Von Dell empfohlene Policies für Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (ehemals Dell Data Protection | BitLocker Manager) bietet Schutz und Sicherheit durch Nutzung des integrierten vollständigen Volume-Verschlüsselungsprotokolls von Microsoft, das häufig als BitLocker bezeichnet wird. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betroffene Produkte:

  • Dell Encryption Enterprise BitLocker Manager
  • Dell Data Protection | BitLocker Manager

Diese bieten einen vollständigen Volume-Verschlüsselungsmechanismus und mehrere Szenarien zur Sicherung des Betriebssystems sowie zum Schutz des Startzyklus vor Angriffen.

Dell bietet eine zentrale Benutzeroberfläche für die Verwaltung von Geräten, die mit BitLocker geschützt sind, sowie umfassende Möglichkeiten, Berichte über den Schutz dieser Geräte zu erstellen.

Hinweis: Um den aktuellen Schutzstatus der Umgebung anzuzeigen, verwenden Sie den Dashboard-Eintrag auf der Dell Encryption (ehemals Dell Data Protection | Verschlüsselungskonsole.

Um die BitLocker-Verschlüsselungs-Policy auf die von Dell empfohlenen Einstellungen festzulegen, gehen Sie wie folgt vor:

  1. Gehen Sie zu Enterprise.
  2. Klicken Sie auf BitLocker-Verschlüsselung.
    Klicken Sie auf „BitLocker-Verschlüsselung“.
  3. Um alle Einstellungen anzuzeigen, klicken Sie auf Erweiterte Einstellungen anzeigen.
    Klicken Sie auf „Erweiterte Einstellungen anzeigen“.

Die empfohlenen Einstellungen sind unten aufgeführt:

Hinweis: Dieser Artikel wurde zuletzt im November 2019 aktualisiert. Richtlinien gelten für Dell Security Management Server v10.2.9.
Policy Von Dell empfohlene Einstellung Erklärung der Policy
BitLocker-Verschlüsselung Ein Aktiviert und deaktiviert das BitLocker Manager-Plug-in (dieses Plug-in ist erforderlich, damit alle Dell BitLocker Manager-Richtlinien ordnungsgemäß angewendet werden können)
TPM-Manager aktiviert Ein Aktiviert und deaktiviert das TPM-Management-Plug-in (dieses Plug-in aktiviert das TPM, wenn es eingeschaltet, aber nicht ordnungsgemäß aktiviert ist)
Ruhemodus deaktivieren Aus Wenn diese Option aktiviert ist, darf das Gerät während der Verschlüsselung nicht in einen Ruhezustand wechseln.
Systemlaufwerk verschlüsseln Verschlüsselung aktivieren Wenn die Option auf Nicht verwalten gesetzt ist, können die lokalen Geräteadministratoren BitLocker ändern.
Wenn Sie dies auf Verschlüsselung aktivieren setzen, wird die Verschlüsselung des Volumes erzwungen und lokale Administratoren können sie nicht ändern.
Wenn Sie dies auf Verschlüsselung deaktivieren festlegen, wird eine Entschlüsselung des Volumes erzwungen und lokale Administratoren können es nicht ändern.
Feste Laufwerke verschlüsseln Nicht managen Wenn die Option auf Nicht verwalten gesetzt ist, können die lokalen Geräteadministratoren BitLocker ändern.
Wenn Sie dies auf Verschlüsselung aktivieren setzen, wird die Verschlüsselung des Volumes erzwungen und lokale Administratoren können sie nicht ändern.
Wenn Sie dies auf Verschlüsselung deaktivieren festlegen, wird eine Entschlüsselung des Volumes erzwungen und lokale Administratoren können es nicht ändern.
Wechseldatenträger verschlüsseln Nicht managen Wenn die Option auf Nicht verwalten gesetzt ist, können die lokalen Geräteadministratoren BitLocker ändern.
Wenn Sie dies auf Verschlüsselung aktivieren setzen, wird die Verschlüsselung des Volumes erzwungen und lokale Administratoren können sie nicht ändern.
Wenn Sie dies auf Verschlüsselung deaktivieren festlegen, wird eine Entschlüsselung des Volumes erzwungen und lokale Administratoren können es nicht ändern.
Andere Authentifizierung beim Systemstart erforderlich Enabled Mit dieser Eigenschaft können die nächsten fünf Policies und definierte Schutzvorrichtungen auf verwalteten Endpunkten aktiviert werden.
BitLocker-Verschlüsselung ohne kompatibles TPM zulassen Enabled Wenn diese Option aktiviert ist, wird sichergestellt, dass ältere TPM-Modelle unterstützt werden, und es wird ermöglicht, BitLocker-Schlüssel auf Geräten ohne TPMs auf USB zu hinterlegen.
TPM-Start konfigurieren Erforderlich Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn die Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
TPM-Start-PIN konfigurieren Nicht zulassen Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn die Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
TPM-Startschlüssel konfigurieren Nicht zulassen Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn die Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
TPM-Startschlüssel und -PIN konfigurieren Nicht zulassen Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn die Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
BitLocker auf selbstverschlüsselnden Laufwerken deaktivieren Deaktiviert Wenn die Option auf Aktivieren gesetzt ist und ein selbstverschlüsselndes Laufwerk (Self-Encrypting Drive, SED) erkannt wird, schützt BitLocker den Endpunkt nicht.
Wenn diese Policy auf Deaktiviert gesetzt ist, kann BitLocker den Endpunkt schützen, unabhängig von den Funktionen des Laufwerks.
Policy Von Dell empfohlene Einstellung Erklärung der Policy
Einstellungen für festes Datenvolume
Verwendung von Smart Cards auf festen Datenlaufwerken konfigurieren Nicht gestatten Diese Policy zeigt die Optionen zum Schutz eines festen Laufwerks (nicht-betriebssystembasiertes Volume) an, wenn „Feste Laufwerke verschlüsseln“ auf „Verschlüsselung einschalten“ eingestellt ist.
Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn diese Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
Schreibzugriff auf feste Laufwerke, die nicht durch BitLocker geschützt sind, verweigern Deaktiviert Mit dieser Policy-Einstellung können Sie festlegen, ob BitLocker-Schutz erforderlich ist, damit feste Datenlaufwerke auf einem Computer beschreibbar sind.
Mit Festlegung von Deaktiviert werden alle festen Datenlaufwerke auf dem Computer mit Lese- und Schreibzugriff gemountet.
Wenn diese Option auf Aktiviert gesetzt ist, erhalten Nutzer Fehlermeldungen mit „Zugriff verweigert“, wenn sie versuchen, Daten auf unverschlüsselten festen Datenlaufwerken zu speichern.
