emeriks
Goto Top

BitLocker - Wiederherstellungsschlüssel werden nicht im AD gespeichert

Hi,
wenn wir eine Partition mit BitLocker verschlüsseln, dann wird er Wiederherstellungsschlüssel nicht im AD gespeichert, obwohl m.E. alles dafür vorbereitet ist.

Stamm-Domäne: Win 2016
Sub-Domäne: Win 2016
Funktionsebenen: Windows 2008 R2 (werden erst demnächst angehoben wenn letzte 2008R2-DC raus sind)
Client: Win 10 Pro

Client hat per GPO diese Einstellungen bekommen:

bitlocker

Client hat diese GPO auch übernommen:

bitlocker2


Er hat dann anstandslos verschlüsselt. Hat aber nicht danach gefragt, ob er den Schlüssel im AD speichern soll. Nur "In Datei speichern" oder "ausdrucken" angeboten. Habe erstmal in Datei gespeichert.

Im AD finde ich dann nichts:

bitlocker4
bitlocker3


@DerWoWusste meinte mal hier, dass nix weiter eingestellt werden müsste.

Was haben wir vergessen?

E.

Content-ID: 343431

Url: https://administrator.de/forum/bitlocker-wiederherstellungsschluessel-werden-nicht-im-ad-gespeichert-343431.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 14.07.2017 aktualisiert um 09:59:24 Uhr
Goto Top
Ich glaube, dass ein Berechtigungsproblem noch vorliegen könnte.

Schau mal hier:
https://blogs.technet.microsoft.com/askcore/2010/03/30/access-denied-err ...

und hier:
https://www.concurrency.com/blog/w/enable-bitlocker,-automatically-save- ...

Ich brauchte damals ein Script, um diese Berechtigung zu setzen:

'===============================================================================   
'   
' This script demonstrates the addition of an Access Control Entry (ACE)   
' to allow computers to write Trusted Platform Module (TPM)    
' recovery information to Active Directory.   
'   
' This script creates a SELF ACE on the top-level domain object, and   
' assumes that inheritance of ACL's from the top-level domain object to    
' down-level computer objects are enabled.   
'   
'    
'   
' Last Updated: 07/01/2006   
' Last Reviewed: 09/19/2009   
' Microsoft Corporation   
'   
' Disclaimer   
'    
' The sample scripts are not supported under any Microsoft standard support program   
' or service. The sample scripts are provided AS IS without warranty of any kind.    
' Microsoft further disclaims all implied warranties including, without limitation,    
' any implied warranties of merchantability or of fitness for a particular purpose.    
' The entire risk arising out of the use or performance of the sample scripts and    
' documentation remains with you. In no event shall Microsoft, its authors, or    
' anyone else involved in the creation, production, or delivery of the scripts be    
' liable for any damages whatsoever (including, without limitation, damages for loss    
' of business profits, business interruption, loss of business information, or    
' other pecuniary loss) arising out of the use of or inability to use the sample    
' scripts or documentation, even if Microsoft has been advised of the possibility    
' of such damages.   
'   
' Version 1.0.1 - Tested and re-released for Windows 7 and Windows Server 2008 R2   
 
'    
'===============================================================================   
 
' --------------------------------------------------------------------------------   
' Access Control Entry (ACE) constants    
' --------------------------------------------------------------------------------   
 
'- From the ADS_ACETYPE_ENUM enumeration   
Const ADS_ACETYPE_ACCESS_ALLOWED_OBJECT      = &H5   'Allows an object to do something   
 
'- From the ADS_ACEFLAG_ENUM enumeration   
Const ADS_ACEFLAG_INHERIT_ACE                = &H2   'ACE can be inherited to child objects   
Const ADS_ACEFLAG_INHERIT_ONLY_ACE           = &H8   'ACE does NOT apply to target (parent) object   
 
'- From the ADS_RIGHTS_ENUM enumeration   
Const ADS_RIGHT_DS_WRITE_PROP                = &H20  'The right to write object properties   
Const ADS_RIGHT_DS_CREATE_CHILD              = &H1   'The right to create child objects   
 
'- From the ADS_FLAGTYPE_ENUM enumeration   
Const ADS_FLAG_OBJECT_TYPE_PRESENT           = &H1   'Target object type is present in the ACE    
Const ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT = &H2   'Target inherited object type is present in the ACE    
 
' --------------------------------------------------------------------------------   
' TPM and FVE schema object GUID's    
' --------------------------------------------------------------------------------   
 
'- ms-TPM-OwnerInformation attribute   
SCHEMA_GUID_MS_TPM_OWNERINFORMATION = "{AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}"   
 
'- ms-FVE-RecoveryInformation object   
SCHEMA_GUID_MS_FVE_RECOVERYINFORMATION = "{EA715D30-8F53-40D0-BD1E-6109186D782C}"   
 
'- Computer object   
SCHEMA_GUID_COMPUTER = "{BF967A86-0DE6-11D0-A285-00AA003049E2}"   
 
'Reference: "Platform SDK: Active Directory Schema"   
 
 
 
 
' --------------------------------------------------------------------------------   
' Set up the ACE to allow write of TPM owner information   
' --------------------------------------------------------------------------------   
 
Set objAce1 = createObject("AccessControlEntry")   
 
objAce1.AceFlags = ADS_ACEFLAG_INHERIT_ACE + ADS_ACEFLAG_INHERIT_ONLY_ACE 
objAce1.AceType = ADS_ACETYPE_ACCESS_ALLOWED_OBJECT 
objAce1.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT + ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT 
 
objAce1.Trustee = "SELBST"   
objAce1.AccessMask = ADS_RIGHT_DS_WRITE_PROP  
objAce1.ObjectType = SCHEMA_GUID_MS_TPM_OWNERINFORMATION 
objAce1.InheritedObjectType = SCHEMA_GUID_COMPUTER 
 
 
 
' --------------------------------------------------------------------------------   
' NOTE: BY default, the "SELF" computer account can create    
' BitLocker recovery information objects and write BitLocker recovery properties   
'   
' No additional ACE's are needed.   
' --------------------------------------------------------------------------------   
 
 
' --------------------------------------------------------------------------------   
' Connect to Discretional ACL (DACL) for domain object   
' --------------------------------------------------------------------------------   
 
Set objRootLDAP = GetObject("LDAP://rootDSE")   
strPathToDomain = "LDAP://" & objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com   
 
Set objDomain = GetObject(strPathToDomain) 
 
WScript.Echo "Accessing object: " + objDomain.Get("distinguishedName")   
 
Set objDescriptor = objDomain.Get("ntSecurityDescriptor")   
Set objDacl = objDescriptor.DiscretionaryAcl 
 
  
' --------------------------------------------------------------------------------   
' Add the ACEs to the Discretionary ACL (DACL) and set the DACL   
' --------------------------------------------------------------------------------   
 
objDacl.AddAce objAce1 
 
objDescriptor.DiscretionaryAcl = objDacl 
objDomain.Put "ntSecurityDescriptor", Array(objDescriptor)   
objDomain.SetInfo 
 
WScript.Echo "SUCCESS!"   

Ich muss allerdings erwähnen, dass ich auch eine Windows 2008-Domäne betreibe.
Es kann durchaus sein, dass dies in neueren Domänenstrukturen nicht erforderlich ist.
emeriks
emeriks 14.07.2017 um 10:07:37 Uhr
Goto Top
@beidermachtvongreyscull
Danke. Diese Artikel kenne ich schon und habe das auch schon überprüft. Sorry, habe ich gar nicht erwähnt.
Auch diesen: Backing Up BitLocker and TPM Recovery Information to AD DS.
beidermachtvongreyscull
Lösung beidermachtvongreyscull 14.07.2017 aktualisiert um 10:27:08 Uhr
Goto Top
Und die Testprozedur mit manage-bde.exe hat auch nichts gebracht?
Sieht man etwas im Eventlog?

Und hier noch eine Idee:

https://technet.microsoft.com/de-de/library/ff829848(v=ws.10).aspx

Funktioniert denn das Sichern manuell mit:

manage-bde -protectors -adbackup
emeriks
emeriks 14.07.2017 aktualisiert um 10:58:18 Uhr
Goto Top
Guter Ansatz! Da bin ich schon mal drauf gestoßen, aber wieder von abgekommen.
manage-bde -protectors -adbackup C: -id {A576C050-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Die Wiederherstellungsinformationen wurden in Active Directory gesichert.

Wenn ich dann im AD nach "A576C050" suche, findet er immer noch nichts. Replikation habe ich abgewartet.
Auch mit ADSIEDIT finde ich keine entsprechenden Attribute am Computer-Objekt. Auch keine untergeordneten Objekte.

Im Eventlog "BitLocker-API\Management" des Clients stehen
- Information IDs
u.a.
ID 817: BitLocker successfully sealed a key to the TPM.
ID 811: BitLocker cannot use Secure Boot for integrity because the required UEFI variable 'PK' is not present.
- Warnung ID
ID 793: BitLocker resealed boot settings to the TPM for volume C:
beidermachtvongreyscull
Lösung beidermachtvongreyscull 14.07.2017 um 11:26:10 Uhr
Goto Top
Ich habe leider keinen Schimmer, wie ich Dir hier eine Datei anbieten kann, daher der html-Code:

<html dir="ltr" xmlns:v="urn:schemas-microsoft-com:vml" gpmc_reportInitialized="false">  
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-16" />  
<title>Bitlocker-Policy</title>
<!-- Styles -->
<style type="text/css">  
                body    { background-color:#FFFFFF; border:1px solid #666666; color:#000000; font-size:68%; font-family:MS Shell Dlg; margin:0,0,10px,0; word-break:normal; word-wrap:break-word; }

                table   { font-size:100%; table-layout:fixed; width:100%; }

                td,th   { overflow:visible; text-align:left; vertical-align:top; white-space:normal; }

                .title  { background:#FFFFFF; border:none; color:#333333; display:block; height:24px; margin:0px,0px,-1px,0px; padding-top:4px; position:relative; table-layout:fixed; width:100%; z-index:5; }

                .he0_expanded    { background-color:#FEF7D6; border:1px solid #BBBBBB; color:#3333CC; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:0px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he1_expanded    { background-color:#A0BACB; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:20px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he1h_expanded   { background-color: #7197B3; border: 1px solid #BBBBBB; color: #000000; cursor: hand; display: block; font-family: MS Shell Dlg; font-size: 100%; font-weight: bold; height: 2.25em; margin-bottom: -1px; margin-left: 10px; margin-right: 0px; padding-left: 8px; padding-right: 5em; padding-top: 4px; position: relative; width: 100%; }

                .he1    { background-color:#A0BACB; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:20px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he2    { background-color:#C0D2DE; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:30px; margin-right:0px; padding-left:8px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he3    { background-color:#D9E3EA; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:40px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he4    { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:50px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he4h   { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:55px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he4i   { background-color:#F9F9F9; border:1px solid #BBBBBB; color:#000000; display:block; font-family:MS Shell Dlg; font-size:100%; margin-bottom:-1px; margin-left:55px; margin-right:0px; padding-bottom:5px; padding-left:21px; padding-top:4px; position:relative; width:100%; }

                .he5    { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; height:2.25em; margin-bottom:-1px; margin-left:60px; margin-right:0px; padding-left:11px; padding-right:5em; padding-top:4px; position:relative; width:100%; }

                .he5h   { background-color:#E8E8E8; border:1px solid #BBBBBB; color:#000000; cursor:hand; display:block; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; padding-right:5em; padding-top:4px; margin-bottom:-1px; margin-left:65px; margin-right:0px; position:relative; width:100%; }

