# Erstellung einer BitLocker-Richtlinie

## Inhaltsverzeichnis

- [Verschlüsselung & Entschlüsselung durchführen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#encrypt)
- [Verschlüsselungseinstellungen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#settings)
- [Betriebssystemlaufwerksverschlüsselung](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#osdrive)
- [Verschlüsselung des belegten Speicherplatzes](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#useddata)
- [Verschlüsselungsalgorithmen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html#algorithms)

Die Datenverschlüsselung ist für die Sicherheit von Unternehmensnetzwerken von entscheidender Bedeutung. Die Verwaltung der BitLocker-Verschlüsselung über mehrere Geräte hinweg ist eine Herausforderung, aber das BitLocker-Modul von Endpoint Central bietet eine optimierte Lösung zur Absicherung von Laufwerken.

Mit dem Modul [BitLocker Management](https://www.manageengine.com/products/desktop-central/bitlocker-management.html) können Sie maßgeschneiderte Verschlüsselungsrichtlinien zum Schutz von Netzwerkgeräten erstellen. Sie können zwischen vollständiger Laufwerksverschlüsselung, Betriebssystemlaufwerksverschlüsselung oder Verschlüsselung des belegten Speicherplatzes wählen, um den Datenschutz entsprechend den Anforderungen einzelner Geräte zu optimieren. Das Modul unterstützt Geräte mit und ohne TPM zur Authentifizierung und bietet eine granulare Kontrolle über Verschlüsselungsalgorithmen. Spezifische Optionen stehen für Windows 10 und höher sowie für Windows 8.1 und frühere Systeme zur Verfügung. Dieses Dokument führt Sie durch die Erstellung und Konfiguration dieser Verschlüsselungseinstellungen.

## Verschlüsselung oder Entschlüsselung durchführen

Sie können Verschlüsselungs- oder Entschlüsselungsvorgänge für Endpunkte mithilfe von BitLocker-Richtlinien umsetzen.

**Hinweis:** Halten Sie vor der Bereitstellung einer Verschlüsselungsrichtlinie die BitLocker-[Voraussetzungen für die Verschlüsselung](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-pre-requisites.html) ein.

1. Navigieren Sie im Endpoint Central-Konsolenfenster zum BitLocker-Modul → Richtlinienerstellung → Richtlinie erstellen
2. Geben Sie Ihrer Richtlinie einen Namen und fügen Sie bei Bedarf eine Beschreibung hinzu
3. Schalten Sie die Option Laufwerksverschlüsselung um. Wenn diese aktiviert ist, wird die Laufwerksverschlüsselung umgesetzt; wenn sie deaktiviert ist, wird bei der Bereitstellung der Richtlinie die Entschlüsselung durchgeführt.

![Erstellung einer BitLocker-Richtlinie](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/bitlocker-management/create-bitlocker-policy.gif)

## Verschlüsselungseinstellungen

BitLocker-Richtlinien schützen Geräte durch eine robuste Authentifizierung, die davon abhängt, ob der Computer über ein Trusted Platform Module (TPM) verfügt. Sie können die Laufwerksverschlüsselung durch die Kombination verschiedener Verfahren optimieren: vollständige Laufwerksverschlüsselung, Betriebssystemlaufwerksverschlüsselung oder Verschlüsselung des belegten Speicherplatzes. Für zusätzliche Flexibilität sind die Verschlüsselungsoptionen sowohl für Windows 10 und höher als auch für Windows 8.1 und frühere Systeme angepasst.

### Authentifizierungstyp für Computer mit TPM

Die Authentifizierung für Computer mit TPM kann durch Auswahl einer der drei im Bild gezeigten Optionen aktiviert werden.

