Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können

Mit dieser Richtlinieneinstellung können Sie steuern, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden, falls die erforderlichen Anmeldeinformationen nicht verfügbar sind. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Über das Kontrollkästchen "Datenwiederherstellungs-Agents zulassen" geben Sie an, ob für BitLocker-geschützte Festplattenlaufwerke ein Datenwiederherstellungs-Agent verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus dem Element "Richtlinien öffentlicher Schlüssel" entweder in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung (auf Englisch) in Microsoft TechNet.

Wählen Sie "Wiederherstellungsoptionen aus BitLocker-Setup-Assistent unterdrücken", um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. In diesem Fall können Sie bei der Aktivierung von BitLocker nicht angeben, welche Wiederherstellungsoption verwendet werden soll, da die BitLocker-Wiederherstellungsoptionen für das Laufwerk stattdessen durch die Richtlinieneinstellung bestimmt werden.

Wählen Sie unter "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern" aus, welche BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert werden sollen. Bei Auswahl von "Wiederherstellungskennwort und Schlüsselpaket sichern" werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Durch die Speicherung des Schlüsselpakets können Daten von einem physikalisch beschädigten Laufwerk wiederhergestellt werden. Bei Auswahl von "Nur Wiederherstellungskennwort sichern" wird ausschließlich das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden und BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden.

Hinweis: Wenn das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie steuern, welche Möglichkeiten Benutzern zum Wiederherstellen von Daten auf BitLocker-geschützten Festplattenlaufwerken zur Verfügung stehen.

Wenn diese Richtlinieneinstellung nicht konfiguriert oder deaktiviert wird, werden die standardmäßigen Wiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Ein DRA ist standardmäßig zulässig, die Wiederherstellungsoptionen, einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel, können vom Benutzer festgelegt werden, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Bei Verwendung der "Bitlocker Management-Lösung" werden die Wiederherstellungsinformationen in dem Server gespeichert, der in der Serverstandort-Richtlinie in der Datenwiederherstellungskategorie konfiguriert wurde.

Unterstützt auf: Mindestens Windows 7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameFDVRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Datenwiederherstellungs-Agents zulassen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameFDVManageDRA
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Bei Verwendung von BitLocker Management Solution muss die Option "BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern" deaktiviert sein.

Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameFDVHideRecoveryPage
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameFDVActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:


  1. Wiederherstellungskennwörter und Schlüsselpakete sichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameFDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. Nur Wiederherstellungskennwörter sichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameFDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameFDVRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)