                .he5i   { background-color:#F9F9F9; border:1px solid #BBBBBB; color:#000000; display:block; font-family:MS Shell Dlg; font-size:100%; margin-bottom:-1px; margin-left:65px; margin-right:0px; padding-left:21px; padding-bottom:5px; padding-top: 4px; position:relative; width:100%; }

                DIV .expando { color:#000000; text-decoration:none; display:block; font-family:MS Shell Dlg; font-size:100%; font-weight:normal; position:absolute; right:10px; text-decoration:underline; z-index: 0; }

                .he0 .expando { font-size:100%; }

                .info, .info3, .info4, .disalign  { line-height:1.6em; padding:0px,0px,0px,0px; margin:0px,0px,0px,0px; }

                .disalign TD                      { padding-bottom:5px; padding-right:10px; }

                .info TD                          { padding-right:10px; width:50%; }

                .info3 TD                         { padding-right:10px; width:33%; }

                .info4 TD, .info4 TH              { padding-right:10px; width:25%; }

                .info TH, .info3 TH, .info4 TH, .disalign TH { border-bottom:1px solid #CCCCCC; padding-right:10px; }

                .subtable, .subtable3             { border:1px solid #CCCCCC; margin-left:0px; background:#FFFFFF; margin-bottom:10px; }

                .subtable TD, .subtable3 TD       { padding-left:10px; padding-right:5px; padding-top:3px; padding-bottom:3px; line-height:1.1em; width:10%; }

                .subtable TH, .subtable3 TH       { border-bottom:1px solid #CCCCCC; font-weight:normal; padding-left:10px; line-height:1.6em;  }

                .subtable .footnote               { border-top:1px solid #CCCCCC; }

                .subtable3 .footnote, .subtable .footnote { border-top:1px solid #CCCCCC; }

                .subtable_frame     { background:#D9E3EA; border:1px solid #CCCCCC; margin-bottom:10px; margin-left:15px; }

                .subtable_frame TD  { line-height:1.1em; padding-bottom:3px; padding-left:10px; padding-right:15px; padding-top:3px; }

                .subtable_frame TH  { border-bottom:1px solid #CCCCCC; font-weight:normal; padding-left:10px; line-height:1.6em; }

                .subtableInnerHead { border-bottom:1px solid #CCCCCC; border-top:1px solid #CCCCCC; }

                .explainlink            { color:#000000; text-decoration:none; cursor:hand; }

                .explainlink:hover      { color:#0000FF; text-decoration:underline; }

                .spacer { background:transparent; border:1px solid #BBBBBB; color:#FFFFFF; display:block; font-family:MS Shell Dlg; font-size:100%; height:10px; margin-bottom:-1px; margin-left:43px; margin-right:0px; padding-top: 4px; position:relative; }

                .filler { background:transparent; border:none; color:#FFFFFF; display:block; font:100% MS Shell Dlg; line-height:8px; margin-bottom:-1px; margin-left:53px; margin-right:0px; padding-top:4px; position:relative; }

                .container { display:block; position:relative; }

                .rsopheader { background-color:#A0BACB; border-bottom:1px solid black; color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-bottom:5px; text-align:center; }

                .rsopname { color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-left:11px; }

                .gponame{ color:#333333; font-family:MS Shell Dlg; font-size:130%; font-weight:bold; padding-left:11px; }

                .gpotype{ color:#333333; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; padding-left:11px; }

                #uri    { color:#333333; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; }

                #dtstamp{ color:#333333; font-family:MS Shell Dlg; font-size:100%; padding-left:11px; text-align:left; width:30%; }

                #objshowhide { color:#000000; cursor:hand; font-family:MS Shell Dlg; font-size:100%; font-weight:bold; margin-right:0px; padding-right:10px; text-align:right; text-decoration:underline; z-index:2; word-wrap:normal; }

                #gposummary { display:block; }

                #gpoinformation { display:block; }

                @media print {

                    #objshowhide{ display:none; }

                    body    { color:#000000; border:1px solid #000000; }

                    .title  { color:#000000; border:1px solid #000000; }

                    .he0_expanded    { color:#000000; border:1px solid #000000; }

                    .he1h_expanded   { color:#000000; border:1px solid #000000; }

                    .he1_expanded    { color:#000000; border:1px solid #000000; }

                    .he1    { color:#000000; border:1px solid #000000; }

                    .he2    { color:#000000; background:#EEEEEE; border:1px solid #000000; }

                    .he3    { color:#000000; border:1px solid #000000; }

                    .he4    { color:#000000; border:1px solid #000000; }

                    .he4h   { color:#000000; border:1px solid #000000; }

                    .he4i   { color:#000000; border:1px solid #000000; }

                    .he5    { color:#000000; border:1px solid #000000; }

                    .he5h   { color:#000000; border:1px solid #000000; }

                    .he5i   { color:#000000; border:1px solid #000000; }

                    }

                    v\:* {behavior:url(#default#VML);}

</style>
<!-- Script 1 -->

<script language="vbscript">  
<!--
'================================================================================ 
' String "strShowHide(0/1)" 
' 0 = Hide all mode. 
' 1 = Show all mode. 
strShowHide = 1

'Localized strings 
strShow = "show" 
strHide = "hide" 
strShowAll = "show all" 
strHideAll = "hide all" 
strShown = "shown" 
strHidden = "hidden" 
strExpandoNumPixelsFromEdge = "10px" 


Function IsSectionHeader(obj)
    IsSectionHeader = (obj.className = "he0_expanded") Or (obj.className = "he1h_expanded") Or (obj.className = "he1_expanded") Or (obj.className = "he1") Or (obj.className = "he2") Or (obj.className = "he3") Or (obj.className = "he4") Or (obj.className = "he4h") Or (obj.className = "he5") Or (obj.className = "he5h") 
End Function


Function IsSectionExpandedByDefault(objHeader)
    IsSectionExpandedByDefault = (Right(objHeader.className, Len("_expanded")) = "_expanded") 
End Function


' strState must be show | hide | toggle 
Sub SetSectionState(objHeader, strState)
    ' Get the container object for the section.  It's the first one after the header obj. 

    i = objHeader.sourceIndex
    Set all = objHeader.parentElement.document.all
    While (all(i).className <> "container") 
        i = i + 1
    Wend

    Set objContainer = all(i)

    If strState = "toggle" Then 
        If objContainer.style.display = "none" Then 
            SetSectionState objHeader, "show" 
        Else
            SetSectionState objHeader, "hide" 
        End If

    Else
        Set objExpando = objHeader.children.item(1)

        If strState = "show" Then 
            objContainer.style.display = "block" 
            objExpando.innerText = strHide

        ElseIf strState = "hide" Then 
            objContainer.style.display = "none" 
            objExpando.innerText = strShow
        End If
    End If
End Sub


Sub ShowSection(objHeader)
    SetSectionState objHeader, "show" 
End Sub


Sub HideSection(objHeader)
    SetSectionState objHeader, "hide" 
End Sub


Sub ToggleSection(objHeader)
    SetSectionState objHeader, "toggle" 
End Sub


'================================================================================ 
' When user clicks anywhere in the document body, determine if user is clicking 
' on a header element. 
'================================================================================ 
Function document_onclick()
    Set strsrc    = window.event.srcElement

    While (strsrc.className = "sectionTitle" Or strsrc.className = "expando" Or strsrc.className = "vmlimage") 
        Set strsrc = strsrc.parentElement
    Wend

    ' Only handle clicks on headers. 
    If Not IsSectionHeader(strsrc) Then Exit Function

    ToggleSection strsrc

    window.event.returnValue = False
End Function

'================================================================================ 
' link at the top of the page to collapse/expand all collapsable elements 
'================================================================================ 
Function objshowhide_onClick()
    Set objBody = document.body.all
    Select Case strShowHide
        Case 0
            strShowHide = 1
            objshowhide.innerText = strShowAll
            For Each obji In objBody
                If IsSectionHeader(obji) Then
                    HideSection obji
                End If
            Next
        Case 1
            strShowHide = 0
            objshowhide.innerText = strHideAll
            For Each obji In objBody
                If IsSectionHeader(obji) Then
                    ShowSection obji
                End If
            Next
    End Select
End Function

'================================================================================ 
' onload collapse all except the first two levels of headers (he0, he1) 
'================================================================================ 
Function window_onload()
    ' Only initialize once.  The UI may reinsert a report into the webbrowser control, 
    ' firing onLoad multiple times. 
    If UCase(document.documentElement.getAttribute("gpmc_reportInitialized")) <> "TRUE" Then 

        ' Set text direction 
        Call fDetDir(UCase(document.dir))

        ' Initialize sections to default expanded/collapsed state. 
        Set objBody = document.body.all

        For Each obji in objBody
            If IsSectionHeader(obji) Then
                If IsSectionExpandedByDefault(obji) Then
                    ShowSection obji
                Else
                    HideSection obji
                End If
            End If
        Next

        objshowhide.innerText = strShowAll

        document.documentElement.setAttribute "gpmc_reportInitialized", "true" 
    End If
End Function

                


'================================================================================ 
' When direction (LTR/RTL) changes, change adjust for readability 
'================================================================================ 
Function document_onPropertyChange()
    If window.event.propertyName = "dir" Then 
        Call fDetDir(UCase(document.dir))
    End If
End Function
Function fDetDir(strDir)
    strDir = UCase(strDir)
    Select Case strDir
        Case "LTR" 
            Set colRules = document.styleSheets(0).rules
            For i = 0 To colRules.length -1
                Set nug = colRules.item(i)
                strClass = nug.selectorText
                If nug.style.textAlign = "right" Then 
                    nug.style.textAlign = "left" 
                End If
                Select Case strClass
                    Case "DIV .expando" 
                        nug.style.Left = "" 
                        nug.style.right = strExpandoNumPixelsFromEdge
                    Case "#objshowhide" 
                        nug.style.textAlign = "right" 
                End Select
            Next
        Case "RTL" 
            Set colRules = document.styleSheets(0).rules
            For i = 0 To colRules.length -1
                Set nug = colRules.item(i)
                strClass = nug.selectorText
                If nug.style.textAlign = "left" Then 
                    nug.style.textAlign = "right" 
                End If
                Select Case strClass
                    Case "DIV .expando" 
                        nug.style.Left = strExpandoNumPixelsFromEdge
                        nug.style.right = "" 
                    Case "#objshowhide" 
                        nug.style.textAlign = "left" 
                End Select
            Next
    End Select
End Function

'================================================================================ 
'When printing reports, if a given section is expanded, let's says "shown" (instead of "hide" in the UI). 
'================================================================================ 
Function window_onbeforeprint()
    For Each obji In document.all
        If obji.className = "expando" Then 
            If obji.innerText = strHide Then obji.innerText = strShown
            If obji.innerText = strShow Then obji.innerText = strHidden
        End If
    Next
End Function

'================================================================================ 
'If a section is collapsed, change to "hidden" in the printout (instead of "show"). 
'================================================================================ 
Function window_onafterprint()
    For Each obji In document.all
        If obji.className = "expando" Then 
            If obji.innerText = strShown Then obji.innerText = strHide
            If obji.innerText = strHidden Then obji.innerText = strShow
        End If
    Next
End Function