Wenn diese Option auf Für Organisation aktiviert gesetzt ist, erhalten Nutzer mit Geräten nur mit der in der Policy festgelegten Organisationskennung Fehlermeldungen "Zugriff verweigert", wenn sie versuchen, Daten auf unverschlüsselten festen Datenlaufwerken zu speichern. Bei allen anderen Geräten werden alle festen Datenlaufwerke auf dem Computer mit Lese- und Schreibzugriff gemountet.
Zugriff auf von BitLocker geschützte feste Datenlaufwerke durch frühere Versionen von Windows zulassen Enabled Wenn diese Option auf Aktiviert gesetzt ist, können Datenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme haben schreibgeschützten Zugriff auf BitLocker-geschützte Laufwerke.
Wenn die Option auf Deaktiviert gesetzt ist, können Datenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, nicht auf Computern entsperrt werden, auf denen frühere Versionen von Windows ausgeführt werden.
BitLocker to Go Reader nicht auf FAT-formatierten Festplattenlaufwerken installieren Deaktiviert Wenn diese Option ausgewählt ist, wird verhindert, dass der BitLocker To Go Reader installiert wird, sodass Nutzer mit Geräten, auf denen ältere Windows-Versionen ausgeführt werden, nicht auf geschützte BitLocker-Laufwerke zugreifen können.
Verwendung von Kennwörtern für feste Datenlaufwerke konfigurieren Zulassen Diese Policy zeigt die Optionen zum Schutz eines festen Laufwerks (nicht-betriebssystembasiertes Volume) an, wenn „Feste Laufwerke verschlüsseln“ auf „Verschlüsselung einschalten“ eingestellt ist.
Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn diese Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
Kennwortkomplexität für feste Datenlaufwerke konfigurieren Erforderlich Wenn die Option auf Erforderlich festgelegt ist, ist eine Verbindung zu einem Domänencontroller erforderlich, um die Komplexität des Kennworts zu validieren, wenn BitLocker aktiviert ist.
Wenn diese Option auf Zulassen gesetzt ist, wird versucht, eine Verbindung zu einem Domänencontroller herzustellen, um zu überprüfen, ob die Komplexität den Regeln entspricht, die von der Policy festgelegt wurden. Wenn jedoch keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der Kennwortkomplexität akzeptiert und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
Wenn die Option auf Nicht zulassen gesetzt ist, wird keine Überprüfung der Kennwortkomplexität durchgeführt.
Mindestkennwortlänge für feste Datenlaufwerke 8 Legt die Mindestlänge für Kennwörter für BitLocker-geschützte Festplattenvolumes fest fest (diese Einstellung erfordert, dass Verwendung von Kennwörtern für feste Datenlaufwerke konfigurieren entweder auf Erforderlich oder Zulassen gesetzt ist )
Verschlüsselungstyp für feste Datenlaufwerke Vollständige Verschlüsselung Diese Policy steuert, ob feste Datenlaufwerke die Verschlüsselung für Nur verwendeter Speicherplatz oder die Vollständige Verschlüsselung verwenden. Nur verwendeter Speicherplatz ist für virtuelle Maschinen erforderlich, die von Bit Locker geschützt werden.
Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen Deaktiviert Übergeordnetes Element für die nächsten sieben Policies.
Wenn diese Option aktiviert ist, ermöglicht sie die Konfiguration zusätzlicher Recovery-Optionen.
Wenn diese Option deaktiviert ist, ist die Recovery nur über den Dell Security Management Server oder Dell Security Management Server Virtual verfügbar.
Data Recovery-Agent für geschützte feste Laufwerke zulassen Deaktiviert Untergeordnetes Element der Policy „Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen“
Das Kontrollkästchen „Data Recovery-Agent zulassen“ wird verwendet, um festzulegen, ob ein Data Recovery-Agent mit BitLocker-geschützten Laufwerken verwendet werden kann. Bevor ein Data Recovery-Agent verwendet werden kann, muss er über die Policies für öffentliche Schlüssel hinzugefügt werden, die sich in der Gruppen-Policy-Managementkonsole (GPMC) oder im Editor für lokale Gruppen-Policies befinden.
Weitere Informationen dazu, wie ein Data Recovery-Agent verwendet werden kann, um ein mit BitLocker geschütztes Gerät wiederherzustellen, finden Sie unter: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Nutzer-Storage des 48-stelligen BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf „Nicht zulassen“ gesetzt ist, ist die Recovery eines durch BitLocker geschützten Computers möglicherweise nicht möglich.
Nutzer-Storage des 256-Bit-BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf „Nicht zulassen“ gesetzt ist, ist die Recovery eines durch BitLocker geschützten Computers möglicherweise nicht möglich.
Recovery-Optionen über den BitLocker-Setup-Assistenten weglassen Deaktiviert Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen.
Wählen Sie Recovery-Optionen über den BitLocker-Setup-Assistenten weglassen aus, um zu verhindern, dass Nutzer Recovery-Optionen festlegen, wenn sie BitLocker auf einem Laufwerk aktivieren. Wenn diese Option aktiviert ist, bestimmt die Policy-Einstellung die BitLocker-Recovery-Optionen.
BitLocker-Recovery-Informationen für feste Datenlaufwerke in AD DS speichern Enabled Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen.
Übergeordnetes Element für die nächsten beiden Policies:
BitLocker-Recovery-Informationen in Active Directory Domain Services speichern Wählen Sie aus, welche BitLocker-Recovery-Informationen in Active Directory Domain Services (AD DS) gespeichert werden sollen.
BitLocker-Recovery-Informationen, die in AD DS gespeichert werden sollen Recovery-Kennwörter und Schlüsselpakete Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für feste Datenlaufwerke in AD DS speichern.
Recovery-Kennwort und Schlüsselpakete, das BitLocker-Recovery-Kennwort und das Schlüsselpaket werden in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Recovery von Daten von einem Laufwerk, das physisch beschädigt ist. Wenn Sie Nur Wiederherstellungskennwort auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
BitLocker erst aktivieren, wenn die Recovery-Informationen für feste Laufwerke in AD DS gespeichert worden sind Deaktiviert Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte feste Laufwerke wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für feste Datenlaufwerke in AD DS speichern.
Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, wenn die Recovery-Informationen für feste Laufwerke in AD DS gespeichert worden sind, wenn Sie verhindern möchten, dass Nutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden ist und das Backup der BitLocker-Recovery-Informationen auf AD DS erfolgreich war.
