Konfigurationsprofil-Einstellungen
Betriebssystemlaufwerke
Wenn Sie BitLocker auf der Betriebssystemfestplatte nutzen möchten, müssen Sie die Checkbox aktivieren. Erst wenn diese Option aktiviert ist, wird die Betriebssystemfestplatte verschlüsselt. Wenn Sie sie nachträglich deaktivieren, wird auf bereits verschlüsselten Festplatten BitLocker nicht deaktiviert.
Zusätzlich dazu können Sie aus verschiedenen Verschlüsselungsmethoden und -stärken auswählen, die von Microsoft vorgegeben werden. Über den Verschlüsselungsmodus können Sie angeben, in wie weit die Festplatte verschlüsselt werden soll: entweder die vollständige Festplatte (Default) oder nur der verwendete Speicherplatz. Bei dem verwendeten Speicherplatz wird die Verschlüsselung durch BitLocker kontinuierlich fortgesetzt, wenn neue Dateien dazu kommen. Beachten Sie, dass eine vollständige Verschlüsselung eine längere Zeit in Anspruch nimmt.
Wenn BitLocker auf der Betriebssystemfestplatte aktiviert wird, ist es unter Umständen nötig, dass ein Hardwaretest durchgeführt werden muss. Das bedeutet, dass der Client neu gestartet wird, um beispielsweise so zu überprüfen, ob die Schlüsselschutzvorrichtungen auf dem System angewendet werden können. Sie können aus den folgenden Optionen bestimmen, nach welchen Kriterien ein möglicher Neustart durchgeführt wird:
Option | Beschreibung |
Nicht neu starten und den Benutzer darüber informieren, dass ein Neustart erforderlich ist: | Diese Option ist, sofern Sie den Hardwaretest aktivieren, vorausgewählt. Hierbei wird der aktuelle Client durch ein Dialogfenster informiert, dass ein Neustart nötig ist. |
Nicht neu starten und den Benutzer nicht darüber informieren, dass ein Neustart erforderlich ist: | Der Hardwaretest wird erst durchgeführt, sobald der Client das nächste Mal neugestartet wird. Somit wird der Beginn der Verschlüsselung erst nach dem nächsten Herunterfahren gestartet. Der Benutzer wird nicht zusätzlich informiert. |
Neustart automatisch durchführen: | Diese Option können Sie auswählen, wenn mit dem Client noch nicht aktiv gearbeitet wird. Dies kann z.B. der Fall sein, wenn der Computer neu ausgerollt wurde und zeitnah danach BitLocker für die Betriebssystemfestplatte aktiviert wird. Sollten Sie diese Option bei laufender Betriebszeit wählen, kann es zu Datenverlusten kommen, da der Client sofort und automatisch neu gestartet wird. |
Schlüsselschutzvorrichtung für Betriebssystemlaufwerke
Wenn Sie BitLocker aktivieren, werden auf der Betriebssystemfestplatte zwei Schlüsselschutzvorrichtungen automatisch angelegt: der TPM (Trusted Platform Module) und das Wiederherstellungskennwort. Zusätzlich dazu haben Sie die Möglichkeit, eine Systemstart-PIN zu nutzen, um einen weiteren Sicherheitsmechanismus zu verwenden.
Sie können die minimale Länge und den Zeichensatz des Systemstart-PINs konfigurieren. Als Standardwert sind 4 Zeichen vorgegeben, Sie können eine maximale Länge von 20 Zeichen einstellen. Bei dem Zeichensatz können Sie zwischen Alphanumerisch oder Numerisch wählen. Beachten Sie, dass bei der Option Alphanumerisch sowohl Ziffern als auch Groß- und Kleinbuchstaben benutzt werden.
Die PIN kann entweder automatisch bei der Aktivierung generiert oder durch den angemeldeten Benutzer eingegeben werden. Sollten Sie sich die PIN durch ACMP generieren lassen wollen, ist dieser über die Client Details einsehbar. Wenn Sie nachträglich die PIN aktivieren oder deaktivieren, wird es auf bestehenden Verschlüsselungen, entsprechend der vorgenommenen Einstellungen, am Client geändert.
Festplattenlaufwerke
Setzen Sie einen Haken in der Checkbox, um BitLocker auf den Festplattenlaufwerken zu aktivieren. Unter einem Festplattenlaufwerk werden fest verbaute und nicht wechselbare Datenlaufwerke verstanden. Suchen Sie anschließend aus, welche Festplattenlaufwerke Sie verschlüsseln wollen: alle oder nur ausgewählte Laufwerke. Hierbei werden entweder sämtliche Festplattenlaufwerke verschlüsselt, die auf Ihrem Client erkannt werden oder nur die, die Sie manuell auswählen.
Genauso wie bei den Betriebssystemfestplatten können Sie auch für die Festplattenlaufwerke die Verschlüsselungsmethoden und –stärken und den Modus auswählen. Hierbei legen Sie fest, wie die Festplattenlaufwerke verschlüsselt werden sollen.
Schlüsselschutzvorrichtung für Festplattenlaufwerke
Für die Schlüsselschutzvorrichtung für Festplattenlaufwerke wird automatisch ein Wiederherstellungskennwort gesetzt und verwendet. Dazu können Sie optional noch ein Passwort verwenden, welches als zusätzlicher Sicherheitsmechanismus dient. Setzen Sie einen Haken in der Checkbox Passwort verwenden und geben Sie die Länge des Passworts an (die minimale Länge beträgt 8 Zeichen). Das Passwort kann entweder automatisch bei der Aktivierung generiert oder durch den angemeldeten Benutzer eingegeben werden. Sollten Sie sich das Passwort durch ACMP generieren lassen wollen, ist es über die Client Details einsehbar. Wenn Sie nachträglich das Passwort aktivieren oder deaktivieren, wird es auf bestehenden Verschlüsselungen, entsprechend der vorgenommenen Einstellungen, am Client geändert.
Die Option Automatische Entsperrung aktivieren können Sie auswählen, wenn Sie das Passwort nach dem Hochfahren des Systems nicht nochmal eingeben wollen. Hierbei läuft die Entsperrung der Festplattenlaufwerke automatisch ab, wodurch keine weitere Authentifizierung notwendig ist.
Wechseldatenträger
Für die Wechseldatenträger können Sie angeben, ob der Schreibzugriff auf den Wechseldatenträgern verweigert werden soll, die nicht durch BitLocker geschützt werden.