Jump to content

Bitlocker GPO: Kennwort deaktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi !

 

Wir hatten unsere Windows GPOs so konfiguriert, daß TPM nicht benutzt wird, Bitlocker die Daten ins AD schreibt und nur ein USB-Stick zur Entsperrung zulässig ist.

Mit Windows 7 lief das alles gut.

 

Seit Windows 8 bietet der Bitlocker (unter Bitlocker verwalten) zusätzlich "Kennwort eingeben" an.

Das Kennwort allerdings wollen wir nicht anbieten.

 

Alle meine Suchen waren irgendwie nicht zielführend - weiss jemand, wo ich / ob ich das irgendwie per GPO ausschalten kann ?

 

beste Grüße,

Martin

Link zu diesem Kommentar

Hi Martin,

 

um BitLocker auf einem Computer ohne TPM zu aktivieren, kannst Du mittels GPO in der Konfiguration Zusätzliche Authentifizierung beim Start anfordern unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktivieren. Nachdem diese Einstellung auf den lokalen Computer angewendet wurde, werden die Nicht-TPM-Einstellungen im BitLocker-Setup-Assistenten angezeigt.

 

In diesem Modus ist für den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, in Form eines USB-Schlüssels auf dem USB-Laufwerk gespeichert. Wenn der USB-Schlüssel verfügbar gemacht wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden.

 

Wenn Du hier die Systemstart-PIN sowie Systemstartschlüssel und -PIN deaktivierst und nur die Verwendung des Systemstartschlüssels erzwingst, sollte das auch bei Computern ohne TPM funktionieren.

 

Es gibt noch eine zweite Richtlinie PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassen. Wenn Deine Anwender keine Administratoren sind, dann ist das der Weg, die Nutzung zu unterbinden. Sollten sie allerdings Admins sein, gibt es keine verbindliche Lösung, denn sie könnten die Einschränkungen, die durch die GPOs gesetzt werden, leicht rückgängig machen.

 

Eine dritte Möglichkeit ist die Option Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren. Wenn Du die auf Deaktiviert setzt, sollte die Verwendung einer Systemstart-PIN auch nicht möglich sein.

 

Ich habe alle drei Optionen so, wie Du es Dir wünschst, selbst noch nicht ausprobiert, denn ich finde, dass gerade die Möglichkeit, ein Kennwort zu nutzen, besser ist, als ein USB-Laufwerk zwingend erforderlich zu machen. Der USB-Stick wird dann von den Benutzern oft in der gleichen Tasche wie das Notebook aufbewahrt oder gleich am Gerät gelassen. Weiterhin kann ein Systemstartschlüssel vom USB-Stick sehr schnell kopiert werden. Ein Passwort bietet hier in beiden Fällen einen besseren Schutz.

 
Have fun!
Daniel
bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...