Best Choice how to enable bitlocker with tpm New

You are viewing this post: Best Choice how to enable bitlocker with tpm New

Sie sehen gerade das Thema how to enable bitlocker with tpm


How to Enable or Disable BitLocker with TPM in Windows – Dell Aktualisiert

Windows BitLocker has become a solution for Users to secure their data. The following is how to enable and disable BitLocker using the standard methods. This article does not discuss the utilization of a USB as a TPM replacement and does not discuss Group Policy changes for advanced features. Domain level Group Policy changes and network-managed BitLocker

+ Details hier sehen

Read more

Inhaltsverzeichnis:

Aktivieren und Deaktivieren von BitLocker in Windows 7, Windows 8, Windows 10 und Windows 11

Windows BitLocker ist zu einer Lösung für Benutzer geworden, um ihre Daten zu sichern

Im Folgenden wird beschrieben, wie BitLocker mithilfe der Standardmethoden aktiviert und deaktiviert wird

Gruppenrichtlinienänderungen auf Domänenebene und netzwerkverwaltete BitLocker-Setups sind Best Effort und werden nicht unterstützt

Unterstützte Konfigurationen sind auf einzelne Computer und lokal verwaltete BitLocker-Setups beschränkt

HINWEIS: Systeme mit Skylake-Chipsätzen benötigen eine spezielle Einrichtung, damit BitLocker ordnungsgemäß funktioniert

Wenn ein Skylake-Computer trotz der folgenden Einstellungen zur Eingabe des Wiederherstellungsschlüssels auffordert, stellen Sie sicher, dass das BIOS auf dem neuesten Stand ist, da dies nach der Veröffentlichung behoben wurde

Alle Betriebssysteme, die im Legacy-Startmodus konfiguriert sind, müssen TPM 1.2 verwenden

Es wird empfohlen, auch das BIOS auf die neueste Version zu aktualisieren

Alle Betriebssysteme, die im UEFI-Startmodus konfiguriert sind, können entweder TPM 1.2 oder TPM 2.0 verwenden

Es wird empfohlen, auch das BIOS auf die neueste Version zu aktualisieren

Wenn ein Windows 7-Computer für den UEFI-Startmodus konfiguriert ist, muss dieser Patch angewendet werden, um TPM 2.0 zu verwenden: Microsoft TPM 2.0 Patch

Ausnahmen hiervon sind Latitude 5175 und Latitude 7275, die beide nur über TPM 2.0 verfügen und nicht auf 1.2 heruntergestuft werden können

Datenanforderungen finden Sie hier in den BitLocker-Anforderungen von Microsoft: https://technet.microsoft.com/en-us/library/dd835565(WS.10).aspx

1

Aktivieren des TPM

HINWEIS: Stellen Sie sicher, dass das TPM nach dem Einschalten aktiviert oder aktiviert ist, falls die Option vorhanden ist

Das Einschalten des TPM ermöglicht nicht automatisch die Kommunikation mit dem Betriebssystem

Das Aktivieren des TPM ist erforderlich, damit das Betriebssystem den Besitz des TPM-Chips übernimmt, um Verschlüsselungsschlüssel zu speichern

Schalten Sie den Computer ein

Während der Computer den POST ausführt, drücken Sie den Hotkey (normalerweise F2 oder Delete), um das BIOS aufzurufen

Suchen Sie im BIOS den Abschnitt, der die Sicherheit konfiguriert

Suchen Sie im Abschnitt Sicherheit die TPM-Option

Wählen Sie links den Abschnitt TPM 2.0/1.2 aus

Aktivieren Sie das Kontrollkästchen TPM auf der rechten Seite, um das TPM zu aktivieren

Wählen Sie nach dem Einschalten des TPM die Option zum Aktivieren oder Aktivieren des TPM

Nachdem das TPM aktiviert und aktiviert wurde, klicken Sie auf Save changes and Exit the BIOS.

Back to Top

2

Aktivieren von BitLocker im Betriebssystem

Schalten Sie den Computer ein

Melden Sie sich wie gewohnt beim Betriebssystem an

Rufen Sie den BitLocker-Verwaltungsabschnitt auf eine der folgenden Arten auf: Pfad des Windows 7-Startmenüs

Klicken Sie auf die Schaltfläche Windows-Startmenü

Geben Sie im Suchfeld „BitLocker verwalten“ ein

Drücken Sie die Eingabetaste oder klicken Sie in der Liste auf das Symbol „BitLocker verwalten“

Pfad der Systemsteuerung Klicken Sie auf die Schaltfläche Windows-Startmenü

Klicken Sie auf Systemsteuerung

Klicken Sie auf System und Sicherheit

Klicken Sie auf eine beliebige Option unter BitLocker-Laufwerkverschlüsselung

Festplattenpfad Öffnen Sie Computer oder Arbeitsplatz Alternativ klicken Sie auf das Datei-Explorer-Symbol und wählen Sie Ihren Computer aus

Wählen Sie das Laufwerk Encryption:\ (oder Windows-Computer) aus

Klicken Sie mit der rechten Maustaste auf das markierte Laufwerk

Klicken Sie auf „BitLocker aktivieren“

Öffnen Sie das Suchfeld und geben Sie „BitLocker verwalten“ ein

Drücken Sie die Eingabetaste oder klicken Sie in der Liste auf das Symbol „BitLocker verwalten“

Pfad der Systemsteuerung Klicken Sie auf die Schaltfläche Windows-Startmenü

Öffnen Sie das Suchfeld, geben Sie Systemsteuerung ein

Klicken Sie auf System und Sicherheit oder suchen Sie im Fenster Systemsteuerung nach BitLocker

Klicken Sie auf eine beliebige Option unter BitLocker-Laufwerkverschlüsselung

Festplattenpfad Öffnen Sie Computer oder Arbeitsplatz Alternativ klicken Sie auf das Datei-Explorer-Symbol und wählen Sie Ihren Computer aus

Wählen Sie das Laufwerk C:\ (oder Windows-Computer) aus

Klicken Sie mit der rechten Maustaste auf das markierte Laufwerk

Klicken Sie auf BitLocker aktivieren

Hinweis: Dadurch wird der anfängliche BitLocker-Bildschirm übersprungen.

Startmenüpfad von Windows 10 und Windows 11

Klicken Sie auf die Schaltfläche Windows-Startmenü

Geben Sie im Suchfeld „BitLocker verwalten“ ein

Drücken Sie die Eingabetaste oder klicken Sie in der Liste auf das Symbol „BitLocker verwalten“

Pfad der Systemsteuerung Klicken Sie mit der rechten Maustaste auf die Schaltfläche Windows-Startmenü

Klicken Sie auf Systemsteuerung

Klicken Sie auf System und Sicherheit

Klicken Sie auf eine beliebige Option unter BitLocker-Laufwerkverschlüsselung

Einstellungspfad Klicken Sie auf die Schaltfläche Windows-Startmenü

Klicken Sie auf das Symbol Einstellungen

Geben Sie im Suchfeld „BitLocker verwalten“ ein

Drücken Sie die Eingabetaste oder klicken Sie in der Liste auf das Symbol „BitLocker verwalten“

Festplattenpfad Öffnen Sie Computer oder Arbeitsplatz Wählen Sie das Laufwerk C:\ (oder Windows-Computer)

Klicken Sie mit der rechten Maustaste auf das markierte Laufwerk

Klicken Sie auf BitLocker aktivieren

Hinweis: Dadurch wird der anfängliche BitLocker-Bildschirm übersprungen

Klicken Sie im Bildschirm „BitLocker-Verwaltung“ auf BitLocker aktivieren

BitLocker durchläuft einen kurzen Initialisierungsprozess

Wählen Sie eine von drei Optionen zum Speichern des Wiederherstellungsschlüssels

Achtung: Dieser Schlüssel muss an einem sicheren Ort aufbewahrt werden

Wenn jemals Zugriff auf das Laufwerk benötigt wird, ist dies der Wiederherstellungsschlüssel, der für den Zugriff auf das Laufwerk verwendet wird

Bei Verlust des Schlüssels besteht keine Möglichkeit, Daten von einem gesperrten Laufwerk wiederherzustellen und das Betriebssystem muss neu installiert werden

Dieser Schlüssel ist für jeden Computer einzigartig und funktioniert nur auf dem Computer, für den er erstellt wurde

Klicken Sie nach dem Speichern der Kennwort-/Schlüsseldatei auf Weiter

Wählen Sie eine der Volume-Verschlüsselungsoptionen aus

Verschlüsseln Sie die gesamte Festplatte

Dadurch wird der gesamte Speicherplatz auf der Festplatte verschlüsselt, unabhängig davon, ob er verwendet wird

Dadurch dauert die Verarbeitung der Verschlüsselung länger

Auf belegtem Speicherplatz verschlüsseln

Dadurch wird nur Speicherplatz auf der Festplatte verschlüsselt, wenn sie mit Daten gefüllt ist, und freier Speicherplatz unverschlüsselt gelassen

Dies wird für die Basisverschlüsselung bevorzugt, da es schneller ist

Klicken Sie nach Auswahl der Verschlüsselungsoption auf Weiter

Wählen Sie den zu verwendenden Verschlüsselungstyp, wenn Sie die Auswahl des Verschlüsselungstyps erhalten

Der neue Modus ist die bevorzugte Verschlüsselungsmethode für neue Computer

Klicken Sie auf „Weiter“

Aktivieren Sie das Kontrollkästchen „BitLocker-Systemprüfung ausführen“

Klicken Sie auf Weiter

Starten Sie den Computer neu, nachdem Sie die Einstellungen überprüft haben, um mit der Verschlüsselung zu beginnen

HINWEIS: Die Verschlüsselung kann zwischen 20 Minuten und einigen Stunden dauern, abhängig von der Menge der verschlüsselten Daten, der Geschwindigkeit des Computers und davon, ob der Vorgang unterbrochen wird B

indem der Computer ausgeschaltet wird oder in den Ruhezustand wechselt

Die BitLocker-Verschlüsselung wird erst gestartet, wenn der Computer neu gestartet wird

Wenn die Arbeit abgeschlossen werden muss, ist es sicher, die Arbeit abzuschließen und vor dem Neustart zu speichern

Zurück nach oben

3

Überprüfen des BitLocker-Status (BitLocker-Konsole verwalten)

Öffnen Sie die Manage BitLocker-Konsole mit einer der zuvor beschriebenen Methoden

Zeigen Sie den Status an, der in der Konsole gemeldet wird.

Bei Verschlüsselung zeigt der Status an, dass BitLocker verschlüsselt

Bei Verschlüsselung zeigt der Status an, dass BitLocker aktiviert ist, und zeigt ein Schlosssymbol an

Zurück nach oben

4

Überprüfen des BitLocker-Status (Befehlszeile)

Öffnen Sie ein Eingabeaufforderungsfenster

Klicken Sie auf die Windows-Schaltfläche Start, geben Sie „cmd“ ein und drücken Sie die Eingabetaste

Halten Sie die Windows-Taste auf der Tastatur und R gedrückt, geben Sie „cmd“ ein und drücken Sie die Eingabetaste

Klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung und wählen Sie „Als Administrator ausführen“

Geben Sie in der Eingabeaufforderung „manage-bde -status“ ein und drücken Sie die Eingabetaste

Zeigen Sie den Status von BitLocker auf den Laufwerken im Computer an

Zurück nach oben

5

Anhalten von BitLocker

Hinweis: Das vorübergehende Anhalten von BitLocker kann für bestimmte Computerwartungen und Updates erforderlich sein

Wenn Sie das BIOS aktualisieren, setzen Sie BitLocker IMMER aus, bevor Sie das Update ausführen

Wenn BitLocker während des Updates aktiv ist, gehen alle gespeicherten Schlüssel auf dem TPM VERLOREN

Starten Sie den Computer

Booten Sie in das Windows-Betriebssystem

Öffnen Sie die Fenster „BitLocker verwalten“ mit einer der oben genannten Methoden

Klicken Sie für das gewünschte Laufwerk auf Schutz aussetzen

Überprüfen Sie die Warnmeldung und klicken Sie auf Ja, um BitLocker anzuhalten

Kehren Sie zum Fenster „BitLocker verwalten“ zurück, um den Schutz fortzusetzen

Zurück nach oben

6

BitLocker deaktivieren

HINWEIS: Die Entschlüsselung kann zwischen 20 Minuten und einigen Stunden dauern, abhängig von der Menge der verschlüsselten Daten, der Geschwindigkeit des Computers und davon, ob der Vorgang unterbrochen wird, weil der Computer ausgeschaltet oder in den Ruhezustand versetzt wird

Der Fortschritt kann jederzeit mit einer der vorherigen Methoden zum Überprüfen des BitLocker-Status überprüft werden.

