Mithilfe dieser Richtlinieneinstellung wird gesteuert, ob von einem BitLocker-geschützten Computer, der mit einem vertrauenswürdigen verkabelten lokalen Netzwerk (Local Area Network, LAN) verbunden ist und zu einer Domäne gehört, Netzwerkschlüssel-Schutzvorrichtungen auf TPM-fähigen Computern erstellt und verwendet werden können, um das Betriebssystemlaufwerk beim Starten des Computers automatisch zu entsperren.
Wenn Sie diese Richtlinie aktivieren, können Netzwerkschlüssel-Schutzvorrichtungen von mit einem Bitlocker-Netzwerkentsperrungszertifikat konfigurierten Clients erstellt und verwendet werden.
Wenn Sie zum Entsperren des Computers eine Netzwerkschlüssel-Schutzvorrichtung verwenden möchten, müssen der Computer und der Server, auf dem die Netzwerkentsperrung der Bitlocker-Laufwerkverschlüsselung erfolgt, mit einem Netzwerkentsperrungszertifikat bereitgestellt werden. Mithilfe des Netzwerkentsperrungszertifikats werden Netzwerkschlüssel-Schutzvorrichtungen erstellt und die mit dem Server zum Entsperren des Computers ausgetauschten Informationen geschützt. Zum Verteilen dieses Zertifikats auf Computer in Ihrer Organisation können Sie die Gruppenrichtlinieneinstellung "Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für öffentliche Schlüssel\Netzwerkentsperrungszertifikat für BitLocker-Laufwerkverschlüsselung" auf dem Domänencontroller verwenden. Bei dieser Entsperrungsmethode wird das TPM auf dem Computer verwendet, sodass von Computern ohne TPM keine Netzwerkschlüssel-Schutzvorrichtungen zum automatischen Entsperren mit der Netzwerkentsperrung verwendet werden können.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können von BitLocker-Clients keine Netzwerkschlüssel-Schutzvorrichtungen erstellt und verwendet werden.
Hinweis: Aus Zuverlässigkeits- und Sicherheitsgründen sollten Computer auch über eine TPM-Systemstart-PIN verfügen, die verwendet werden kann, wenn der Computer beim Start vom verkabelten Netzwerk oder vom Server getrennt wird.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSManageNKP |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |