windows es mit Lese- und Schreibzugriff ein.

  • Für alle Festplattenlaufwerke, die von BitLocker nicht geschützt werden, stellt Windows es schreibgeschützt bereit.

Wenn Sie diese Einstellung nicht konfigurieren, bindet Windows alle Festplattenlaufwerke mit Lese- und Schreibzugriff ein.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMFDVDenyWriteAccessPolicy.

Kennwortrichtlinie für Festplattenlaufwerke

Empfohlene Konfiguration: Nicht konfiguriert

Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter festzulegen, um durch BitLocker geschützte Festplattenlaufwerke zu entsperren.

Wenn Sie diese Einstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das Ihren definierten Anforderungen entspricht.

Um eine höhere Sicherheit zu gewährleisten, aktivieren Sie diese Einstellung, und konfigurieren Sie dann die folgenden Einstellungen:

  • Kennwort für Festplattenlaufwerk anfordern: Benutzer müssen ein Kennwort angeben, um ein durch BitLocker geschütztes Festplattenlaufwerk zu entsperren.

  • Konfigurieren der Kennwortkomplexität für Festplattenlaufwerke: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.

  • Minimale Kennwortlänge für Festplattenlaufwerk: Standardmäßig ist 8die Mindestlänge .

Wenn Sie diese Einstellung deaktivieren, können Benutzer kein Kennwort konfigurieren.

Wenn die Richtlinie nicht konfiguriert ist, unterstützt BitLocker Kennwörter mit den Standardeinstellungen. Die Standardeinstellungen enthalten keine Anforderungen an die Kennwortkomplexität und erfordern nur acht Zeichen.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMFDVPassPhrasePolicy.

Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Festplattenlaufwerke

  • Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.

  • BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.

  • Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.

Erzwingungseinstellungen für Verschlüsselungsrichtlinien (Festplattenlaufwerk)

Empfohlene Konfiguration: Aktiviert

Konfigurieren Sie die Anzahl der Tage, mit denen Benutzer die BitLocker-Konformität für Festplattenlaufwerke verschieben können. Die Toleranzperiode für Nichtkonformität beginnt, wenn Configuration Manager das Festplattenlaufwerk zum ersten Mal als nicht konform erkennt. Die Richtlinie für Festplattenlaufwerke wird erst erzwungen, wenn das Betriebssystemlaufwerk konform ist. Nach Ablauf der Toleranzperiode können Benutzer die erforderliche Aktion nicht verschieben oder eine Ausnahme anfordern.

Wenn der Verschlüsselungsprozess eine Benutzereingabe erfordert, wird in Windows ein Dialogfeld angezeigt, das der Benutzer erst schließen kann, wenn er die erforderlichen Informationen bereitstellt. In zukünftigen Benachrichtigungen für Fehler oder status gelten diese Einschränkung nicht.

Wenn BitLocker keine Benutzerinteraktion erfordert, um eine Schutzvorrichtung hinzuzufügen, startet BitLocker nach Ablauf der Toleranzperiode die Verschlüsselung im Hintergrund.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, müssen benutzer Configuration Manager die BitLocker-Richtlinien nicht einhalten.

Um die Richtlinie sofort zu erzwingen, legen Sie eine Karenzzeit von fest 0.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMUseFddEnforcePolicy.

Wechseldatenträger

Die Einstellungen auf dieser Seite konfigurieren die Verschlüsselung für Wechseldatenträger, z. B. USB-Schlüssel.

Verschlüsselung von Wechseldatenträgern

Empfohlene Konfiguration: Aktiviert

Diese Einstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern.

  • Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben: Benutzer können den BitLocker-Schutz für ein Wechsellaufwerk aktivieren.

  • Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben: Benutzer können die BitLocker-Laufwerkverschlüsselung von einem Wechseldatenträger entfernen oder vorübergehend anhalten.

Wenn Sie diese Einstellung aktivieren und Benutzern das Anwenden des BitLocker-Schutzes erlauben, speichert der Configuration Manager-Client Wiederherstellungsinformationen zu Wechseldatenträgern im Wiederherstellungsdienst auf dem Verwaltungspunkt. Dieses Verhalten ermöglicht es Benutzern, das Laufwerk wiederherzustellen, wenn sie die Schutzvorrichtung (Kennwort) vergessen oder verlieren.

Wenn Sie diese Einstellung aktivieren:

  • Aktivieren der Einstellungen für die Kennwortrichtlinie für Wechseldatenträger

  • Deaktivieren Sie die folgenden Gruppenrichtlinieneinstellungen imSystemdatenträgerzugriff> für Benutzer- & Computerkonfigurationen:

    • Alle Wechselmedienklassen: Verweigern des gesamten Zugriffs
    • Wechseldatenträger: Schreibzugriff verweigern
    • Wechseldatenträger: Lesezugriff verweigern

Wenn Sie diese Einstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVConfigureBDEPolicy.

