Einstellungen für die Verschlüsselung des Betriebssystemlaufwerks

Mit dieser Richtlinie können Sie festlegen, ob das Betriebssystemlaufwerk verschlüsselt werden muss.

Falls Sie TPM + PIN-Schutz verwenden und zusätzliche Sicherheit benötigen, können Sie die folgenden Richtlinien unter System/Energieverwaltung/Energiesparmoduseinstellungen deaktivieren:
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Eingesteckt)
Energiesparzustände erlauben (S1-S3) Im Ruhezustand (Im Batteriebetrieb)

Falls Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen" (unterstützt unter Windows 8 und neueren Versionen). In diesem Modus wird für den Computerstart ein Kennwort benötigt. Falls Sie das Kennwort vergessen, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können beim Start zwei Authentifizierungsmethoden verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten zu bieten. Beim Start des Computers kann entweder nur das TPM für die Authentifizierung erforderlich sein, oder es muss zusätzlich eine 4- bis 20-stellige persönliche Identifikationsnummer (PIN) eingegeben werden,.

Wenn Sie diese Richtlinieneinstellung aktivieren, müssen die Benutzer das Betriebssystemlaufwerk mit BitLocker schützen, und das Laufwerk wird verschlüsselt.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können die Benutzer das Betriebssystemlaufwerk nicht mit BitLocker schützen. Wenn Sie diese Richtlinie nach der Verschlüsselung des Betriebssystemlaufwerks übernehmen, wird das Laufwerk entschlüsselt.

Wenn Sie diese Richtlinie nicht konfigurieren, muss das Betriebssystemlaufwerk nicht mit BitLocker geschützt werden.

Unterstützt auf: Mindestens Windows 7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
Value NameShouldEncryptOSDrive
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

BitLocker ohne kompatibles TPM zulassen (Kennwort erforderlich)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Schutzkomponente für Betriebssystemlaufwerk auswählen:


  1. Nur TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value1
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2
  2. TPM und PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value4
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2

Einstellungen für Computer mit einem TPM:

Minimale PIN-Länge für Systemstart konfigurieren

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameMinimumPIN
Value TypeREG_DWORD
Default Value4
Min Value4
Max Value20

bitlockermanagement.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)