Zusätzliche Authentifizierung beim Start anfordern

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zusätzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne TPM (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Hinweis: Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler auftritt.

Falls Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen". In diesem Modus ist für den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Stick entsteht. Wenn der USB-Stick eingesteckt wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn der USB-Stick verloren geht, nicht verfügbar ist oder Sie das Kennwort vergessen haben, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können beim Start vier Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers kann entweder nur das TPM für die Authentifizierung verwendet werden, oder es muss zusätzlich ein USB-Speicherstick mit einem Systemstartschlüssel eingesteckt werden und/oder eine 6- bis 20-stellige PIN (Personal Identification Number) eingegeben werden.

Wenn Sie die Richtlinieneinstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.

Wenn Sie die Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer auf Computern mit einem TPM nur grundlegende Optionen konfigurieren.

Hinweis: Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Speichersticks erzwingen möchten, müssen Sie die BitLocker-Einstellungen mithilfe des Befehlszeilentools "manage-bde" und nicht über den Setup-Assistenten der BitLocker-Laufwerkverschlüsselung konfigurieren.

Unterstützt auf: Mindestens Windows 7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameUseAdvancedStartup
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

BitLocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Einstellungen für Computer mit einem TPM:

TPM-Start konfigurieren:


  1. TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value2
  2. TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value1
  3. TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value0

TPM-Systemstart-PIN konfigurieren:


  1. Systemstart-PIN bei TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value2
  2. Start-PIN bei TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value1
  3. Systemstart-PIN bei TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value0

TPM-Systemstartschlüssel konfigurieren:


  1. Systemstartschlüssel bei TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value2
  2. Startschlüssel bei TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value1
  3. Systemstartschlüssel bei TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value0

TPM-Systemstartschlüssel und -PIN konfigurieren:


  1. Systemstartschlüssel und PIN bei TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value2
  2. Systemstartschlüssel und PIN bei TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value1
  3. Systemstartschlüssel und PIN bei TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value0


volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)