Erstellung einer BitLocker-Richtlinie
Inhaltsverzeichnis
Die Datenverschlüsselung ist für die Sicherheit von Unternehmensnetzwerken von entscheidender Bedeutung. Die Verwaltung der BitLocker-Verschlüsselung über mehrere Geräte hinweg ist eine Herausforderung, aber das BitLocker-Modul von Endpoint Central bietet eine optimierte Lösung zur Absicherung von Laufwerken.
Mit dem Modul BitLocker Management können Sie maßgeschneiderte Verschlüsselungsrichtlinien zum Schutz von Netzwerkgeräten erstellen. Sie können zwischen vollständiger Laufwerksverschlüsselung, Betriebssystemlaufwerksverschlüsselung oder Verschlüsselung des belegten Speicherplatzes wählen, um den Datenschutz entsprechend den Anforderungen einzelner Geräte zu optimieren. Das Modul unterstützt Geräte mit und ohne TPM zur Authentifizierung und bietet eine granulare Kontrolle über Verschlüsselungsalgorithmen. Spezifische Optionen stehen für Windows 10 und höher sowie für Windows 8.1 und frühere Systeme zur Verfügung. Dieses Dokument führt Sie durch die Erstellung und Konfiguration dieser Verschlüsselungseinstellungen.
Verschlüsselung oder Entschlüsselung durchführen
Sie können Verschlüsselungs- oder Entschlüsselungsvorgänge für Endpunkte mithilfe von BitLocker-Richtlinien umsetzen.
- Navigieren Sie im Endpoint Central-Konsolenfenster zum BitLocker-Modul → Richtlinienerstellung → Richtlinie erstellen
- Geben Sie Ihrer Richtlinie einen Namen und fügen Sie bei Bedarf eine Beschreibung hinzu
- Schalten Sie die Option Laufwerksverschlüsselung um. Wenn diese aktiviert ist, wird die Laufwerksverschlüsselung umgesetzt; wenn sie deaktiviert ist, wird bei der Bereitstellung der Richtlinie die Entschlüsselung durchgeführt.
Verschlüsselungseinstellungen
BitLocker-Richtlinien schützen Geräte durch eine robuste Authentifizierung, die davon abhängt, ob der Computer über ein Trusted Platform Module (TPM) verfügt. Sie können die Laufwerksverschlüsselung durch die Kombination verschiedener Verfahren optimieren: vollständige Laufwerksverschlüsselung, Betriebssystemlaufwerksverschlüsselung oder Verschlüsselung des belegten Speicherplatzes. Für zusätzliche Flexibilität sind die Verschlüsselungsoptionen sowohl für Windows 10 und höher als auch für Windows 8.1 und frühere Systeme angepasst.
Authentifizierungstyp für Computer mit TPM
Die Authentifizierung für Computer mit TPM kann durch Auswahl einer der drei im Bild gezeigten Optionen aktiviert werden.
- Nur TPM: Laufwerke werden mit TPM-Authentifizierung entsperrt; es ist keine Benutzereingabe erforderlich.
- TPM und PIN: Auf die TPM-Authentifizierung folgt eine PIN-Authentifizierung (die PIN darf nur Ziffern enthalten und maximal 6 bis 20 Zeichen lang sein), die beim Start eingegeben werden muss.
- TPM und Erweiterte PIN: Auf die TPM-Authentifizierung folgt eine Authentifizierung mit Erweiterter PIN (die Erweiterte PIN muss 6 bis 20 Zeichen umfassen, einschließlich alphanumerischer und Sonderzeichen), die beim Start eingegeben werden muss.
Authentifizierungstyp für Computer ohne TPM
Für Computer ohne TPM wird die Authentifizierung nur mit einer Passphrase aktiviert, wobei der Benutzer aufgefordert wird, diese beim Start einzugeben.
Sie können die Laufwerksverschlüsselung mit den von BitLocker-Richtlinien bereitgestellten Einstellungen optimieren. Sie können Richtlinien anwenden, indem Sie die folgenden drei Verschlüsselungsverfahren kombinieren:
- Vollständige Verschlüsselung von Laufwerken
- Verschlüsselung von Betriebssystemlaufwerken
- Verschlüsselung des belegten Speicherplatzes auf Ihren Laufwerken
Vollständige Verschlüsselung von Laufwerken
Um alle Laufwerke und Speicherbereiche zu verschlüsseln, aktivieren Sie nur die Einstellung Laufwerksverschlüsselung. Stellen Sie sicher, dass die Optionen Nur Betriebssystemlaufwerk verschlüsseln und Nur belegten Speicherplatz verschlüsseln deaktiviert sind.
