Wiederherstellungsoptionen für BitLocker-geschützte Laufwerke für Benutzer auswählen (Windows Server 2008 und Windows Vista)

Mit dieser Richtlinieneinstellung können Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschlüsselung BitLocker-Wiederherstellungsoptionen anzeigen und festlegen kann. Diese Richtlinie gilt nur für Computer, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Falls der erforderliche Systemstartschlüssel nicht verfügbar ist, kann die Sperre für den Zugriff auf die BitLocker-verschlüsselten Daten mit zwei Wiederherstellungsoptionen aufgehoben werden. Der Benutzer kann entweder ein 48-stelliges numerisches Wiederherstellungskennwort eingeben oder ein USB-Flashlaufwerk anschließen, das einen 256-Bit-Wiederherstellungsschlüssel enthält.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie konfigurieren, welche Optionen im Setup-Assistenten zur Wiederherstellung von BitLocker-verschlüsselten Daten für Benutzer angezeigt werden. Beim Speichern auf einem USB-Flashlaufwerk wird das 48-stellige Wiederherstellungskennwort als Textdatei und der 256-Bit-Wiederherstellungsschlüssel als versteckte Datei gespeichert. Beim Speichern in einem Ordner wird das 48-stellige Wiederherstellungskennwort als Textdatei gespeichert. Beim Drucken wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Wenn Sie beispielsweise das 48-stellige Wiederherstellungskennwort nicht zulassen, können Benutzer Wiederherstellungsinformationen nicht drucken oder in einem Ordner speichern.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der BitLocker-Setup-Assistent den Benutzern Möglichkeiten zum Speichern von Wiederherstellungsoptionen bereit.

Hinweis: Wenn beim BitLocker-Setup eine TPM-Initialisierung (Trusted Platform Module) erforderlich ist, werden die TPM-Besitzerinformationen mit den BitLocker-Wiederherstellungsinformationen gespeichert oder ausgedruckt.

Hinweis: Das 48-stellige Wiederherstellungskennwort ist nicht im FIPS-Kompatibilitätsmodus verfügbar.

Wichtig: Diese Richtlinieneinstellung bietet ein administratives Verfahren für die Wiederherstellung der von BitLocker verschlüsselten Daten, mit dem Datenverluste aufgrund fehlender Schlüsselinformationen vermieden werden. Wenn Sie verhindern möchten, dass Benutzer auf die beiden Wiederherstellungsoptionen zugreifen, müssen Sie die Richtlinieneinstellung "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern (Windows Server 2008 und Windows Vista)" aktivieren, da andernfalls ein Richtlinienfehler auftritt.

Unterstützt auf: Windows Server 2008 und Windows Vista

Wichtig: Um Datenverluste zu vermeiden, müssen BitLocker-Verschlüsselungsschlüssel wiederhergestellt werden können. Wenn Sie die beiden unten angegebenen Wiederherstellungsoptionen nicht zulassen, müssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Richtlinienfehler auf.

48-stelliges Wiederherstellungskennwort konfigurieren:


  1. Wiederherstellungskennwort anfordern (Standardeinstellung)
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryPassword
    Value TypeREG_DWORD
    Value1
  2. Wiederherstellungskennwort nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryPassword
    Value TypeREG_DWORD
    Value0

256-Bit-Wiederherstellungsschlüssel konfigurieren:


  1. Wiederherstellungsschlüssel anfordern (Standardeinstellung)
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryDrive
    Value TypeREG_DWORD
    Value1
  2. Wiederherstellungsschlüssel nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseRecoveryDrive
    Value TypeREG_DWORD
    Value0

Hinweis: Wenn Sie die Verwendung des Wiederherstellungskennworts nicht zulassen und der Wiederherstellungsschlüssel erforderlich ist, können Benutzer BitLocker ohne Speichern auf dem USB-Laufwerk nicht aktivieren.


volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)