BitLocker-Konfiguration
Allgemeine Einstellungen |
||
Verschlüsselung der Geräte verlangen | Abhängig von der Windows-Edition und der Systemkonfiguration werden die Benutzer möglicherweise aufgefordert, die Geräteverschlüsselung zu aktivieren: – Zur Bestätigung, dass die Verschlüsselung eines anderen Anbieters nicht aktiviert ist. – So deaktivieren Sie BitLocker Drive Encryption und schalten BitLocker wieder ein. |
|
Verschlüsselungsmethoden |
||
Verschlüsselungsmethode für Betriebssystemlaufwerke | ||
Verschlüsselungsmethode für feste Datenlaufwerke | ||
Verschlüsselungsmethode für Wechseldatenträger | ||
Warnung über Festplattenverschlüsselung von Drittanbietern deaktivieren | Deaktivieren Sie die Warnmeldung über die Verwendung eines Festplattenverschlüsselungsdienstes eines Drittanbieters auf dem Gerät. Ab Windows 10, Version 1803, wird diese Einstellung nur für Geräte unterstützt, die mit Azure Active Directory verbunden sind. |
|
Verschlüsselung zulassen, während ein Nicht-Administrator-Benutzer eingeloggt ist | Nur unterstützt für Geräte, die mit Azure Active Directory verbunden sind |
|
AppTec360 Erweiterungen |
||
Stille Verschlüsselung | Wenn Sie diese Option zusammen mit „Geräteverschlüsselung anfordern“ auswählen, führt der AppTec360 Management Service eine automatische, stille Verschlüsselung der Gerätelaufwerke durch. |
|
Automatisch Benutzeranmeldeinformationen generieren | Das verschlüsselte OS-Laufwerk wird mit automatisch generierten Benutzeranmeldeinformationen geschützt. Entweder eine TPM-PIN, wenn ein TPM verfügbar ist, oder ein 6-stelliges Textpasswort. Die generierten Anmeldedaten werden an die für das Gerät registrierte E-Mail-Adresse gesendet. Wenn diese Option deaktiviert ist, ist der einzig mögliche Schutz für die stille Verschlüsselung die Verwendung des TPM. In diesem Fall schlägt die stille Verschlüsselung bei Geräten ohne TPM fehl. |
|
Feste Laufwerke verschlüsseln | Alle verfügbaren festen Datenlaufwerke werden ebenfalls verschlüsselt und mit einem auf dem Betriebssystemlaufwerk gespeicherten Schlüssel durch „Automatische Entsperrung“ geschützt. |
|
OS Laufwerkseinstellungen |
Beim Start eine zusätzliche Authentifizierung verlangen | Mit dieser Einstellung können Sie festlegen, ob BitLocker bei jedem Start des Computers eine Authentifizierung verlangt. Diese Einstellung wird während der Einrichtung von BitLocker vorgenommen. Wenn Sie diese Einstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Einrichtungsassistenten konfigurieren. |
|
BitLocker ohne kompatibles TPM blockieren |
||
Nur TPM |
||
TPM und PIN |
||
TPM und Schlüssel |
||
TPM, Schlüssel und PIN | Wenn Sie die Verwendung einer PIN und eines USB-Flash-Laufwerks (Schlüssel) vorschreiben möchten, muss der Benutzer BitLocker mit dem Befehlszeilentool „manage-bde“ anstelle des Assistenten zur Einrichtung der BitLocker-Laufwerksverschlüsselung einrichten. |
|
Mindestlänge der PIN verlangen |
|
Minimum Zeichen |
|
Konfigurieren Sie die Pre-Boot-Wiederherstellungsmeldung und die URL | Konfigurieren Sie die gesamte Wiederherstellungsmeldung oder ersetzen Sie die vorhandene URL, die auf dem Bildschirm für die Wiederherstellung vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Hinweis: Nicht alle Zeichen und Sprachen werden im Pre-Boot unterstützt. Es wird dringend empfohlen, zu testen, ob die von Ihnen verwendeten Zeichen auf dem Pre-Boot-Recovery-Bildschirm korrekt angezeigt werden. |
|
Option für die Wiederherstellungsmeldung vor dem Start |
||
Benutzerdefinierte Wiederherstellungsnachricht |
||
Benutzerdefinierte Wiederherstellungs-URL |
||
Optionen zur Wiederherstellung von OS-Laufwerken | Mit dieser Einstellung können Sie steuern, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden, wenn die erforderlichen Anmeldeinformationen nicht vorhanden sind. Diese Einstellung wird während der Einrichtung von BitLocker vorgenommen. Standardmäßig ist ein zertifikatsbasierter Datenwiederherstellungsagent erlaubt, die Wiederherstellungsoptionen können vom Benutzer festgelegt werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. |
|
Blockzertifikat-basierter Datenrettungsagent | Geben Sie an, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Public Key Policies entweder in der Verwaltungskonsole für Gruppenrichtlinien oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungsagenten finden Sie im BitLocker Drive Encryption Deployment Guide auf Microsoft TechNet. |
|
Einstellungen für das BitLocker-Wiederherstellungskennwort |
||
Einstellungen für den BitLocker-Wiederherstellungsschlüssel |
||
BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern |
||
AD DS BitLocker-Wiederherstellungsspeicher-Konfiguration | Die Speicherung des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem physisch beschädigten Laufwerk. |
|
Speicherung von Wiederherstellungsdaten in AD DS erforderlich machen | Verhindern Sie, dass Benutzer BitLocker aktivieren, wenn der Computer nicht mit der Domäne verbunden ist und |
|
Feste Laufwerkseinstellungen |
||
Optionen zur Wiederherstellung von Festplatten | Mit dieser Einstellung können Sie steuern, wie BitLocker-geschützte feste Laufwerke wiederhergestellt werden, wenn die erforderlichen Anmeldeinformationen nicht vorhanden sind. Diese Einstellung wird während der Einrichtung von BitLocker vorgenommen. Standardmäßig ist ein zertifikatsbasierter Datenwiederherstellungsagent erlaubt, die Wiederherstellungsoptionen können vom Benutzer festgelegt werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und die Wiederherstellungsinformationen werden nicht in AD DS gesichert. |
|
Blockzertifikat-basierter Datenrettungsagent |
||
Einstellungen für das BitLocker-Wiederherstellungskennwort |
||
Einstellungen für den BitLocker-Wiederherstellungsschlüssel |
||
BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern |
||
AD DS BitLocker-Wiederherstellungsspeicher-Konfiguration | Die Speicherung des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem physisch beschädigten Laufwerk. |
|
Speicherung von Wiederherstellungsdaten in AD DS erforderlich machen | Verhindern Sie, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich. Hinweis: Das Wiederherstellungspasswort wird automatisch generiert. |
|
Schreibzugriff auf ungeschützte Festplatten verweigern |
||
Einstellungen für Wechsellaufwerke |
|
Schreibzugriff auf ungeschützte Wechsellaufwerke verweigern | Verweigern Sie den Schreibzugriff auf Wechseldatenträger, die nicht durch Bitlocker geschützt sind. Hinweis: Wenn „Wechseldatenträger: Schreibzugriff verweigern“ in der Gruppenrichtlinie aktiviert ist, wird diese Richtlinieneinstellung ignoriert. |
Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert wurden | Nur Laufwerke mit Identifikationsfeldern, die mit den Identifikationsfeldern des Computers übereinstimmen, erhalten Schreibzugriff. Diese Felder werden durch die Gruppenrichtlinieneinstellung „Stellen Sie die eindeutigen Identifikatoren für Ihre Organisation bereit“ definiert. |