Starten Sie den Computer

Booten Sie in das Windows-Betriebssystem

Öffnen Sie das Fenster „BitLocker verwalten“ mit einer der oben genannten Methoden

Klicken Sie auf BitLocker deaktivieren

Bestätigen Sie die Entscheidung, BitLocker zu deaktivieren

Lassen Sie den Computer entschlüsseln

7

BitLocker-Verschlüsselungsvideos

How to: Fix the TPM issue with BitLocker Update

Video ansehen

Neue Informationen zum Thema how to enable bitlocker with tpm

In this video, I go on to show you about an issue I have has with the TPM when trying to enable BitLocker on my OS drive.

how to enable bitlocker with tpm Ähnliche Bilder im Thema

 New  How to: Fix the TPM issue with BitLocker
How to: Fix the TPM issue with BitLocker New

Enable-BitLocker (BitLocker) | Microsoft Docs New

Trusted Platform Module (TPM). BitLocker uses the computer’s TPM to protect the encryption key. If you select this key protector, users can access the encrypted drive as long as it is connected to the system board that hosts the TPM and system boot integrity is intact. In general, TPM-based protectors can only be associated to an operating system volume. TPM and …

+ ausführliche Artikel hier sehen

Read more

Inhaltsverzeichnis

Aktivieren Sie etwas locker

Referenz Ist diese Seite hilfreich? Ja Nein Weiteres Feedback? Feedback wird an Microsoft gesendet: Wenn Sie auf die Schaltfläche „Senden“ klicken, wird Ihr Feedback zur Verbesserung von Microsoft-Produkten und -Diensten verwendet

Datenschutz-Bestimmungen

Senden Vielen Dank

Aktiviert die BitLocker-Laufwerkverschlüsselung für ein Volume

In diesem Artikel

Syntax

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-PasswordProtector] [[-Password] ] [-WhatIf] [ -Bestätigen] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-RecoveryPasswordProtector] [[-RecoveryPassword] ] [-WhatIf] [ -Bestätigen] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-StartupKeyProtector] [-StartupKeyPath] [-WhatIf] [-Confirm ] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-StartupKeyPath] [-TpmAndStartupKeyProtector] [-WhatIf] [-Confirm ] []

Enable-BitLocker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-StartupKeyPath] [-TpmAndPinAndStartupKeyProtector] [[-Pin] ] [-WhatIf] [-Confirm] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-AdAccountOrGroupProtector] [-Service] [-AdAccountOrGroup] [-WhatIf ] [-Bestätigen] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [[-Pin] ] [-TpmAndPinProtector] [-WhatIf] [ -Bestätigen] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-TpmProtector] [-WhatIf] [-Confirm] []

Enable-Bit Locker [-MountPoint] [-EncryptionMethod ] [-HardwareEncryption] [-SkipHardwareTest] [-UsedSpaceOnly] [-RecoveryKeyProtector] [-RecoveryKeyPath] [-WhatIf] [-Confirm ] []

Beschreibung

Das Cmdlet Enable-BitLocker aktiviert die BitLocker-Laufwerkverschlüsselung für ein Volume

Wenn Sie die Verschlüsselung aktivieren, müssen Sie ein Volume und eine Verschlüsselungsmethode für dieses Volume angeben

Sie können ein Volume nach Laufwerksbuchstaben oder durch Angabe eines BitLocker-Volumeobjekts angeben

Als Verschlüsselungsmethode können Sie entweder die Advanced Encryption Standard (AES)-Algorithmen AES-128 oder AES-256 auswählen oder Sie können Hardwareverschlüsselung verwenden, wenn sie von der Festplattenhardware unterstützt wird

Sie müssen auch einen Schlüsselschutz einrichten

BitLocker verwendet eine Schlüsselschutzvorrichtung, um den Volumeverschlüsselungsschlüssel zu verschlüsseln

Wenn ein Benutzer auf ein mit BitLocker verschlüsseltes Laufwerk zugreift, z

B

beim Starten eines Computers, fordert BitLocker die entsprechende Schlüsselschutzvorrichtung an

Beispielsweise kann der Benutzer eine PIN eingeben oder ein USB-Laufwerk bereitstellen, das einen Schlüssel enthält

BitLocker entschlüsselt den Verschlüsselungsschlüssel und verwendet ihn zum Lesen von Daten vom Laufwerk

Sie können eine der folgenden Methoden oder Kombinationen von Methoden für einen Schlüsselschutz verwenden:

Trusted Platform Module (TPM)

BitLocker verwendet das TPM des Computers, um den Verschlüsselungsschlüssel zu schützen

Wenn Sie diesen Schlüsselschutz auswählen, können Benutzer auf das verschlüsselte Laufwerk zugreifen, solange es mit der Systemplatine verbunden ist, die das TPM hostet, und die Systemstartintegrität intakt ist

Im Allgemeinen können TPM-basierte Schutzvorrichtungen nur einem Betriebssystemvolume zugeordnet werden.

TPM und persönliche Identifikationsnummer (PIN)

BitLocker verwendet eine Kombination aus dem TPM und einer vom Benutzer bereitgestellten PIN

Eine PIN besteht aus vier bis zwanzig Ziffern oder, wenn Sie erweiterte PINs zulassen, aus vier bis zwanzig Buchstaben, Symbolen, Leerzeichen oder Zahlen

TPM, PIN und Systemstartschlüssel

BitLocker verwendet eine Kombination aus dem TPM, einer vom Benutzer bereitgestellten PIN und der Eingabe von einem USB-Speichergerät, das einen externen Schlüssel enthält

TPM und Systemstartschlüssel

BitLocker verwendet eine Kombination aus dem TPM und Eingaben von einem USB-Speichergerät

Startschlüssel

BitLocker verwendet Eingaben von einem USB-Speichergerät, das den externen Schlüssel enthält

Kennwort

BitLocker verwendet ein Passwort.

Wiederherstellungsschlüssel

BitLocker verwendet einen Wiederherstellungsschlüssel, der als angegebene Datei gespeichert ist

Wiederherstellungskennwort

BitLocker verwendet ein Wiederherstellungskennwort

Active Directory-Domänendienste (AD DS)-Konto

BitLocker verwendet Domänenauthentifizierung

Sie können nur eine dieser Methoden oder Kombinationen angeben, wenn Sie die Verschlüsselung aktivieren, aber Sie können das Add-BitLockerKeyProtector-Cmdlet verwenden, um andere Schutzvorrichtungen hinzuzufügen

Geben Sie für eine Kennwort- oder PIN-Schlüsselschutzvorrichtung eine sichere Zeichenfolge an

Sie können sichere Zeichenfolgen in einem Skript verwenden und dennoch die Vertraulichkeit von Kennwörtern wahren

Dieses Cmdlet gibt ein BitLocker-Volume-Objekt zurück

Wenn Sie das Wiederherstellungskennwort als Schlüsselschutz auswählen, aber kein 48-stelliges Wiederherstellungskennwort angeben, erstellt dieses Cmdlet ein zufälliges 48-stelliges Wiederherstellungskennwort

Das Cmdlet speichert das Kennwort als Feld „RecoveryPassword“ des Attributs „KeyProtector“ des BitLocker-Volumeobjekts

Wenn Sie Startschlüssel oder Wiederherstellungsschlüssel als Teil Ihrer Schlüsselschutzvorrichtung verwenden, geben Sie einen Pfad zum Speichern des Schlüssels an

Dieses Cmdlet speichert den Namen der Datei, die den Schlüssel enthält, im Feld „KeyFileName“ des Felds „KeyProtector“ im BitLocker-Volumeobjekt ergreift keine Maßnahmen

Wenn Sie das Cmdlet auf einem Laufwerk verwenden, dessen Verschlüsselung angehalten wurde, wird die Verschlüsselung auf dem Volume fortgesetzt

Standardmäßig verschlüsselt dieses Cmdlet das gesamte Laufwerk

Wenn Sie den UsedSpaceOnly-Parameter verwenden, verschlüsselt er nur den verwendeten Speicherplatz auf dem Datenträger

Diese Option kann die Verschlüsselungszeit erheblich verkürzen

Es ist üblich, einem Betriebssystemvolume mithilfe des Cmdlets „Add-BitLockerKeyProtector“ ein Wiederherstellungskennwort hinzuzufügen und dann das Wiederherstellungskennwort mithilfe des Cmdlets „Backup-BitLockerKeyProtector“ zu speichern und dann BitLocker für das Laufwerk zu aktivieren

Dieses Verfahren stellt sicher, dass Sie eine Wiederherstellungsoption haben

Eine Übersicht über BitLocker finden Sie unter BitLocker Drive Encryption Overview auf TechNet.

Beispiele

Beispiel 1: BitLocker aktivieren

PS C:\> $SecureString = ConvertTo-SecureString “1234” -AsPlainText -Force PS C:\> Enable-BitLocker -MountPoint “C:” -EncryptionMethod Aes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

In diesem Beispiel wird BitLocker für ein angegebenes Laufwerk mithilfe des TPM und einer PIN für die Schlüsselschutzfunktion aktiviert

Der erste Befehl verwendet das Cmdlet ConvertTo-SecureString, um eine sichere Zeichenfolge zu erstellen, die eine PIN enthält, und speichert diese Zeichenfolge in der Variablen „$SecureString“

Geben Sie für weitere Informationen zum Cmdlet ConvertTo-SecureString Get-Help ConvertTo-SecureString ein

Der zweite Befehl aktiviert die BitLocker-Verschlüsselung für das BitLocker-Volume mit dem Laufwerksbuchstaben C:

Das Cmdlet gibt einen Verschlüsselungsalgorithmus und die in der $SecureString-Variable gespeicherte PIN an

Der Befehl gibt auch an, dass dieses Volume eine Kombination aus dem TPM und der PIN als Schlüsselschutz verwendet

Der Befehl gibt auch an, die verwendeten Speicherplatzdaten auf der Festplatte anstelle des gesamten Volumes zu verschlüsseln

Wenn das System zukünftig Daten auf das Volume schreibt, werden diese Daten verschlüsselt

Beispiel 2: Aktivieren Sie BitLocker mit einem Wiederherstellungsschlüssel

PS C:\> Get-BitLockerVolume | Enable-BitLocker -EncryptionMethod Aes128 -RecoveryKeyPath “E:\Recovery\” -RecoveryKeyProtector

Dieser Befehl ruft alle BitLocker-Volumes für den aktuellen Computer ab und übergibt sie mithilfe des Pipe-Operators an das Cmdlet Enable-BitLocker

