Mit dieser Richtlinieneinstellung können Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschlüsselung BitLocker-Wiederherstellungsoptionen anzeigen und festlegen kann. Diese Richtlinie gilt nur für Computer, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.
Falls der erforderliche Systemstartschlüssel nicht verfügbar ist, kann die Sperre für den Zugriff auf die BitLocker-verschlüsselten Daten mit zwei Wiederherstellungsoptionen aufgehoben werden. Der Benutzer kann entweder ein 48-stelliges numerisches Wiederherstellungskennwort eingeben oder ein USB-Flashlaufwerk anschließen, das einen 256-Bit-Wiederherstellungsschlüssel enthält.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie konfigurieren, welche Optionen im Setup-Assistenten zur Wiederherstellung von BitLocker-verschlüsselten Daten für Benutzer angezeigt werden. Beim Speichern auf einem USB-Flashlaufwerk wird das 48-stellige Wiederherstellungskennwort als Textdatei und der 256-Bit-Wiederherstellungsschlüssel als versteckte Datei gespeichert. Beim Speichern in einem Ordner wird das 48-stellige Wiederherstellungskennwort als Textdatei gespeichert. Beim Drucken wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Wenn Sie beispielsweise das 48-stellige Wiederherstellungskennwort nicht zulassen, können Benutzer Wiederherstellungsinformationen nicht drucken oder in einem Ordner speichern.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der BitLocker-Setup-Assistent den Benutzern Möglichkeiten zum Speichern von Wiederherstellungsoptionen bereit.
Hinweis: Wenn beim BitLocker-Setup eine TPM-Initialisierung (Trusted Platform Module) erforderlich ist, werden die TPM-Besitzerinformationen mit den BitLocker-Wiederherstellungsinformationen gespeichert oder ausgedruckt.
Hinweis: Das 48-stellige Wiederherstellungskennwort ist nicht im FIPS-Kompatibilitätsmodus verfügbar.
Wichtig: Diese Richtlinieneinstellung bietet ein administratives Verfahren für die Wiederherstellung der von BitLocker verschlüsselten Daten, mit dem Datenverluste aufgrund fehlender Schlüsselinformationen vermieden werden. Wenn Sie verhindern möchten, dass Benutzer auf die beiden Wiederherstellungsoptionen zugreifen, müssen Sie die Richtlinieneinstellung "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista)" aktivieren, da andernfalls ein Richtlinienfehler auftritt.
Wichtig: Um Datenverluste zu vermeiden, müssen BitLocker-Verschlüsselungsschlüssel wiederhergestellt werden können. Wenn Sie die beiden unten angegebenen Wiederherstellungsoptionen nicht zulassen, müssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Richtlinienfehler auf.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 0 |
Hinweis: Wenn Sie die Verwendung des Wiederherstellungskennworts nicht zulassen und der Wiederherstellungsschlüssel erforderlich ist, können Benutzer BitLocker ohne Speichern auf dem USB-Laufwerk nicht aktivieren.