Zusätzliche Authentifizierung beim Start erforderlich (Windows Server 2008 und Windows Vista)

Mithilfe dieser Richtlinieneinstellung können Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschlüsselung eine zusätzliche Authentifizierungsmethode einrichten kann, die bei jedem Start des Computers erforderlich ist. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Hinweis: Diese Richtlinie gilt nur für Computer, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird.

Auf einem Computer mit einem kompatiblen TPM (Trusted Platform Module) können beim Start zwei Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers können Benutzer aufgefordert werden, einen USB-Speicherstick einzustecken, der einen Systemstartschlüssel enthält. Es ist auch möglich, dass Benutzer zur Eingabe einer 6- bis 20-stelligen Systemstart-PIN (Personal Identification Number) aufgefordert werden.

Für Computer ohne kompatibles TPM ist ein USB-Speicherstick mit einem Systemstartschlüssel erforderlich. Ohne ein TPM werden die mit BitLocker verschlüsselten Daten nur durch das auf diesem USB-Speicherstick gespeicherte Schlüsselmaterial geschützt.

Wenn Sie die Richtlinieneinstellung aktivieren, zeigt der Assistent die Seite an, auf der der Benutzer erweiterte Startoptionen für BitLocker konfigurieren kann. Sie können darüber hinaus das Festlegen von Optionen für Computer mit und ohne TPM konfigurieren.

Wenn Sie die Richtlinieneinstellung deaktivieren oder nicht konfigurieren, zeigt der BitLocker-Setup-Assistent grundlegende Schritte an, die es dem Benutzer ermöglichen, BitLocker auf Computern mit einem TPM zu aktivieren. In diesem grundlegenden Assistenten können keine zusätzlichen Systemstartschlüssel oder Systemstart-PINs konfiguriert werden.

Unterstützt auf: Windows Server 2008 und Windows Vista

BitLocker ohne kompatibles TPM zulassen (hierfür ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschlüssel erforderlich)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableNonTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Einstellungen für Computer mit einem TPM:

TPM-Systemstartschlüssel konfigurieren:


  1. Systemstartschlüssel bei TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value2
  2. Startschlüssel bei TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value1
  3. Systemstartschlüssel bei TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value0

TPM-Systemstart-PIN konfigurieren:


  1. Systemstart-PIN bei TPM zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value2
  2. Start-PIN bei TPM erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value1
  3. Systemstart-PIN bei TPM nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value0

Wichtig: Wenn der Systemstartschlüssel verlangt wird, darf keine Systemstart-PIN zulässig sein.

Wenn die Systemstart-PIN verlangt wird, darf kein Systemstartschlüssel zulässig sein. Andernfalls tritt ein Richtlinienfehler auf.

Hinweis: Sie sollten nicht zulassen, dass die Seite "Erweitert" auf einem Computer mit einem TPM sowohl für die Systemstart-PIN und als auch für den Systemstartschlüssel ausgeblendet wird.


volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)