Dieses Cmdlet gibt einen Verschlüsselungsalgorithmus für das Volume oder die Volumes an

Dieses Cmdlet gibt einen Pfad zu einem Ordner an, in dem der zufällig generierte Wiederherstellungsschlüssel gespeichert wird, und gibt an, dass diese Volumes einen Wiederherstellungsschlüssel als Schlüsselschutz verwenden

Beispiel 3: Aktivieren Sie BitLocker mit einem angegebenen Benutzerkonto

PS C:\> Enable-BitLocker -MountPoint “C:” -EncryptionMethod Aes128 -AdAccountOrGroup “Western\SarahJones” -AdAccountOrGroupProtector

Dieser Befehl verschlüsselt das durch den MountPoint-Parameter angegebene BitLocker-Volume und verwendet die AES 128-Verschlüsselungsmethode

Der Befehl gibt auch ein Konto an und gibt an, dass BitLocker Benutzeranmeldeinformationen als Schlüsselschutz verwendet

Wenn ein Benutzer auf dieses Volume zugreift, fordert BitLocker zur Eingabe von Anmeldeinformationen für das Benutzerkonto Western\SarahJones auf

Parameter

-AdAccountOrGroup

Gibt ein Konto im Format Domäne\Benutzer an

Dieses Cmdlet fügt das von Ihnen angegebene Konto als Schlüsselschutz für den Volumeverschlüsselungsschlüssel hinzu

Typ: Zeichenfolge Aliasse: sid Position: 1 Standardwert: Keiner Pipeline-Eingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-AdAccountOrGroupProtector

Gibt an, dass BitLocker ein AD DS-Konto als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: sidp Position: Benannt Standardwert: Keiner Pipelineeingaben akzeptieren: False Platzhalterzeichen akzeptieren: False

-Bestätigen Sie

Fordert Sie zur Bestätigung auf, bevor das Cmdlet ausgeführt wird

Typ: SwitchParameter Aliasse: cf Position: Benannt Standardwert: False Pipelineeingaben akzeptieren: False Platzhalterzeichen akzeptieren: False

-Verschlüsselungsmethode

Gibt eine Verschlüsselungsmethode für das verschlüsselte Laufwerk an

Die zulässigen Werte für diesen Parameter sind: Aes128

Aes256

Hardwaretyp: BitLockerVolumeEncryptionMethodOnEnable Akzeptierte Werte: Aes128, Aes256, XtsAes128, XtsAes256 Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-HardwareVerschlüsselung

Gibt an, dass das Volume Hardwareverschlüsselung verwendet

Typ: SwitchParameter Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Einhängepunkt

Gibt ein Array von Laufwerksbuchstaben oder BitLocker-Volume-Objekten an

Dieses Cmdlet aktiviert den Schutz für die angegebenen Volumes

Verwenden Sie zum Abrufen eines BitLocker-Volumeobjekts das Cmdlet Get-BitLockerVolume

Typ: String [ ] Position: 0 Standardwert: Keiner Pipelineeingabe akzeptieren: True Platzhalterzeichen akzeptieren: False

-Passwort

Gibt ein sicheres Zeichenfolgenobjekt an, das ein Kennwort enthält

Das angegebene Kennwort fungiert als Schutz für den Volume-Verschlüsselungsschlüssel

Typ: SecureString Aliasse: pw Position: 1 Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-PasswordProtector

Gibt an, dass BitLocker ein Kennwort als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: pwp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Geheimzahl

Gibt ein sicheres Zeichenfolgenobjekt an, das eine PIN enthält

BitLocker verwendet die angegebene PIN zusammen mit anderen Daten als Schutz für den Volumeverschlüsselungsschlüssel

Typ: SecureString Aliasse: p Position: 1 Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-RecoveryKeyPath

Gibt einen Pfad zu einem Ordner an

Dieses Cmdlet fügt einen zufällig generierten Wiederherstellungsschlüssel als Schutz für den Volumeverschlüsselungsschlüssel hinzu und speichert ihn im angegebenen Pfad

Typ: Zeichenfolge Aliasse: rk Position: 1 Standardwert: Keiner Pipeline-Eingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-RecoveryKeyProtector

Gibt an, dass BitLocker einen Wiederherstellungsschlüssel als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: rkp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Wiederherstellungskennwort

Gibt ein Wiederherstellungskennwort an

Wenn Sie diesen Parameter nicht angeben, aber den Parameter RecoveryPasswordProtector einbeziehen, erstellt das Cmdlet ein zufälliges Kennwort

Sie können ein 48-stelliges Passwort eingeben

Das angegebene oder erstellte Kennwort fungiert als Schutz für den Volume-Verschlüsselungsschlüssel

Typ: Zeichenfolge Aliasse: rp Position: 1 Standardwert: Keiner Pipeline-Eingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-RecoveryPasswordProtector

Gibt an, dass BitLocker ein Wiederherstellungskennwort als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: rpp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Bedienung

Gibt an, dass das Systemkonto für diesen Computer das verschlüsselte Volume entsperrt

Typ: SwitchParameter Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Hardwaretest überspringen

Gibt an, dass BitLocker keinen Hardwaretest durchführt, bevor es mit der Verschlüsselung beginnt

BitLocker verwendet einen Hardwaretest als Probelauf, um sicherzustellen, dass alle Tastenschutzvorrichtungen korrekt eingerichtet sind und der Computer ohne Probleme starten kann

Typ: SwitchParameter Aliasse: s Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-StartupKeyPath

Gibt einen Pfad zu einem Systemstartschlüssel an

Der im angegebenen Pfad gespeicherte Schlüssel fungiert als Schutz für den Volume-Verschlüsselungsschlüssel

Typ: Zeichenfolge Aliasse: sk Position: 1 Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-StartupKeyProtector

Gibt an, dass BitLocker einen Systemstartschlüssel als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: skp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-TpmAndPinAndStartupKeyProtector

Gibt an, dass BitLocker eine Kombination aus dem TPM, einer PIN und einem Systemstartschlüssel als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: tpskp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-TpmAndPinProtector

Gibt an, dass BitLocker eine Kombination aus dem TPM und einer PIN als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: tpp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-TpmAndStartupKeyProtector

Gibt an, dass BitLocker eine Kombination aus dem TPM und einem Systemstartschlüssel als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: tskp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-TpmProtector

Gibt an, dass BitLocker das TPM als Schutz für den Volumeverschlüsselungsschlüssel verwendet

Typ: SwitchParameter Aliasse: tpmp Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-UsedSpaceOnly

Gibt an, dass BitLocker keinen Speicherplatz verschlüsselt, der ungenutzte Daten enthält

Typ: SwitchParameter Aliasse: qe Position: Benannt Standardwert: Keiner Pipelineeingabe akzeptieren: False Platzhalterzeichen akzeptieren: False

-Was, wenn

Zeigt, was passieren würde, wenn das Cmdlet ausgeführt wird

Das Cmdlet wird nicht ausgeführt

Typ: SwitchParameter Aliasse: wi Position: Benannt Standardwert: False Pipelineeingaben akzeptieren: False Platzhalterzeichen akzeptieren: False

Eingänge

BitLockerVolume[],String[]

Ausgänge

BitLockerVolume[]

19. Enable BitLocker Encryption on Windows 10 without TPM Update

Video ansehen

Weitere hilfreiche Informationen im Thema anzeigen how to enable bitlocker with tpm

In this video tutorials, We will learn the steps to enable BitLocker Drive encryption on Windows 10 without TPM chip using Group Policy Settings.
BitLocker is a data protection feature that encrypts drives on your computer to help prevent data theft or exposure. You can use BitLocker to encrypt the entire contents of a data drive. We will enable group policy setting name require additional authentication at startup which allow us to enable bitlocker wihtou TPM chip but you either require a password or a USB drive for start up.
1: Setup Group Policy to enable Bitlocker drive encryption without TPM chip.
2: Enable Bitlocker driver encryption on Windows 10 OS.

Follow my blogs:
https://msftwebcast.com/2020/02/how-to-use-bitlocker-encryption-without-a-tpm-in-windows-10.html

how to enable bitlocker with tpm Einige Bilder im Thema

 New  19. Enable BitLocker Encryption on Windows 10 without TPM
19. Enable BitLocker Encryption on Windows 10 without TPM New Update

How to enable device encryption on Windows 10 Home … Aktualisiert

2019-07-23 · Enable the TPM feature. After you complete the steps, you should be able to enable device encryption on your computer running Windows 10 Home to protect your files. Disabling device encryption

+ ausführliche Artikel hier sehen

Read more

Windows 10 Home enthält kein BitLocker, aber Sie können Ihre Dateien trotzdem mit „Geräteverschlüsselung“ schützen

Ähnlich wie BitLocker ist die Geräteverschlüsselung eine Funktion, die entwickelt wurde, um Ihre Daten vor unbefugtem Zugriff zu schützen, falls Ihr Laptop unerwartet verloren geht oder gestohlen wird

Wenn die Funktion aktiviert ist, werden das gesamte Systemlaufwerk und die mit Ihrem Gerät verbundenen sekundären Laufwerke verschlüsselt, und nur Sie mit dem richtigen Kennwort können auf die Daten zugreifen

Der größte Unterschied zwischen den beiden besteht darin, dass die Geräteverschlüsselung in allen Editionen von verfügbar ist Windows 10, während BitLocker nur für Windows 10 Pro, Enterprise oder Education verfügbar ist und einige zusätzliche Verwaltungstools bietet

In diesem Windows 10-Leitfaden führen wir Sie durch die Schritte zum Aktivieren (und Deaktivieren) der Geräteverschlüsselung auf Ihrem Computer, auf dem die Home Edition des Betriebssystems ausgeführt wird

So verschlüsseln Sie das gesamte Laufwerk unter Windows 10 Home

Obwohl Windows 10 Home nicht mit BitLocker geliefert wird, können Sie die Option „Geräteverschlüsselung“ verwenden, aber nur, wenn Ihr Gerät die Hardwareanforderungen erfüllt

Anforderungen an die Geräteverschlüsselung

Dies sind die Hardwareanforderungen für die Geräteverschlüsselung unter Windows 10:

Trusted Platform Module (TPM) Version 2 mit Unterstützung für Modern Standby

TPM muss aktiviert sein.

Unified Extensible Firmware Interface (UEFI)-Firmwarestil.