Verwendung von hardwarebasierter Verschlüsselung für feste Laufwerke konfigurieren Enabled Übergeordnetes Element für die nächsten vier Policies.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als feste Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Hardwarebasierte Verschlüsselung für feste Laufwerke verwenden Enabled Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für feste Laufwerke konfigurieren.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als feste Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Softwarebasierte BitLocker-Verschlüsselung auf festen Datenlaufwerken verwenden, wenn keine Hardwareverschlüsselung verfügbar ist Enabled Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für feste Laufwerke konfigurieren.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als feste Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf festen Datenlaufwerken zulässig sind Deaktiviert Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für feste Laufwerke konfigurieren.
Mit der Option Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf festen Datenlaufwerken zulässig sind können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker für die hardwarebasierte Verschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung.
Bestimmte Verschlüsselungsalgorithmen und Chiffrensammlungen-Einstellungen auf festen Datenlaufwerken konfigurieren 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für feste Laufwerke konfigurieren.
Verschlüsselungsalgorithmen werden durch Objektkennungen (OID) angegeben und durch Kommas getrennt.
Beispiel-OIDs für Verschlüsselungschiffren:
  • OID für Advanced Encryption Standard (AES) 128 im CBC-Modus (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • OID für AES 256 im CBC-Modus: 2.16.840.1.101.3.4.1.42
Globale Einstellungen
Standardspeicherort für den Ordner zum Speichern des Recovery-Kennworts (leer) Wenn diese Option ausgewählt ist, geben Sie den Pfad an, der als Standardspeicherort verwendet werden soll, wenn der Nutzer die Option zum Speichern des Recovery-Kennworts in einem Ordner wählt. Es kann ein vollständig qualifizierter Pfad oder die Umgebungsvariablen des Zielcomputers im Pfad verwendet werden. Wenn der Pfad nicht gültig ist, zeigt der BitLocker-Setup-Assistent die Ordneransicht der obersten Ebene des Computers an.
Verschlüsselungsmethode und Chiffrenstärke AES256 mit Diffuser
Hinweis: Diese Policy gilt nicht für verschlüsselte Laufwerke. Verschlüsselte Laufwerke verwenden einen eigenen Algorithmus, den das Laufwerk während der Partitionierung festlegt.
Eindeutige Unternehmenskennungen aktivieren Deaktiviert Übergeordnetes Element für die nächsten beiden Policies.
Wenn aktiviert, ermöglicht es die Konfiguration des Identifizierungsfelds auf BitLocker-geschützten Laufwerken und aller zulässigen Identifizierungsfelder, die Ihr Unternehmen verwendet.
Diese Kennungen werden als Identifizierungsfeld und zulässiges Identifizierungsfeld gespeichert. Mit dem Identifizierungsfeld können Sie BitLocker-geschützten Laufwerken eine eindeutige Unternehmenskennung zuordnen. Diese Kennung wird automatisch zu neuen BitLocker-geschützten Laufwerken hinzugefügt und kann auf vorhandenen mit BitLocker geschützten Laufwerken mithilfe des Befehlszeilentools Manage-bde aktualisiert werden.
Ein Identifizierungsfeld ist für die Verwaltung zertifikatbasierter Datenwiederherstellungsagenten auf BitLocker-geschützten Laufwerken und für potenzielle Updates des BitLocker To Go-Lesegeräts erforderlich. BitLocker verwaltet und aktualisiert Data Recovery-Agenten nur, wenn das Identifizierungsfeld auf dem Laufwerk mit dem im Identifizierungsfeld konfigurierten Wert übereinstimmt. Auf ähnliche Weise aktualisiert BitLocker den BitLocker To Go Reader nur, wenn das Identifizierungsfeld auf dem Laufwerk mit dem für das Identifizierungsfeld konfigurierten Wert übereinstimmt.
Hinweis: Eindeutige Unternehmenskennungen aktivieren kann mit der Policy-Einstellung Schreibzugriff auf Wechseldatenträger, die nicht durch BitLocker geschützt sind, verweigern verwendet werden, um die Verwendung von Wechseldatenträgern in Ihrem Unternehmen zu steuern.
Eindeutige Unternehmenskennungen festlegen (leer) Untergeordnetes Element der Policy Eindeutige Unternehmenskennungen aktivieren.
Dies ist ein alphanumerischer Wert, um eine eindeutige Kennung für Ihre Geräte festzulegen, um sicherzustellen, dass Ihr Unternehmen sie verwaltet.
Diese Kennung wird automatisch zu neuen BitLocker-geschützten Laufwerken hinzugefügt und kann auf vorhandenen mit BitLocker geschützten Laufwerken mithilfe des Befehlszeilentools Manage-bde aktualisiert werden.
Zulässige eindeutige Unternehmenskennungen festlegen (leer) Untergeordnetes Element der Policy Eindeutige Unternehmenskennungen aktivieren.
Dies ist ein alphanumerischer Wert, um eine eindeutige Kennung für Ihre Geräte festzulegen, um sicherzustellen, dass Ihr Unternehmen sie verwaltet.
Diese Kennung wird automatisch zu neuen BitLocker-geschützten Laufwerken hinzugefügt und kann auf vorhandenen mit BitLocker geschützten Laufwerken mithilfe des Befehlszeilentools Manage-bde aktualisiert werden.
Hinweis: Es wird empfohlen, dass die Policies Zulässige eindeutige Unternehmenskennungen festlegen und Eindeutige Unternehmenskennungen festlegen übereinstimmen, um Probleme während der Recovery zu vermeiden.
Speicherüberschreibung beim Neustart verhindern Deaktiviert Wenn diese Option deaktiviert ist, werden die BitLocker-Geheimnisse aus dem Arbeitsspeicher gelöscht. Wenn diese Option aktiviert ist, verbleiben die BitLocker-Geheimnisse im Arbeitsspeicher, was die Leistung verbessern kann, allerdings werden die BitLocker-Geheimnisse zusätzlichen Risiken ausgesetzt.
Smart Card-Zertifikatskennung aktivieren Deaktiviert Wenn aktiviert, muss die Objektkennung, die in der Einstellung Objektkennung eines Zertifikats angegeben ist, mit der Objektkennung in der Policy Smart Card-Zertifikatkennung übereinstimmen.
Smart Card-Zertifikatkennung 1.3.6.1.4.1.311.67.1.1 Die Objektkennung wird in der erweiterten Schlüsselnutzung (EKU) eines Zertifikats angegeben. BitLocker kann ermitteln, welche Zertifikate verwendet werden können, um ein Nutzerzertifikat auf einem durch BitLocker geschützten Laufwerk zu authentifizieren, indem die Objektkennung im Zertifikat mit der Objektkennung in dieser Richtlinieneinstellung abgeglichen wird.
Die Standardobjektkennung ist 1.3.6.1.4.1.311.67.1.1.