![Authentifizierungstyp für Computer mit TPM](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/bitlocker-management/create-bitlocker-policy-1.gif)

- **Nur TPM**: Laufwerke werden mit TPM-Authentifizierung entsperrt; es ist keine Benutzereingabe erforderlich.
- **TPM und PIN**: Auf die TPM-Authentifizierung folgt eine PIN-Authentifizierung (die PIN darf nur Ziffern enthalten und maximal 6 bis 20 Zeichen lang sein), die beim Start eingegeben werden muss.
- **TPM und Erweiterte PIN**: Auf die TPM-Authentifizierung folgt eine Authentifizierung mit Erweiterter PIN (die Erweiterte PIN muss 6 bis 20 Zeichen umfassen, einschließlich alphanumerischer und Sonderzeichen), die beim Start eingegeben werden muss.

### Authentifizierungstyp für Computer ohne TPM

![Authentifizierungstyp für Computer ohne TPM](https://www.manageengine.com/products/desktop-central/images/Bitlocker-howto3.png)

Für Computer ohne TPM wird die Authentifizierung nur mit einer Passphrase aktiviert, wobei der Benutzer aufgefordert wird, diese beim Start einzugeben.

Sie können die Laufwerksverschlüsselung mit den von BitLocker-Richtlinien bereitgestellten Einstellungen optimieren. Sie können Richtlinien anwenden, indem Sie die folgenden drei Verschlüsselungsverfahren kombinieren:

- Vollständige Verschlüsselung von Laufwerken
- Verschlüsselung von Betriebssystemlaufwerken
- Verschlüsselung des belegten Speicherplatzes auf Ihren Laufwerken

### Vollständige Verschlüsselung von Laufwerken

Um alle Laufwerke und Speicherbereiche zu verschlüsseln, aktivieren Sie nur die Einstellung **Laufwerksverschlüsselung**. Stellen Sie sicher, dass die Optionen **Nur Betriebssystemlaufwerk verschlüsseln** und **Nur belegten Speicherplatz verschlüsseln** deaktiviert sind.

![Laufwerksverschlüsselung](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto4.png)

### Verschlüsselung von Betriebssystemlaufwerken

Um nur das Betriebssystemlaufwerk zu verschlüsseln, aktivieren Sie in den Verschlüsselungseinstellungen die Option **Nur Betriebssystemlaufwerk verschlüsseln**. Dadurch wird nur das Betriebssystemlaufwerk verschlüsselt, während alle anderen Datenlaufwerke unverschlüsselt bleiben.

![Betriebssystemlaufwerksverschlüsselung](https://www.manageengine.com/products/desktop-central/images/bitlocker-how-to5.png)

### Verschlüsselung des belegten Speicherplatzes auf Laufwerken

Um nur den belegten Speicherplatz zu verschlüsseln, aktivieren Sie in den Verschlüsselungseinstellungen die Option **Nur belegten Speicherplatz verschlüsseln**. Dadurch wird nur der belegte Speicherplatz auf Ihren Laufwerken verschlüsselt, während der freie Speicherplatz unverschlüsselt bleibt.

![Verschlüsselung des belegten Speicherplatzes auf Laufwerken](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto6.png)

## Verschlüsselungsalgorithmen

BitLocker bietet Einstellungen zur Verschlüsselung von Computern mit verschiedenen Algorithmen. Für Windows 10 und höher sowie für Windows 8.1 und niedriger stehen unterschiedliche Algorithmen zur Verfügung. Die Standardmethode basiert auf dem zuvor konfigurierten Gruppenrichtlinienobjekt (GPO) oder auf der Verschlüsselungsmethode, die dem Betriebssystem Ihres Systems zugeordnet ist.

### Verschlüsselungsalgorithmen für Computer mit Windows 10 und höher

Zu den verfügbaren Algorithmen gehören AES_128, AES_256, XTS_AES_128 und XTS_AES_256. Für eine optimale Leistung verwenden Sie die Standardverschlüsselung von Microsoft. Für Compliance-Anforderungen stehen stärkere Optionen zur Verfügung, beachten Sie jedoch, dass diese Ihren Computer verlangsamen können.

![Verschlüsselung für Windows 10 und höher](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/bitlocker-management/create-bitlocker-policy-2.gif)

### Verschlüsselungsmethode für Computer mit Windows 8.1 und niedriger

Zu den verfügbaren Algorithmen gehören AES_128 und AES_256. Für eine optimale Leistung verwenden Sie die Standardverschlüsselung von Microsoft. Für Compliance-Anforderungen stehen stärkere Optionen zur Verfügung, beachten Sie jedoch, dass diese Ihren Computer verlangsamen können.