Verschlüsselung von Betriebssystemlaufwerken
Um nur das Betriebssystemlaufwerk zu verschlüsseln, aktivieren Sie in den Verschlüsselungseinstellungen die Option Nur Betriebssystemlaufwerk verschlüsseln. Dadurch wird nur das Betriebssystemlaufwerk verschlüsselt, während alle anderen Datenlaufwerke unverschlüsselt bleiben.
Verschlüsselung des belegten Speicherplatzes auf Laufwerken
Um nur den belegten Speicherplatz zu verschlüsseln, aktivieren Sie in den Verschlüsselungseinstellungen die Option Nur belegten Speicherplatz verschlüsseln. Dadurch wird nur der belegte Speicherplatz auf Ihren Laufwerken verschlüsselt, während der freie Speicherplatz unverschlüsselt bleibt.
Verschlüsselungsalgorithmen
BitLocker bietet Einstellungen zur Verschlüsselung von Computern mit verschiedenen Algorithmen. Für Windows 10 und höher sowie für Windows 8.1 und niedriger stehen unterschiedliche Algorithmen zur Verfügung. Die Standardmethode basiert auf dem zuvor konfigurierten Gruppenrichtlinienobjekt (GPO) oder auf der Verschlüsselungsmethode, die dem Betriebssystem Ihres Systems zugeordnet ist.
Verschlüsselungsalgorithmen für Computer mit Windows 10 und höher
Zu den verfügbaren Algorithmen gehören AES_128, AES_256, XTS_AES_128 und XTS_AES_256. Für eine optimale Leistung verwenden Sie die Standardverschlüsselung von Microsoft. Für Compliance-Anforderungen stehen stärkere Optionen zur Verfügung, beachten Sie jedoch, dass diese Ihren Computer verlangsamen können.
Verschlüsselungsmethode für Computer mit Windows 8.1 und niedriger
Zu den verfügbaren Algorithmen gehören AES_128 und AES_256. Für eine optimale Leistung verwenden Sie die Standardverschlüsselung von Microsoft. Für Compliance-Anforderungen stehen stärkere Optionen zur Verfügung, beachten Sie jedoch, dass diese Ihren Computer verlangsamen können.
Passworteinstellungen
- Benutzern erlauben, die Passwortanforderung zu überspringen: Mit dieser Option können Administratoren einen bestimmten Zeitraum festlegen, in dem Benutzer die Passwortabfrage durch Klicken auf „Abbrechen“ überspringen können.
Nach diesem Zeitraum wird die Schaltfläche „Abbrechen“ deaktiviert, sodass ein BitLocker-Passwort erstellt werden muss, um sicherzustellen, dass alle Systeme verschlüsselt bleiben und den Vorgaben entsprechen.
- Sofort erzwingen: Diese Option verlangt von Benutzern, sofort ein Passwort festzulegen, und erlaubt es ihnen nicht, das Fenster „Passwort erstellen“ abzubrechen oder zu schließen, bis der Vorgang abgeschlossen ist.
Erweiterte Einstellungen
BitLocker-Richtlinien enthalten auch erweiterte Einstellungen zum Verschieben der Verschlüsselung, zum Konfigurieren von Wiederherstellungsschlüssel-Updates und zum Festlegen eines Rotationszeitraums.
- Wiederherstellungsschlüssel auf Domänencontroller aktualisieren: Aktivieren Sie diese Option, um einen neuen Wiederherstellungsschlüssel auf den Domänencontroller zu aktualisieren und sicherzustellen, dass eine konsolidierte Liste der Wiederherstellungsschlüssel in Active Directory gepflegt wird. Wenn diese Option deaktiviert ist, sind Wiederherstellungsschlüssel nur auf dem Produktserver verfügbar.
- Periodische Rotation des Wiederherstellungsschlüssels zulassen: Aktivieren Sie diese Option, um einen Rotationszeitraum für den Wiederherstellungsschlüssel festzulegen. Es wird empfohlen, als zusätzliche Sicherheitsmaßnahme einen Rotationszeitraum festzulegen, nach dem alte Wiederherstellungsschlüssel durch neue ersetzt werden. Neue Wiederherstellungsschlüssel ersetzen die alten automatisch nach der angegebenen Anzahl von Tagen.
Um Wiederherstellungsschlüssel zurückzusetzen, die bereits verwendet wurden, ändern Sie die bereitgestellte BitLocker-Richtlinie und aktivieren Sie diese Einstellung. Geben Sie einen Rotationszeitraum von sieben Tagen an. Dadurch wird die automatische Generierung neuer Wiederherstellungsschlüssel alle sieben Tage eingeleitet, beginnend mit dem Wirksamwerden der Richtlinienänderung.
Sobald Sie die Einstellungen konfiguriert haben, können Sie sie als Entwurf speichern oder direkt veröffentlichen. Die erstellte Richtlinie kann in der Richtlinienliste auf der Registerkarte Richtlinienerstellung angezeigt werden.
Falls Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt Häufig gestellte Fragen für weitere Informationen.