Volume-Einstellungen des Betriebssystems
Erweiterte PINs für den Start zulassen Deaktiviert Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen (einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen).
Hinweis: Nicht alle Computer unterstützen erweiterte PIN-Zeichen in der Preboot-Umgebung.
Anzahl der für die PIN erforderlichen Zeichen 6 Definiert die Mindestanzahl an Zeichen, die für die Preboot-Umgebung erforderlich sind
Hinweis: Die Mindestlänge der BitLocker-PIN wurde ab Windows 10, Version 1703, auf sechs Zeichen erhöht.
Netzwerkentsperrung beim Start auf Betriebssystemlaufwerken zulassen Deaktiviert Diese Policy steuert einen Teil des Verhaltens der Netzwerkentsperrfunktion in BitLocker. Diese Policy ist erforderlich, um die BitLocker-Netzwerkentsperrung in einem Netzwerk zu aktivieren, da Clients, die BitLocker ausführen, dadurch ermöglicht wird, die erforderliche Netzwerkschlüsselschutzvorrichtung während der Verschlüsselung zu erstellen.
Weitere Informationen zum Aktivieren der Netzwerkentsperrung finden Sie unter https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlockDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..
SecureBoot auf Betriebssystemlaufwerken zulassen Enabled Steuert, wie BitLocker-fähige Computervolumes mit der SecureBoot-Funktion verarbeitet werden. Durch Aktivieren dieser Funktion wird die SecureBoot-Validierung während des Startvorgangs erzwungen und die BCD-Einstellungen (Boot Configuration Data) gemäß der SecureBoot-Policy überprüft.
Nicht gestatten, dass Standardnutzer die PIN auf Betriebssystemlaufwerken ändern Deaktiviert Mit dieser Policy-Einstellung können Sie konfigurieren, ob Standardnutzer die PIN oder das Kennwort ändern dürfen, die zum Schutz des Betriebssystemlaufwerks verwendet werden.
Wenn diese Option aktiviert ist, können Nutzer, die nicht über lokale Administratorrechte verfügen, die PIN auf dem Endpunkt nicht ändern.
Wenn deaktiviert, können alle Nutzer auf einem Endpunkt die Preboot-PIN ändern.
Verwendung von Preboot-Tastatureingaben auf Slates aktivieren Enabled Wenn diese Option aktiviert ist, können Nutzer Authentifizierungsoptionen aktivieren, die Nutzereingaben aus der Preboot-Umgebung erfordern, selbst wenn die Plattform einen Mangel an Preboot-Eingabefunktionen anzeigt.
Plattformvalidierungsdaten nach Recovery zurücksetzen Enabled Wenn diese Option aktiviert ist, werden die Plattformvalidierungsdaten aktualisiert, wenn Windows nach einer BitLocker-Recovery gestartet wird.
Wenn diese Option deaktiviert ist, werden die Plattformvalidierungsdaten nach einer BitLocker-Recovery nicht aktualisiert. Dies kann nach jedem Start zu einer Recovery führen, wenn sich die Basiskonfiguration der Plattform geändert hat.
Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen Deaktiviert Übergeordnetes Element für die nächsten sieben Policies.
Wenn diese Option aktiviert ist, ermöglicht sie die Konfiguration zusätzlicher Recovery-Optionen.
Wenn diese Option deaktiviert ist, ist die Recovery nur über den Dell Security Management Server oder Dell Security Management Server Virtual verfügbar.
Data Recovery-Agent für geschützte Betriebssystemlaufwerke zulassen Enabled Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen.
Das Kontrollkästchen Data Recovery-Agent zulassen wird verwendet, um anzugeben, ob ein Data Recovery-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Data Recovery-Agent verwendet werden kann, muss er über die Policies für öffentliche Schlüssel hinzugefügt werden, die sich in der Gruppen-Policy-Managementkonsole (GPMC) oder im Editor für lokale Gruppen-Policies befinden.
Weitere Informationen dazu, wie ein Data Recovery-Agent zur Wiederherstellung eines durch BitLocker geschützten Geräts verwendet werden kann, finden Sie unter: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Nutzer-Storage des 48-stelligen BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf Nicht zulassen gesetzt ist, ist die Recovery eines durch BitLocker geschützten Computers möglicherweise nicht möglich.
Nutzer-Storage des 256-Bit-BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf Nicht zulassen gesetzt ist, ist die Recovery eines durch BitLocker geschützten Computers möglicherweise nicht möglich.
Recovery-Optionen über den BitLocker-Setup-Assistenten weglassen Deaktiviert Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen.
Wählen Sie Recovery-Optionen über den BitLocker-Setup-Assistenten weglassen aus, um zu verhindern, dass Nutzer Recovery-Optionen festlegen, wenn sie BitLocker auf einem Laufwerk aktivieren.
Wenn diese Option aktiviert ist, bestimmt die Policy-Einstellung die BitLocker-Recovery-Optionen für das Laufwerk.
BitLocker-Recovery-Informationen für Betriebssystemlaufwerke in AD DS speichern Enabled Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen.
Übergeordnetes Element für die nächsten beiden Policies:
BitLocker-Recovery-Informationen in Active Directory Domain Services speichern Wählen Sie aus, welche BitLocker-Recovery-Informationen in Active Directory Domain Services (AD DS) gespeichert werden sollen.
BitLocker-Recovery-Informationen, die in AD DS gespeichert werden sollen (nur Windows Server 2008) Recovery-Kennwort und Schlüsselpakete Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für Betriebssystemlaufwerke in AD DS speichern.
Recovery-Kennwort und Schlüsselpakete, das BitLocker-Recovery-Kennwort und das Schlüsselpaket werden in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Recovery von Daten von einem Laufwerk, das physisch beschädigt ist. Wenn Sie „Nur Recovery-Kennwort“ auswählen, wird nur das Recovery-Kennwort in AD DS gespeichert.
BitLocker erst aktivieren, wenn die Recovery-Informationen für Betriebssystemlaufwerke in AD DS gespeichert worden sind Deaktiviert Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für Betriebssystemlaufwerke in AD DS speichern.
Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, wenn die Recovery-Informationen für Betriebssystemlaufwerke in AD DS gespeichert worden sind, wenn Sie verhindern möchten, dass Nutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden ist und das Backup der BitLocker-Recovery-Informationen auf AD DS erfolgreich war.
Verwendung von hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke konfigurieren Enabled Übergeordnetes Element für die nächsten vier Policies.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Hardwarebasierte Verschlüsselung für Betriebssystemlaufwerke verwenden Enabled Untergeordnetes Element der Policy „Verwendung von hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke konfigurieren“.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Softwarebasierte BitLocker-Verschlüsselung auf Betriebssystemlaufwerken verwenden, wenn keine Hardwareverschlüsselung verfügbar ist Enabled Untergeordnetes Element der Policy „Verwendung von hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke konfigurieren“.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung.

Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf Betriebssystemlaufwerken zulässig sind Deaktiviert Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke konfigurieren.
Mit der Option Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf festen Datenlaufwerken zulässig sind können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker für die hardwarebasierte Verschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung.
Bestimmte Verschlüsselungsalgorithmen und Chiffrensammlungen-Einstellungen auf Betriebssystemlaufwerken konfigurieren 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke konfigurieren.
Verschlüsselungsalgorithmen werden durch Objektkennungen (OID) angegeben und durch Kommas
getrennt Beispiel-OIDs für Verschlüsselungschiffren:
  • OID für Advanced Encryption Standard (AES) 128 im CBC-Modus (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • OID für AES 256 im CBC-Modus: 2.16.840.1.101.3.4.1.42
Verschlüsselungstyp für Betriebssystemlaufwerke Vollständige Verschlüsselung Diese Policy steuert, ob Datenlaufwerke die Verschlüsselung für Nur verwendeter Speicherplatz oder die Vollständige Verschlüsselung verwenden. Nur verwendeter Speicherplatz ist für virtuelle Maschinen erforderlich, die von BitLocker geschützt werden.
Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren Nicht konfiguriert Diese Policy steuert, wie nicht-TPM-basierte Computer die Kennwortschutzvorrichtung verwenden. Diese Policy kann zusammen mit der Policy Kennwortkomplexität für Betriebssystemlaufwerke konfigurieren verwendet werden, um es Administratoren zu ermöglichen, die Länge und Komplexität des Kennworts für die Verwendung der Kennwortschutzvorrichtung festzulegen. Standardmäßig müssen Kennwörter acht Zeichen lang sein.
Wenn diese Option aktiviert ist, können Nutzer ein Kennwort konfigurieren, das die definierten Anforderungen erfüllt.
Wenn Not Configured oder Disabled, gilt die standardmäßige Längenbeschränkung von acht Zeichen für Kennwörter der Betriebssystemlaufwerke und es werden keine Komplexitätsprüfungen durchgeführt.
Hinweis: Kennwörter können nicht verwendet werden, wenn FIPS-Compliance aktiviert ist.
Kennwortkomplexität für Betriebssystemlaufwerke konfigurieren Erforderlich Wenn die Option auf Erforderlich festgelegt ist, ist eine Verbindung zu einem Domänencontroller erforderlich, um die Komplexität des Kennworts zu validieren, wenn BitLocker aktiviert ist.
Wenn diese Option auf Zulassen gesetzt ist, wird versucht, eine Verbindung zu einem Domänencontroller herzustellen, um zu überprüfen, ob die Komplexität den Regeln entspricht, die von der Policy festgelegt wurden. Wenn jedoch keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der Kennwortkomplexität akzeptiert und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
Wenn die Option auf Nicht zulassen gesetzt ist, wird keine Überprüfung der Kennwortkomplexität durchgeführt.
Mindestkennwortlänge für Betriebssystemlaufwerke 8 Legt die Mindestkennwortlänge für BitLocker-geschützte Laufwerke fest
Hinweis: Die Einstellungen werden beim Einschalten von BitLocker durchgesetzt, nicht beim Entsperren eines Laufwerks. BitLocker ermöglicht das Entsperren eines Laufwerks mit einer beliebigen Schutzvorrichtung, die auf dem Laufwerk verfügbar ist.
Nur-ASCII-Kennwörter für Betriebssystemlaufwerke erforderlich Deaktiviert Wenn diese Option aktiviert ist, sind Unicode-Zeichen in der Kennworteingabeaufforderung für Betriebssystemlaufwerke nicht zulässig.
Wenn deaktiviert, werden alle Zeichen akzeptiert.
Erweitertes Startkonfigurationsdatenprofil verwenden Nicht konfiguriert (Das Ändern dieser Policy auf einen anderen Wert als "Nicht konfiguriert" kann dazu führen, dass Recovery-Aufforderungen angezeigt werden, wenn die Hyper-V-Funktion unter Windows 10 aktiviert ist). Übergeordnetes Element für die nächsten beiden Policies.
Diese Policy-Einstellung legt bestimmte BCD-Einstellungen (Boot Configuration Data) fest, die während der Plattformvalidierung überprüft werden müssen. Eine Plattformvalidierung verwendet die Daten im Plattformvalidierungsprofil, das aus PCR-Indizes (Platform Configuration Register) besteht, die zwischen 0 und 23 liegen.
Hinweis: Wenn BitLocker SecureBoot für die Plattform- und BCD-Integritätsvalidierung verwendet, wird die Gruppen-Policy-Einstellung Erweitertes Startkonfigurationsdatenprofil verwenden ignoriert.
Andere BCD-Einstellungen überprüfen (leer) Untergeordnetes Element von Erweitertes Startkonfigurationsdatenprofil verwenden.
Weitere Informationen zum Anpassen von BCD-Einstellungen finden Sie unter https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Hinweis: Die Einstellung für das Startdebugging (0x16000010) wird immer validiert und es hat keine Auswirkungen, wenn sie in der Einschluss- oder Ausschlussliste enthalten ist.
Andere BCD-Einstellungen ausschließen (leer) Untergeordnetes Element von Erweitertes Startkonfigurationsdatenprofil verwenden.
Weitere Informationen zum Anpassen von BCD-Einstellungen finden Sie unter https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Hinweis: Die Einstellung für das Startdebugging (0x16000010) wird immer validiert und es hat keine Auswirkungen, wenn sie in der Einschluss- oder Ausschlussliste enthalten ist.
TPM-Plattformvalidierungsprofil konfigurieren Deaktiviert Übergeordnetes Element von „Bestimmte TPM-Plattformeinstellungen konfigurieren“.
Wenn aktiviert, bestimmt diese Policy-Einstellung, welche Werte das TPM misst, wenn es frühe Startkomponenten validiert, bevor ein Laufwerk auf einem Computer entsperrt wird, auf dem Windows Vista, Windows Server 2008 oder Windows 7 ausgeführt wird.
Bestimmte TPM-Plattformeinstellungen konfigurieren Dell Technologies empfiehlt die Verwendung der aktuellen Standard-PCR-Indizes von Microsoft, sofern nicht anders erforderlich. Untergeordnetes Element von TPM-Plattformvalidierungsprofil konfigurieren.
