BitLocker-Gruppenrichtlinien

Sophos Central definiert einige Richtlinieneinstellungen automatisch, so dass Administratoren keine Vorbereitungen mehr für Device Encryption auf den Computern vornehmen müssen.

Einstellungen, die bereits von Administratoren getroffen wurden, werden dabei nicht überschrieben.

Im Editor für lokale Gruppenrichtlinien unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker- Laufwerksverschlüsselung > Betriebssystemlaufwerke finden Sie folgende Richtlinien:

Richtlinie

Einstellung

Wert von Sophos Central festgelegt

Anmerkung

Netzwerkentsperrung beim Start zulassen

Aktiviert

Sie können erlauben, dass eine vordefinierte BitLocker-Netzwerkentsperrung nach der Aktivierung von Central Device Encryption wie vorher funktioniert.

Zusätzliche Authentifizierung beim Start anfordern

BitLocker ohne kompatibles TPM zulassen

Aktiviert

Erlaubt unter Windows 8 beim Systemstart die Verwendung eines Kennworts zum Entsperren des Systemlaufwerks wenn kein TPM verfügbar ist.

Zusätzliche Authentifizierung beim Start anfordern

TPM-Systemstart-PIN konfigurieren

Systemstart-PIN bei TPM zulassen

Wenn die Device Encryption-Richtlinieneinstellung Authentifizierung bei Start erforderlich aktiviert ist und das System über ein TPM verfügt, dann lässt diese Richtlinieneinstellung den Systemschutz mit TPM zu und der Benutzer zusätzlich nach einer PIN gefragt.

Erweiterte PINs für Systemstart zulassen

-

Aktiviert

Diese Einstellung erlaubt die Verwendung von alphanumerischen PINs, um das Systemlaufwerk mit TPM zu schützen. Kann diese Einstellung nicht definiert werden, sind nur Ziffern erlaubt.

Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren

Option für die Pre-Boot-Wiederherstellungsmeldung auswählen

Standardwiederherstellungsmeldung und -URL verwenden

Dabei wird die Standardmeldung und -URL von Sophos verwendet.

Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren

Selbstdefinierte Meldungsoption

Sie haben keinen Wiederherstellungsschlüssel? Wenden Sie sich an den IT-Helpdesk oder gehen Sie zu Ihrem Self Service Portal:

https://sophos.com/ssp

Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren

Benutzerdefinierte Wiederherstellungs-URL-Option

Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Datenlaufwerke

-

Deaktiviert

Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.

Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke

-

Deaktiviert

Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.

  • Verschlüsselungsalgorithmus: Sophos Central Device Encryption verwendet standardmäßig AES-256. Über eine Gruppenrichtlinie kann auch AES-128 ausgewählt werden.
  • PIN/Kennwortanforderungen: Gruppenrichtlinien können dazu verwendet werden, um die Mindestlänge von PIN/Kennwort zu definieren und die Verwendung von komplexen Kennwörtern zu verlangen.
  • Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass alle Daten verschlüsselt werden, so hat diese Richtlinie Vorrang gegenüber der Sophos Central-Richtlinie, die nur die Verschlüsselung der genutzten Festplattenbereiche vorsieht.

Manche Gruppenrichtlinien können im Widerspruch zu Sophos Central stehen, so dass die Verschlüsselung nicht durchgeführt werden kann. In diesem Fall wird eine Ereignismeldung an Sophos Central gesendet.

  • Smartcard erforderlich: Sieht eine Gruppenrichtlinie die Verwendung von BitLocker mit Smartcard vor, wird eine Fehlermeldung ausgegeben, da dies von Sophos Central nicht unterstützt wird.
  • Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass nur genutzte Festplattenbereiche verschlüsselt werden, aber die Sophos Central-Richtlinie erfordert die Verschlüsselung aller Daten, wird eine Fehlermeldung ausgegeben.

Wenn Sie Tablet-Computer (wie zum Beispiel das MS Surface Pro) verschlüsseln und die Authentifizierung bei Start verwenden möchten, müssen Sie folgende Gruppenrichtlinie aktivieren:

Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren

Weitere Informationen finden Sie im Support-Artikel 125772.

Für weitere allgemeine Informationen zu den Einstellungen für BitLocker- und TPM-Gruppenrichtlinien, siehe BitLocker-Gruppenrichtlinien und Trusted Platform Module Services Group Policy Settings.