Konfigurationsprofil-Einstellungen

Zuletzt geändert von Sabrina V. am 2024/08/22 13:11

Betriebssystemlaufwerke

Wenn Sie BitLocker auf der Betriebssystemfestplatte nutzen möchten, müssen Sie die Checkbox aktivieren. Erst wenn diese Option aktiviert ist, wird die Betriebssystemfestplatte verschlüsselt. Wenn Sie sie nachträglich deaktivieren, wird auf bereits verschlüsselten Festplatten BitLocker nicht deaktiviert.

Warning  Achtung: 

ACMP entschlüsselt nichts automatisch! Bestehende Verschlüsselungen bleiben beibehalten und müssen bei Bedarf manuell über die Query Action BitLocker deaktivieren deaktiviert werden.

Hinweis  Hinweis: 

Falls Änderungen an einer bestehenden Verschlüsselung vorgenommen werden sollen, müssen Sie mithilfe einer Abfrage bei den ausgewählten Clients BitLocker individuell deaktivieren, damit die Festplatte anschließend mit den gewünschten Einstellungen verschlüsselt wird.

Zusätzlich dazu können Sie aus verschiedenen Verschlüsselungsmethoden und -stärken auswählen, die von Microsoft vorgegeben werden. Über den Verschlüsselungsmodus können Sie angeben, in wie weit die Festplatte verschlüsselt werden soll: entweder die vollständige Festplatte (Default) oder nur der verwendete Speicherplatz. Bei dem verwendeten Speicherplatz wird die Verschlüsselung durch BitLocker kontinuierlich fortgesetzt, wenn neue Dateien dazu kommen. Beachten Sie, dass eine vollständige Verschlüsselung eine längere Zeit in Anspruch nimmt.
Wenn BitLocker auf der Betriebssystemfestplatte aktiviert wird, ist es unter Umständen nötig, dass ein Hardwaretest durchgeführt werden muss. Das bedeutet, dass der Client neu gestartet wird, um beispielsweise so zu überprüfen, ob die Schlüsselschutzvorrichtungen auf dem System angewendet werden können. Sie können aus den folgenden Optionen bestimmen, nach welchen Kriterien ein möglicher Neustart durchgeführt wird:

OptionBeschreibung
Nicht neu starten und den Benutzer darüber informieren, dass ein Neustart erforderlich ist:Diese Option ist, sofern Sie den Hardwaretest aktivieren, vorausgewählt. Hierbei wird der aktuelle Client durch ein Dialogfenster informiert, dass ein Neustart nötig ist.
Nicht neu starten und den Benutzer nicht darüber informieren, dass ein Neustart erforderlich ist:Der Hardwaretest wird erst durchgeführt, sobald der Client das nächste Mal neugestartet wird. Somit wird der Beginn der Verschlüsselung erst nach dem nächsten Herunterfahren gestartet. Der Benutzer wird nicht zusätzlich informiert.
Neustart automatisch durchführen:Diese Option können Sie auswählen, wenn mit dem Client noch nicht aktiv gearbeitet wird. Dies kann z.B. der Fall sein, wenn der Computer neu ausgerollt wurde und zeitnah danach BitLocker für die Betriebssystemfestplatte aktiviert wird. Sollten Sie diese Option bei laufender Betriebszeit wählen, kann es zu Datenverlusten kommen, da der Client sofort und automatisch neu gestartet wird.

Hinweis  Hinweis: 

Es wird empfohlen den Hardwaretest zu aktivieren.

Schlüsselschutzvorrichtung für Betriebssystemlaufwerke

Wenn Sie BitLocker aktivieren, werden auf der Betriebssystemfestplatte zwei Schlüsselschutzvorrichtungen automatisch angelegt: der TPM (Trusted Platform Module) und das Wiederherstellungskennwort. Zusätzlich dazu haben Sie die Möglichkeit, eine Systemstart-PIN zu nutzen, um einen weiteren Sicherheitsmechanismus zu verwenden.

Innerhalb der Konfiguration können Sie eine Backup-Methode für die Wiederherstellungsinformationen auswählen (Kein Backup, Backup im Active Directory oder Backup im Azure Active Directory). Sollten Sie die Methode Backup im Active Directory oder Backup im Azure Active Directory auswählen, muss Ihr Domain Controller das Bitlocker-Laufwerksverschlüsselung-Feature installiert haben, damit es funktioniert. Andernfalls kann die Sicherung der Wiederherstellungsinformationen nicht hinterlegt werden.