Ein Plattformvalidierungsprofil besteht aus PCR-Indizes von 0 bis 23. Das standardmäßige Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an Folgendem:
  • Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0)
  • Options-ROM-Code (PCR 2)
  • Master Boot Record-(MBR-)Code (PCR 4)
  • NTFS-Startsektor (PCR 8)
  • NTFS-Startblock (PCR 9)
  • Start-Manager (PCR 10)
  • BitLocker-Zugriffskontrolle (PCR 11)
In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:
  • PCR 0: Core Root of Trust for Measurement, EFI-Start- und -Laufzeitdienste, im Computer-ROM eingebettete EFI-Treiber, statische ACPI-Tabellen, die integrierter SMM-Code sind, und BIOS-Code
  • PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten (Übergabetabellen und EFI-Variablen, die sich auf die Computerkonfiguration auswirken)
  • PCR 2: Options-ROM-Code
  • PCR 3: Options-ROM-Daten und -Konfiguration
  • PCR 4: MBR-Code (Master Boot Record) oder Code von anderen Startgeräten
  • PCR 5: MBR-Partitionstabelle (Master Boot Record) Verschiedene EFI-Variablen und die GPT-Tabelle
  • PCR 6: Statusübergangs- und Wake-Ereignisse
  • PCR 7: Computerherstellerspezifisch
  • PCR 8: NTFS-Startsektor
  • PCR 9: NTFS-Startblock
  • PCR 10: Start-Manager
  • PCR 11: BitLocker-Zugriffskontrolle
  • PCR 12-23: Für künftige Verwendung vorbehalten
    Warnung: Das Ändern des standardmäßigen Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (schädlich oder autorisiert) wird je nach Einschluss oder Ausschluss von PCRs erhöht oder verringert.
BIOS-TPM-Plattformvalidierungsprofil konfigurieren Deaktiviert Übergeordnetes Element von Bestimmte BIOS-TPM-Plattformeinstellungen konfigurieren.
Wenn auf aktiviert gesetzt, bestimmt diese Policy-Einstellung, welche Werte das TPM misst, wenn frühe Startkomponenten validiert werden, bevor ein Betriebssystemlaufwerk auf einem Computer mit einer BIOS-Konfiguration oder UEFI-Firmware entsperrt wird, auf dem das Compatibility Support Module (CSM) aktiviert ist.
Bestimmte BIOS-TPM-Plattformeinstellungen konfigurieren Dell Technologies empfiehlt die Verwendung der aktuellen Standard-PCR-Indizes von Microsoft, sofern nicht anders erforderlich. Untergeordnetes Element von TPM-Plattformvalidierungsprofil konfigurieren.
Ein Plattformvalidierungsprofil besteht aus PCR-Indizes von 0 bis 23. Das standardmäßige Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an Folgendem:
  • Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0)
  • Options-ROM-Code (PCR 2)
  • Master Boot Record-(MBR-)Code (PCR 4)
  • NTFS-Startsektor (PCR 8)
  • NTFS-Startblock (PCR 9)
  • Start-Manager (PCR 10)
  • BitLocker-Zugriffskontrolle (PCR 11)
In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:
  • PCR 0: Core Root of Trust for Measurement, EFI-Start- und -Laufzeitdienste, im Computer-ROM eingebettete EFI-Treiber, statische ACPI-Tabellen, die integrierter SMM-Code sind, und BIOS-Code
  • PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten (Übergabetabellen und EFI-Variablen, die sich auf die Computerkonfiguration auswirken)
  • PCR 2: Options-ROM-Code
  • PCR 3: Options-ROM-Daten und -Konfiguration
  • PCR 4: MBR-Code (Master Boot Record) oder Code von anderen Startgeräten
  • PCR 5: MBR-Partitionstabelle (Master Boot Record) Verschiedene EFI-Variablen und die GPT-Tabelle
  • PCR 6: Statusübergangs- und Wake-Ereignisse
  • PCR 7: Computerherstellerspezifisch
  • PCR 8: NTFS-Startsektor
  • PCR 9: NTFS-Startblock
  • PCR 10: Start-Manager
  • PCR 11: BitLocker-Zugriffskontrolle
  • PCR 12-23: Für künftige Verwendung vorbehalten
    Warnung: Das Ändern des standardmäßigen Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (schädlich oder autorisiert) wird je nach Einschluss oder Ausschluss von PCRs erhöht oder verringert.
UEFI-TPM-Plattformvalidierungsprofil konfigurieren Deaktiviert Übergeordnetes Element von Bestimmte UEFI-TPM-Plattformeinstellungen konfigurieren.
Wenn auf aktiviert gesetzt, bestimmt diese Policy-Einstellung, welche Werte das TPM misst, wenn frühe Startkomponenten validiert werden, bevor ein Betriebssystemlaufwerk auf einem Computer mit einer nativen UEFI-Firmware entsperrt wird.
Bestimmte UEFI-TPM-Plattformeinstellungen konfigurieren Dell Technologies empfiehlt die Verwendung der aktuellen Standard-PCR-Indizes von Microsoft, sofern nicht anders erforderlich. Untergeordnetes Element von TPM-Plattformvalidierungsprofil konfigurieren.
Ein Plattformvalidierungsprofil besteht aus PCR-Indizes von 0 bis 23. Das standardmäßige Plattformvalidierungsprofil schützt den Verschlüsselungsschlüssel vor Änderungen an Folgendem:
  • Core Root of Trust of Measurement (CRTM), BIOS und Plattformerweiterungen (PCR 0)
  • Options-ROM-Code (PCR 2)
  • Master Boot Record-(MBR-)Code (PCR 4)
  • NTFS-Startsektor (PCR 8)
  • NTFS-Startblock (PCR 9)
  • Start-Manager (PCR 10)
  • BitLocker-Zugriffskontrolle (PCR 11)
In der folgenden Liste sind alle verfügbaren PCRs aufgeführt:
  • PCR 0: Core Root of Trust for Measurement, EFI-Start- und -Laufzeitdienste, im Computer-ROM eingebettete EFI-Treiber, statische ACPI-Tabellen, die integrierter SMM-Code sind, und BIOS-Code
  • PCR 1: Tabellen zur Plattform- und Hauptplatinenkonfiguration und Datenübergabe sowie EFI-Variablen, die sich auf die Computerkonfiguration auswirken)
  • PCR 2: Options-ROM-Code
  • PCR 3: Options-ROM-Daten und -Konfiguration
  • PCR 4: MBR-Code (Master Boot Record) oder Code von anderen Startgeräten
  • PCR 5: MBR-Partitionstabelle (Master Boot Record) Verschiedene EFI-Variablen und die GPT-Tabelle
  • PCR 6: Statusübergangs- und Wake-Ereignisse
  • PCR 7: Computerherstellerspezifisch
  • PCR 8: NTFS-Startsektor
  • PCR 9: NTFS-Startblock
  • PCR 10: Start-Manager
  • PCR 11: BitLocker-Zugriffskontrolle
  • PCR 12-23: Für künftige Verwendung vorbehalten
    Warnung: Das Ändern des standardmäßigen Plattformvalidierungsprofils wirkt sich auf die Sicherheit und Verwaltbarkeit Ihres Computers aus. Die Empfindlichkeit von BitLocker gegenüber Plattformänderungen (schädlich oder autorisiert) wird je nach Einschluss oder Ausschluss von PCRs erhöht oder verringert.
