Kies hoe met BitLocker beschermde stations voor besturingssystemen kunnen worden hersteld

Met deze beleidsinstelling kunt u bepalen hoe met BitLocker beveiligde systeemstations kunnen worden hersteld als de vereiste opstartsleutel ontbreekt. Deze beleidsinstelling wordt toegepast wanneer u BitLocker inschakelt.

Via het selectievakje Gegevensherstelagent op basis van certificaat toestaan kunt u opgeven of er een gegevensherstelagent kan worden gebruikt met stations van het besturingssysteem die zijn beveiligd met BitLocker. Een gegevensherstelagent kan pas worden gebruikt nadat deze via het item Beleid voor openbare sleutels in de console Groepsbeleidsbeheer of de editor voor lokaal groepsbeleid is toegevoegd. Raadpleeg de implementatiegids voor BitLocker-stationsversleuteling op Microsoft TechNet voor meer informatie over het toevoegen van gegevensherstelagenten.

Geef bij Opslag van BitLocker-herstelgegevens door gebruikers configureren aan of gebruikers al dan niet een herstelwachtwoord van 48 cijfers of een 256-bits herstelsleutel moeten genereren.

Selecteer "Herstelopties niet weergeven in de wizard Setup van BitLocker" om te voorkomen dat gebruikers herstelopties kunnen opgeven wanneer ze BitLocker op een station inschakelen. Dit betekent dat u niet zult kunnen aangeven welk hersteloptie moet worden gebruikt bij het inschakelen van BitLocker, in plaats van dat herstelopties voor BitLocker voor het station worden bepaald door de beleidsinstelling.

Kies bij BitLocker-herstelgegevens opslaan in Active Directory Domain Services welke herstelgegevens van BitLocker u in AD DS wilt opslaan voor systeemstations. Als u Back-up van herstelwachtwoord en sleutelpakket selecteert, wordt zowel het herstelwachtwoord voor BitLocker aks het sleutelpakket opgeslagen in AD DS. Het sleutelpakket maakt het mogelijk gegevens te herstellen van een station dat fysiek beschadigd is. Als u Alleen back-up van herstelwachtwoord selecteert, wordt alleen het herstelwachtwoord opgeslagen in AD DS.

Schakel het selectievakje BitLocker pas inschakelen nadat herstelgegevens voor systeemstations zijn opgeslagen in AD DS in als u wilt voorkomen dat gebruikers BitLocker inschakelen wanneer de computer niet verbonden is met het domein en de back-up van BitLocker-herstelgegevens in AD DS is mislukt.

Opmerking: als het selectievakje "BitLocker pas inschakelen nadat herstelgegevens voor systeemschijven zijn opgeslagen in AD DS" is aangevinkt, wordt er automatisch een wachtwoord voor herstel gegenereerd.

Als u deze beleidsinstelling inschakelt, kunt u bepalen met welke methoden gebruikers gegevens kunnen herstellen van met BitLocker beveiligde systeemstations.

Als deze beleidsinstelling is uitgeschakeld of niet is geconfigureerd, worden de standaardherstelopties ondersteund voor het herstellen van BitLocker. De standaardinstellingen zijn als volgt:het gebruik van een gegevensherstelagent is toegestaan, de herstelopties kunnen worden opgegeven door de gebruiker (inclusief het herstelwachtwoord en de herstelsleutel) en er wordt geen back-up van de herstelgegevens opgeslagen in AD DS.

Ondersteund op: Minimaal Windows Server 2008 R2 of Windows 7

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Gegevensherstelagent toestaan
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSManageDRA
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Opslag van BitLocker-herstelgegevens door gebruikers configureren:




  1. Herstelwachtwoord van 48 cijfers toestaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value2
  2. Herstelwachtwoord van 48 cijfers vereisen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value1
  3. Herstelwachtwoord van 48 cijfers niet toestaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryPassword
    Value TypeREG_DWORD
    Value0




  1. Herstelsleutel van 256 bits toestaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value2
  2. Herstelsleutel van 256 bits vereisen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value1
  3. Herstelsleutel van 256 bits niet toestaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSRecoveryKey
    Value TypeREG_DWORD
    Value0

Herstelopties niet weergeven in de wizard Setup van BitLocker
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHideRecoveryPage
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
BitLocker-herstelgegevens voor systeemschijven opslaan in AD DS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSActiveDirectoryBackup
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Opslag van BitLocker-herstelgegevens in AD DS configureren:


  1. Herstelwachtwoorden en sleutelpakketten opslaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. Alleen herstelwachtwoorden opslaan
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameOSActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

BitLocker pas inschakelen nadat herstelgegevens voor systeemschijven zijn opgeslagen in AD DS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

volumeencryption.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)