Mithilfe dieser Richtlinieneinstellung können Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschlüsselung eine zusätzliche Authentifizierungsmethode einrichten kann, die bei jedem Start des Computers erforderlich ist. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.
Hinweis: Diese Richtlinie gilt nur für Computer, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird.
Auf einem Computer mit einem kompatiblen TPM (Trusted Platform Module) können beim Start zwei Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers können Benutzer aufgefordert werden, einen USB-Speicherstick einzustecken, der einen Systemstartschlüssel enthält. Es ist auch möglich, dass Benutzer zur Eingabe einer 6- bis 20-stelligen Systemstart-PIN (Personal Identification Number) aufgefordert werden.
Für Computer ohne kompatibles TPM ist ein USB-Speicherstick mit einem Systemstartschlüssel erforderlich. Ohne ein TPM werden die mit BitLocker verschlüsselten Daten nur durch das auf diesem USB-Speicherstick gespeicherte Schlüsselmaterial geschützt.
Wenn Sie die Richtlinieneinstellung aktivieren, zeigt der Assistent die Seite an, auf der der Benutzer erweiterte Startoptionen für BitLocker konfigurieren kann. Sie können darüber hinaus das Festlegen von Optionen für Computer mit und ohne TPM konfigurieren.
Wenn Sie die Richtlinieneinstellung deaktivieren oder nicht konfigurieren, zeigt der BitLocker-Setup-Assistent grundlegende Schritte an, die es dem Benutzer ermöglichen, BitLocker auf Computern mit einem TPM zu aktivieren. In diesem grundlegenden Assistenten können keine zusätzlichen Systemstartschlüssel oder Systemstart-PINs konfiguriert werden.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | EnableNonTPM |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
Einstellungen für Computer mit einem TPM:
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePartialEncryptionKey |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePartialEncryptionKey |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePartialEncryptionKey |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePIN |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePIN |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UsePIN |
Value Type | REG_DWORD |
Value | 0 |
Wichtig: Wenn der Systemstartschlüssel verlangt wird, darf keine Systemstart-PIN zulässig sein.
Wenn die Systemstart-PIN verlangt wird, darf kein Systemstartschlüssel zulässig sein. Andernfalls tritt ein Richtlinienfehler auf.
Hinweis: Sie sollten nicht zulassen, dass die Seite "Erweitert" auf einem Computer mit einem TPM sowohl für die Systemstart-PIN und als auch für den Systemstartschlüssel ausgeblendet wird.