Verweigern des Schreibzugriffs auf Wechseldatenträger, die nicht durch BitLocker geschützt sind

Empfohlene Konfiguration: Nicht konfiguriert

BitLocker-Schutz für Windows erforderlich, um Daten auf Wechseldatenträger auf dem Gerät zu schreiben. BitLocker wendet diese Richtlinie an, wenn Sie sie aktivieren.

Wenn Sie diese Einstellung aktivieren:

  • Wenn BitLocker ein Wechseldatenträger schützt, stellt Windows es mit Lese- und Schreibzugriff ein.

  • Für alle Wechseldatenträger, die bitLocker nicht schützt, stellt Windows es schreibgeschützt bereit.

  • Wenn Sie die Option Zum Verweigern des Schreibzugriffs auf Geräte aktivieren, die in einer anderen organization konfiguriert sind, gewährt BitLocker schreibzugriff nur auf Wechseldatenträger mit Identifikationsfeldern, die den zulässigen Identifikationsfeldern entsprechen. Definieren Sie diese Felder mit den globalen Einstellungen für eindeutige Organisationsbezeichner auf der Seite Setup .

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, bindet Windows alle Wechseldatenträger mit Lese- und Schreibzugriff ein.

Hinweis

Sie können diese Einstellung mit den Gruppenrichtlinieneinstellungen unterSystemdatenträgerzugriff> überschreiben. Wenn Sie die Gruppenrichtlinieneinstellung Wechseldatenträger: Schreibzugriff verweigern aktivieren, ignoriert BitLocker diese Configuration Manager Einstellung.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVDenyWriteAccessPolicy.

Kennwortrichtlinie für Wechseldatenträger

Empfohlene Konfiguration: Aktiviert

Verwenden Sie diese Einstellungen, um die Einschränkungen für Kennwörter zum Entsperren von BitLocker-geschützten Wechseldatenträgern festzulegen.

Wenn Sie diese Einstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das Ihren definierten Anforderungen entspricht.

Um eine höhere Sicherheit zu gewährleisten, aktivieren Sie diese Einstellung, und konfigurieren Sie dann die folgenden Einstellungen:

  • Kennwort für Wechseldatenträger erforderlich: Benutzer müssen ein Kennwort angeben, um ein durch BitLocker geschütztes Wechsellaufwerk zu entsperren.

  • Konfigurieren der Kennwortkomplexität für Wechseldatenträger: Um Komplexitätsanforderungen für das Kennwort zu erzwingen, wählen Sie Kennwortkomplexität erforderlich aus.

  • Minimale Kennwortlänge für Wechseldatenträger: Standardmäßig ist 8die Mindestlänge .

Wenn Sie diese Einstellung deaktivieren, können Benutzer kein Kennwort konfigurieren.

Wenn die Richtlinie nicht konfiguriert ist, unterstützt BitLocker Kennwörter mit den Standardeinstellungen. Die Standardeinstellungen enthalten keine Anforderungen an die Kennwortkomplexität und erfordern nur acht Zeichen.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMRDVPassPhrasePolicy.

Allgemeine Hinweise zur Verwendung der Kennwortrichtlinie für Wechseldatenträger

  • Damit diese Komplexitätsanforderungseinstellungen wirksam sind, aktivieren Sie auch die Gruppenrichtlinieneinstellung Kennwort muss Komplexitätsanforderungen erfüllen unter Computerkonfiguration Windows-Einstellungen>>Sicherheitseinstellungen>Kontorichtlinien>Kennwortrichtlinie.

  • BitLocker erzwingt diese Einstellungen beim Aktivieren, nicht beim Entsperren eines Volumes. Mit BitLocker können Sie ein Laufwerk mit einer der auf dem Laufwerk verfügbaren Schutzvorrichtungen entsperren.

  • Wenn Sie gruppenrichtlinien verwenden, um FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung zu aktivieren, können Sie Kennwörter nicht als BitLocker-Schutzvorrichtung zulassen.

Kundenverwaltung

Die Einstellungen auf dieser Seite konfigurieren BitLocker-Verwaltungsdienste und -clients.

BitLocker-Verwaltungsdienste

Empfohlene Konfiguration: Aktiviert

Wenn Sie diese Einstellung aktivieren, sichert Configuration Manager automatisch und automatisch Schlüsselwiederherstellungsinformationen in der Standortdatenbank. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, speichert Configuration Manager keine Schlüsselwiederherstellungsinformationen.