'================================================================================ 
' Adding keypress support for accessibility 
'================================================================================ 
Function document_onKeyPress()
    If window.event.keyCode = "32" Or window.event.keyCode = "13" Or window.event.keyCode = "10" Then 'space bar (32) or carriage return (13) or line feed (10) 
        If window.event.srcElement.className = "expando" Then Call document_onclick() : window.event.returnValue = false 
        If window.event.srcElement.className = "sectionTitle" Then Call document_onclick() : window.event.returnValue = false 
        If window.event.srcElement.id = "objshowhide" Then Call objshowhide_onClick() : window.event.returnValue = false 
    End If
End Function
                
-->
</script>
                
<!-- Script 2 -->

<script language="javascript">  
<!--
function getExplainWindowTitle()
{
        return document.getElementById("explainText_windowTitle").innerHTML; 
}

function getExplainWindowStyles()
{
        return document.getElementById("explainText_windowStyles").innerHTML; 
}

function getExplainWindowSettingPathLabel()
{
        return document.getElementById("explainText_settingPathLabel").innerHTML; 
}

function getExplainWindowExplainTextLabel()
{
        return document.getElementById("explainText_explainTextLabel").innerHTML; 
}

function getExplainWindowPrintButton()
{
        return document.getElementById("explainText_printButton").innerHTML; 
}

function getExplainWindowCloseButton()
{
        return document.getElementById("explainText_closeButton").innerHTML; 
}

function getNoExplainTextAvailable()
{
        return document.getElementById("explainText_noExplainTextAvailable").innerHTML; 
}

function getExplainWindowSupportedLabel()
{
        return document.getElementById("explainText_supportedLabel").innerHTML; 
}

function getNoSupportedTextAvailable()
{
        return document.getElementById("explainText_noSupportedTextAvailable").innerHTML; 
}

function showExplainText(srcElement)
{
    var strSettingName = srcElement.getAttribute("gpmc_settingName"); 
    var strSettingPath = srcElement.getAttribute("gpmc_settingPath"); 
    var strSettingDescription = srcElement.getAttribute("gpmc_settingDescription"); 

    if (strSettingDescription == "") 
    {
                strSettingDescription = getNoExplainTextAvailable();
    }

    var strSupported = srcElement.getAttribute("gpmc_supported"); 

    if (strSupported == "") 
    {
        strSupported = getNoSupportedTextAvailable();
    }

    var strHtml = "<html>\n"; 
    strHtml += "<head>\n"; 
    strHtml += "<title>" + getExplainWindowTitle() + "</title>\n"; 
    strHtml += "<style type='text/css'>\n" + getExplainWindowStyles() + "</style>\n"; 
    strHtml += "</head>\n"; 
    strHtml += "<body>\n"; 
    strHtml += "<div class='head'>" + strSettingName +"</div>\n"; 
    strHtml += "<div class='path'><b>" + getExplainWindowSettingPathLabel() + "</b><br/>" + strSettingPath +"</div>\n"; 
    strHtml += "<div class='path'><b>" + getExplainWindowSupportedLabel() + "</b><br/>" + strSupported +"</div>\n"; 
    strHtml += "<div class='info'>\n"; 
    strHtml += "<div class='hdr'>" + getExplainWindowExplainTextLabel() + "</div>\n"; 
    strHtml += "<div class='bdy'>" + strSettingDescription + "</div>\n"; 
    strHtml += "<div class='btn'>"; 
    strHtml += getExplainWindowPrintButton();
    strHtml += getExplainWindowCloseButton();
    strHtml += "</div></body></html>"; 

    var strDiagArgs = "height=360px, width=630px, status=no, toolbar=no, scrollbars=yes, resizable=yes "; 
    var expWin = window.open("", "expWin", strDiagArgs); 
    expWin.document.write(""); 
    expWin.document.close();
    expWin.document.write(strHtml);
    expWin.document.close();
    expWin.focus();

    //cancels navigation for IE.
    if(navigator.userAgent.indexOf("MSIE") > 0) 
    {
        window.event.returnValue = false;
    }

    return false;
}
-->
</script>
                
</head>

<body>

<!-- HTML resources -->
<div style="display:none;">  
        <div id="explainText_windowTitle">Gruppenrichtlinienverwaltung</div>  
        <div id="explainText_windowStyles">  
        
                            body  { font-size:68%;font-family:MS Shell Dlg; margin:0px,0px,0px,0px; border: 1px solid #666666; background:#F6F6F6; width:100%; word-break:normal; word-wrap:break-word; }

                            .head { font-weight:bold; font-size:160%; font-family:MS Shell Dlg; width:100%; color:#6587DC; background:#E3EAF9; border:1px solid #5582D2; padding-left:8px; height:24px; }

                            .path { margin-left: 10px; margin-top: 10px; margin-bottom:5px;width:100%; }

                            .info { padding-left:10px;width:100%; }

                            table { font-size:100%; width:100%; border:1px solid #999999; }

                            th    { border-bottom:1px solid #999999; text-align:left; padding-left:10px; height:24px; }

                            td    { background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; }

                            .btn  { width:100%; text-align:right; margin-top:16px; }

                            .hdr  { font-weight:bold; border:1px solid #999999; text-align:left; padding-top: 4px; padding-left:10px; height:24px; margin-bottom:-1px; width:100%; }

                            .bdy  { width:100%; height:182px; display:block; overflow:scroll; z-index:2; background:#FFFFFF; padding-left:10px; padding-bottom:10px; padding-top:10px; border:1px solid #999999; }

                            button { width:6.9em; height:2.1em; font-size:100%; font-family:MS Shell Dlg; margin-right:15px; }

                            @media print {

                                .bdy { display:block; overflow:visible; }

                                button { display:none; }

                                .head { color:#000000; background:#FFFFFF; border:1px solid #000000; }

                            }

                
        </div>
        <div id="explainText_settingPathLabel">Pfad für Einstellungen:</div>  
        <div id="explainText_explainTextLabel">Erklärung</div>  
        <div id="explainText_printButton">  
        <button name="Print" onClick="window.print()" accesskey="D"><u>D</u>rucken</button>  

                </div>
        <div id="explainText_closeButton">  
        <button name="Close" onClick="window.close()" accesskey="S"><u>S</u>chließen</button>  
                
        </div>
        <div id="explainText_noExplainTextAvailable">Für diese Einstellung ist keine Erklärung vorhanden.</div>  
        <div id="explainText_supportedLabel">Unterstützt auf:</div>  
        <div id="explainText_noSupportedTextAvailable">Nicht verfügbar</div>  
</div><table class="title" cellpadding="0" cellspacing="0">  
<tr><td colspan="2" class="gponame">Bitlocker-Policy</td></tr>  
<tr>
    <td id="dtstamp">Daten ermittelt am: 14.07.2017 11:10:11</td>  
    <td><div id="objshowhide" tabindex="0"></div></td>  
</tr>
</table>

<div class="gposummary">  
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Allgemein</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he1"><span class="sectionTitle" tabindex="0">Details</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info" cellpadding="0" cellspacing="0">  
<tr><td scope="row">Domäne</td><td>XXX.local</td></tr>  
<tr><td scope="row">Besitzer</td><td>XXX\Dom&#228;nen-Admins</td></tr>  
<tr><td scope="row">Erstellt</td><td>31.08.2016 09:52:24</td></tr>  
<tr><td scope="row">Geändert</td><td>31.08.2016 11:29:42</td></tr>  
<tr><td scope="row">Benutzerrevisionen</td><td>0 (AD), 0 (sysvol)</td></tr>  
<tr><td scope="row">Computerrevisionen</td><td>11 (AD), 11 (sysvol)</td></tr>  
<tr><td scope="row">Eindeutige ID</td><td>{041801C9-077A-4B95-BF3D-E87A18F7CD9E}</td></tr>  
<tr><td scope="row">GPO-Status</td><td>Aktiviert</td></tr>  
</table></div></div>
<div class="filler"></div>  
<div class="he1"><span class="sectionTitle" tabindex="0">Verknüpfungen</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0"><tr><th scope="col">Standort</th><th scope="col">Erzwungen</th><th scope="col">Verknüpfungsstatus</th><th scope="col">Pfad</th></tr>  
    <tr><td>Bitlocker-Verschl&#252;sselung</td><td>Nein</td><td>Aktiviert</td><td>XXX.local/Computerverwaltung/Windows 10/Bitlocker-Verschl&#252;sselung</td></tr>
    </table>
    <br/>Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.</div></div>
<div class="filler"></div>  
<div class="he1"><span class="sectionTitle" tabindex="0">Sicherheitsfilterung</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><b>Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:</b></div>  
<div class="he4i">  
<table class="info" cellpadding="0" cellspacing="0"><tr><th scope="col">Name</th></tr><tr><td>NT-AUTORIT&#196;T\Authentifizierte Benutzer</td></tr></table>  
</div>
</div>
<div class="filler"></div>  

<div class="filler"></div>  
<div class="he1"><span class="sectionTitle" tabindex="0">Delegierung</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><b>Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das Gruppenrichtlinienobjekt</b></div>  
<div class="he4i">  
<table class="info3" cellpadding="0" cellspacing="0">  
<tr><th scope="col">Name</th><th scope="col">Zulässige Berechtigungen</th><th scope="col">Geerbt</th></tr>  
<tr><td>NT-AUTORIT&#196;T\Authentifizierte Benutzer</td><td>Lesen (durch Sicherheitsfilterung)</td><td>Nein</td></tr>
<tr><td>NT-AUTORIT&#196;T\DOM&#196;NENCONTROLLER DER ORGANISATION</td><td>Lesen</td><td>Nein</td></tr>
<tr><td>NT-AUTORIT&#196;T\SYSTEM</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
<tr><td>XXX\Dom&#228;nen-Admins</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
<tr><td>XXX\Organisations-Admins</td><td>Einstellungen bearbeiten, löschen, Sicherheit ändern</td><td>Nein</td></tr>
</table>

