Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks
Mit dieser Richtlinie können Sie festlegen, ob das Betriebssystemlaufwerk verschlüsselt werden muss.
Falls Sie TPM + PIN-Schutz verwenden und zusätzliche Sicherheit benötigen, können Sie die folgenden Richtlinien unter System/Energieverwaltung/Energiesparmoduseinstellungen deaktivieren:
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Eingesteckt)
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Im Batteriebetrieb)
Falls Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen" (unterstützt unter Windows 8 und neueren Versionen). In diesem Modus wird für den Computerstart ein Kennwort benötigt. Falls Sie das Kennwort vergessen, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM können beim Start zwei Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers kann entweder nur das TPM für die Authentifizierung erforderlich sein, oder es muss zusätzlich eine 4- bis 20-stellige persönliche Identifikationsnummer (PIN) eingegeben werden,.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen die Benutzer das Betriebssystemlaufwerk mit BitLocker schützen, und das Laufwerk wird verschlüsselt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer das Betriebssystemlaufwerk nicht mit BitLocker schützen. Wenn Sie diese Richtlinie nach der Verschlüsselung des Betriebssystemlaufwerks übernehmen, wird das Laufwerk entschlüsselt.
Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht mit BitLocker geschützt werden.
Unterstützt auf: Mindestens Windows 7
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
| Value Name | ShouldEncryptOSDrive |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
BitLocker ohne kompatibles TPM zulassen (Kennwort erforderlich)| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | EnableBDEWithNoTPM |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
Schutzkomponente für Betriebssystemlaufwerk auswählen:
- Nur TPM
Registry Hive HKEY_LOCAL_MACHINE Registry Path SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement Value Name OSDriveProtector Value Type REG_DWORD Value 1 Registry Hive Registry Path: Value Name Value Type Value HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement DisallowStandardUserPINReset REG_DWORD 1 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UsePartialEncryptionKey REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UsePIN REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseAdvancedStartup REG_DWORD 1 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPM REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMKey REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMPIN REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMKeyPIN REG_DWORD 2 - TPM und PIN
Registry Hive HKEY_LOCAL_MACHINE Registry Path SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement Value Name OSDriveProtector Value Type REG_DWORD Value 4 Registry Hive Registry Path: Value Name Value Type Value HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement DisallowStandardUserPINReset REG_DWORD 1 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UsePartialEncryptionKey REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UsePIN REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseAdvancedStartup REG_DWORD 1 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPM REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMKey REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMPIN REG_DWORD 2 HKEY_LOCAL_MACHINE SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement UseTPMKeyPIN REG_DWORD 2
Einstellungen für Computer mit einem TPM:
Minimale PIN-Länge für Systemstart konfigurieren
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | MinimumPIN |
| Value Type | REG_DWORD |
| Default Value | 4 |
| Min Value | 4 |
| Max Value | 20 |
bitlockermanagement.admx
- System
- App-V
- Berichterstattung
- CEIP
- Integration
- Koexistenz von Clients
- Skripterstellung
- Streaming
- Erstmaligen Start von Anwendungen auf Windows 8-Computern mit teurer gebührenpflichtiger Verbindung zulassen
- Hiermit wird angegeben, was im Hintergrund (d. h. automatisch) geladen werden soll.