Unterstützung der Geräteverschlüsselung wird überprüft

Führen Sie die folgenden Schritte aus, um festzustellen, ob Ihr Laptop oder Desktop-Computer die Anforderungen für die Geräteverschlüsselung erfüllt

Öffnen Sie Start

Suchen Sie nach Systeminformationen, klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option Als Administrator ausführen

Klicken Sie im linken Bereich auf den Zweig Systemzusammenfassung

Aktivieren Sie das Element „Geräteverschlüsselungsunterstützung“

Wenn dort „Erfüllt die Voraussetzungen“ angezeigt wird, enthält Ihr Computer Unterstützung für die Dateiverschlüsselung

Nachdem Sie die Schritte ausgeführt haben, können Sie mit der Aktivierung der Verschlüsselung auf dem gesamten System fortfahren

Führen Sie die folgenden Schritte aus, um die Geräteverschlüsselung auf Ihrem Windows 10 Home-Laptop oder -Desktopcomputer zu aktivieren:

Einstellungen öffnen

Klicken Sie auf Update & Sicherheit

Click-on-Device-Verschlüsselung

Kurztipp: Wenn die Seite „Geräteverschlüsselung“ nicht verfügbar ist, unterstützt Ihr Gerät die Verschlüsselungsfunktion wahrscheinlich nicht

Klicken Sie im Abschnitt „Geräteverschlüsselung“ auf die Schaltfläche Aktivieren

Sobald Sie die Schritte abgeschlossen haben, aktiviert Windows 10 die Verschlüsselung für die aktuellen und zukünftigen Dateien, die Sie auf Ihrem Computer speichern

Konfigurieren Sie TPM auf UEFI

Wenn Sie wissen, dass Ihr Gerät über einen TPM-Chip verfügt, dieser jedoch deaktiviert ist, können Sie sich auf diese Schritte beziehen, um ihn zu aktivieren:

Einstellungen öffnen

Klicken Sie auf Update & Sicherheit

Klicken Sie auf Wiederherstellung

Klicken Sie im Abschnitt „Erweiterter Start“ auf die Schaltfläche Jetzt neu starten

Klicken Sie auf Fehlerbehebung

Klicken Sie auf Erweiterte Optionen

Klicken Sie auf UEFI-Firmware-Einstellungen

Klicken Sie auf die Schaltfläche Neustart

Suchen Sie die Sicherheitseinstellungen

Kurzer Hinweis: Möglicherweise müssen Sie die Support-Website Ihres Herstellers konsultieren, um genauere Informationen zu erhalten, um die TPM-Einstellungen zu finden

Aktivieren Sie die TPM-Funktion

Nachdem Sie die Schritte ausgeführt haben, sollten Sie in der Lage sein, die Geräteverschlüsselung auf Ihrem Computer zu aktivieren, auf dem Windows 10 Home ausgeführt wird, um Ihre Dateien zu schützen.

Deaktivieren der Geräteverschlüsselung

Führen Sie die folgenden Schritte aus, um die Geräteverschlüsselung auf Ihrem Windows 10 Home-Gerät zu deaktivieren:

Einstellungen öffnen

Klicken Sie auf Update & Sicherheit

Click-on-Device-Verschlüsselung

Klicken Sie im Abschnitt „Geräteverschlüsselung“ auf die Schaltfläche Ausschalten

Klicken Sie zur Bestätigung erneut auf die Schaltfläche Ausschalten

Nachdem Sie die Schritte abgeschlossen haben, durchläuft das Gerät den Entschlüsselungsprozess, der je nach Datenmenge sehr lange dauern kann

Wir konzentrieren uns in dieser Anleitung auf Windows 10 Privatanwender, aber diese Option ist ebenso wie BitLocker auch für Geräte verfügbar, auf denen Windows 10 Pro mit unterstützter Hardware ausgeführt wird

Weitere Windows 10-Ressourcen

Weitere hilfreiche Artikel, Berichterstattung und Antworten auf häufig gestellte Fragen zu Windows 10 finden Sie in den folgenden Ressourcen:

Mauro empfiehlt all diese erschwinglichen Zubehörteile

Hallo, ich bin Mauro Huculak, Hilfe- und Anleitungs-Guru von Windows Central

Ich habe den Beitrag geschrieben, den Sie gerade lesen, und ich kenne das Windows-Betriebssystem in- und auswendig

Aber ich bin auch ein bisschen ein Hardware-Freak

Dies sind einige der erschwinglichen Geräte, die heute auf meinem Schreibtisch stehen

Logitech MX Master Wireless Mouse ($ 72 bei Amazon) Ich kenne Mäuse, und diese verwende ich jeden Tag

Die MX Master ist eine kabellose Hochpräzisionsmaus, die sehr komfortabel zu bedienen ist und über viele großartige Funktionen verfügt, darunter die Möglichkeit, sich mit mehreren Geräten zu verbinden, ein unendliches Scrollrad, Vor- und Zurück-Tasten, die Sie alle anpassen können

Ktrio Extended Gaming Mouse Pad (12 $ bei Amazon) Wenn Sie viel Zeit mit Tippen verbringen, hinterlassen Ihre Handflächen und Ihre Maus Spuren auf Ihrem Schreibtisch

Meine Lösung bestand darin, Gaming-Mauspads zu verwenden, die groß genug sind, damit Sie die Tastatur und die Maus bequem verwenden können

Dies ist die, die ich verwende und empfehle

Supernight LED-Lichtleiste (20 $ bei Amazon) Sie könnten einfach eine normale Glühbirne in Ihrem Büro verwenden, aber wenn Sie eine Umgebungsbeleuchtung mit verschiedenen Farben hinzufügen möchten, ist eine RGB-LED-Leiste der richtige Weg

Dieser ist von Mauro zugelassen.

How to Encrypt Windows system Drive with BitLocker Update

Video ansehen

Weitere hilfreiche Informationen im Thema anzeigen how to enable bitlocker with tpm

Everything you need to know about BitLocker in Windows 10. How to enable BitLocker and encrypt the system drive, enable TPM or Pin protection, How to use the recovery key, how to disable BitLocker, enable BitLocker without TPM
✅ Subscribe, it really helps: https://www.youtube.com/knowledgesharingtech?sub_confirmation=1
How to use BitLocker on non system drives: https://youtu.be/GUFEUsMcmGI
Important note: Do not loose the recovery key and keep it somewhere safe
Chapters: How to encrypt your OS drive with BitLocker from A to Z
00:00 Intro
00:30 Configure BitLocker on non OS drives
00:44 Chapters explained
01:09 Check for TPM and enable Pin unlock
02:28 Configure Windows to accept BitLocker without TPM
03:40 Enabling BitLocker
04:14 Backup the recovery key
07:23 How to add a pin to unlock the drive
08:18 BitLocker Recovery key usage
09:39 Disabling BitLocker
10:46 Thanks
Laptops boot hot keys:
Dell: Tap F12 when the Dell logo is displayed.
HP: Tap F9 when the HP logo is displayed.
Lenovo: Tap F12 when the Lenovo logo is displayed.
Toshiba: Tap F12 or F2 when the Toshiba logo appears.
Acer: Tap F12 as the Acer logo appears.
Other: Try tapping Esc, F1-12, or Enter during bootup.
Follow me on:
My websites:
https://knowledgesharingtech.com/
https://tripleewebdesigns.com
Facebook: https://www.facebook.com/knowledgesharingtech
Twitter: https://twitter.com/KnowledgeShari6
Instagram: https://www.instagram.com/knowledge_sharing_tech
Pinterest: https://www.pinterest.ca/knowledgesharingtech
Disclaimer: Use the instructions in this video at your own risk. We are not responsible for any data loss or other damages that may occur

how to enable bitlocker with tpm Einige Bilder im Thema

 Update  How to Encrypt Windows system Drive with BitLocker
How to Encrypt Windows system Drive with BitLocker Update

BitLocker CSP – Windows Client Management | Microsoft Docs Update

2022-03-16 · This setting allows you to configure a minimum length for a Trusted Platform Module (TPM) startup PIN. This setting is applied when you turn on BitLocker. The startup PIN must have a minimum length of 6 digits and can have a maximum length of 20 digits. Note. In Windows 10, version 1703 release B, you can use a minimum PIN length of 4 digits. In TPM 2.0 …

+ ausführliche Artikel hier sehen

Read more

Inhaltsverzeichnis

BitLocker-CSP

Artikel

16.03.2022

39 Minuten zu lesen

25 Mitwirkende Ist diese Seite hilfreich? Ja Nein Weiteres Feedback? Feedback wird an Microsoft gesendet: Wenn Sie auf die Schaltfläche „Senden“ klicken, wird Ihr Feedback zur Verbesserung von Microsoft-Produkten und -Diensten verwendet

Datenschutz-Bestimmungen

Senden Vielen Dank

In diesem Artikel

Der BitLocker Configuration Service Provider (CSP) wird von Unternehmen verwendet, um die Verschlüsselung von PCs und Geräten zu verwalten

Dieser CSP wurde in Windows 10, Version 1703, hinzugefügt

Ab Windows 10, Version 1809, wird er in Windows 10 Pro unterstützt

Hinweis Einstellungen werden nur zu dem Zeitpunkt erzwungen, zu dem die Verschlüsselung gestartet wird

Die Verschlüsselung wird bei Einstellungsänderungen nicht neu gestartet

Sie müssen alle Einstellungen zusammen in einem einzigen SyncML senden, um wirksam zu sein

Ein Get-Vorgang für eine der Einstellungen, mit Ausnahme von RequireDeviceEncryption und RequireStorageCardEncryption , gibt die vom Administrator konfigurierte Einstellung zurück

Für RequireDeviceEncryption und RequireStorageCardEncryption gibt der Get-Vorgang den tatsächlichen Status der Erzwingung an den Administrator zurück, unabhängig davon, ob Trusted Platform Module (TPM)-Schutz und -Verschlüsselung erforderlich sind

Und wenn auf dem Gerät BitLocker aktiviert ist, aber der Kennwortschutz vorhanden ist, lautet der gemeldete Status 0

Ein Get-Vorgang für RequireDeviceEncryption überprüft nicht, ob eine Mindest-PIN-Länge erzwungen wird (SystemDrivesMinimumPINLength)

Im Folgenden wird der BitLocker-Konfigurationsdienstanbieter in Baumformat.

./Device/Vendor/MSFT BitLocker —-RequireStorageCardEncryption —-RequireDeviceEncryption —-EncryptionMethodByDriveType —-IdentificationField —-SystemDrivesEnablePreBootPinExceptionOnDECapableDevice —-SystemDrivesEnhancedPIN —-SystemDrivesDisallowStandardUsersCanChangePIN —- -SystemDrivesEnablePrebootInputProtectorsOnSlates —-SystemDrivesEncryptionType —-SystemDrivesRequireStartupAuthentication —-SystemDrivesMinimumPINLength —-SystemDrivesRecoveryMessage —-SystemDrivesRecoveryOptions —-FixedDrivesRecoveryOptions —-FixedDrivesRequireEncryption —-FixedDrivesEncryptionType —-RemovableDrivesRequireEncryption —- -RemovableDrivesEncryptionType —-Entfernen blel eDrivesConfigureBDE —-AllowWarningForOtherDiskEncryption —-AllowStandardUserEncryption —-ConfigureRecoveryPasswordRotation —-RotateRecoveryPasswords —-Status ——–DeviceEncryptionStatus ——–RotateRecoveryPasswordsStatus —– – –RotateRecoveryPasswordsRequestID

Tipp Einige der Richtlinien hier sind ADMX-unterstützte Richtlinien

Eine Schritt-für-Schritt-Anleitung zum Aktivieren von ADMX-gestützten Richtlinien finden Sie unter Aktivieren von ADMX-gestützten Richtlinien in MDM

Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

./Device/Vendor/MSFT/BitLocker

Definiert den Stammknoten für den BitLocker-Konfigurationsdienstanbieter

RequireDeviceEncryption

Ermöglicht dem Administrator, eine Verschlüsselung anzufordern, die mithilfe von BitLocker\Device Encryption aktiviert werden muss

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Datentyp ist Integer

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie: 1

Unterstützte Operationen sind Hinzufügen, Abrufen, Ersetzen und Löschen

Der Status von Betriebssystem-Volumes und verschlüsselbaren festen Datenvolumes wird mit einer Get-Operation geprüft

In der Regel folgt die BitLocker/Geräteverschlüsselung dem Wert, auf den die EncryptionMethodByDriveType-Richtlinie festgelegt ist

Diese Richtlinieneinstellung wird jedoch für selbstverschlüsselnde Festplatten und selbstverschlüsselnde Betriebssystemlaufwerke ignoriert

Verschlüsselbare feste Datenvolumes werden ähnlich wie Betriebssystemvolumes behandelt

Feste Datenmengen müssen jedoch weitere Kriterien erfüllen, um als verschlüsselbar zu gelten: Es darf kein dynamisches Volume sein

Es darf keine Wiederherstellungspartition sein

Es darf kein verstecktes Volume sein

Es darf keine Systempartition sein

Es darf nicht durch virtuellen Speicher gesichert sein

Es darf keine Referenz im BCD-Speicher haben

Die folgende Liste zeigt die unterstützten Werte:

0 (Standard) – Deaktiviert

Wenn die Richtlinieneinstellung nicht festgelegt oder auf 0 festgelegt ist, wird der Erzwingungsstatus des Geräts nicht überprüft

Die Richtlinie erzwingt keine Verschlüsselung und entschlüsselt keine verschlüsselten Volumes

1 – Aktivieren

Der Durchsetzungsstatus des Geräts wird überprüft

Wenn Sie diese Richtlinie auf 1 setzen, wird die Verschlüsselung aller Laufwerke ausgelöst (im Hintergrund oder nicht im Hintergrund, basierend auf der AllowWarningForOtherDiskEncryption-Richtlinie)

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption int 0

Hinweis Derzeit wird die vollständige Festplattenverschlüsselung unterstützt, wenn dieser CSP für die unbeaufsichtigte Verschlüsselung verwendet wird

Bei nicht automatischer Verschlüsselung hängt der Verschlüsselungstyp von SystemDrivesEncryptionType und FixedDrivesEncryptionType ab, die auf dem Gerät konfiguriert sind

EncryptionMethodByDriveType

Ermöglicht es Ihnen, die Standardverschlüsselungsmethode für jeden der verschiedenen Laufwerkstypen festzulegen: Betriebssystemlaufwerke, feste Datenlaufwerke und Wechseldatenlaufwerke

Versteckte, System- und Wiederherstellungspartitionen werden von der Verschlüsselung ausgenommen

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Wählen Sie Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke (Windows 10 [Version 1511] und höher)“.