</div></div></div>
<div class="filler"></div>  
</div>
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Computerkonfiguration (Aktiviert)</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he1h_expanded"><span class="sectionTitle" tabindex="0">Richtlinien</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he1"><span class="sectionTitle" tabindex="0">Administrative Vorlagen</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i">Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen Speicher abgerufen.</div><div class="he3"><span class="sectionTitle" tabindex="0">System/Trusted Platform Module-Dienste</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">  
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Sicherung in den Active Directory-Dom&amp;#228;nendiensten aktivieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/System/Trusted Platform Module-Dienste" gpmc_settingDescription="Diese Richtlinieneinstellung erm&amp;#246;glicht das Verwalten der AD DS-Sicherung (Active Directory-Dom&amp;#228;nendienste, Active Directory Domain Services) von TPM-Besitzerinformationen (Trusted Platform Module). &lt;br/&gt;&lt;br/&gt;Die TPM-Besitzerinformationen umfassen einen kryptografischen Hash des TPM-Besitzerkennworts. Bestimmte TPM-Befehle k&amp;#246;nnen nur vom TPM-Besitzer ausgef&amp;#252;hrt werden. Dieser Hash autorisiert das TPM, diese Befehle auszuf&amp;#252;hren. &lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, werden die TPM-Besitzerinformationen automatisch und im Hintergrund in AD DS gesichert, wenn Sie Windows verwenden, um das TPM-Besitzerkennwort festzulegen oder zu &amp;#228;ndern. &lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, kann ein TPM-Besitzerkennwort nur dann festgelegt oder ge&amp;#228;ndert werden, wenn der Computer mit einer Dom&amp;#228;ne verbunden ist und die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine TPM-Besitzerinformationen in AD DS gesichert. &lt;br/&gt;&lt;br/&gt;Hinweis: Sie m&amp;#252;ssen zuerst geeignete Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Dom&amp;#228;ne einrichten, damit die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt werden kann. Weitere Informationen zum Einrichten der Active Directory-Dom&amp;#228;nendienste f&amp;#252;r das TPM finden Sie in der Onlinedokumentation.&lt;br/&gt;&lt;br/&gt;Hinweis: Sie m&amp;#252;ssen zuerst einen Besitzer festlegen, um das TPM zum Bereitstellen von erweiterten Sicherheitsfeatures f&amp;#252;r die BitLocker-Laufwerkverschl&amp;#252;sselung und andere Anwendungen bereitzustellen. Wenn Sie den Besitz eines TPMs mit einem Besitzerkennwort &amp;#252;bernehmen m&amp;#246;chten, f&amp;#252;hren Sie &amp;quot;tpm.msc&amp;quot; aus, und w&amp;#228;hlen Sie die Aktion &amp;quot;TPM initialisieren&amp;quot;.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn die TPM-Besitzerinformationen verloren gegangen oder nicht verf&amp;#252;gbar sind, ist durch Ausf&amp;#252;hren von &amp;quot;tpm.msc&amp;quot; auf dem lokalen Computer eine begrenzte TPM-Verwaltung m&amp;#246;glich." gpmc_supported="Mindestens Windows Vista">TPM-Sicherung in den Active Directory-Dom&#228;nendiensten aktivieren</a></td><td>Aktiviert</td><td></td></tr>  
</table>
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">  
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern (Windows Server 2008 und Windows Vista)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Diese Richtlinieneinstellung erm&amp;#246;glicht das Verwalten der Active Directory-Dom&amp;#228;nendienste-Sicherung (AD DS, Active Directory Domain Services) von Wiederherstellungsinformationen zur BitLocker-Laufwerkverschl&amp;#252;sselung. Hierbei handelt es sich um ein administratives Verfahren f&amp;#252;r die Wiederherstellung der von BitLocker verschl&amp;#252;sselten Daten, mit dem Datenverluste aufgrund fehlender Schl&amp;#252;sselinformationen vermieden werden. Diese Richtlinieneinstellung gilt nur f&amp;#252;r Computer, auf denen Windows Server 2008 oder Windows Vista ausgef&amp;#252;hrt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, werden bei aktivierter BitLocker-Laufwerkverschl&amp;#252;sselung f&amp;#252;r einen Computer automatisch BitLocker-Wiederherstellungsinformationen im Hintergrund in AD DS gesichert. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Hinweis: M&amp;#246;glicherweise m&amp;#252;ssen Sie zuerst geeignete Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Dom&amp;#228;ne einrichten, damit die AD DS-Sicherung erfolgreich ausgef&amp;#252;hrt werden kann. Weitere Informationen zum Einrichten der AD DS-Sicherung f&amp;#252;r BitLocker finden Sie in Microsoft TechNet.&lt;br/&gt;&lt;br/&gt;Die BitLocker-Wiederherstellungsinformationen enthalten das Wiederherstellungskennwort und einige eindeutige ID-Daten. Sie k&amp;#246;nnen auch ein Paket einf&amp;#252;gen, das einen Verschl&amp;#252;sselungsschl&amp;#252;ssel f&amp;#252;r ein mit BitLocker gesch&amp;#252;tztes Laufwerk enth&amp;#228;lt. Dieses Schl&amp;#252;sselpaket wird durch mindestens ein Wiederherstellungskennwort gesichert und kann dazu dienen, bei einer Datentr&amp;#228;gerbesch&amp;#228;digung eine spezialisierte Wiederherstellung durchzuf&amp;#252;hren.&lt;br/&gt;&lt;br/&gt;Wenn Sie die Option &amp;quot;BitLocker-Sicherung in AD DS erforderlich&amp;quot; ausw&amp;#228;hlen, kann BitLocker nur dann aktiviert werden, wenn der Computer mit der Dom&amp;#228;ne verbunden ist und die BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden. Diese Option ist standardm&amp;#228;&amp;#223;ig aktiviert, um sicherzustellen, dass eine BitLocker-Wiederherstellung m&amp;#246;glich ist. Wenn diese Option nicht aktiviert ist, wird zwar versucht, eine AD DS-Sicherung auszuf&amp;#252;hren, das BitLocker-Setup wird jedoch durch Netzwerk- oder andere Sicherungsfehler nicht verhindert. Die Sicherung wird nicht automatisch wiederholt, und das Wiederherstellungskennwort wurde beim BitLocker-Setup m&amp;#246;glicherweise nicht gespeichert.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine BitLocker-Wiederherstellungsinformationen in AD DS gesichert.&lt;br/&gt;&lt;br/&gt;Hinweis: Beim BitLocker-Setup erfolgt ggf. eine TPM-Initialisierung (Trusted Platform Module). Aktivieren Sie die Richtlinieneinstellung &amp;quot;TPM-Sicherung in Active Directory-Dom&amp;#228;nendienste aktivieren&amp;quot; in &amp;quot;System\Trusted Platform Module-Dienste&amp;quot;, um sicherzustellen, dass die TPM-Informationen ebenfalls gesichert werden.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Windows Server 2008 und Windows Vista">BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&#228;nendiensten speichern (Windows Server 2008 und Windows Vista)</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>BitLocker-Sicherung in AD DS erforderlich</td><td>Aktiviert</td></tr>
<tr><td colspan="2">Wenn diese Option aktiviert ist, kann BitLocker bei einem Sicherungsfehler nicht aktiviert werden (empfohlene Standardeinstellung).  </td></tr><tr><td colspan="2">Wenn diese Option deaktiviert ist, kann BitLocker selbst bei einem Sicherungsfehler aktiviert werden. Die Sicherung wird nicht automatisch wiederholt.</td></tr><tr><td>W&#228;hlen Sie die zu speichernden BitLocker-Wiederherstellungsinformationen aus:</td><td>Wiederherstellungskennw&#246;rter und Schl&#252;sselpakete</td></tr>  
<tr><td colspan="2"></td></tr><tr><td colspan="2">Ein Wiederherstellungskennwort ist eine 48-stellige Nummer, die den Zugriff auf ein BitLocker-gesch&#252;tztes Laufwerk entsperrt.</td></tr><tr><td colspan="2">Ein Schl&#252;sselpaket enth&#228;lt den durch mindestens ein Wiederherstellungskennwort gesicherten BitLocker-Verschl&#252;sselungsschl&#252;ssel eines Laufwerks.</td></tr><tr><td colspan="2">Schl&#252;sselpakete k&#246;nnen Sie beim Ausf&#252;hren einer spezialisierten Wiederherstellung unterst&#252;tzen, wenn der Datentr&#228;ger besch&#228;digt ist.  </td></tr></table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen (Windows 10 [Version 1511] und h&amp;#246;her)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie den von der BitLocker-Laufwerkverschl&amp;#252;sselung verwendeten Algorithmus und die Verschl&amp;#252;sselungsst&amp;#228;rke konfigurieren. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet. Das &amp;#196;ndern der Verschl&amp;#252;sselungsmethode hat keine Auswirkung, wenn das Laufwerk bereits verschl&amp;#252;sselt ist oder die Verschl&amp;#252;sselung gerade stattfindet.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie einen Verschl&amp;#252;sselungsalgorithmus und eine Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Schl&amp;#252;ssel ausw&amp;#228;hlen, die individuell f&amp;#252;r Festplatten-, Betriebssystem- und Wechsellaufwerke verwendet werden. F&amp;#252;r Festplatten- und Betriebssystemlaufwerke empfehlen wir die Verwendung des XTS-AES-Algorithmus, und f&amp;#252;r Wechsellaufwerke sollten Sie AES-CBC 128-Bit oder AES-CBC 256-Bit verwenden, wenn das Laufwerk mit anderen Ger&amp;#228;ten ohne Windows 10 (Version 1511) eingesetzt wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker AES mit derselben Bitst&amp;#228;rke (128-Bit oder 256-Bit) wie die Richtlinieneinstellungen &amp;quot;Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen (Windows Vista, Windows Server 2008, Windows 7)&amp;quot; und &amp;quot;Verschl&amp;#252;sselungsmethode und Verschl&amp;#252;sselungsst&amp;#228;rke f&amp;#252;r Laufwerk ausw&amp;#228;hlen&amp;quot; (in dieser Reihenfolge), sofern sie festgelegt wurden. Falls keine der Richtlinien festgelegt wurde, verwendet BitLocker die Standardverschl&amp;#252;sselungsmethode &amp;quot;XTS-AES 128-Bit&amp;quot; oder die im Setupskript festgelegte Verschl&amp;#252;sselungsmethode.&lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Mindestens Windows 10 Server, Windows 10">Verschl&#252;sselungsmethode und Verschl&#252;sselungsst&#228;rke f&#252;r Laufwerk ausw&#228;hlen (Windows 10 [Version 1511] und h&#246;her)</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>Verschl&#252;sselungsmethode f&#252;r Betriebssystemlaufwerke ausw&#228;hlen:</td><td>XTS-AES 256-Bit</td></tr>
<tr><td>Verschl&#252;sselungsmethode f&#252;r Festplattenlaufwerke ausw&#228;hlen:</td><td>XTS-AES 256-Bit</td></tr>
<tr><td>Verschl&#252;sselungsmethode f&#252;r Wechsellaufwerke ausw&#228;hlen:</td><td>AES-CBC 128-Bit (Standardeinstellung)</td></tr>