- Ortanbieter
- Stamm der Paketinstallation
- Stamm der Paketquelle
- Unterstützung für BranchCache aktivieren
- Veröffentlichen als Admin erforderlich
- Wiederherstellungsintervall
- Wiederherstellungsversuche
- Zertifikatfilter für Client-SSL
- Zertifikatsperrliste überprüfen
- Veröffentlichen
- Virtualisierung
- App-V
- Windows-Komponenten
- MDOP MBAM (BitLocker Management)
- Betriebssystemlaufwerk
- Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks
- Einstellungen für die Verschlüsselungsrichtlinienerzwingung
- Erweiterte PINs für Systemstart zulassen
- Erweitertes Profil zur Überprüfung der Startkonfigurationsdaten verwenden
- Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
- Kennwortverwendung für Betriebssystemlaufwerke konfigurieren
- Plattformvalidierungsdaten nach BitLocker-Wiederherstellung zurücksetzen
- TPM-Plattformvalidierungsprofil für Konfigurationen mit BIOS-basierter Firmware konfigurieren
- TPM-Plattformvalidierungsprofil für Konfigurationen mit systemeigener UEFI-Firmware konfigurieren
- TPM-Plattformvalidierungsprofil konfigurieren
- Wiederherstellungsmeldung und -URL vor dem Start konfigurieren
- Clientverwaltung
- Lokales Festplattenlaufwerk
- Einstellungen für die Verschlüsselungsrichtlinienerzwingung
- Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
- Kennwortverwendung für Festplattenlaufwerke konfigurieren
- Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind
- Verschlüsselungseinstellungen für Festplattenlaufwerk
- Zugriff auf BitLocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen
- Wechseldatenträger
- Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können
- Kennwortverwendung für Wechseldatenträger konfigurieren
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind
- Verwendung von BitLocker auf Wechseldatenträgern steuern
- Zugriff auf BitLocker-geschützte Wechseldatenträger von früheren Windows-Versionen zulassen
- Eindeutige IDs für Ihre Organisation angeben
- Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen
- Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher)
- Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
- Überschreiben des Arbeitsspeichers beim Neustart verhindern
- Betriebssystemlaufwerk
- Microsoft User Experience Virtualization
- Anwendungen
- Editor
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer – Gemeinsame Einstellungen
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 – Gemeinsame Einstellungen in Office 2013
- Microsoft Office 2010 – Gemeinsame Einstellungen
- Microsoft Office 2013 Upload Center
- Microsoft Office 2013 – Gemeinsame Einstellungen
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- Nur Access 2013-Sicherung
- Nur Excel 2013-Sicherung
- Nur InfoPath 2013-Sicherung
- Nur Lync 2013-Sicherung
- Nur OneNote 2013-Sicherung
- Nur Outlook 2013-Sicherung
- Nur PowerPoint 2013-Sicherung
- Nur Project 2013-Sicherung
- Nur Publisher 2013-Sicherung
- Nur Sicherung gemeinsamer Daten für Office 2013
- Nur Visio 2013-Sicherung
- Nur Word 2013-Sicherung
- Rechner
- WordPad
- Windows-Apps
- Benachrichtigung: Erste Verwendung
- Einstellungsspeicherort vor der Synchronisierung pingen
- Einstellungsspeicherpfad
- Pfad des Einstellungsvorlagenkatalogs
- Synchronisationsmethode konfigurieren
- Synchronisieren von Einstellungen über getaktete Verbindungen auch beim Roaming
- Synchronisieren von Einstellungen über getaktete Verbindungen
- Synchronisierung nicht aufgelisteter Windows-Apps
- Synchronisierungstimeout
- Taskleistensymbol
- Text des Links "Wenden Sie sich an die IT-Abteilung"
- URL des Links "Wenden Sie sich an die IT-Abteilung"
- User Experience Virtualization (UE-V) verwenden
- VDI-Konfiguration
- Warnungsschwellenwert für Einstellungspaketgröße
- Windows-Apps nicht synchronisieren
- Windows-Einstellungen synchronisieren
- Anwendungen
- MDOP MBAM (BitLocker Management)
- Windows-Komponenten
- MDOP MBAM (BitLocker Management)
- Microsoft User Experience Virtualization
- Anwendungen
- Editor
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer – Gemeinsame Einstellungen
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 – Gemeinsame Einstellungen in Office 2013
- Microsoft Office 2010 – Gemeinsame Einstellungen
- Microsoft Office 2013 Upload Center
- Microsoft Office 2013 – Gemeinsame Einstellungen
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- Nur Access 2013-Sicherung
- Nur Excel 2013-Sicherung
- Nur InfoPath 2013-Sicherung
- Nur Lync 2013-Sicherung
- Nur OneNote 2013-Sicherung
- Nur Outlook 2013-Sicherung
- Nur PowerPoint 2013-Sicherung
- Nur Project 2013-Sicherung
- Nur Publisher 2013-Sicherung
- Nur Sicherung gemeinsamer Daten für Office 2013
- Nur Visio 2013-Sicherung
- Nur Word 2013-Sicherung
- Rechner
- WordPad
- Windows-Apps
- Einstellungsspeicherort vor der Synchronisierung pingen
- Einstellungsspeicherpfad
- Synchronisationsmethode konfigurieren
- Synchronisieren von Einstellungen über getaktete Verbindungen auch beim Roaming
- Synchronisieren von Einstellungen über getaktete Verbindungen
- Synchronisierungstimeout
- User Experience Virtualization (UE-V) verwenden
- VDI-Konfiguration
- Warnungsschwellenwert für Einstellungspaketgröße
- Windows-Apps nicht synchronisieren
- Windows-Einstellungen synchronisieren
- Anwendungen