![Verschlüsselung für Windows 8.1 und niedriger](https://cdn.manageengine.com/sites/meweb/images/desktop-central/help/bitlocker-management/create-bitlocker-policy-3.gif)

### Passworteinstellungen

- **Benutzern erlauben, die Passwortanforderung zu überspringen**: Mit dieser Option können Administratoren einen bestimmten Zeitraum festlegen, in dem Benutzer die Passwortabfrage durch Klicken auf „Abbrechen“ überspringen können.

  ![bitlocker pass-1](https://www.manageengine.com/products/desktop-central/images/bitlocker-pass-1.png)

  Nach diesem Zeitraum wird die Schaltfläche „Abbrechen“ deaktiviert, sodass ein BitLocker-Passwort erstellt werden muss, um sicherzustellen, dass alle Systeme verschlüsselt bleiben und den Vorgaben entsprechen.

  ![bitlocker pass-2](https://www.manageengine.com/products/desktop-central/help/images/bitlocker-pass-2.png)

- **Sofort erzwingen**: Diese Option verlangt von Benutzern, sofort ein Passwort festzulegen, und erlaubt es ihnen nicht, das Fenster „Passwort erstellen“ abzubrechen oder zu schließen, bis der Vorgang abgeschlossen ist.

**Hinweis:** Wenn der Authentifizierungstyp für Geräte mit TPM auf „Nur TPM“ gesetzt ist und der Authentifizierungstyp für Geräte ohne TPM auf „Schutz aus“ gesetzt ist, ist die Option für Passworteinstellungen nicht sichtbar, da keine Authentifizierung konfiguriert ist.

### Erweiterte Einstellungen

BitLocker-Richtlinien enthalten auch erweiterte Einstellungen zum Verschieben der Verschlüsselung, zum Konfigurieren von Wiederherstellungsschlüssel-Updates und zum Festlegen eines Rotationszeitraums.

![Erweiterte Einstellungen](https://www.manageengine.com/products/desktop-central/images/bitlocker-howto10.png)

- **Wiederherstellungsschlüssel auf Domänencontroller aktualisieren**: Aktivieren Sie diese Option, um einen neuen Wiederherstellungsschlüssel auf den Domänencontroller zu aktualisieren und sicherzustellen, dass eine konsolidierte Liste der Wiederherstellungsschlüssel in Active Directory gepflegt wird. Wenn diese Option deaktiviert ist, sind Wiederherstellungsschlüssel nur auf dem Produktserver verfügbar.

- **Periodische Rotation des Wiederherstellungsschlüssels zulassen**: Aktivieren Sie diese Option, um einen Rotationszeitraum für den Wiederherstellungsschlüssel festzulegen. Es wird empfohlen, als zusätzliche Sicherheitsmaßnahme einen Rotationszeitraum festzulegen, nach dem alte Wiederherstellungsschlüssel durch neue ersetzt werden. Neue Wiederherstellungsschlüssel ersetzen die alten automatisch nach der angegebenen Anzahl von Tagen.  
  Um Wiederherstellungsschlüssel zurückzusetzen, die bereits verwendet wurden, ändern Sie die bereitgestellte BitLocker-Richtlinie und aktivieren Sie diese Einstellung. Geben Sie einen Rotationszeitraum von sieben Tagen an. Dadurch wird die automatische Generierung neuer Wiederherstellungsschlüssel alle sieben Tage eingeleitet, beginnend mit dem Wirksamwerden der Richtlinienänderung.

Sobald Sie die Einstellungen konfiguriert haben, können Sie sie als Entwurf speichern oder direkt veröffentlichen. Die erstellte Richtlinie kann in der Richtlinienliste auf der Registerkarte Richtlinienerstellung angezeigt werden.

Falls Sie weitere Fragen haben, lesen Sie bitte unseren Abschnitt [Häufig gestellte Fragen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-faq.html#createfaq) für weitere Informationen.