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Wiederherstellungsoptionen f&amp;#252;r BitLocker-gesch&amp;#252;tzte Laufwerke f&amp;#252;r Benutzer ausw&amp;#228;hlen (Windows Server 2008 und Windows Vista)" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie steuern, ob der Setup-Assistent der BitLocker-Laufwerkverschl&amp;#252;sselung BitLocker-Wiederherstellungsoptionen anzeigen und festlegen kann. Diese Richtlinie gilt nur f&amp;#252;r Computer, auf denen Windows Server 2008 oder Windows Vista ausgef&amp;#252;hrt wird. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Falls der erforderliche Systemstartschl&amp;#252;ssel nicht verf&amp;#252;gbar ist, kann die Sperre f&amp;#252;r den Zugriff auf die BitLocker-verschl&amp;#252;sselten Daten mit zwei Wiederherstellungsoptionen aufgehoben werden. Der Benutzer kann entweder ein 48-stelliges numerisches Wiederherstellungskennwort eingeben oder ein USB-Flashlaufwerk anschlie&amp;#223;en, das einen 256-Bit-Wiederherstellungsschl&amp;#252;ssel enth&amp;#228;lt.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie konfigurieren, welche Optionen im Setup-Assistenten zur Wiederherstellung von BitLocker-verschl&amp;#252;sselten Daten f&amp;#252;r Benutzer angezeigt werden. Beim Speichern auf einem USB-Flashlaufwerk wird das 48-stellige Wiederherstellungskennwort als Textdatei und der 256-Bit-Wiederherstellungsschl&amp;#252;ssel als versteckte Datei gespeichert. Beim Speichern in einem Ordner wird das 48-stellige Wiederherstellungskennwort als Textdatei gespeichert. Beim Drucken wird das 48-stellige Wiederherstellungskennwort an den Standarddrucker gesendet. Wenn Sie beispielsweise das 48-stellige Wiederherstellungskennwort nicht zulassen, k&amp;#246;nnen Benutzer Wiederherstellungsinformationen nicht drucken oder in einem Ordner speichern.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der BitLocker-Setup-Assistent den Benutzern M&amp;#246;glichkeiten zum Speichern von Wiederherstellungsoptionen bereit.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn beim BitLocker-Setup eine TPM-Initialisierung (Trusted Platform Module) erforderlich ist, werden die TPM-Besitzerinformationen mit den BitLocker-Wiederherstellungsinformationen gespeichert oder ausgedruckt.&lt;br/&gt;&lt;br/&gt;Hinweis: Das 48-stellige Wiederherstellungskennwort ist nicht im FIPS-Kompatibilit&amp;#228;tsmodus verf&amp;#252;gbar.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Richtlinieneinstellung bietet ein administratives Verfahren f&amp;#252;r die Wiederherstellung der von BitLocker verschl&amp;#252;sselten Daten, mit dem Datenverluste aufgrund fehlender Schl&amp;#252;sselinformationen vermieden werden. Wenn Sie verhindern m&amp;#246;chten, dass Benutzer auf die beiden Wiederherstellungsoptionen zugreifen, m&amp;#252;ssen Sie die Richtlinieneinstellung &amp;quot;BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern (Windows Server 2008 und Windows Vista)&amp;quot; aktivieren, da andernfalls ein Richtlinienfehler auftritt.&lt;br/&gt;&lt;br/&gt;      &lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Windows Server 2008 und Windows Vista">Wiederherstellungsoptionen f&#252;r BitLocker-gesch&#252;tzte Laufwerke f&#252;r Benutzer ausw&#228;hlen (Windows Server 2008 und Windows Vista)</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td colspan="2">Wichtig: Um Datenverluste zu vermeiden, m&#252;ssen BitLocker-Verschl&#252;sselungsschl&#252;ssel wiederhergestellt werden k&#246;nnen. Wenn Sie die beiden unten angegebenen Wiederherstellungsoptionen nicht zulassen, m&#252;ssen Sie die Sicherung von BitLocker-Wiederherstellungsinformationen in AD DS aktivieren. Andernfalls tritt ein Richtlinienfehler auf.</td></tr><tr><td>48-stelliges Wiederherstellungskennwort konfigurieren:</td><td>Wiederherstellungskennwort anfordern (Standardeinstellung)</td></tr>  
<tr><td>256-Bit-Wiederherstellungsschl&#252;ssel konfigurieren:</td><td>Wiederherstellungsschl&#252;ssel anfordern (Standardeinstellung)</td></tr>
<tr><td colspan="2">Hinweis: Wenn Sie die Verwendung des Wiederherstellungskennworts nicht zulassen und der Wiederherstellungsschl&#252;ssel erforderlich ist, k&#246;nnen Benutzer BitLocker ohne Speichern auf dem USB-Laufwerk nicht aktivieren.</td></tr><tr><td colspan="2"></td></tr></table></td></tr></table>  
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung/Betriebssystemlaufwerke</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">  
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Erweiterte PINs f&amp;#252;r Systemstart zulassen" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, ob erweiterte Systemstart-PINs mit BitLocker verwendet werden.&lt;br/&gt;&lt;br/&gt;Erweiterte Systemstart-PINs erm&amp;#246;glichen die Verwendung verschiedener Zeichen, einschlie&amp;#223;lich Gro&amp;#223;- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, handelt es sich bei allen neu festgelegten BitLocker-Systemstart-PINs um erweiterte PINs.&lt;br/&gt;&lt;br/&gt;Hinweis: M&amp;#246;glicherweise unterst&amp;#252;tzen nicht alle Computer erweiterte PINs in der PXE (Pre-Boot eXecution Environment). Benutzern wird dringend empfohlen, w&amp;#228;hrend des BitLocker-Setups eine System&amp;#252;berpr&amp;#252;fung durchzuf&amp;#252;hren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.&lt;br/&gt;&lt;br/&gt;      &lt;br/&gt;&lt;br/&gt;      " gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Erweiterte PINs f&#252;r Systemstart zulassen</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Festlegen, wie BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke wiederhergestellt werden k&amp;#246;nnen" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie steuern, wie BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke wiederhergestellt werden, falls keine Informationen zum erforderlichen Systemstartschl&amp;#252;ssel verf&amp;#252;gbar sind. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;&amp;#220;ber das Kontrollk&amp;#228;stchen &amp;quot;Zertifikatbasierte Wiederherstellungs-Agents zulassen&amp;quot; geben Sie an, ob f&amp;#252;r BitLocker-gesch&amp;#252;tzte Betriebssystemlaufwerke ein Datenwiederherstellungs-Agent verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er aus dem Element &amp;quot;Richtlinien &amp;#246;ffentlicher Schl&amp;#252;ssel&amp;quot; entweder in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor f&amp;#252;r lokale Gruppenrichtlinien hinzugef&amp;#252;gt werden. Weitere Informationen zum Hinzuf&amp;#252;gen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch f&amp;#252;r die BitLocker-Laufwerkverschl&amp;#252;sselung (auf Englisch) in Microsoft TechNet.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie unter &amp;quot;Speicherung von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren&amp;quot; aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschl&amp;#252;ssel generieren d&amp;#252;rfen, m&amp;#252;ssen oder nicht d&amp;#252;rfen.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie &amp;quot;Wiederherstellungsoptionen aus BitLocker-Setup-Assistent unterdr&amp;#252;cken&amp;quot;, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker f&amp;#252;r ein Laufwerk aktivieren. In diesem Fall k&amp;#246;nnen Sie beim Einschalten von BitLocker nicht angeben, welche Wiederherstellungsoption verwendet werden soll, da die BitLocker-Wiederherstellungsoptionen f&amp;#252;r das Laufwerk stattdessen durch die Richtlinieneinstellung bestimmt werden.&lt;br/&gt;&lt;br/&gt;W&amp;#228;hlen Sie unter &amp;quot;BitLocker-Wiederherstellungsinformationen in Active Directory-Dom&amp;#228;nendiensten speichern&amp;quot; aus, welche BitLocker-Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert werden sollen. Bei Auswahl von &amp;quot;Wiederherstellungskennwort und Schl&amp;#252;sselpaket sichern&amp;quot; werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schl&amp;#252;sselpaket in AD DS gespeichert. Durch die Speicherung des Schl&amp;#252;sselpakets k&amp;#246;nnen Daten von einem physikalisch besch&amp;#228;digten Laufwerk wiederhergestellt werden. Bei Auswahl von &amp;quot;Nur Wiederherstellungskennwort sichern&amp;quot; wird ausschlie&amp;#223;lich das Wiederherstellungskennwort in AD DS gespeichert.&lt;br/&gt;&lt;br/&gt;Aktivieren Sie das Kontrollk&amp;#228;stchen &amp;quot;BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden&amp;quot;, wenn Sie verhindern m&amp;#246;chten, dass Benutzer BitLocker aktivieren, bevor der Computer mit der Dom&amp;#228;ne verbunden und BitLocker-Wiederherstellungsinformationen erfolgreich in AD DS gesichert wurden.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn das Kontrollk&amp;#228;stchen &amp;quot;BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&amp;#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden&amp;quot; aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Sie steuern, welche M&amp;#246;glichkeiten Benutzern zum Wiederherstellen von Daten auf BitLocker-gesch&amp;#252;tzten Betriebssystemlaufwerken zur Verf&amp;#252;gung stehen.&lt;br/&gt;&lt;br/&gt;Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert wird, werden die standardm&amp;#228;&amp;#223;igen Wiederherstellungsoptionen f&amp;#252;r die BitLocker-Wiederherstellung unterst&amp;#252;tzt. Ein DRA ist standardm&amp;#228;&amp;#223;ig zul&amp;#228;ssig, die Wiederherstellungsoptionen, einschlie&amp;#223;lich Wiederherstellungskennwort und Wiederherstellungsschl&amp;#252;ssel, k&amp;#246;nnen vom Benutzer festgelegt werden, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Festlegen, wie BitLocker-gesch&#252;tzte Betriebssystemlaufwerke wiederhergestellt werden k&#246;nnen</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>Datenwiederherstellungs-Agents zulassen</td><td>Aktiviert</td></tr>
<tr><td colspan="2">Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:</td></tr><tr><td></td><td>48-stelliges Wiederherstellungskennwort zulassen</td></tr>  
<tr><td></td><td>256-Bit-Wiederherstellungsschl&#252;ssel zulassen</td></tr>
<tr><td>Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdr&#252;cken</td><td>Deaktiviert</td></tr>
<tr><td>BitLocker-Wiederherstellungsinformationen f&#252;r Betriebssystemlaufwerke in AD DS speichern</td><td>Aktiviert</td></tr>
<tr><td>Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:</td><td>Wiederherstellungskennw&#246;rter und Schl&#252;sselpakete speichern</td></tr>
<tr><td>BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen f&#252;r Betriebssystemlaufwerke in AD DS gespeichert wurden</td><td>Aktiviert</td></tr>
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Plattformvalidierungsprofil f&amp;#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschl&amp;#252;sselungsschl&amp;#252;ssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht &amp;#252;ber ein kompatibles TPM verf&amp;#252;gt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Gruppenrichtlinie gilt nur f&amp;#252;r Computer mit BIOS-Konfigurationen oder f&amp;#252;r Computer mit UEFI-Firmware, f&amp;#252;r die ein Kompatibilit&amp;#228;tsdienstmodul (Compatibility Service Module, CSM) aktiviert wurde.  Computer, f&amp;#252;r die eine systemeigene UEFI-Firmwarekonfiguration verwendet wird, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR).  Verwenden Sie die Gruppenrichtlinieneinstellung &amp;quot;TPM-Plattformvalidierungsprofil f&amp;#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren&amp;quot;, um das TPM PCR-Profil f&amp;#252;r Computer zu konfigurieren, f&amp;#252;r die systemeigene UEFI-Firmware verwendet wird.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung vor der Aktivierung von BitLocker aktivieren, k&amp;#246;nnen Sie die Startkomponenten konfigurieren, die das TPM &amp;#252;berpr&amp;#252;ft, bevor der Zugriff auf das BitLocker-verschl&amp;#252;sselte Betriebssystemlaufwerk entsperrt wird. &amp;#196;ndert sich eine dieser Komponenten, w&amp;#228;hrend der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschl&amp;#252;sselungsschl&amp;#252;ssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschl&amp;#252;ssel angegeben werden, um das Laufwerk freizugeben.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) in einem Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil sch&amp;#252;tzt den Verschl&amp;#252;sselungsschl&amp;#252;ssel vor &amp;#196;nderungen an: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen (PCR 0), Options-ROM-Code (PCR 2), MBR-Code (Master Boot Record, PCR 4), NTFS-Startsektor (PCR 8), NTFS-Startblock (PCR 9), Start-Manager (PCR 10) sowie BitLocker-Zugriffssteuerung (PCR 11).&lt;br/&gt;&lt;br/&gt;Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegen&amp;#252;ber Plattformmodifikationen (b&amp;#246;swillig oder autorisiert) nimmt zu oder ab. Dies h&amp;#228;ngt davon an, ob PCRs eingef&amp;#252;gt oder ausgeschlossen werden.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Mindestens Windows Server 2012 oder Windows 8">TPM-Plattformvalidierungsprofil f&#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td colspan="2">Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verkn&#252;pft, die beim Start von Windows ausgef&#252;hrt werden.</td></tr><tr><td colspan="2">W&#228;hlen Sie die in das Profil einzuschlie&#223;enden PCR-Indizes mithilfe der Kontrollk&#228;stchen unten aus.</td></tr><tr><td colspan="2">Gehen Sie beim &#196;ndern dieser Einstellung vorsichtig vor.</td></tr><tr><td colspan="2">Wir empfehlen ein Standardprofil der PCRs 0, 2, 4, 8, 9, 10 und 11.</td></tr><tr><td colspan="2">Damit der BitLocker-Schutz wirksam wird, m&#252;ssen Sie PCR 11 einschlie&#223;en.</td></tr><tr><td colspan="2">Weitere Informationen zu den Vorteilen und Risiken, die &#196;nderungen am standardm&#228;&#223;igen TPM-Plattformvalidierungsprofil verursachen k&#246;nnen, finden Sie in der Onlinedokumentation.</td></tr><tr><td>PCR 0: CRTM (Core Root of Trust of Measurement), BIOS und Plattformerweiterungen</td><td>Aktiviert</td></tr>  
