Kennwortverwendung für Betriebssystemlaufwerke konfigurieren

Mithilfe dieser Richtlinieneinstellung werden die Einschränkungen für die bei der Entsperrung BitLocker-geschützter Betriebssystemlaufwerke verwendeten Kennwörter festgelegt. Wenn andere Schutzvorrichtungen als TPM für Betriebssystemlaufwerke zugelassen sind, können Sie ein Kennwort bereitstellen, Komplexitätsvoraussetzungen dafür erzwingen und eine Mindestlänge konfigurieren. Damit die Einstellung für die Komplexitätsvoraussetzungen wirksam wird, muss zusätzlich die Gruppenrichtlinieneinstellung "Kennwort muss Komplexitätsvoraussetzungen entsprechen" unter "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\" aktiviert sein.

Hinweis: Diese Einstellungen werden beim Aktivieren von BitLocker erzwungen, nicht beim Entsperren eines Volumes. BitLocker unterstützt das Entsperren eines Laufwerks mit allen auf dem Laufwerk verfügbaren Schutzvorrichtungen.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Voraussetzungen erfüllt. Zum Erzwingen der Komplexitätsvoraussetzungen für das Kennwort wählen Sie "Kennwortkomplexität anfordern".

Bei dieser Einstellung ist eine Verbindung mit einem Domänencontroller erforderlich, wenn die Komplexität des Kennworts von BitLocker überprüft werden soll. Ist "Kennwortkomplexität zulassen" aktiviert, wird versucht, eine Verbindung mit einem Domänencontroller herzustellen, um zu überprüfen, ob die Komplexität den durch die Richtlinie vorgegebenen Regeln entspricht. Wenn jedoch keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der tatsächlichen Kennwortkomplexität trotzdem akzeptiert und das Laufwerk unter Verwendung dieses Kennworts als Schutzvorrichtung verschlüsselt. Ist "Kennwortkomplexität nicht zulassen" aktiviert, wird die Kennwortkomplexität nicht überprüft.

Kennwörter müssen mindestens acht Zeichen lang sein. Wenn Sie eine größere Mindestlänge konfigurieren möchten, geben Sie die gewünschte Anzahl Zeichen in das Feld "Minimale Kennwortlänge" ein.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardlänge von 8 Zeichen für Betriebssystemlaufwerke verwendet, und es erfolgt keine Komplexitätsprüfung.

Hinweis: Bei aktivierter FIPS-Konformität können keine Kennwörter verwendet werden. Die Richtlinieneinstellung "Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden" unter "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen" gibt an, ob die FIPS-Kompatibilität aktiviert ist.

Kennwortkomplexität für Betriebssystemlaufwerke konfigurieren:

0. Kennwortkomplexität zulassen
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Microsoft\FVE
   Value Name	OSPassphraseComplexity
   Value Type	REG_DWORD
   Value	2

1. Kennwortkomplexität nicht zulassen
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Microsoft\FVE
   Value Name	OSPassphraseComplexity
   Value Type	REG_DWORD
   Value	0

2. Kennwortkomplexität anfordern
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Microsoft\FVE
   Value Name	OSPassphraseComplexity
   Value Type	REG_DWORD
   Value	1

Minimale Kennwortlänge für Betriebssystemlaufwerk:

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\FVE
Value Name	OSPassphraseLength
Value Type	REG_DWORD
Default Value	8
Min Value	8
Max Value	255

Hinweis: Sie müssen die Richtlinieneinstellung "Kennwort muss Komplexitätsvoraussetzungen entsprechen" aktivieren, damit die Einstellung für die Kennwortkomplexität wirksam wird.

Nur-ASCII-Kennwörter für entnehmbare Betriebssystemlaufwerke erzwingen

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\FVE
Value Name	OSPassphraseASCIIOnly
Value Type	REG_DWORD
Default Value	0
True Value	1
False Value	0