Aktivieren von BitLocker
Letzte Aktualisierung: Mai 2012
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
BitLocker-Laufwerkverschlüsselung bietet eine niedrige Verschlüsselungsstufe der Inhalte eines Datenträgervolumes. BitLocker erfordert mindestens zwei Partitionen auf der Festplatte. Die erste aktive Partition enthält den Windows-Bootstrap-Code. Eine weitere Partition beinhaltet das Betriebssystem. Die Bootstrap-Partition muss unverschlüsselt bleiben.
Die Tasksequenzaktion BitLocker aktivieren wird nur in Standardbetriebssystemen ausgeführt. Sie wird in WinPE (Windows Preinstallation Environment) nicht unterstützt. Weitere Informationen zu Tasksequenzvariablen finden Sie unter Variablen der Tasksequenzaktion „BitLocker aktivieren“.
Hinweis
BitLocker wird für Computer verwendet, auf denen Windows Vista oder Windows Server 2008 oder höher ausgeführt werden.
Wenn Sie Nur TPM oder TPM und Schlüssel zum Systemstart auf USB angegeben haben, muss sich das Trusted Platform Module (TPM) im folgenden Zustand befinden, damit Sie den Tasksequenzschritt BitLocker aktivieren ausführen können:
Aktiviert (d. h. funktionsbereit)
Aktiviert
Besitz zulässig
Mit dem Tasksequenzschritt kann jegliche verbleibende TPM-Initialisierung abgeschlossen werden, da für die restlichen Schritte keine physische Präsenz und keine Neustarts erforderlich sind. Zu den verbleibenden TPM-Initialisierungsschritten, die bei Bedarf transparent über „BitLocker aktivieren“ abgeschlossen werden können, gehören:
Endorsement Key-Paar erstellen
Besitzerauthentifizierungswert erstellen und in Active Directory hinterlegen, welches zur Unterstützung dieses Werts erweitert worden sein muss
Besitz übernehmen
Storage Root Key (SRK, Speicherstammschlüssel) erstellen bzw. zurücksetzen, falls bereits einer vorhanden ist, der jedoch inkompatibel ist
Wenn die Aktion „BitLocker aktivieren“ verzögert werden soll, bis der Laufwerksverschlüsselungsvorgang abgeschlossen ist, bevor mit dem nächsten Schritt in den Tasksequenzen fortgefahren wird, aktivieren Sie das Kontrollkästchen Warten. Wenn Sie das Kontrollkästchen Warten nicht aktivieren, wird die Laufwerksverschlüsselung im Hintergrund ausgeführt und in der Tasksequenzausführung sofort der nächste Schritt aufgerufen.
Mithilfe von BitLocker können mehrere Laufwerke in einem Computersystem (sowohl Betriebssystem- als auch Datenlaufwerke) verschlüsselt werden. Zur Verschlüsselung eines Datenlaufwerks muss das Betriebssystem bereits verschlüsselt und der Verschlüsselungsvorgang abgeschlossen sein, da die Schlüsselschutzvorrichtungen für Datenlaufwerke auf dem Betriebssystemlaufwerk gespeichert werden. Wenn Sie also das Betriebssystemlaufwerk und das Datenlaufwerk im Rahmen desselben Vorgangs verschlüsseln, muss für den Schritt, bei dem BitLocker für das Betriebssystemlaufwerk aktiviert wird, die Option „Warten“ aktiviert werden.
Sie können folgende Einstellungen konfigurieren:
Wenn die Festplatte bereits verschlüsselt, BitLocker jedoch deaktiviert ist, werden durch „Bitlocker aktivieren“ die Schlüsselschutzvorrichtung(en) erneut aktiviert, und der Schritt wird nahezu umgehend abgeschlossen. Eine erneute Verschlüsselung des Laufwerks ist in diesem Fall nicht notwendig. Weitere Informationen zum Deaktivieren von BitLocker finden Sie unter BitLocker deaktivieren.
- Name
Gibt einen beschreibenden Namen für diesen Tasksequenzschritt an.
- Beschreibung
Hiermit können Sie optional eine Beschreibung für diesen Tasksequenzschritt eingeben.
Wählen Sie das zu verschlüsselnde Laufwerk aus.
Gibt das zu verschlüsselnde Laufwerk an. Um das aktuelle Betriebssystemlaufwerk zu verschlüsseln, wählen Sie Aktuelles Betriebssystemlaufwerk aus, und konfigurieren Sie anschließend die Schlüsselverwaltung. Um anzugeben, dass das Trusted Platform Module (TPM) für die Schlüsselverwaltung verwendet werden sollte, wählen Sie Nur TPM aus. Um anzugeben, dass der Schlüssel zum Systemstart nur auf USB vorhanden sein sollte, wählen Sie Nur Schlüssel zum Systemstart auf USB aus. Um die Schlüsselverwaltung sowohl für das TPM als auch USB anzugeben, wählen Sie TPM und Schlüssel zum Systemstart auf USB aus. Um ein bestimmtes Laufwerk zu verschlüsseln (ein Datenlaufwerk, das kein Betriebssystem enthält), wählen Sie Bestimmtes Laufwerk aus.Hinweis
Wenn Sie USB auswählen, muss bei der Betriebssystembereitstellung ein USB-Laufwerk mit dem Computer verbunden sein. Der Schlüssel zum Systemstart wird auf das USB-Laufwerk geschrieben.
- Auswählen, wo der Wiederherstellungsschlüssel erstellt werden soll
Um anzugeben, wo das Wiederherstellungskennwort erstellt werden soll, wählen Sie In Active Directory aus, um das Kennwort in Active Directory zu hinterlegen. Wenn Sie diese Option auswählen, müssen Sie Active Directory für den Standort erweitern, sodass die zugeordneten BitLocker-Wiederherstellungsinformationen gespeichert werden. Sie können auch auswählen, dass überhaupt kein Kennwort erstellt wird. Dazu wählen Sie Keinen Wiederherstellungsschlüssel erstellen aus. Dies wird jedoch nicht empfohlen.
Vor dem Fortsetzen der Tasksequenzausführung warten, bis BitLocker den Laufwerkverschlüsselungsvorgang auf allen Laufwerken abgeschlossen hat
Wählen Sie diese Option aus, damit die BitLocker-Laufwerkverschlüsselung abgeschlossen wird, bevor der nächste Schritt in der Tasksequenz ausgeführt wird. Wenn diese Option ausgewählt ist, wird das gesamte Datenträgervolume verschlüsselt, bevor sich der Benutzer beim Computer anmelden kann.Bei Verschlüsselung eines umfangreichen Festplattenlaufwerks kann es Stunden dauern, bevor der Verschlüsselungsvorgang abgeschlossen ist. Wenn diese Option nicht ausgewählt wird, kann die Tasksequenz sofort fortgesetzt werden.
Siehe auch
Referenz
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com