  • Wählen Sie BitLocker-Wiederherstellungsinformationen zum Speichern aus: Konfigurieren Sie den Schlüsselwiederherstellungsdienst zum Sichern von BitLocker-Wiederherstellungsinformationen. Es bietet eine administrative Methode zum Wiederherstellen von Daten, die von BitLocker verschlüsselt wurden, um Datenverluste aufgrund des Fehlens von Schlüsselinformationen zu verhindern.

  • Speichern von Wiederherstellungsinformationen als Nur-Text zulassen: Ohne ein BitLocker-Verwaltungsverschlüsselungszertifikat für SQL Server speichert Configuration Manager die Schlüsselwiederherstellungsinformationen im Klartext. Weitere Informationen finden Sie unter Verschlüsseln von Wiederherstellungsdaten in der Datenbank.

  • Clientüberprüfung status Häufigkeit (Minuten):Bei der konfigurierten Häufigkeit überprüft der Client die BitLocker-Schutzrichtlinien und status auf dem Computer und sichert auch den Clientwiederherstellungsschlüssel. Standardmäßig überprüft der Configuration Manager Client bitLocker status alle 90 Minuten.

    Wichtig

    Legen Sie diesen Wert nicht auf kleiner als 60 fest. Ein geringerer Häufigkeitswert kann dazu führen, dass der Client kurz ungenaue Konformitätszustände meldet.

Weitere Informationen zum Erstellen dieser Richtlinien mit Windows PowerShell finden Sie unter:

Benutzerausnahmerichtlinie

Empfohlene Konfiguration: Nicht konfiguriert

Konfigurieren Sie eine Kontaktmethode für Benutzer, um eine Ausnahme von der BitLocker-Verschlüsselung anzufordern.

Wenn Sie diese Richtlinieneinstellung aktivieren, geben Sie die folgenden Informationen an:

  • Maximal zu verschiebende Tage: Gibt an, wie viele Tage der Benutzer eine erzwungene Richtlinie verschieben kann. Standardmäßig ist 7 dieser Wert Tage (eine Woche).

  • Kontaktmethode: Geben Sie an, wie Benutzer eine Ausnahme anfordern können: URL, E-Mail-Adresse oder Telefonnummer.

  • Kontakt: Geben Sie die URL, E-Mail-Adresse oder Telefonnummer an. Wenn ein Benutzer eine Ausnahme vom BitLocker-Schutz anfordert, wird ein Windows-Dialogfeld mit Anweisungen zur Anwendung angezeigt. Configuration Manager überprüft die eingegebenen Informationen nicht.

    • URL: Verwenden Sie das Standard-URL-Format. https://website.domain.tld Windows zeigt die URL als Link an.

    • Email Adresse: Verwenden Sie das Standard-E-Mail-Adressformat. user@domain.tld Windows zeigt die Adresse als folgenden Link an: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Telefonnummer: Geben Sie die Nummer an, die Ihre Benutzer anrufen sollen. Windows zeigt die Zahl mit der folgenden Beschreibung an: Please call <your number> for applying exemption.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, zeigt Windows den Benutzern die Anweisungen zur Ausnahmeanforderung nicht an.

Hinweis

BitLocker verwaltet Ausnahmen pro Benutzer, nicht pro Computer. Wenn sich mehrere Benutzer auf demselben Computer anmelden und ein Benutzer nicht ausgenommen ist, verschlüsselt BitLocker den Computer.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMBMSUserExemptionPolicy.

Empfohlene Konfiguration: Aktiviert

Geben Sie eine URL an, die Benutzern als Unternehmenssicherheitsrichtlinie in Windows angezeigt werden soll. Verwenden Sie diesen Link, um Benutzern Informationen zu den Verschlüsselungsanforderungen bereitzustellen. Es wird angezeigt, wenn BitLocker den Benutzer auffordert, ein Laufwerk zu verschlüsseln.

Wenn Sie diese Einstellung aktivieren, konfigurieren Sie die Link-URL der Sicherheitsrichtlinie.

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, zeigt BitLocker den Link zur Sicherheitsrichtlinie nicht an.

Weitere Informationen zum Erstellen dieser Richtlinie mit Windows PowerShell finden Sie unter New-CMMoreInfoUrlPolicy.

Nächste Schritte

Wenn Sie Windows PowerShell verwenden, um diese Richtlinienobjekte zu erstellen, verwenden Sie das Cmdlet New-CMBlmSetting. Dieses Cmdlet erstellt ein BitLocker-Verwaltungsrichtlinieneinstellungsobjekt, das alle angegebenen Richtlinien enthält. Verwenden Sie das Cmdlet New-CMSettingDeployment , um die Richtlinieneinstellungen für eine Sammlung bereitzustellen.