Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können

Mit dieser Richtlinieneinstellung können Sie steuern, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden, falls keine Informationen zum erforderlichen Systemstartschlüssel verfügbar sind. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Über das Kontrollkästchen "Zertifikatbasierte Wiederherstellungs-Agents zulassen" geben Sie an, ob für BitLocker-geschützte Betriebssystemlaufwerke ein Datenwiederherstellungs-Agent verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus dem Element "Richtlinien öffentlicher Schlüssel" entweder in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung (auf Englisch) in Microsoft TechNet.

Wählen Sie unter "Speicherung von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, müssen oder nicht dürfen.

Wählen Sie "Wiederherstellungsoptionen aus BitLocker-Setup-Assistent unterdrücken", um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. In diesem Fall können Sie beim Einschalten von BitLocker nicht angeben, welche Wiederherstellungsoption verwendet werden soll, da die BitLocker-Wiederherstellungsoptionen für das Laufwerk stattdessen durch die Richtlinieneinstellung bestimmt werden.

Wählen Sie unter "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern" aus, welche BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert werden sollen. Bei Auswahl von "Wiederherstellungskennwort und Schlüsselpaket sichern" werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Durch die Speicherung des Schlüsselpakets können Daten von einem physikalisch beschädigten Laufwerk wiederhergestellt werden. Bei Auswahl von "Nur Wiederherstellungskennwort sichern" wird ausschließlich das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden und BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden.

Hinweis: Wenn das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie steuern, welche Möglichkeiten Benutzern zum Wiederherstellen von Daten auf BitLocker-geschützten Betriebssystemlaufwerken zur Verfügung stehen.

Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert wird, werden die standardmäßigen Wiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Ein DRA ist standardmäßig zulässig, die Wiederherstellungsoptionen, einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel, können vom Benutzer festgelegt werden, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Unterstützt auf: Mindestens Windows 7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Datenwiederherstellungs-Agents zulassen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSManageDRA
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:




  1. 48-stelliges Wiederherstellungskennwort zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value2
  2. 48-stelliges Wiederherstellungskennwort erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value1
  3. 48-stelliges Wiederherstellungskennwort nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value0




  1. 256-Bit-Wiederherstellungsschlüssel zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value2
  2. 256-Bit-Wiederherstellungsschlüssel erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value1
  3. 256-Bit-Wiederherstellungsschlüssel nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value0

Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHideRecoveryPage
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSActiveDirectoryBackup
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:


  1. Wiederherstellungskennwörter und Schlüsselpakete speichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. Nur Wiederherstellungskennwörter speichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)