     
    Hinweis: Die PCR-Standardeinstellungen des TPM-Validierungsprofils für Computer, die ein Extensible Firmware Interface (EFI) verwenden, sind nur die PCRs 0, 2, 4 und 11.
Einstellungen für Wechselspeichermedien
Zulassen, dass Nutzer den BitLocker-Schutz auf Wechseldatenträger anwenden Enabled Wenn diese Option aktiviert ist, kann der Nutzer BitLocker aktivieren, um Wechseldatenträger zu schützen.
Wenn diese Option deaktiviert ist, steuert die Policy Wechseldatenträger verschlüsseln , wann BitLocker Wechseldatenträger schützt.
Zulassen, dass Nutzer den BitLocker-Schutz auf Wechseldatenträgern aussetzen und entschlüsseln Enabled Wenn diese Option aktiviert ist, kann der Nutzer BitLocker vom Laufwerk entfernen oder die Verschlüsselung während der Durchführung von Wartungsarbeiten aussetzen.
Wenn diese Option deaktiviert ist, steuert die Policy Wechseldatenträger verschlüsseln , wann BitLocker Wechseldatenträger schützt.
Verwendung von Smart Cards auf Wechseldatenträgern konfigurieren Nicht gestatten Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn diese Option auf Nicht zulassen gesetzt ist, ist sie nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
Schreibzugriff auf Wechseldatenträger, die nicht durch BitLocker geschützt sind, verweigern Deaktiviert Diese Richtlinieneinstellung wird verwendet, um festzulegen, dass Wechseldatenträger verschlüsselt werden müssen, bevor Schreibzugriff gewährt wird, und um zu steuern, ob mit BitLocker geschützte Wechseldatenträger, die in einer anderen Organisation konfiguriert wurden, mit Schreibzugriff geöffnet werden können.
Wenn diese Option aktiviert ist, lassen Geräte, die nicht durch BitLocker geschützt sind, nicht zu, dass Daten auf die Festplatte geschrieben werden, obwohl Daten gelesen werden können.
Wenn diese Option deaktiviert ist, lassen Geräte, die nicht durch BitLocker geschützt sind, das Lesen und Schreiben von Daten zu.
Zugriff auf von BitLocker geschützte Wechseldatenträger durch frühere Versionen von Windows zulassen Enabled Wenn diese Option auf Aktiviert gesetzt ist, können Datenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, auf Computern mit Windows Server 2008, Windows Vista, Windows XP mit SP3 oder Windows XP mit SP2 entsperrt und ihre Inhalte angezeigt werden. Diese Betriebssysteme haben schreibgeschützten Zugriff auf BitLocker-geschützte Laufwerke.
Wenn die Option auf Deaktiviert gesetzt ist, können Datenlaufwerke, die mit dem FAT-Dateisystem formatiert sind, nicht auf Computern entsperrt werden, auf denen frühere Versionen von Windows ausgeführt werden.
BitLocker to Go Reader nicht auf FAT-formatierten Wechseldatenträgern installieren Deaktiviert Wenn diese Option ausgewählt ist, wird verhindert, dass der BitLocker To Go Reader installiert wird, sodass Nutzer mit Geräten, auf denen ältere Windows-Versionen ausgeführt werden, nicht auf geschützte BitLocker-Laufwerke zugreifen können.
Verwendung von Kennwörtern für Wechseldatenträger konfigurieren Zulassen Wenn diese Option auf Erforderlich festgelegt ist, ist dies die einzige Option für Endnutzer. Dem Endnutzer wird auf einem Endpunkt keine Eingabeaufforderung angezeigt.
Wenn diese Option auf Zulassen gesetzt ist, aktivieren Sie diese Einstellung als auswählbare Option für Endnutzer. Wenn mehrere Elemente auf "Zulassen" festgelegt sind, wird dem Endnutzer ein Auswahlfeld angezeigt, in dem er seine Auswahl treffen kann.
Wenn die Option auf Nicht zulassen gesetzt ist, ist diese Option nicht verfügbar und kann weder in der Benutzeroberfläche von Dell Encryption noch in den Windows-Einstellungen ausgewählt werden.
Kennwortkomplexität für Wechseldatenträger konfigurieren Erforderlich Wenn die Option auf Erforderlich festgelegt ist, ist eine Verbindung zu einem Domänencontroller erforderlich, um die Komplexität des Kennworts zu validieren, wenn BitLocker aktiviert ist.
Wenn diese Option auf Zulassen gesetzt ist, wird versucht, eine Verbindung zu einem Domänencontroller herzustellen, um zu überprüfen, ob die Komplexität den Regeln entspricht, die von der Policy festgelegt wurden. Wenn jedoch keine Domänencontroller gefunden werden, wird das Kennwort unabhängig von der Kennwortkomplexität akzeptiert und das Laufwerk wird mit diesem Kennwort als Schutzvorrichtung verschlüsselt.
Wenn die Option auf Nicht zulassen gesetzt ist, wird keine Überprüfung der Kennwortkomplexität durchgeführt.
Mindestkennwortlänge für Wechseldatenträger 8 Legt die Mindestlänge für Kennwörter für BitLocker-geschützte Volumes fest (diese Einstellung erfordert, dass Verwendung von Kennwörtern für Wechseldatenträger konfigurieren entweder auf Erforderlich oder Zulassen gesetzt ist)
Verschlüsselungstyp für Wechseldatenträger Vollständige Verschlüsselung Diese Policy steuert, ob Datenlaufwerke die Verschlüsselung für Nur verwendeter Speicherplatz oder die Vollständige Verschlüsselung verwenden. Nur verwendeter Speicherplatz ist für virtuelle Maschinen erforderlich, die von BitLocker geschützt werden.
Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen Deaktiviert Übergeordnetes Element für die nächsten sieben Policies.
Wenn diese Option aktiviert ist, ermöglicht sie die Konfiguration zusätzlicher Recovery-Optionen.