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Enterprise Ja Ja Education Ja ja ADMX-Info:

GP-Anzeigename: Wählen Sie die Laufwerkverschlüsselungsmethode und die Verschlüsselungsstärke (Windows 10 [Version 1511] und höher)

GP-Name: EncryptionMethodWithXts_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie den Algorithmus und die Verschlüsselungsstärke konfigurieren, die von der BitLocker-Laufwerkverschlüsselung verwendet werden

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren

Das Ändern der Verschlüsselungsmethode hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung im Gange ist und Wechseldatenträger einzeln

Für Fest- und Betriebssystemlaufwerke empfehlen wir die Verwendung des XTS-AES-Algorithmus

Für Wechseldatenträger sollten Sie AES-CBC 128-Bit oder AES-CBC 256-Bit verwenden, wenn das Laufwerk in anderen Geräten verwendet wird, auf denen Windows 10, Version 1511, nicht ausgeführt wird

Wenn Sie dies deaktivieren oder nicht konfigurieren Einstellung verwendet BitLocker die Standardverschlüsselungsmethode XTS-AES 128-Bit oder die Verschlüsselungsmethode, die von einem Setup-Skript angegeben wird

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie und zum Festlegen der Verschlüsselungsrichtlinienmethoden ist:

EncryptionMethodWithXtsOsDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus.

EncryptionMethodWithXtsFdvDropDown_Name = Wählen Sie die Verschlüsselungsmethode für feste Datenlaufwerke aus

3 = AES-CBC 128

4 = AES-CBC 256

6 = XTS-AES 128

7 = XTS-AES 256

Hinweis Wenn Sie EncryptionMethodByDriveType aktivieren, müssen Sie Werte für alle drei Laufwerke angeben (Betriebssystem, feste Daten , und entfernbare Daten), andernfalls schlägt es fehl (500 Rückgabestatus)

Wenn Sie beispielsweise nur die Verschlüsselungsmethode für das Betriebssystem und Wechseldatenträger festlegen, erhalten Sie einen Rückgabestatus von 500

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType chr

Datentyp ist Zeichenfolge

Unterstützte Operationen sind Add, Get, Replace und Delete.

IdentificationField

Ermöglicht es Ihnen, einem neuen Laufwerk, das mit BitLocker aktiviert ist, eindeutige Organisations-IDs zuzuordnen

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Geben Sie die eindeutigen Kennungen für Ihre Organisation an

GP-Name: IdentificationField_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Einstellung wird verwendet, um eine Kennung einzurichten, die auf alle verschlüsselten Laufwerke in Ihrer Organisation angewendet wird

Kennungen werden normalerweise als Identifikationsfeld und zulässiges Identifikationsfeld gespeichert

Sie können die folgenden Identifikationsfelder auf vorhandenen Laufwerken konfigurieren, indem Sie das Manage-bde verwenden:

BitLocker-Identifikationsfeld : Es ermöglicht Ihnen, einem neuen Laufwerk, das mit BitLocker aktiviert ist, eindeutige Organisationskennungen zuzuordnen

Dieser Bezeichner wird neuen BitLocker-geschützten Laufwerken automatisch hinzugefügt und kann auf vorhandenen BitLocker-geschützten Laufwerken mithilfe des Befehlszeilentools Manage-bde aktualisiert werden

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde

Ein Identifikationsfeld ist erforderlich, um zertifikatbasierte Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken und für potenzielle Updates des BitLocker To Go-Lesegeräts zu verwalten

BitLocker verwaltet und aktualisiert Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf dem Laufwerk mit dem im Identifikationsfeld konfigurierten Wert übereinstimmt

Auf ähnliche Weise aktualisiert BitLocker den BitLocker To Go-Reader nur dann, wenn das Identifikationsfeld auf dem Laufwerk mit dem für das Identifikationsfeld konfigurierten Wert übereinstimmt

Zulässiges BitLocker-Identifikationsfeld: Das zulässige Identifikationsfeld wird in Kombination mit „Schreiben verweigern“ verwendet Zugriff auf Wechseldatenträger, die nicht durch die Richtlinieneinstellung von BitLocker geschützt sind, um die Verwendung von Wechseldatenträgern in Ihrer Organisation zu steuern

Es handelt sich um eine durch Kommas getrennte Liste von Identifikationsfeldern Ihrer Organisation oder externer Organisationen eine externe Organisation.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Identifikationsfeld auf dem BitLocker-geschützten Laufwerk und alle zulässigen Identifikationsfelder konfigurieren, die von Ihrer Organisation verwendet werden

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

DatenID:

IdentificationField: Dies ist ein BitLocker-Identifikationsfeld

SecIdentificationField: Dies ist ein zulässiges BitLocker-Identifikationsfeld

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, ist das Identifikationsfeld nicht erforderlich in die Felder Identifikation und erlaubte Identifikation eingetragen werden

Das Identifikationsfeld kann ein beliebiger Wert mit bis zu 260 Zeichen sein

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Ermöglicht Benutzern auf Geräten, die mit InstantGo oder dem Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Preboot-Authentifizierung zu haben

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP Anzeigename: InstantGo- oder HSTI-kompatiblen Geräten erlauben, die Pre-Boot-PIN abzulehnen

GP-Name: EnablePreBootPinExceptionOnDECapableDevice_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Einstellung ermöglicht es Benutzern auf Geräten, die mit InstantGo oder Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Pre-Boot-Authentifizierung zu haben

Dadurch wird die Option „Start-PIN mit TPM anfordern“ der Richtlinie „Zusätzliche Authentifizierung beim Start anfordern“ auf kompatibler Hardware außer Kraft gesetzt.

Wenn Sie diese Richtlinieneinstellung aktivieren, haben Benutzer auf InstantGo- und HSTI-kompatiblen Geräten die Möglichkeit, BitLocker ohne Pre-Boot-Authentifizierung zu aktivieren

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn diese Richtlinie deaktiviert ist, gelten die Optionen der Richtlinie „Zusätzliche Authentifizierung beim Start erforderlich“

SystemDrivesEnhancedPIN

Ermöglicht Benutzern die Konfiguration, ob erweiterte Start-PINs mit BitLocker verwendet werden oder nicht

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Erweiterte PINs für den Start zulassen

GP-Name: EnhancedPIN_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Einstellung ermöglicht die Verwendung von erweiterten PINs, wenn Sie eine Entsperrmethode verwenden, die eine PIN enthält

Erweiterte Start-PINs erlauben die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen)

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren

Hinweis Nicht alle Computer unterstützen erweiterte PIN-Zeichen in der Preboot-Umgebung

Es wird dringend empfohlen, dass Benutzer während der BitLocker-Einrichtung eine Systemprüfung durchführen, um sicherzustellen, dass erweiterte PIN-Zeichen verwendet werden können

Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle neu festgelegten BitLocker-Start-PINs erweiterte PINs sein

Vorhandene Laufwerke, die mit Standard-Start-PINs geschützt wurden, sind nicht betroffen

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet

SystemDrivesDisallowStandardUsersCanChangePIN

Hier können Sie konfigurieren, ob Standardbenutzer die BitLocker-PIN oder das Kennwort ändern dürfen, das zum Schutz des Betriebssystemlaufwerks verwendet wird

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP Anzeigename: Verbietet Standardbenutzern das Ändern der PIN oder des Passworts

GP-Name: DisallowStandardUsersCanChangePIN_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob Standardbenutzer die PIN oder das Kennwort ändern dürfen, die zum Schutz des Betriebssystemlaufwerks verwendet werden

Hinweis Um die PIN oder das Kennwort zu ändern, muss der Benutzer in der Lage sein, die aktuelle PIN bereitzustellen oder Passwort

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren

Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen Standardbenutzer keine BitLocker-PINs oder -Kennwörter ändern berechtigt, BitLocker-PINs oder Passwörter zu ändern

Beispielwert für diesen Knoten zum Deaktivieren dieser Richtlinie ist:

SystemDrivesEnablePrebootInputProtectorsOnSlates

Ermöglicht Benutzern die Aktivierung von Authentifizierungsoptionen, die Benutzereingaben aus der Preboot-Umgebung erfordern, selbst wenn die Plattform auf einen Mangel an Preboot-Eingabefähigkeit hinweist

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Aktivieren Sie die Verwendung der BitLocker-Authentifizierung, die eine Preboot-Tastatureingabe auf Slates erfordert

GP-Name: EnablePrebootInputProtectorsOnSlates_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Die Windows-Touch-Tastatur (wie sie beispielsweise von Tablets verwendet wird) ist in der Preboot-Umgebung nicht verfügbar, in der BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erfordert

Es wird empfohlen, dass Administratoren diese Richtlinie nur für Geräte aktivieren, die nachweislich über eine Alternative verfügen Mittel der Preboot-Eingabe, z

B

Anschließen einer USB-Tastatur

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn diese Richtlinie deaktiviert ist, muss die Windows-Wiederherstellungsumgebung auf Tablets aktiviert werden, um die Eingabe des BitLocker-Wiederherstellungskennworts zu unterstützen

Wenn die Windows-Wiederherstellungsumgebung nicht aktiviert ist und diese Richtlinie nicht aktiviert ist, können Sie BitLocker auf einem Gerät, das die Windows-Bildschirmtastatur verwendet, nicht aktivieren Richtlinie zur Authentifizierung beim Start ist möglicherweise nicht verfügbar: TPM-Start-PIN konfigurieren: Erforderlich und Zugelassen

TPM-Startschlüssel und -PIN konfigurieren: Erforderlich und Zulässig

Konfigurieren Sie die Verwendung von Kennwörtern für Betriebssystemlaufwerke

SystemDrivesEncryptionType

Ermöglicht die Konfiguration des von BitLocker verwendeten Verschlüsselungstyps

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen

GP-Name: OSEncryptionType_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren

Das Ändern des Verschlüsselungstyps hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung im Gange ist

Wählen Sie Vollständige Verschlüsselung, um zu verlangen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist

Wählen Sie die Verschlüsselung „Nur verwendeter Speicherplatz“, um zu erzwingen, dass nur der Teil des Laufwerks verschlüsselt wird, der zum Speichern von Daten verwendet wird, wenn BitLocker aktiviert ist

Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert , und die Option für den Verschlüsselungstyp wird im BitLocker-Setup-Assistenten nicht angezeigt

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn diese Richtlinie deaktiviert ist, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird

Hinweis Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode

Wenn beispielsweise ein Laufwerk, das die Verschlüsselung „Nur verwendeter Speicherplatz“ verwendet, erweitert wird, wird der neue freie Speicherplatz nicht gelöscht, wie dies bei einem Laufwerk der Fall wäre, das die Verschlüsselung „Vollständig“ verwendet

Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz löschen, indem er den folgenden Befehl verwendet: manage-bde -w

Wenn das Volume verkleinert wird, wird für den neuen freien Speicherplatz keine Aktion ausgeführt

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

SystemDrivesRequireStartupAuthentication

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start erforderlich“

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Zusätzliche Authentifizierung beim Start erforderlich

GP-Name: ConfigureAdvancedStartup_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie konfigurieren, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne TPM verwenden

Diese Einstellung wird angewendet, wenn Sie BitLocker einschalten

Hinweis Beim Start wird nur eine der zusätzlichen Authentifizierungsoptionen benötigt, andernfalls tritt ein Fehler auf

Wenn Sie BitLocker auf einem Computer ohne TPM verwenden möchten, legen Sie die Daten „ConfigureNonTPMStartupKeyUsage_Name“ fest

In diesem Modus ist für den Start entweder ein Passwort oder ein USB-Laufwerk erforderlich

Bei Verwendung eines Systemstartschlüssels werden die zum Verschlüsseln des Laufwerks verwendeten Schlüsselinformationen auf dem USB-Laufwerk gespeichert, wodurch ein USB-Schlüssel erstellt wird

Wenn der USB-Schlüssel eingesteckt wird, wird der Zugriff auf das Laufwerk authentifiziert und das Laufwerk ist zugänglich

Wenn der USB-Schlüssel verloren geht oder nicht verfügbar ist oder wenn Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können beim Start vier Arten von Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen

Wenn der Computer gestartet wird, kann er nur das TPM zur Authentifizierung verwenden oder auch das Einstecken eines USB-Flash-Laufwerks mit einem Systemstartschlüssel, die Eingabe einer 6- bis 20-stelligen persönlichen Identifikationsnummer (PIN) oder beides erfordern.

Hinweis In Windows 10, Version 1703 Release B, können Sie eine PIN mit mindestens 4 Ziffern verwenden

Die SystemDrivesMinimumPINLength-Richtlinie muss festgelegt werden, um PINs mit weniger als 6 Ziffern zuzulassen

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren Optionen auf Computern mit einem TPM

Hinweis Geräte, die die HSTI-Validierung (Hardware Security Testability Specification) bestehen, oder moderne Standby-Geräte können mit diesem CSP keine Start-PIN konfigurieren

Benutzer müssen die PIN manuell konfigurieren

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

DatenID:

ConfigureNonTPMStartupKeyUsage_Name = BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Flash-Laufwerk)

ConfigureTPMStartupKeyUsageDropDown_Name = (für Computer mit TPM) TPM-Startschlüssel konfigurieren.

ConfigureTPMPINKeyUsageDropDown_Name = (für Computer mit TPM) TPM-Startschlüssel und PIN konfigurieren.

ConfigureTPMUsageDropDown_Name = (für Computer mit TPM) TPM-Start konfigurieren.

Die möglichen Werte für „xx“ sind:

wahr = explizit zulassen

false = Richtlinie nicht festgelegt

Die möglichen Werte für ‘yy’ sind:

2 = Optional

1 = Erforderlich

0 = Unzulässig

Durch Deaktivieren der Richtlinie kann das System die Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication chr

Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen.

SystemDrivesMinimumPINLength

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Minimale PIN-Länge für den Start konfigurieren“

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Konfigurieren Sie die PIN-Mindestlänge für den Start

GP-Name: MinimumPINLength_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie eine Mindestlänge für eine Trusted Platform Module (TPM)-Start-PIN konfigurieren

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren

Die Start-PIN muss mindestens 6 Ziffern lang sein und darf maximal 20 Ziffern lang sein

Hinweis In Windows 10, Version 1703 Release B, können Sie eine PIN-Mindestlänge von 4 Ziffern verwenden

Wenn in TPM 2.0 die minimale PIN-Länge auf weniger als 6 Ziffern eingestellt ist, versucht Windows, den TPM-Sperrzeitraum so zu aktualisieren, dass er länger als der Standardwert ist, wenn eine PIN geändert wird

Bei Erfolg setzt Windows den TPM-Sperrzeitraum nur dann auf den Standardwert zurück, wenn das TPM zurückgesetzt wird

Dies gilt nicht für TPM 1.2

Wenn Sie diese Einstellung aktivieren, benötigen Sie eine Mindestanzahl von Ziffern, um die Start-PIN festzulegen

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, können Benutzer eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Durch Deaktivieren der Richtlinie kann das System die Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength chr

Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen.

SystemDrivesRecoveryMessage

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Preboot-Wiederherstellungsnachricht und URL konfigurieren“ (PrebootRecoveryInfo_Name)

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Konfigurieren Sie Pre-Boot-Wiederherstellungsnachricht und URL

GP-Name: PrebootRecoveryInfo_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie die gesamte Wiederherstellungsnachricht konfigurieren oder die vorhandene URL ersetzen, die auf dem Pre-Boot-Key-Wiederherstellungsbildschirm angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist

Wenn Sie den Wert auf „1“ setzen (Standardwiederherstellungsnachricht und -URL verwenden) , werden die standardmäßige BitLocker-Wiederherstellungsnachricht und die URL im Pre-Boot-Schlüsselwiederherstellungsbildschirm angezeigt

Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder -URL konfiguriert haben und zur Standardnachricht zurückkehren möchten, müssen Sie die Richtlinie aktiviert lassen und den Wert „1“ (Standardwiederherstellungsnachricht und -URL verwenden) festlegen

Wenn Sie den Wert auf festlegen „2“ (Benutzerdefinierte Wiederherstellungsnachricht verwenden), die Nachricht, die Sie im Datenfeld „RecoveryMessage_Input“ festgelegt haben, wird im Pre-Boot-Key-Wiederherstellungsbildschirm angezeigt

Wenn eine Wiederherstellungs-URL verfügbar ist, fügen Sie sie in die Nachricht ein

Wenn Sie den Wert auf „3“ (Benutzerdefinierte Wiederherstellungs-URL verwenden) festlegen, ersetzt die URL, die Sie in das Datenfeld „RecoveryUrl_Input“ eingeben, die Standard-URL in der Standard-Wiederherstellungsmeldung, die im Pre-Boot-Schlüsselwiederherstellungsbildschirm angezeigt wird.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Die möglichen Werte für ‘xx’ sind:

0 = Leer

1 = Standard-Wiederherstellungsnachricht und -URL verwenden (in diesem Fall müssen Sie keinen Wert für „RecoveryMessage_Input“ oder „RecoveryUrl_Input“ angeben)

2 = Benutzerdefinierte Wiederherstellungsnachricht ist festgelegt

3 = Benutzerdefinierte Wiederherstellungs-URL ist festgelegt

‘yy’ = Zeichenfolge mit maximaler Länge 900.

‘zz’ = Zeichenfolge mit maximaler Länge 500.

Hinweis Wenn Sie SystemDrivesRecoveryMessage aktivieren, müssen Sie Werte für alle drei Einstellungen (Pre-Boot-Wiederherstellungsbildschirm, Wiederherstellungsnachricht und recovery URL), andernfalls schlägt es fehl (500-Rückgabestatus)

Wenn Sie beispielsweise nur Werte für Nachricht und URL angeben, erhalten Sie einen Rückgabestatus von 500

Durch Deaktivieren der Richtlinie kann das System die Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage chr

Hinweis Nicht alle Zeichen und Sprachen werden im Pre-Boot unterstützt

Es wird dringend empfohlen, dass Sie die Zeichen testen, die Sie für die benutzerdefinierte Meldung oder URL verwenden, damit sie auf dem Pre-Boot-Wiederherstellungsbildschirm korrekt angezeigt werden

Der Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können“ (OSRecoveryUsage_Name)

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP Anzeigename: Wählen Sie aus, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

GP-Name: OSRecoveryUsage_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie steuern, wie durch BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden, wenn die erforderlichen Startschlüsselinformationen fehlen

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren

Das Datenfeld „OSAllowDRA_Name“ (Zertifikatbasierten Datenwiederherstellungs-Agent zulassen) wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann

Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden

Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im BitLocker Drive Encryption Deployment Guide auf Microsoft TechNet

Legen Sie in „OSRecoveryPasswordUsageDropDown_Name“ und „OSRecoveryKeyUsageDropDown_Name“ (Konfigurieren der Benutzerspeicherung von BitLocker-Wiederherstellungsinformationen) fest, ob Benutzer zum Generieren berechtigt, verpflichtet oder nicht berechtigt sind ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel

Legen Sie „OSHideRecoveryPage_Name“ (Wiederherstellungsoptionen aus dem BitLocker-Setup-Assistenten auslassen) fest, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren

Dies bedeutet, dass Sie beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll

Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt

Legen Sie „OSActiveDirectoryBackup_Name“ fest (BitLocker-Wiederherstellungsinformationen in der Active Directory-Domäne speichern Services), um auszuwählen, welche BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke (OSActiveDirectoryBackupDropDown_Name) gespeichert werden sollen

Wenn Sie „1“ (Passwort für die Wiederherstellung der Sicherung und Schlüsselpaket) festlegen, werden sowohl das BitLocker-Wiederherstellungspasswort als auch das Schlüsselpaket in AD DS gespeichert

Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem physisch beschädigten Laufwerk

Wenn Sie „2“ (Nur Backup-Wiederherstellungskennwort) festlegen, wird nur das Wiederherstellungskennwort in AD DS gespeichert

Legen Sie das Datenfeld „OSRequireActiveDirectoryBackup_Name“ (BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind) fest, wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen erfolgt AD DS erfolgreich.

Hinweis Wenn das Datenfeld „OSRequireActiveDirectoryBackup_Name“ (BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind) festgelegt ist, wird automatisch ein Wiederherstellungskennwort generiert

Wenn Sie diese Einstellung aktivieren, können Sie Steuern Sie die Methoden, die Benutzern zur Wiederherstellung von Daten von BitLocker-geschützten Betriebssystemlaufwerken zur Verfügung stehen

Wenn diese Einstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt

Standardmäßig ist ein DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Die möglichen Werte für ‘xx’ sind:

wahr = explizit zulassen

false = Richtlinie nicht festgelegt

Die möglichen Werte für ‘yy’ sind:

2 = erlaubt

1 = Erforderlich

0 = Unzulässig

Die möglichen Werte für ‘zz’ sind:

2 = Nur Wiederherstellungskennwörter speichern

1 = Wiederherstellungskennwörter und Schlüsselpakete speichern

Durch das Deaktivieren der Richtlinie kann das System das Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions chr

Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen

FixedDrivesRecoveryOptions

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Wählen Sie aus, wie BitLocker-geschützte Festplatten wiederhergestellt werden können“ ().

