Mit dieser Richtlinie können Sie festlegen, ob das Betriebssystemlaufwerk verschlüsselt werden muss.
Falls Sie TPM + PIN-Schutz verwenden und zusätzliche Sicherheit benötigen, können Sie die folgenden Richtlinien unter System/Energieverwaltung/Energiesparmoduseinstellungen deaktivieren:
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Eingesteckt)
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Im Batteriebetrieb)
Falls Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen" (unterstützt unter Windows 8 und neueren Versionen). In diesem Modus wird für den Computerstart ein Kennwort benötigt. Falls Sie das Kennwort vergessen, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM können beim Start zwei Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers kann entweder nur das TPM für die Authentifizierung erforderlich sein, oder es muss zusätzlich eine 4- bis 20-stellige persönliche Identifikationsnummer (PIN) eingegeben werden,.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen die Benutzer das Betriebssystemlaufwerk mit BitLocker schützen, und das Laufwerk wird verschlüsselt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer das Betriebssystemlaufwerk nicht mit BitLocker schützen. Wenn Sie diese Richtlinie nach der Verschlüsselung des Betriebssystemlaufwerks übernehmen, wird das Laufwerk entschlüsselt.
Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht mit BitLocker geschützt werden.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | ShouldEncryptOSDrive |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | EnableBDEWithNoTPM |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | OSDriveProtector |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | Registry Path: | Value Name | Value Type | Value |
---|---|---|---|---|
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | DisallowStandardUserPINReset | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePartialEncryptionKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseAdvancedStartup | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPM | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMPIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKeyPIN | REG_DWORD | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | OSDriveProtector |
Value Type | REG_DWORD |
Value | 4 |
Registry Hive | Registry Path: | Value Name | Value Type | Value |
---|---|---|---|---|
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | DisallowStandardUserPINReset | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePartialEncryptionKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseAdvancedStartup | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPM | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMPIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKeyPIN | REG_DWORD | 2 |
Einstellungen für Computer mit einem TPM:
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | MinimumPIN |
Value Type | REG_DWORD |
Default Value | 4 |
Min Value | 4 |
Max Value | 20 |