Zum Inhalt

BitLocker-Gruppenrichtlinien

Sophos Central Device Encryption definiert automatisch Gruppenrichtlinieneinstellungen, sodass Sie Computer nicht für die Geräteverschlüsselung vorbereiten müssen.

Sophos Central Device Encryption überschreibt keine Einstellungen, die Sie bereits im Editor für lokale Gruppenrichtlinien unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke vorgenommen haben.

Hinweis

Der Editor für lokale Gruppenrichtlinien zeigt die von Sophos Central Device Encryption konfigurierten Einstellungen nicht an. Diese Einstellungen finden Sie in der Windows-Registrierung unter dem Knoten HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.

In der folgenden Tabelle finden Sie Details zu den Einstellungen, die Sie im Editor für lokale Gruppenrichtlinien konfigurieren können.

Richtlinie Einstellung Wert von Sophos Central festgelegt Anmerkung
Netzwerkentsperrung beim Start zulassen Aktiviert Sie können erlauben, dass eine vordefinierte BitLocker-Netzwerkentsperrung nach der Aktivierung von Central Device Encryption wie vorher funktioniert.
Zusätzliche Authentifizierung beim Start anfordern BitLocker ohne kompatibles TPM zulassen Aktiviert Erlaubt unter Windows 8 beim Systemstart die Verwendung eines Kennworts zum Entsperren des Systemlaufwerks wenn kein TPM verfügbar ist.
Zusätzliche Authentifizierung beim Start anfordern TPM-Systemstart-PIN konfigurieren Systemstart-PIN bei TPM zulassen Wenn die Device Encryption-Richtlinieneinstellung Authentifizierung bei Start erforderlich aktiviert ist und das System über ein TPM verfügt, dann lässt diese Richtlinieneinstellung den Systemschutz mit TPM zu und der Benutzer zusätzlich nach einer PIN gefragt.
Erweiterte PINs für Systemstart zulassen - Aktiviert Diese Einstellung erlaubt die Verwendung von alphanumerischen PINs, um das Systemlaufwerk mit TPM zu schützen. Kann diese Einstellung nicht definiert werden, sind nur Ziffern erlaubt.
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren Option für die Pre-Boot-Wiederherstellungsmeldung auswählen Standardwiederherstellungsmeldung und -URL verwenden Dabei wird die Standardmeldung und -URL von Sophos verwendet.
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren Selbstdefinierte Meldungsoption Sie haben keinen Wiederherstellungsschlüssel? Wenden Sie sich an den IT-Helpdesk oder gehen Sie zu Ihrem Self Service Portal: https://sophos.com/ssp
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren Benutzerdefinierte Wiederherstellungs-URL-Option
Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Datenlaufwerke - Deaktiviert Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.
Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke - Deaktiviert Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.
  • Verschlüsselungsalgorithmus: Sophos Central Device Encryption verwendet standardmäßig AES-256. Über eine Gruppenrichtlinie kann auch AES-128 ausgewählt werden.
  • PIN/Kennwortanforderungen: Gruppenrichtlinien können dazu verwendet werden, um die Mindestlänge von PIN/Kennwort zu definieren und die Verwendung von komplexen Kennwörtern zu verlangen.
  • Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass alle Daten verschlüsselt werden, so hat diese Richtlinie Vorrang gegenüber der Sophos Central-Richtlinie, die nur die Verschlüsselung der genutzten Festplattenbereiche vorsieht.

Manche Gruppenrichtlinien können im Widerspruch zu Sophos Central stehen, so dass die Verschlüsselung nicht durchgeführt werden kann. In diesem Fall wird eine Ereignismeldung an Sophos Central gesendet.

  • Smartcard erforderlich: Sieht eine Gruppenrichtlinie die Verwendung von BitLocker mit Smartcard vor, wird eine Fehlermeldung ausgegeben, da dies von Sophos Central nicht unterstützt wird.
  • Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass nur genutzte Festplattenbereiche verschlüsselt werden, aber die Sophos Central-Richtlinie erfordert die Verschlüsselung aller Daten, wird eine Fehlermeldung ausgegeben.

Wenn Sie Tablet-Computer (wie zum Beispiel das MS Surface Pro) verschlüsseln und die Authentifizierung bei Start verwenden möchten, müssen Sie folgende Gruppenrichtlinie aktivieren: Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren. Siehe Die Verschlüsselung startet nicht auf Tablets (Slates).

Für Details zu Einstellungen für Gruppenrichtlinien siehe BitLocker-Gruppenrichtlinieneinstellungen und TPM-Gruppenrichtlinieneinstellungen.