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP Anzeigename: Wählen Sie aus, wie BitLocker-geschützte Festplatten wiederhergestellt werden können

GP-Name: FDVRecoveryUsage_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Feste Laufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Mit dieser Einstellung können Sie steuern, wie mit BitLocker geschützte Festplattenlaufwerke wiederhergestellt werden, wenn die erforderlichen Anmeldeinformationen fehlen

Diese Einstellung wird angewendet, wenn Sie BitLocker aktivieren

Das Datenfeld „FDVAllowDRA_Name“ (Datenwiederherstellungs-Agent zulassen) wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten festen Datenlaufwerken verwendet werden kann

Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden

Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im BitLocker Drive Encryption Deployment Guide auf Microsoft TechNet

Legen Sie in „FDVRecoveryPasswordUsageDropDown_Name“ (Konfigurieren der Benutzerspeicherung von BitLocker-Wiederherstellungsinformationen) fest, ob Benutzer eine 48-stellige Zahl generieren dürfen, müssen oder nicht Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel

Legen Sie „FDVHideRecoveryPage_Name“ (Wiederherstellungsoptionen aus dem BitLocker-Setup-Assistenten weglassen) fest, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren

Das bedeutet, dass Sie beim Aktivieren von BitLocker nicht angeben können, welche Wiederherstellungsoption verwendet werden soll, stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt

Legen Sie „FDVActiveDirectoryBackup_Name“ fest (BitLocker-Wiederherstellungsinformationen in der Active Directory-Domäne speichern Dienste), um das Speichern des Wiederherstellungsschlüssels in AD zu ermöglichen

Legen Sie das Datenfeld „FDVRequireActiveDirectoryBackup_Name“ (BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für feste Datenlaufwerke gespeichert sind) fest, wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen erfolgt AD DS erfolgreich

Legen Sie „FDVActiveDirectoryBackupDropDown_Name“ (Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren) fest, um auszuwählen, welche BitLocker-Wiederherstellungsinformationen in AD DS für feste Datenlaufwerke gespeichert werden sollen

Wenn Sie „1“ (Passwort und Schlüsselpaket für die Wiederherstellung der Sicherung) auswählen, werden sowohl das BitLocker-Wiederherstellungspasswort als auch das Schlüsselpaket in AD DS gespeichert

Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem physisch beschädigten Laufwerk

Wenn Sie „2“ (nur Wiederherstellungskennwort für Sicherung) auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert festgelegt, wird automatisch ein Wiederherstellungskennwort generiert.

Wenn Sie diese Einstellung aktivieren, können Sie die Methoden steuern, die Benutzern zur Wiederherstellung von Daten von BitLocker-geschützten Festplatten zur Verfügung stehen.

Wenn diese Einstellung nicht konfiguriert oder deaktiviert ist, werden die Standardwiederherstellungsoptionen verwendet werden für die BitLocker-Wiederherstellung unterstützt

Standardmäßig ist ein DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Die möglichen Werte für ‘xx’ sind:

wahr = explizit zulassen

false = Richtlinie nicht festgelegt

Die möglichen Werte für ‘yy’ sind:

2 = erlaubt

1 = Erforderlich

0 = Unzulässig

Die möglichen Werte für ‘zz’ sind:

2 = Nur Wiederherstellungspasswörter speichern

1 = Wiederherstellungspasswörter und Schlüsselpakete speichern

Durch Deaktivieren der Richtlinie kann das System die Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions chr

Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen.

FixedDrivesRequireEncryption

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Schreibzugriff auf nicht durch BitLocker geschützte Festplatten verweigern“ (FDVDenyWriteAccess_Name)

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Schreibzugriff auf nicht durch BitLocker geschützte Festplatten verweigern

GP-Name: FDVDenyWriteAccess_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Feste Laufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Einstellung legt fest, ob BitLocker-Schutz erforderlich ist, damit feste Datenlaufwerke auf einem Computer beschreibbar sind

Wenn Sie diese Einstellung aktivieren, werden alle nicht BitLocker-geschützten festen Datenlaufwerke als schreibgeschützt bereitgestellt

Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff gemountet

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden alle festen Datenlaufwerke auf dem Computer mit Lese- und Schreibzugriff gemountet

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption chr

Datentyp ist Zeichenfolge

Unterstützte Vorgänge sind Hinzufügen, Abrufen, Ersetzen und Löschen.

FixedDrivesEncryptionType

Ermöglicht die Konfiguration des Verschlüsselungstyps auf festen Datenlaufwerken, der von BitLocker verwendet wird

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Laufwerkverschlüsselungstyp auf festen Datenlaufwerken erzwingen

GP-Name: FDVEncryptionType_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Feste Datenlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren, und steuert, ob feste Datenlaufwerke die Verschlüsselung „Nur verwendeter Speicherplatz“ oder die vollständige Verschlüsselung verwenden

Das Festlegen dieser Richtlinie bewirkt auch, dass der BitLocker-Setup-Assistent die Seite mit den Verschlüsselungsoptionen überspringt, sodass dem Benutzer keine Verschlüsselungsauswahl angezeigt wird

Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird

Wählen Sie Vollständige Verschlüsselung aus, um zu verlangen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist

Wählen Sie die Verschlüsselung „Nur verwendeter Speicherplatz“, damit nur ein Teil des Laufwerks verschlüsselt wird, der zum Speichern von Daten verwendet wird, wenn BitLocker aktiviert ist wird im BitLocker-Setup-Assistenten nicht angezeigt

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn diese Richtlinie deaktiviert ist, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Hinweis Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet

Wenn beispielsweise ein Laufwerk, das die Verschlüsselung „Nur verwendeter Speicherplatz“ verwendet, erweitert wird, wird der neue freie Speicherplatz nicht gelöscht, wie dies bei einem Laufwerk der Fall wäre, das die Verschlüsselung „Vollständig“ verwendet

Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz löschen, indem er den folgenden Befehl verwendet: manage-bde -w

Wenn das Volume verkleinert wird, wird für den neuen freien Speicherplatz keine Aktion ausgeführt

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter Manage-bde.

RemovableDrivesRequireEncryption

Diese Einstellung ist eine direkte Zuordnung zur BitLocker-Gruppenrichtlinie „Schreibzugriff auf nicht durch BitLocker geschützte Wechseldatenträger verweigern“ (RDVDenyWriteAccess_Name)

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP Anzeigename: Schreibzugriff auf nicht durch BitLocker geschützte Wechseldatenträger verweigern

GP-Name: RDVDenyWriteAccess_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Wechseldatenträger

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Einstellung konfiguriert, ob BitLocker-Schutz erforderlich ist, damit ein Computer Daten auf ein Wechseldatenträger schreiben kann

Wenn Sie diese Einstellung aktivieren, werden alle Wechseldatenträger, die nicht BitLocker-geschützt sind, als schreibgeschützt bereitgestellt

Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff gemountet

Wenn die Option „RDVCrossOrg“ (Schreibzugriff auf in einer anderen Organisation konfigurierte Geräte verweigern) aktiviert ist, werden nur Laufwerke mit Identifikationsfeldern, die mit den Identifikationsfeldern des Computers übereinstimmen, aktiviert Schreibzugriff erhalten

Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird es auf ein gültiges Identifikationsfeld und erlaubte Identifikationsfelder geprüft

Diese Felder werden durch die Gruppenrichtlinieneinstellung „Geben Sie die eindeutigen Kennungen für Ihre Organisation an“ definiert

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff bereitgestellt Die Richtlinieneinstellung kann durch die Gruppenrichtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselspeicherzugriff außer Kraft gesetzt werden

Wenn die Gruppenrichtlinieneinstellung „Wechseldatenträger: Schreibzugriff verweigern“ aktiviert ist, wird diese Richtlinieneinstellung ignoriert

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Die möglichen Werte für ‘xx’ sind:

wahr = explizit zulassen

false = Richtlinie nicht festgelegt

Durch Deaktivieren der Richtlinie kann das System die Standardverhalten auswählen

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

$CmdID$ ./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption chr

RemovableDrivesEncryptionType

Ermöglicht die Konfiguration des von BitLocker verwendeten Verschlüsselungstyps

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Laufwerkverschlüsselungstyp auf Wechseldatenträgern erzwingen

GP-Name: RDVEncryptionType_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Wechseldatenlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Richtlinie steuert, ob entfernte Datenlaufwerke die vollständige Verschlüsselung oder die Verschlüsselung „Nur verwendeter Speicherplatz“ verwenden, und wird angewendet, wenn Sie BitLocker aktivieren

Das Festlegen dieser Richtlinie bewirkt auch, dass der BitLocker-Setup-Assistent die Seite mit den Verschlüsselungsoptionen überspringt, sodass dem Benutzer keine Verschlüsselungsauswahl angezeigt wird

Das Ändern des Verschlüsselungstyps hat keine Auswirkung, wenn das Laufwerk bereits verschlüsselt ist oder wenn die Verschlüsselung im Gange ist

Wählen Sie Vollständige Verschlüsselung aus, um zu verlangen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist

Wählen Sie die Verschlüsselung „Nur verwendeter Speicherplatz“, damit nur der Teil des Laufwerks verschlüsselt wird, der zum Speichern von Daten verwendet wird, wenn BitLocker aktiviert ist.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Option für den Verschlüsselungstyp wird im BitLocker-Setup-Assistenten nicht angezeigt

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

RemovableDrivesConfigureBDE

Ermöglicht Ihnen, die Verwendung von BitLocker auf Wechseldatenträgern zu steuern

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

ADMX-Info:

GP-Anzeigename: Steuert die Verwendung von BitLocker auf Wechseldatenträgern

GP-Name: RDVConfigureBDE_Name

GP-Pfad: Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Wechseldatenlaufwerke

GP-ADMX-Dateiname: VolumeEncryption.admx

Diese Richtlinieneinstellung wird verwendet, um zu verhindern, dass Benutzer BitLocker auf Wechseldatenträgern aktivieren oder deaktivieren, und wird angewendet, wenn Sie BitLocker aktivieren

Informationen zum Anhalten des BitLocker-Schutzes finden Sie unter BitLocker Basic Deployment

wie Benutzer BitLocker konfigurieren können sind:

Benutzern erlauben, BitLocker-Schutz auf Wechseldatenlaufwerken anzuwenden : Ermöglicht dem Benutzer, BitLocker auf Wechseldatenlaufwerken zu aktivieren.

: Ermöglicht dem Benutzer, BitLocker auf Wechseldatenlaufwerken zu aktivieren

Benutzern erlauben, BitLocker auf Wechseldatenträgern anzuhalten und zu entschlüsseln: Ermöglicht dem Benutzer, BitLocker vom Laufwerk zu entfernen oder die Verschlüsselung während der Wartung auszusetzen

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie Eigenschaftseinstellungen auswählen, die steuern, wie Benutzer BitLocker konfigurieren können.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie ist:

DatenID:

RDVAllowBDE_Name: Benutzern erlauben, BitLocker-Schutz auf Wechseldatenträgern anzuwenden.

RDVDisableBDE_Name: Benutzern erlauben, BitLocker auf Wechseldatenträgern anzuhalten und zu entschlüsseln.

Wenn diese Richtlinie deaktiviert ist, können Benutzer BitLocker auf Wechseldatenträgern nicht verwenden.

Wenn Sie dies tun Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer BitLocker auf Wechseldatenträgern verwenden

AllowWarningForOtherDiskEncryption

Ermöglicht dem Administrator das Deaktivieren der Warnmeldung für andere Datenträgerverschlüsselung auf den Benutzercomputern, die als Ziel dienen, wenn die RequireDeviceEncryption-Richtlinie auf 1 festgelegt ist

Wichtig Ab Windows 10, Version 1803, kann der Wert 0 nur für Azure Active Directory-verbundene Geräte festgelegt werden

Wenn RequireDeviceEncryption auf 1 und AllowWarningForOtherDiskEncryption auf 0 festgelegt ist, versucht Windows, BitLocker im Hintergrund zu aktivieren

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Die folgende Liste zeigt die unterstützten Werte:

0 – Deaktiviert die Warnmeldung

Ab Windows 10, Version 1803, kann der Wert 0 nur für in Azure Active Directory eingebundene Geräte festgelegt werden

Windows versucht, BitLocker im Hintergrund für den Wert 0.

