Festlegen, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden können


Mit dieser Richtlinieneinstellung können Sie steuern, wie BitLocker-geschützte Wechseldatenträger wiederhergestellt werden, falls die erforderlichen Anmeldeinformationen nicht verfügbar sind. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.

Über das Kontrollkästchen "Datenwiederherstellungs-Agents zulassen" geben Sie an, ob für BitLocker-geschützte Wechseldatenträger ein Datenwiederherstellungs-Agent verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus dem Element "Richtlinien öffentlicher Schlüssel" entweder in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch für die BitLocker-Laufwerkverschlüsselung (auf Englisch) in Microsoft TechNet.

Wählen Sie unter "Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, müssen oder nicht dürfen.

Wählen Sie "Wiederherstellungsoptionen aus BitLocker-Setup-Assistent unterdrücken", um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker für ein Laufwerk aktivieren. In diesem Fall können Sie bei der Aktivierung von BitLocker nicht angeben, welche Wiederherstellungsoption verwendet werden soll, da die BitLocker-Wiederherstellungsoptionen für das Laufwerk stattdessen durch die Richtlinieneinstellung bestimmt werden.

Wählen Sie unter "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern" aus, welche BitLocker-Wiederherstellungsinformationen für Wechseldatenträger in AD DS gespeichert werden sollen. Bei Auswahl von "Wiederherstellungskennwort und Schlüsselpaket sichern" werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Bei Auswahl von "Nur Wiederherstellungskennwort sichern" wird ausschließlich das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Wechseldatenträger in AD DS gespeichert wurden", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, bevor der Computer mit der Domäne verbunden und BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden.

Hinweis: Wenn das Kontrollkästchen "BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie steuern, welche Möglichkeiten Benutzern zum Wiederherstellen von Daten auf BitLocker-geschützten Wechseldatenträgern zur Verfügung stehen.

Wenn diese Richtlinieneinstellung nicht konfiguriert oder deaktiviert wird, werden die standardmäßigen Wiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Ein DRA ist standardmäßig zulässig, die Wiederherstellungsoptionen, einschließlich Wiederherstellungskennwort und Wiederherstellungsschlüssel, können vom Benutzer festgelegt werden, und Wiederherstellungsinformationen werden nicht in AD DS gesichert

Unterstützt auf: Mindestens Windows 7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Datenwiederherstellungs-Agents zulassen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVManageDRA
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:




  1. 48-stelliges Wiederherstellungskennwort zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryPassword
    Value TypeREG_DWORD
    Value2
  2. 48-stelliges Wiederherstellungskennwort erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryPassword
    Value TypeREG_DWORD
    Value1




  1. 256-Bit-Wiederherstellungsschlüssel zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value2
  2. 256-Bit-Wiederherstellungsschlüssel erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value1
  3. 256-Bit-Wiederherstellungsschlüssel nicht zulassen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value0

Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVHideRecoveryPage
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
BitLocker-Wiederherstellungsinformationen für Wechseldatenträger in AD DS speichern
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:


  1. Wiederherstellungskennwörter und Schlüsselpakete sichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. Nur Wiederherstellungskennwörter sichern
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Wechseldatenträger in AD DS gespeichert wurden
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)