Wenn diese Option deaktiviert ist, ist die Recovery nur über den Dell Security Management Server oder Dell Security Management Server Virtual verfügbar.
Data Recovery-Agent für geschützte Wechseldatenträger zulassen Enabled Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen.
Das Kontrollkästchen Data Recovery-Agent zulassen wird verwendet, um anzugeben, ob ein Data Recovery-Agent mit BitLocker-geschützten Laufwerken verwendet werden kann. Bevor ein Data Recovery-Agent verwendet werden kann, muss er über die Policies für öffentliche Schlüssel hinzugefügt werden, die sich in der Gruppen-Policy-Managementkonsole (GPMC) oder im Editor für lokale Gruppen-Policies befinden.
Weitere Informationen dazu, wie ein Data Recovery-Agent verwendet werden kann, um ein mit BitLocker geschütztes Gerät wiederherzustellen, finden Sie unter: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Nutzer-Storage des 48-stelligen BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf „Nicht zulassen“ gesetzt ist, ist die Recovery eines durch BitLocker geschützten Laufwerks möglicherweise nicht möglich.
Nutzer-Storage des 256-Bit-BitLocker-Recovery-Kennworts konfigurieren Zulassen Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen.
Wenn die Option auf Erforderlich gesetzt ist, wird die Erzeugung von BitLocker-Recovery-Informationen erzwungen und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Zulassen gesetzt ist, werden BitLocker-Recovery-Informationen automatisch erzeugt und für Geräteadministratoren zugänglich gemacht.
Wenn die Option auf Nicht zulassen gesetzt ist, werden keine BitLocker-Recovery-Informationen erstellt.
Hinweis: Wenn die Option auf „Nicht zulassen“ gesetzt ist, ist die Recovery eines durch BitLocker geschützten Laufwerks möglicherweise nicht möglich.
Recovery-Optionen für Wechseldatenträger über den BitLocker-Setup-Assistenten weglassen Deaktiviert Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen.
Wählen Sie Recovery-Optionen über den BitLocker-Setup-Assistenten weglassen aus, um zu verhindern, dass Nutzer Recovery-Optionen festlegen, wenn sie BitLocker auf einem Laufwerk aktivieren. Wenn diese Option aktiviert ist, bestimmt die Policy-Einstellung die BitLocker-Recovery-Optionen für das Laufwerk.
BitLocker-Recovery-Informationen für Wechseldatenträger in AD DS speichern Enabled Untergeordnetes Element der Policy Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen.
Übergeordnetes Element für die nächsten beiden Policies.
BitLocker-Recovery-Informationen in Active Directory Domain Services speichern Wählen Sie aus, welche BitLocker-Recovery-Informationen in Active Directory Domain Services (AD DS) gespeichert werden sollen.
BitLocker-Recovery-Informationen, die für Wechseldatenträger in AD DS gespeichert werden sollen Recovery-Kennwörter und Schlüsselpakete Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für Wechseldatenträger in AD DS speichern.
Recovery-Kennwort und Schlüsselpakete, das BitLocker-Recovery-Kennwort und das Schlüsselpaket werden in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Recovery von Daten von einem Laufwerk, das physisch beschädigt ist. Wenn Sie „Nur Recovery-Kennwort“ auswählen, wird nur das Recovery-Kennwort in AD DS gespeichert.
BitLocker erst aktivieren, wenn die Recovery-Informationen für Wechseldatenträger in AD DS gespeichert worden sind Deaktiviert Untergeordnetes Element der Policies Auswählen, wie mit BitLocker geschützte Wechseldatenträger wiederhergestellt werden sollen und BitLocker-Recovery-Informationen für Wechseldatenträger in AD DS speichern.
Aktivieren Sie das Kontrollkästchen BitLocker erst aktivieren, wenn die Recovery-Informationen für Wechseldatenträger in AD DS gespeichert worden sind, wenn Sie verhindern möchten, dass Nutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden ist und das Backup der BitLocker-Recovery-Informationen auf AD DS erfolgreich war.
Verwendung von hardwarebasierter Verschlüsselung für Wechseldatenträger konfigurieren Enabled Übergeordnetes Element für die nächsten vier Policies.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Hardwarebasierte Verschlüsselung für Wechseldatenträger verwenden Enabled Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Wechseldatenträger konfigurieren.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Softwarebasierte BitLocker-Verschlüsselung auf Wechseldatenträgern verwenden, wenn keine Hardwareverschlüsselung verfügbar ist Enabled Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Wechseldatenträger konfigurieren.
Diese Policy steuert, wie BitLocker auf Computer reagiert, die mit verschlüsselten Laufwerken ausgestattet sind, wenn sie als Datenvolumes verwendet werden. Die Verwendung hardwarebasierter Verschlüsselung kann die Leistung von Laufwerksvorgängen verbessern, die häufiges Lesen oder Schreiben von Daten auf das Laufwerk beinhalten.
Hinweis: Die Policy-Einstellung Laufwerksverschlüsselungsmethode und Chiffrenstärke auswählen gilt nicht für die hardwarebasierte Verschlüsselung. Wenn diese Policy auf Laufwerken mit älterer Firmware aktiviert ist, kann auch eine Exposition für verschiedene CVEs entstehen, die beschrieben sind unter: https://www.kb.cert.org/vuls/id/395981/ Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf Wechseldatenträgern zulässig sind Deaktiviert Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Wechseldatenträger konfigurieren.
Mit der Option Einschränken, welche Verschlüsselungsalgorithmen und Chiffrensammlungen für hardwarebasierte Verschlüsselung auf festen Datenlaufwerken zulässig sind können Sie die Verschlüsselungsalgorithmen einschränken, die BitLocker für die hardwarebasierte Verschlüsselung verwenden kann. Wenn der für das Laufwerk festgelegte Algorithmus nicht verfügbar ist, deaktiviert BitLocker die Verwendung der hardwarebasierten Verschlüsselung.
Bestimmte Verschlüsselungsalgorithmen und Chiffresammlungen-Einstellungen auf Wechseldatenträgern konfigurieren 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Untergeordnetes Element der Policy Verwendung von hardwarebasierter Verschlüsselung für Wechseldatenträger konfigurieren.
Verschlüsselungsalgorithmen werden durch Objektkennungen (OID) angegeben und durch Kommas getrennt.
Beispiel-OIDs für Verschlüsselungschiffren:
  • OID für Advanced Encryption Standard (AES) 128 im CBC-Modus (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • OID für AES 256 im CBC-Modus: 2.16.840.1.101.3.4.1.42
Hinweis: Weitere Informationen zu diesen Policies finden Sie im Microsoft BitLocker-Policy-Leitfadenhttps://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies..

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.