<tr><td>PCR 1: Plattform- und Hauptplatinenkonfiguration und -daten</td><td>Deaktiviert</td></tr>
<tr><td>PCR 2: Options-ROM-Code</td><td>Aktiviert</td></tr>
<tr><td>PCR 3: Options-ROM-Konfiguration und -Daten</td><td>Deaktiviert</td></tr>
<tr><td>PCR 4: MBR-Code (Master Boot Record)</td><td>Aktiviert</td></tr>
<tr><td>PCR 5: MBR-Partitionstabelle (Master Boot Record)</td><td>Deaktiviert</td></tr>
<tr><td>PCR 6: Status&#252;bergangs- und Reaktivierungsereignisse</td><td>Deaktiviert</td></tr>
<tr><td>PCR 7: Computerherstellerspezifisch</td><td>Deaktiviert</td></tr>
<tr><td>PCR 8: NTFS-Startsektor</td><td>Aktiviert</td></tr>
<tr><td>PCR 9: NTFS-Startblock</td><td>Aktiviert</td></tr>
<tr><td>PCR 10: Start-Manager</td><td>Aktiviert</td></tr>
<tr><td>PCR 11: BitLocker-Zugriffssteuerung</td><td>Aktiviert</td></tr>
<tr><td>PCR 12: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 13: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 14: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 15: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 16: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 17: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 18: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 19: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 20: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 21: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 22: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 23: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="TPM-Plattformvalidierungsprofil f&amp;#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, wie die TPM-Sicherheitshardware (Trusted Platform Module) des Computers den BitLocker-Verschl&amp;#252;sselungsschl&amp;#252;ssel sichert. Diese Richtlinieneinstellung gilt nicht, wenn der Computer nicht &amp;#252;ber ein kompatibles TPM verf&amp;#252;gt oder wenn BitLocker bereits mit TPM-Schutz eingeschaltet ist.&lt;br/&gt;&lt;br/&gt;Wichtig: Diese Gruppenrichtlinie gilt nur f&amp;#252;r Computer mit systemeigener UEFI-Firmwarekonfiguration. Computer mit BIOS- oder UEFI-Firmware, f&amp;#252;r die ein Kompatibilit&amp;#228;tsdienstmodul (Compatibility Service Module, CSM) aktiviert ist, speichern unterschiedliche Werte in den Plattformkonfigurationsregistern (Platform Configuration Register, PCR). Verwenden Sie die Gruppenrichtlinieneinstellung &amp;quot;TPM-Plattformvalidierungsprofil f&amp;#252;r BIOS-basierte Firmwarekonfigurationen konfigurieren&amp;quot;, um das TPM PCR-Profil f&amp;#252;r Computer mit BIOS-Konfigurationen oder f&amp;#252;r Computer mit UEFI-Firmware und aktiviertem CSM zu konfigurieren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung vor der Aktivierung von BitLocker aktivieren, k&amp;#246;nnen Sie die Startkomponenten konfigurieren, die das TPM &amp;#252;berpr&amp;#252;ft, bevor der Zugriff auf das BitLocker-verschl&amp;#252;sselte Betriebssystemlaufwerk entsperrt wird. &amp;#196;ndert sich eine dieser Komponenten, w&amp;#228;hrend der BitLocker-Schutz aktiviert ist, gibt das TPM den Verschl&amp;#252;sselungsschl&amp;#252;ssel nicht zum Entsperren des Laufwerks frei. Stattdessen wird die BitLocker-Wiederherstellungskonsole angezeigt und es muss entweder das Wiederherstellungskennwort oder der Wiederherstellungsschl&amp;#252;ssel angegeben werden, um das Laufwerk freizugeben.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet BitLocker das Standard-Plattformvalidierungsprofil oder das Plattformvalidierungsprofil, das im Setupskript angegeben wurde. Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR) in einem Bereich von 0 bis 23. Das Standard-Plattformvalidierungsprofil sch&amp;#252;tzt den Verschl&amp;#252;sselungsschl&amp;#252;ssel vor &amp;#196;nderungen am ausf&amp;#252;hrbaren Code der Kernsystemfirmware (PCR 0), am erweiterten oder austauschbaren ausf&amp;#252;hrbaren Code (PCR 2), am Start-Manager (PCR 4) und an der BitLocker-Zugriffssteuerung (PCR 11).&lt;br/&gt;&lt;br/&gt;Warnung: Wenn Sie ein anderes Profil als das Standard-Plattformvalidierungsprofil verwenden, wirkt sich dies auf die Sicherheit und Verwaltbarkeit des Computers aus. Die Empfindlichkeit von BitLocker gegen&amp;#252;ber Plattformmodifikationen (b&amp;#246;swillig oder autorisiert) nimmt zu oder ab. Dies h&amp;#228;ngt davon an, ob PCRs eingef&amp;#252;gt oder ausgeschlossen werden. Genauer gesagt: Wenn Sie diese Richtlinie ohne PCR&amp;#160;7 festlegen, wird die Gruppenrichtlinie &amp;quot;Sicheren Start f&amp;#252;r Integrit&amp;#228;ts&amp;#252;berpr&amp;#252;fung zulassen&amp;quot; au&amp;#223;er Kraft gesetzt. Dadurch wird verhindert, dass BitLocker den sicheren Start f&amp;#252;r die Integrit&amp;#228;ts&amp;#252;berpr&amp;#252;fung der Plattform oder der Startkonfigurationsdaten (Boot Configuration Data, BCD) verwendet. Wenn diese Richtlinie festgelegt ist, wird beim Firmwareupdate u.&amp;#160;U. eine BitLocker-Wiederherstellung durchgef&amp;#252;hrt. Wenn Sie diese Richtlinie so festlegen, dass PCR&amp;#160;0 einbezogen wird, sollten Sie BitLocker vor dem Installieren von Firmwareupdates anhalten.&lt;br/&gt;      &lt;br/&gt;      " gpmc_supported="Mindestens Windows Server&amp;#160;2012, Windows&amp;#160;8 oder Windows&amp;#160;RT">TPM-Plattformvalidierungsprofil f&#252;r systemeigene UEFI-Firmwarekonfigurationen konfigurieren</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td colspan="2">Ein Plattformvalidierungsprofil besteht aus einer Reihe von Plattformkonfigurationsregister-Indizes (Platform Configuration Register, PCR). Jeder PCR-Index ist mit Komponenten verkn&#252;pft, die beim Start von Windows ausgef&#252;hrt werden.</td></tr><tr><td colspan="2">W&#228;hlen Sie die in das Profil einzuschlie&#223;enden PCR-Indizes mithilfe der Kontrollk&#228;stchen unten aus.</td></tr><tr><td colspan="2">Gehen Sie beim &#196;ndern dieser Einstellung vorsichtig vor.</td></tr><tr><td colspan="2">Wir empfehlen ein Standardprofil der PCRs 0, 2, 4 und 11.</td></tr><tr><td colspan="2">Damit der BitLocker-Schutz wirksam wird, m&#252;ssen Sie PCR 11 einschlie&#223;en.</td></tr><tr><td colspan="2">Weitere Informationen zu den Vorteilen und Risiken, die &#196;nderungen am standardm&#228;&#223;igen TPM-Plattformvalidierungsprofil verursachen k&#246;nnen, finden Sie in der Onlinedokumentation.</td></tr><tr><td>PCR 0: Ausf&#252;hrbarer Code f&#252;r Kernsystemfirmware</td><td>Aktiviert</td></tr>  
<tr><td>PCR 1: Daten f&#252;r Kernsystemfirmware</td><td>Deaktiviert</td></tr>
<tr><td>PCR 2: Erweiterter oder austauschbarer ausf&#252;hrbarer Code</td><td>Aktiviert</td></tr>
<tr><td>PCR 3: Erweiterte oder austauschbare Firmwaredaten</td><td>Deaktiviert</td></tr>
<tr><td>PCR 4: Start-Manager</td><td>Aktiviert</td></tr>
<tr><td>PCR 5: GPT/Partitionstabelle</td><td>Deaktiviert</td></tr>
<tr><td>PCR 6: Wiederaufnahme aus Energiestatusereignissen S4 und S5</td><td>Deaktiviert</td></tr>
<tr><td>PCR 7: Zustand des sicheren Starts</td><td>Deaktiviert</td></tr>
<tr><td>PCR 8: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
<tr><td>PCR 9: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
<tr><td>PCR 10: Initialisiert auf 0 ohne Erweiterungen (reserviert f&#252;r zuk&#252;nftige Verwendung)</td><td>Deaktiviert</td></tr>
<tr><td>PCR 11: BitLocker-Zugriffssteuerung</td><td>Aktiviert</td></tr>
<tr><td>PCR 12: Datenereignisse und stark ver&#228;nderliche Ereignisse</td><td>Deaktiviert</td></tr>
<tr><td>PCR 13: Startmoduldetails</td><td>Deaktiviert</td></tr>
<tr><td>PCR 14: Startbefugnisse</td><td>Deaktiviert</td></tr>
<tr><td>PCR 15: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 16: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 17: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 18: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 19: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 20: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 21: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 22: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
<tr><td>PCR 23: Reserviert f&#252;r zuk&#252;nftige Verwendung</td><td>Deaktiviert</td></tr>
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Verwendung von Kennw&amp;#246;rtern f&amp;#252;r Betriebssystemlaufwerke konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Diese Richtlinieneinstellung gibt die Einschr&amp;#228;nkungen f&amp;#252;r Kennw&amp;#246;rter an, die zum Entsperren BitLocker-gesch&amp;#252;tzter Betriebssystemlaufwerke verwendet werden. Wenn f&amp;#252;r Betriebssystemlaufwerke Nicht-TPM-Schutzvorrichtungen zul&amp;#228;ssig sind, k&amp;#246;nnen Sie ein Kennwort bereitstellen, Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort erzwingen und eine Mindestl&amp;#228;nge f&amp;#252;r das Kennwort konfigurieren. Damit die Einstellung f&amp;#252;r die Komplexit&amp;#228;tsvoraussetzungen wirksam wird, muss zus&amp;#228;tzlich die Gruppenrichtlinieneinstellung &amp;quot;Kennwort muss Komplexit&amp;#228;tsvoraussetzungen entsprechen&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\&amp;quot; aktiviert werden.&lt;br/&gt;&lt;br/&gt;Hinweis: Diese Einstellungen werden beim Einschalten von BitLocker erzwungen, nicht beim Entsperren eines Datentr&amp;#228;gers. BitLocker unterst&amp;#252;tzt das Entsperren eines Laufwerks mit allen auf dem Laufwerk verf&amp;#252;gbaren Schutzvorrichtungen.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Voraussetzungen erf&amp;#252;llt. Um Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort durchzusetzen, w&amp;#228;hlen Sie &amp;quot;Kennwortkomplexit&amp;#228;t anfordern“.&lt;br/&gt;&lt;br/&gt;Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; ist eine Verbindung mit einem Dom&amp;#228;nencontroller erforderlich, wenn die Komplexit&amp;#228;t des Kennworts von BitLocker &amp;#252;berpr&amp;#252;ft werden soll. Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t zulassen&amp;quot; wird versucht, eine Verbindung mit einem Dom&amp;#228;nencontroller herzustellen, um zu &amp;#252;berpr&amp;#252;fen, ob die Komplexit&amp;#228;t den durch die Richtlinie vorgegebenen Regeln entspricht. Wenn jedoch keine Dom&amp;#228;nencontroller gefunden werden, wird das Kennwort unabh&amp;#228;ngig von der tats&amp;#228;chlichen Kennwortkomplexit&amp;#228;t trotzdem akzeptiert und das Laufwerk unter Verwendung dieses Kennworts als Schutzvorrichtung verschl&amp;#252;sselt. Bei &amp;quot;Kennwortkomplexit&amp;#228;t nicht zulassen&amp;quot; wird die Kennwortkomplexit&amp;#228;t nicht &amp;#252;berpr&amp;#252;ft.&lt;br/&gt;&lt;br/&gt;Kennw&amp;#246;rter m&amp;#252;ssen mindestens acht Zeichen lang sein. Um eine gr&amp;#246;&amp;#223;ere Mindestl&amp;#228;nge f&amp;#252;r das Kennwort zu konfigurieren, geben Sie die gew&amp;#252;nschte Anzahl von Zeichen in das Feld &amp;quot;Minimale Kennwortl&amp;#228;nge&amp;quot; ein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, gilt die Standardl&amp;#228;ngenbeschr&amp;#228;nkung von 8 Zeichen f&amp;#252;r Kennw&amp;#246;rter f&amp;#252;r Betriebssystemlaufwerke, und es erfolgen keine Komplexit&amp;#228;tspr&amp;#252;fungen.&lt;br/&gt;&lt;br/&gt;Hinweis: Bei aktivierter FIPS-Kompatibilit&amp;#228;t k&amp;#246;nnen keine Kennw&amp;#246;rter verwendet werden. Die Richtlinieneinstellung &amp;quot;Systemkryptografie: FIPS-konformen Algorithmus f&amp;#252;r Verschl&amp;#252;sselung, Hashing und Signatur verwenden&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen&amp;quot; gibt an, ob die FIPS-Kompatibilit&amp;#228;t aktiviert ist.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2012 oder Windows 8">Verwendung von Kennw&#246;rtern f&#252;r Betriebssystemlaufwerke konfigurieren</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>Kennwortkomplexit&#228;t f&#252;r Betriebssystemlaufwerke konfigurieren:</td><td>Kennwortkomplexit&#228;t zulassen</td></tr>
<tr><td>Minimale Kennwortl&#228;nge f&#252;r Betriebssystemlaufwerk:</td><td>8</td></tr>
<tr><td colspan="2">Hinweis: Sie m&#252;ssen die Richtlinieneinstellung &quot;Kennwort muss Komplexit&#228;tsvoraussetzungen entsprechen&quot; aktivieren, damit die Einstellung f&#252;r die Kennwortkomplexit&#228;t wirksam wird.</td></tr><tr><td>Nur ASCII-Kennw&#246;rter f&#252;r Betriebssystem-Wechseldatentr&#228;ger anfordern</td><td>Deaktiviert</td></tr>  
</table></td></tr><tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Zus&amp;#228;tzliche Authentifizierung beim Start anfordern" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Betriebssystemlaufwerke" gpmc_settingDescription="Mit dieser Richtlinieneinstellung k&amp;#246;nnen Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zus&amp;#228;tzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne TPM (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird bei Aktivierung von BitLocker angewendet.&lt;br/&gt;&lt;br/&gt;Hinweis: Beim Start kann nur eine der zus&amp;#228;tzlichen Authentifizierungsoptionen erforderlich sein, da andernfalls ein Richtlinienfehler auftritt.&lt;br/&gt;&lt;br/&gt;Falls Sie BitLocker auf einem Computer ohne TPM verwenden m&amp;#246;chten, aktivieren Sie das Kontrollk&amp;#228;stchen &amp;quot;BitLocker ohne kompatibles TPM zulassen&amp;quot;. In diesem Modus ist f&amp;#252;r den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschl&amp;#252;ssels werden die Schl&amp;#252;sselinformationen, die zum Verschl&amp;#252;sseln des Laufwerks verwendet werden, in Form eines USB-Schl&amp;#252;ssels auf dem USB-Laufwerk gespeichert. Wenn der USB-Schl&amp;#252;ssel verf&amp;#252;gbar gemacht wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn der USB-Schl&amp;#252;ssel verloren geht, nicht verf&amp;#252;gbar ist oder Sie das Kennwort vergessen haben, verwenden Sie eine der BitLocker-Wiederherstellungsoptionen, um auf das Laufwerk zuzugreifen.&lt;br/&gt;&lt;br/&gt;Auf einem Computer mit einem kompatiblen TPM k&amp;#246;nnen beim Start vier Authentifizierungsmethoden verwendet werden, um zus&amp;#228;tzlichen Schutz f&amp;#252;r verschl&amp;#252;sselte Daten bereitzustellen. Beim Start des Computers kann entweder nur das TPM f&amp;#252;r die Authentifizierung erforderlich sein, oder es muss zus&amp;#228;tzlich ein USB-Flashlaufwerk mit einem Systemstartschl&amp;#252;ssel angeschlossen und eine 4- bis 20-stellige pers&amp;#246;nliche Identifikationsnummer (PIN) eingegeben werden, oder beide Optionen k&amp;#246;nnen erforderlich sein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, k&amp;#246;nnen Benutzer auf Computern mit einem TPM nur grundlegende Optionen konfigurieren.&lt;br/&gt;&lt;br/&gt;Hinweis: Wenn Sie die Verwendung einer Systemstart-PIN und eines USB-Flashlaufwerks erzwingen m&amp;#246;chten, m&amp;#252;ssen Sie die BitLocker-Einstellungen mithilfe des Befehlszeilentools &amp;quot;manage-bde&amp;quot; und nicht &amp;#252;ber den Setup-Assistenten der BitLocker-Laufwerkverschl&amp;#252;sselung konfigurieren.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Zus&#228;tzliche Authentifizierung beim Start anfordern</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>BitLocker ohne kompatibles TPM zulassen (hierf&#252;r ist ein Kennwort oder ein USB-Flashlaufwerk mit Systemstartschl&#252;ssel erforderlich)</td><td>Aktiviert</td></tr>
<tr><td colspan="2">Einstellungen f&#252;r Computer mit einem TPM:</td></tr><tr><td>TPM-Start konfigurieren:</td><td>TPM zulassen</td></tr>  
<tr><td>TPM-Systemstart-PIN konfigurieren:</td><td>Systemstart-PIN bei TPM zulassen</td></tr>
<tr><td>TPM-Systemstartschl&#252;ssel konfigurieren:</td><td>Systemstartschl&#252;ssel bei TPM zulassen</td></tr>
<tr><td>TPM-Systemstartschl&#252;ssel und -PIN konfigurieren:</td><td>Systemstartschl&#252;ssel und PIN bei TPM zulassen</td></tr>
<tr><td colspan="2"></td></tr></table></td></tr></table>  
</div></div><div class="he3"><span class="sectionTitle" tabindex="0">Windows-Komponenten/BitLocker-Laufwerkverschl&#252;sselung/Festplattenlaufwerke</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i"><table class="info3" cellpadding="0" cellspacing="0">  
<tr><th scope="col">Richtlinie</th><th scope="col">Einstellung</th><th scope="col">Kommentar</th></tr>  
<tr><td><a class="explainlink" href="javascript:void();" onclick="javascript:showExplainText(this); return false;" gpmc_settingName="Kennwortverwendung f&amp;#252;r Festplattenlaufwerke konfigurieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschl&amp;#252;sselung/Festplattenlaufwerke" gpmc_settingDescription="Diese Richtlinieneinstellung gibt an, ob zum Entsperren Bitlocker-gesch&amp;#252;tzter Festplattenlaufwerke ein Kennwort erforderlich ist. Wenn Sie die Kennwortverwendung zulassen, k&amp;#246;nnen Sie verlangen, dass ein Kennwort angegeben wird, Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort erzwingen und eine Mindestl&amp;#228;nge f&amp;#252;r das Kennwort konfigurieren. Damit die Einstellung f&amp;#252;r die Komplexit&amp;#228;tsvoraussetzungen wirksam wird, muss zus&amp;#228;tzlich die Gruppenrichtlinieneinstellung &amp;quot;Kennwort muss Komplexit&amp;#228;tsvoraussetzungen entsprechen&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinie\&amp;quot; aktiviert werden.&lt;br/&gt;&lt;br/&gt;Hinweis: Diese Einstellungen werden beim Einschalten von BitLocker erzwungen, nicht beim Entsperren eines Datentr&amp;#228;gers. BitLocker unterst&amp;#252;tzt das Entsperren eines Laufwerks mit allen auf dem Laufwerk verf&amp;#252;gbaren Schutzvorrichtungen.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung aktivieren, k&amp;#246;nnen Benutzer ein Kennwort konfigurieren, das die von Ihnen definierten Voraussetzungen erf&amp;#252;llt. Um die Verwendung eines Kennworts zu verlangen, w&amp;#228;hlen Sie die Option &amp;quot;Kennwort f&amp;#252;r Festplattenlaufwerk anfordern&amp;quot; aus. Um Komplexit&amp;#228;tsvoraussetzungen f&amp;#252;r das Kennwort durchzusetzen, w&amp;#228;hlen Sie die Option &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; aus.&lt;br/&gt;&lt;br/&gt;Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t anfordern&amp;quot; ist eine Verbindung mit einem Dom&amp;#228;nencontroller erforderlich, wenn die Komplexit&amp;#228;t des Kennworts von BitLocker &amp;#252;berpr&amp;#252;ft werden soll. Bei der Einstellung &amp;quot;Kennwortkomplexit&amp;#228;t zulassen&amp;quot; wird versucht, eine Verbindung mit einem Dom&amp;#228;nencontroller herzustellen, um zu &amp;#252;berpr&amp;#252;fen, ob die Komplexit&amp;#228;t den durch die Richtlinie vorgegebenen Regeln entspricht. Wenn jedoch keine Dom&amp;#228;nencontroller gefunden werden, wird das Kennwort unabh&amp;#228;ngig von der tats&amp;#228;chlichen Kennwortkomplexit&amp;#228;t trotzdem akzeptiert und das Laufwerk unter Verwendung dieses Kennworts als Schutzvorrichtung verschl&amp;#252;sselt. Bei &amp;quot;Kennwortkomplexit&amp;#228;t nicht zulassen&amp;quot; wird die Kennwortkomplexit&amp;#228;t nicht &amp;#252;berpr&amp;#252;ft.&lt;br/&gt;&lt;br/&gt;Kennw&amp;#246;rter m&amp;#252;ssen mindestens acht Zeichen lang sein. Um eine gr&amp;#246;&amp;#223;ere Mindestl&amp;#228;nge f&amp;#252;r das Kennwort zu konfigurieren, geben Sie die gew&amp;#252;nschte Anzahl von Zeichen in das Feld &amp;quot;Minimale Kennwortl&amp;#228;nge&amp;quot; ein.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung deaktivieren, darf der Benutzer kein Kennwort verwenden.&lt;br/&gt;&lt;br/&gt;Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden Kennw&amp;#246;rter mit den Standardeinstellungen unterst&amp;#252;tzt, die keine Anforderungen an die Kennwortkomplexit&amp;#228;t beinhalten und eine Mindestl&amp;#228;nge von acht Zeichen vorgeben.&lt;br/&gt;&lt;br/&gt;Hinweis: Bei aktivierter FIPS-Kompatibilit&amp;#228;t k&amp;#246;nnen keine Kennw&amp;#246;rter verwendet werden. Die Richtlinieneinstellung &amp;quot;Systemkryptografie: FIPS-konformen Algorithmus f&amp;#252;r Verschl&amp;#252;sselung, Hashing und Signatur verwenden&amp;quot; unter &amp;quot;Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen&amp;quot; gibt an, ob die FIPS-Kompatibilit&amp;#228;t aktiviert ist.&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;&lt;br/&gt;" gpmc_supported="Mindestens Windows Server 2008 R2 oder Windows 7">Kennwortverwendung f&#252;r Festplattenlaufwerke konfigurieren</a></td><td>Aktiviert</td><td></td></tr>  
<tr><td colspan="3"><table class="subtable_frame" cellpadding="0" cellspacing="0">  
<tr><td>Kennwort f&#252;r Festplattenlaufwerk anfordern</td><td>Aktiviert</td></tr>
<tr><td>Kennwortkomplexit&#228;t f&#252;r Festplattenlaufwerke konfigurieren:</td><td>Kennwortkomplexit&#228;t zulassen</td></tr>
<tr><td>Minimale Kennwortl&#228;nge f&#252;r Festplattenlaufwerk:</td><td>8</td></tr>
<tr><td colspan="2">Hinweis: Sie m&#252;ssen die Richtlinieneinstellung &quot;Kennwort muss Komplexit&#228;tsvoraussetzungen entsprechen&quot; aktivieren, damit die Einstellung f&#252;r die Kennwortkomplexit&#228;t wirksam wird.</td></tr></table></td></tr></table>  
</div></div></div></div></div>
<div class="filler"></div>  
<div class="he0_expanded"><span class="sectionTitle" tabindex="0">Benutzerkonfiguration (Aktiviert)</span><a class="expando" href="#"></a></div>  
<div class="container"><div class="he4i">Keine Einstellungen definiert</div></div>  
</body></html>