1 (Standard) zu aktivieren – Warnmeldung erlaubt.

110 ./Device/Vendor/MSFT/ BitLocker/AllowWarningForOtherDiskEncryption int 0

Hinweis Wenn Sie die Warnmeldung deaktivieren, wird der Wiederherstellungsschlüssel des Betriebssystemlaufwerks im Azure Active Directory-Konto des Benutzers gesichert

Wenn Sie die Warnmeldung zulassen, kann der Benutzer, der die Meldung erhält, auswählen, wo der Wiederherstellungsschlüssel des Betriebssystemlaufwerks gesichert werden soll

Der Endpunkt für die Sicherung eines Festplattenlaufwerks wird in der folgenden Reihenfolge ausgewählt: Das Windows Server Active Directory-Domänendienstkonto des Benutzers

Das Azure Active Directory-Konto des Benutzers

Das persönliche OneDrive des Benutzers (nur MDM/MAM)

Die Verschlüsselung wartet, bis einer dieser drei Speicherorte erfolgreich gesichert wurde.

AllowStandardUserEncryption

Ermöglicht dem Administrator, die Richtlinie „RequireDeviceEncryption“ für Szenarien zu erzwingen, in denen die Richtlinie übertragen wird, während der aktuell angemeldete Benutzer kein Administrator/Standardbenutzer des Azure AD-Kontos ist

Hinweis Diese Richtlinie wird nur in Azure AD-Konten unterstützt

Die Richtlinie „AllowStandardUserEncryption“ ist gebunden auf „0“ gesetzte „AllowWarningForOtherDiskEncryption“-Richtlinie, d

h

stille Verschlüsselung wird erzwungen

wenn ein Standardbenutzer der aktuell angemeldete Benutzer im System ist

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Die erwarteten Werte für diese Richtlinie sind:

1 = Richtlinie „RequireDeviceEncryption“ versucht, die Verschlüsselung auf allen Festplatten zu aktivieren, selbst wenn ein aktuell angemeldeter Benutzer Standardbenutzer ist

0 = Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist

Wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist, versucht die „RequireDeviceEncryption“-Richtlinie nicht, die Verschlüsselung auf irgendeinem Laufwerk zu aktivieren

Wenn Sie diese Richtlinie deaktivieren möchten, verwenden Sie das folgende SyncML:

111 ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption int 0

Konfigurieren Sie RecoveryPasswordRotation

Diese Einstellung initiiert eine Client-gesteuerte Aktualisierung des Wiederherstellungskennworts nach einer Wiederherstellung eines Betriebssystemlaufwerks (entweder mithilfe von bootmgr oder WinRE) und die Entsperrung des Wiederherstellungskennworts auf einem Festplattenlaufwerk

Diese Einstellung aktualisiert das spezifische Wiederherstellungskennwort, das verwendet wurde, und andere nicht verwendete Kennwörter auf dem Volume bleiben unverändert

Wenn die Initialisierung der Aktualisierung fehlschlägt, versucht das Gerät die Aktualisierung beim nächsten Neustart erneut

Wenn die Kennwortaktualisierung initiiert wird, generiert der Client ein neues Wiederherstellungskennwort

Der Client verwendet die vorhandene API in Azure AD, um den neuen Wiederherstellungsschlüssel hochzuladen und es bei einem Fehler erneut zu versuchen

Nachdem das Wiederherstellungskennwort erfolgreich in Azure AD gesichert wurde, wird der lokal verwendete Wiederherstellungsschlüssel entfernt

Diese Einstellung aktualisiert nur den verwendeten Schlüssel und behält andere nicht verwendete Schlüssel bei

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Werttyp ist int.

Unterstützte Operationen sind Add, Delete, Get und Replace.

Unterstützte Werte sind:

0 – Aktualisieren aus (Standard)

1 – Aktualisieren für mit Azure AD verbundene Geräte.

2 – Aktualisieren sowohl für mit Azure AD verbundene als auch mit Hybrid verbundene Geräte.

RotateRecoveryPasswords

Diese Einstellung aktualisiert alle Wiederherstellungskennwörter für Betriebssysteme und Festplatten (Wechseldatenträger sind nicht enthalten, damit sie von Benutzern gemeinsam genutzt werden können)

Alle Wiederherstellungspasswörter für alle Laufwerke werden aktualisiert und nur ein Passwort pro Volume wird beibehalten

Im Falle von Fehlern wird ein Fehlercode zurückgegeben, damit der Server geeignete Maßnahmen zur Behebung ergreifen kann

Der Client generiert ein neues Wiederherstellungskennwort

Der Client verwendet die vorhandene API in Azure AD, um den neuen Wiederherstellungsschlüssel hochzuladen und es bei einem Fehler erneut zu versuchen

Der Richtlinientyp ist „Ausführen“

Wenn „Richtlinie ausführen“ gepusht wird, setzt der Client den Status auf „Ausstehend“ und initiiert einen asynchronen Rotationsvorgang

Nachdem die Aktualisierung abgeschlossen ist, wird der Pass- oder Fail-Status aktualisiert

Der Client unternimmt keinen Wiederholungsversuch, aber bei Bedarf kann der Server die Ausführungsanforderung erneut ausgeben

Der Server kann Get auf dem RotateRecoveryPasswordsRotationStatus-Knoten aufrufen, um den Status der Aktualisierung abzufragen

Die Aktualisierung des Wiederherstellungskennworts erfolgt nur für Geräte, die mit Azure verbunden sind AD oder verbunden mit Azure AD und lokal (Hybrid Azure AD verbunden), die eine Windows 10-Edition mit dem BitLocker CSP (Pro/Enterprise) ausführen

Geräte können Wiederherstellungskennwörter nicht aktualisieren, wenn sie nur in Azure AD (auch als Arbeitsplatzverbunden bezeichnet) registriert oder mit einem Microsoft-Konto angemeldet sind

Jede serverseitige Wiederherstellungsschlüsselrotation wird durch eine Anforderungs-ID dargestellt

Der Server kann die folgenden Knoten abfragen, um sicherzustellen, dass er Status/Ergebnis für dieselbe Rotationsanforderung liest.

RotateRecoveryPasswordsRequestID: Gibt die Anforderungs-ID der letzten verarbeiteten Anforderung zurück.

RotateRecoveryPasswordsRotationStatus: Gibt den Status der letzten verarbeiteten Anforderung zurück.

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Der Werttyp ist eine Zeichenfolge

Unterstützte Operation ist Execute

Als Parameter wird die Request-ID erwartet

Tipp Die Schlüsselrotationsfunktion funktioniert nur, wenn: Für Betriebssystemlaufwerke: OSRequireActiveDirectoryBackup_Name auf 1 (“Erforderlich”) gesetzt ist

OSActiveDirectoryBackup_Name ist auf „true“ gesetzt

Für feste Datenlaufwerke: FDVRequireActiveDirectoryBackup_Name ist auf 1 = (“Erforderlich”) gesetzt

FDVActiveDirectoryBackup_Name ist auf „true“ gesetzt

Status

Innerer Knoten.

Unterstützte Operation ist Get.

Status/DeviceEncryptionStatus

Dieser Knoten meldet den Konformitätsstatus der Geräteverschlüsselung auf dem System

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Werttyp ist int.

Unterstützte Operation ist Get.

Unterstützte Werte:

0 – Zeigt an, dass das Gerät kompatibel ist

Jeder Wert ungleich Null – Gibt an, dass das Gerät nicht konform ist

Dieser Wert stellt eine Bitmaske mit jedem Bit und dem entsprechenden Fehlercode dar, der in der folgenden Tabelle beschrieben wird:

Bitfehlercode 0 Die BitLocker-Richtlinie erfordert die Zustimmung des Benutzers zum Starten des BitLocker-Laufwerkverschlüsselungs-Assistenten zum Starten der Verschlüsselung des Betriebssystemvolumes, aber der Benutzer hat nicht zugestimmt

1 Die Verschlüsselungsmethode des Betriebssystemvolumes stimmt nicht mit der BitLocker-Richtlinie überein

2 Das Betriebssystem-Volume ist ungeschützt

3 Die BitLocker-Richtlinie erfordert einen reinen TPM-Schutz für das Betriebssystemvolume, aber der TPM-Schutz wird nicht verwendet

4 Die BitLocker-Richtlinie erfordert TPM+PIN-Schutz für das Betriebssystemvolume, aber ein TPM+PIN-Schutz wird nicht verwendet

5 Die BitLocker-Richtlinie erfordert TPM+Startschlüsselschutz für das Betriebssystemvolume, aber ein TPM+Startschlüsselschutz wird nicht verwendet

6 Die BitLocker-Richtlinie erfordert TPM+PIN+Startschlüsselschutz für das Betriebssystemvolume, aber ein TPM+PIN+Startschlüsselschutz wird nicht verwendet

7 Die BitLocker-Richtlinie erfordert einen TPM-Schutz zum Schutz des Betriebssystemvolumes, aber ein TPM wird nicht verwendet

8 Sicherung des Wiederherstellungsschlüssels fehlgeschlagen

9 Ein fest installiertes Laufwerk ist ungeschützt

10 Die Verschlüsselungsmethode des Festplattenlaufwerks stimmt nicht mit der BitLocker-Richtlinie überein

11 Zum Verschlüsseln von Laufwerken erfordert die BitLocker-Richtlinie, dass sich der Benutzer entweder als Administrator anmeldet, oder wenn das Gerät mit Azure AD verbunden ist, muss die AllowStandardUserEncryption-Richtlinie auf 1 festgelegt werden

12 Windows Recovery Environment (WinRE) ist nicht konfiguriert

13 Ein TPM ist für BitLocker nicht verfügbar, entweder weil es nicht vorhanden ist, es in der Registrierung nicht verfügbar gemacht wurde oder das Betriebssystem sich auf einem Wechseldatenträger befindet

14 Das TPM ist nicht bereit für BitLocker

15 Das Netzwerk ist nicht verfügbar, was für die Sicherung des Wiederherstellungsschlüssels erforderlich ist

16-31 Für zukünftige Verwendung.

Status/RotateRecoveryPasswordsStatus

Dieser Knoten meldet den Status der RotateRecoveryPasswords-Anfrage

Der Statuscode kann einer der folgenden sein:

2 – Nicht gestartet

1 – Ausstehend

0 – Bestanden

Jeder andere Code – Fehler HRESULT

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Werttyp ist int.

Unterstützte Operation ist Get.

Status/RotateRecoveryPasswordsRequestID

Dieser Knoten meldet die RequestID, die RotateRecoveryPasswordsStatus entspricht

Dieser Knoten muss synchron mit RotateRecoveryPasswordsStatus abgefragt werden, um sicherzustellen, dass der Status korrekt mit der Anforderungs-ID übereinstimmt

Edition Windows 10 Windows 11 Home Nein Nein Pro Ja Ja Business Ja Ja Enterprise Ja Ja Education Ja Ja

Der Werttyp ist eine Zeichenfolge

Unterstützte Operation ist Get.

SyncML-Beispiel

Das folgende Beispiel dient zur Veranschaulichung des richtigen Formats und sollte nicht als Empfehlung verstanden werden.

$CmdID$ ./Device /Vendor/MSFT/BitLocker/RequireStorageCardEncryption int 1 $CmdID$ ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption int 1