Voraussetzungen für die BitLocker-Verschlüsselung
Die erfolgreiche Bereitstellung der BitLocker-Verschlüsselung hängt davon ab, dass bestimmte Systemanforderungen und Konfigurationen erfüllt werden. Diese Bedingungen stellen sicher, dass BitLocker optimal funktioniert und das gewünschte Schutzniveau bietet. Die BitLocker-Voraussetzungen sind Kriterien, die ein Computer erfüllen muss, bevor eine BitLocker-Richtlinie bereitgestellt wird, um die Verschlüsselung zu starten. In diesem Artikel werden die wesentlichen Kriterien erläutert, die ein Computer vor der Implementierung einer BitLocker-Richtlinie erfüllen muss. Nachfolgend finden Sie die verschiedenen Kriterien:
- Kompatibilität des Betriebssystems
- BitLocker-Verfügbarkeit
- TPM-Besitz
- Kompatibilität des BIOS-Modus
- GPO-Konfiguration
Kompatibilität des Betriebssystems
Die BitLocker-Verschlüsselung ist möglicherweise nicht in allen in Ihrer Organisation verwendeten Windows-Versionen verfügbar. Hier ist eine Liste der Windows-Betriebssysteme, die BitLocker unterstützen:
- Windows 11 Pro-, Enterprise- und Education-Editionen
- Windows 10 Pro-, Enterprise- und Education-Editionen
- Windows 8.1 Pro- und Enterprise-Editionen
- Windows 8 Pro- und Enterprise-Editionen
- Windows 7 Ultimate- und Enterprise-Editionen
- Windows 7 Vista Ultimate- und Enterprise-Editionen
- Windows Server 2008 und höher
BitLocker-Verfügbarkeit
BitLocker ist auf Servern nicht automatisch aktiviert; Sie können es jedoch manuell aktivieren, um die Verschlüsselung zu starten. Nachfolgend sind häufige Probleme aufgeführt, auf die Sie beim Aktivieren von BitLocker auf einem Windows-Server stoßen könnten.
BitLocker-Status
BitLocker ist auf Computern mit Server-Betriebssystem standardmäßig deaktiviert. Es kann über den Server-Manager und die Eingabeaufforderung aktiviert werden.
Über den Server-Manager
Führen Sie die folgenden Schritte aus, um das BitLocker-Feature über den Server-Manager zu aktivieren und die Funktion zum Speichern des BitLocker-Wiederherstellungsschlüssels zu nutzen:
- Wählen Sie in der Windows-Taskleiste den Server-Manager aus und klicken Sie auf Rollen und Features hinzufügen, um den Assistenten zu öffnen.
- Folgen Sie den Installationsschritten im Assistenten. Wählen Sie im Bereich Features das Kontrollkästchen BitLocker-Laufwerkverschlüsselungs-Verwaltungstools zusammen mit den zugehörigen Kontrollkästchen für BitLocker-Laufwerkverschlüsselungs-Tools und BitLocker-Wiederherstellungskennwort-Viewer aus.
- Wählen Sie Weiter, um im Installationsassistenten fortzufahren, und klicken Sie dann im Bestätigungsbereich auf Installieren, um die Installation des BitLocker-Features zu starten. Das Aktivieren von BitLocker kann zusätzliche Features erfordern. Folgen Sie daher den Anweisungen im Bestätigungsbereich, um diese Features zu aktivieren.
- Starten Sie Ihren Computer neu, um die BitLocker-Installation abzuschließen. Um die Installation zu bestätigen, navigieren Sie zu Active Directory-Benutzer und -Computer; wenn die Registerkarte BitLocker-Wiederherstellung vorhanden ist, war die Installation erfolgreich.
Über die Eingabeaufforderung
Führen Sie die folgenden Schritte aus, um das BitLocker-Feature über die Eingabeaufforderung zu aktivieren:
- Öffnen Sie die Eingabeaufforderung mit Administratorrechten und führen Sie den folgenden Befehl aus.
dism /online /Enable-Feature /all /FeatureName:BitLocker /quiet /norestart - Starten Sie Ihren Computer neu, um den BitLocker-Installationsprozess abzuschließen. Um die Installation des BitLocker-Features zu bestätigen, navigieren Sie zu den Computerobjekten in Active Directory-Benutzer und -Computer; wenn die Registerkarte BitLocker-Wiederherstellung vorhanden ist, war die Installation erfolgreich.
WMI-Funktionalität
Windows Management Instrumentation (WMI) ist Microsofts Remoteprotokoll für Verwaltungsaufgaben und das Abrufen von Informationen. Um häufige Fehler bei der Aktivierung von BitLocker zu beheben, führen Sie die folgenden Schritte aus:
- Öffnen Sie die Eingabeaufforderung mit Administratorrechten und führen Sie den Befehl mofcomp.exe C:\Windows\System32\wbem\win32_encryptablevolume.mof aus
- Wenn die BitLocker-WMI-Registrierung erfolgreich ist, erhalten Sie die unten stehende Benachrichtigung.
TPM-Besitz
Das Trusted Platform Module (TPM) ist ein Mikrochip, der Laufwerke mithilfe kryptografischer Schlüssel verschlüsselt, um Wörterbuchangriffe abzuwehren. Wenn Sie nur teilweisen Besitz des TPM haben, kann BitLocker keine kryptografischen Schlüssel verwenden; für TPM-basierte Verschlüsselung ist vollständiger Besitz erforderlich.
Um vollständigen Besitz zu erlangen, löschen Sie das TPM wie hier erläutert. Das Löschen des TPM veranlasst das Betriebssystem, es automatisch neu zu initialisieren und den vollständigen Besitz zu übernehmen.
HINWEIS - Das Löschen des TPM kann zum Verlust gespeicherter kryptografischer Schlüssel führen. Siehe diesen Link für Vorsichtsmaßnahmen vor dem Löschen des TPM, um Ihre Daten zu schützen.
Kompatibilität des BIOS-Modus
TPM-gestützte BitLocker-Verschlüsselung wird nur im Modus Unified Extensible Firmware Interface (UEFI) unterstützt. Wenn Sie den Legacy- oder Compatibility Support Mode (CSM) verwenden, wechseln Sie in den UEFI-Modus, um TPM-basierte Verschlüsselung zu ermöglichen, wie hier erläutert.
GPO-Konfiguration
Einstellungen der Gruppenrichtlinie (GPO) können die vorbereitenden Aktionen von Microsoft BitLocker steuern. Manchmal können die vorhandenen GPO-Einstellungen Ihres Computers den
BitLocker-Richtlinien von Endpoint Central entgegenwirken. Entfernen Sie alle GPO-Konfigurationen im Zusammenhang mit BitLocker und Verschlüsselung, um einen reibungslosen Betrieb zu gewährleisten.
Details zu den BitLocker-Gruppenrichtlinieneinstellungen finden Sie hier als Referenz.
Nun können Sie eine BitLocker-Richtlinie für eine erfolgreiche Verschlüsselung konfigurieren. In diesem Dokument finden Sie eine ausführliche Anleitung zum Erstellen und Konfigurieren von BitLocker-Richtlinien.
Wenn Sie weitere Fragen haben, besuchen Sie bitte unseren Abschnitt Häufig gestellte Fragen für weitere Informationen.