Sie können die minimale Länge und den Zeichensatz des Systemstart-PINs konfigurieren. Als Standardwert sind 4 Zeichen vorgegeben, Sie können eine maximale Länge von 20 Zeichen einstellen. Bei dem Zeichensatz können Sie zwischen Alphanumerisch oder Numerisch wählen. Beachten Sie, dass bei der Option Alphanumerisch sowohl Ziffern als auch Groß- und Kleinbuchstaben benutzt werden.
Die PIN kann entweder automatisch bei der Aktivierung generiert oder durch den angemeldeten Benutzer eingegeben werden. Sollten Sie sich die PIN durch ACMP generieren lassen wollen, ist dieser über die Client Details einsehbar. Wenn Sie nachträglich die PIN aktivieren oder deaktivieren, wird es auf bestehenden Verschlüsselungen, entsprechend der vorgenommenen Einstellungen, am Client geändert.

Festplattenlaufwerke

Setzen Sie einen Haken in der Checkbox, um BitLocker auf den Festplattenlaufwerken zu aktivieren. Unter einem Festplattenlaufwerk werden fest verbaute und nicht wechselbare Datenlaufwerke verstanden. Suchen Sie anschließend aus, welche Festplattenlaufwerke Sie verschlüsseln wollen: alle oder nur ausgewählte Laufwerke. Hierbei werden entweder sämtliche Festplattenlaufwerke verschlüsselt, die auf Ihrem Client erkannt werden oder nur die, die Sie manuell auswählen.

Hinweis  Hinweis: 

Beachten Sie, dass es in seltenen Fällen vorkommen kann, dass auch externe Laufwerke vom Betriebssystem als interne Laufwerke erkannt und identifiziert werden können und diese dadurch ebenfalls verschlüsselt werden. Sollten Sie diesen Fall vermeiden wollen, wählen Sie die Option Nur ausgewählte Festplattenlaufwerke verschlüsseln aus und geben explizit die Laufwerksbuchstaben an, die verschlüsselt werden sollen.

Warning  Achtung: 

Sollten Sie die Verschlüsselung der Festplattenlaufwerke aus dem Konfigurationsprofil entfernen oder auch nur einzelne Laufwerksbuchstaben aus der Menge der verwalteten Festplatten, wird auf den bereits verschlüsselten Festplatten BitLocker nicht deaktiviert. Wenn Sie BitLocker auf diesen Festplatten deaktivieren wollen, müssen Sie das manuell über die Query Action BitLocker deaktivieren erledigen. ACMP entschlüsselt nichts automatisch!

Genauso wie bei den Betriebssystemfestplatten können Sie auch für die Festplattenlaufwerke die Verschlüsselungsmethoden und –stärken und den Modus auswählen. Hierbei legen Sie fest, wie die Festplattenlaufwerke verschlüsselt werden sollen.

Schlüsselschutzvorrichtung für Festplattenlaufwerke

Für die Schlüsselschutzvorrichtung für Festplattenlaufwerke wird automatisch ein Wiederherstellungskennwort gesetzt und verwendet. Dazu können Sie optional noch ein Passwort verwenden, welches als zusätzlicher Sicherheitsmechanismus dient.  Setzen Sie einen Haken in der Checkbox Passwort verwenden und geben Sie die Länge des Passworts an (die minimale Länge beträgt 8 Zeichen). Das Passwort kann entweder automatisch bei der Aktivierung generiert oder durch den angemeldeten Benutzer eingegeben werden. Sollten Sie sich das Passwort durch ACMP generieren lassen wollen, ist es über die Client Details einsehbar. Wenn Sie nachträglich das Passwort aktivieren oder deaktivieren, wird es auf bestehenden Verschlüsselungen, entsprechend der vorgenommenen Einstellungen, am Client geändert.

Die Option Automatische Entsperrung aktivieren können Sie auswählen, wenn Sie das Passwort nach dem Hochfahren des Systems nicht nochmal eingeben wollen. Hierbei läuft die Entsperrung der Festplattenlaufwerke automatisch ab, wodurch keine weitere Authentifizierung notwendig ist.

Hinweis  Hinweis: 

Beachten Sie, dass die Option Automatische Entsperrung aktivieren nur ausgewählt werden kann, wenn das Betriebssystemlaufwerk aktiviert und verschlüsselt wurde. 

Wechseldatenträger

Für die Wechseldatenträger können Sie angeben, ob der Schreibzugriff auf den Wechseldatenträgern verweigert werden soll, die nicht durch BitLocker geschützt werden.

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community