Das ist meine Bitlocker-GPO.
Einmal obiges Script ausgeführt, und BL schnurrt wie Schmidts Katze.
DerWoWusste
DerWoWusste 14.07.2017 aktualisiert um 11:28:56 Uhr
Goto Top
Hi.

Die Policy scheint am Client nicht rechtzeitig aktiv gewesen zu sein, das ist auch schon alles. Nachträglich zu aktivieren führt natürlich nicht zum Backup - das muss man dann über das genannte Kommando machen. Rechteproblem halte ich für ausgeschlossen, da die Standardrechte es ja schon erlauben.

Ganz sicher, dass die Policy schon vor der Verschlüsselung zog? Neuen Client nehmen, nochmal bitte.
beidermachtvongreyscull
beidermachtvongreyscull 14.07.2017 um 11:29:42 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.

Die Policy scheint am Client nicht zu ziehen, das ist auch schon alles. nachträglich zu aktivieren führt natürlich nicht zum Backup - dass muss man dann über das genannte Kommando machen. Rechteproblem halte ich für ausgeschlossen, da die Standardrechte es ja schon erlauben.

Was mich wundert:
@emeriks hat ja das Kommando ausgeführt. Die Meldung, dass die Recovery-Info ins AD geschrieben wurde liegt ja vor, aber angekommen ist wohl nichts.

Ich nehme zurzeit auch an, dass an der GPO etwas nicht stimmt oder aber ein Rechteproblem vorliegen könnte (wobei dann das Tool einen Fehler generieren sollte).
emeriks
emeriks 14.07.2017 aktualisiert um 11:41:51 Uhr
Goto Top
Die Policy scheint am Client nicht rechtzeitig aktiv gewesen zu sein, das ist auch schon alles
Doch. Das von mir oben gepostete Bild vom Richtlinienergebnissatz ist gestern Abend vor dem Verschlüsseln entstanden.

Edit:
Hätte mir das BitLocker am Client in der GUI anbieten müssem, den Schlüssel im AD zu speichern? Oder macht der das automatisch?
emeriks
emeriks 14.07.2017 aktualisiert um 11:58:20 Uhr
Goto Top
Ich denke, Berechtigungen kann ich auch ausschließen.

Ich habe (zum Testen) dem Computer-Konto explizit Vollzugriff auf sich selbst erteilt.
"manage-bde" liefert das selbe Ergebnis. Im AD landet immer noch nichts.

Ich habe "manage-bde" unter verschiedenen Anmeldungen ausgeführt:
  • AD-Konto, Mitglied der lokalen Admins, kein Admin in Domäne --> selbes Ergebnis
  • AD-Konto, Mitglied der lokalen Admins, Konto ist Admin in Domäne --> selbes Ergebnis

Wohin zum Geier schreibt er da?

Wofür ist der Container CN=TPM Devices,DC=domain,DC=tld ?
DerWoWusste
DerWoWusste 14.07.2017 aktualisiert um 13:04:29 Uhr
Goto Top
Hätte mir das BitLocker am Client in der GUI anbieten müssem, den Schlüssel im AD zu speichern? Oder macht der das automatisch?
Es ist so: wenn die Policy aktiv ist, also die Speicherung im AD erzwingt, bekommt man davon nur insoweit etwas mit, dass man nun auf "weiter" klicken kann an der Stelle, wo "weiter" sonstausgegraut ist und man sonstgezwungen wird, den Wiederherstellungsschlüssel zu speichern oder zu drucken. Der Schlüssel wird ohne Kommentar im AD gespeichert.

Ich habe noch einen Plan B für Dich: führe doch bitte mal auf allen DCs die Suche nach dem Schlüssel durch, sowohl über die GUI, als auch über die Ausführung folgenden Powershellskriptes:
do {
$computers = get-adobject -Filter * | Where-Object {$_.ObjectClass -eq "msFVE-RecoveryInformation"}  

$key = (read-host -Prompt "Enter starting portion of recovery key ID").ToUpper()  
$records = $computers | where {$_.DistinguishedName -like "*{$key*"}  
foreach ($rec in $records) {
    $computer = get-adcomputer -identity ($records.DistinguishedName.Split(",")[1]).split("=")[1]  
    $recoveryPass = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $computer.DistinguishedName -Properties 'msFVE-RecoveryPassword' | where {$_.DistinguishedName -like "*$key*"}  
    [pscustomobject][ordered]@{
        Computer = $computer
        'Recovery Key ID' = $rec.Name.Split("{")[1].split("}")  
        'Recovery Password' = $recoveryPass.'msFVE-RecoveryPassword'  
    } | Format-List
}
$response = read-host "Repeat (y)?"  
}
while ($response -eq "y")  
Das Skript verlangt die Eingabe von beliebig vielen Zeichen des Identifiers. Die ersten 4 genügen.
emeriks
emeriks 14.07.2017 um 13:53:57 Uhr
Goto Top
Danke für das Script.

Nix. Es gibt Null Objekte der Klasse "msFVE-RecoveryInformation" in unserem AD.

Ich habe C: jetzt wieder entschlüsselt.
Habe GPRESULT eben neu überprüft. Die o.g. Einstellungen sind definitv übernommen worden. Der Computer wurde voll durchgestartet.
Und werde C: jetzt neu verschlüsseln.
DerWoWusste
DerWoWusste 14.07.2017 aktualisiert um 14:26:57 Uhr
Goto Top
Tja... keine Ahnung, was da vor sich geht, aber ich schätze, erneut zu machen wird nichts bringen. Wir nutzen es mit Win10 schon ewig und damals war die Domäne noch auf 2008 - nie Probleme damit gehabt, alle Keys immer an Ort und Stelle.

Ich würde nun monitoren: wireshark im Moment der Verschlüsselung am Client und am Server, zudem procmon am Server/den Servern.
emeriks
emeriks 14.07.2017 aktualisiert um 14:52:45 Uhr
Goto Top
Ja, Wireshark habe ich mir schon zurechtgelegt. face-wink

Nebenbei:
Nachdem ich das Laufwerk wieder entschlüsselt hatte, hat dieses eine AD-Konto wieder kein BitLocker im Angebot.
Ein neues Benutzerprofil hat es nicht gebracht. Aber im zweiten Versuch nocheinmal ein neues Benutzerprofil und alle GPO für diesen Benutzer deaktiviert (OU mit blockierter Vererbung), und dann war es auf einmal da. Also doch irgendeine Einstellung aus den GPO. Aber keine "offensichtliche". Ich bin gerade am Datensammeln und Vergleichen mit anderen Benutzern. Bin mal gespannt, was dabei rauskommt. Ich mache mir die Arbeit, das rauszubekommen ...

Edit:
Und noch was: Ich habe noch nicht neu verschlüsselt. Abgebrochen.
Im Dialog, wo ich den Schlüssel in eine Datei speichern kann/muss, ist der Button "Weiter" solange deaktiviert, bis ich die Date gespeichert habe. Nach Deiner Aussage müsste dieser aber aktiv sein, wenn der Computer den Schlüssel selbständig im AD ablegen konnte. Habe ich das richtig verstanden?
DerWoWusste
Lösung DerWoWusste 14.07.2017 aktualisiert um 15:01:53 Uhr
Goto Top
Habe ich das richtig verstanden?
Vollkommen richtig verstanden. Also wird die Einstellung zwar in gpresult /h am Client angezeigt, aber greift nicht. Das ist ja sehr komisch. Teste mit anderen Clients und OS'.
beidermachtvongreyscull
beidermachtvongreyscull 14.07.2017 um 15:05:00 Uhr
Goto Top
Bei unserem Windows 10 Version 1511 gab es keine Probleme in einer 2008er Domäne.
emeriks
emeriks 14.07.2017 um 16:13:50 Uhr
Goto Top
Mit einem anderen Win10 1703 das selbe Spiel. Schlüssel landet nicht im AD.
DerWoWusste
Lösung DerWoWusste 14.07.2017 aktualisiert um 16:27:16 Uhr
Goto Top
Dann ist der Schlüssel wohl noch zur Prüfung bei der NSA. Teste mal mit win8.1/win7/Server xy
DerWoWusste
DerWoWusste 14.07.2017 um 16:34:02 Uhr
Goto Top
Teste bitte auch einmal ohne die GPO für TPM-Sicherung.
emeriks
emeriks 14.07.2017 aktualisiert um 22:07:38 Uhr
Goto Top
omg! Das darf ich ja gar nicht erzählen .... face-sad

Bei den GPO wird unterschieden zwischen "Festplattenlaufwerk" und "Betriebssystemlaufwerke". Meine o.g. GPO legt für "Festplattenlaufwerke" fest. Und ich verschlüssele das OS-Laufwerk ....

Habe jetzt diese GPO auch für OS-Laufwerke eingerichtet und nun wird's auch im AD gespeichert.

Darauf aufmerksam geworden bin ich durch @beidermachtvongreyscull 's BitLocker-GPO-Html-Seite.

Zwischendurch hatte ich noch mit Win7 Ent und Win8.1 Ent getestet. Beide Mal das selbe Ergebnis.
Nebenbei bemerkt: Bei Win7 konnte das eine o.g. AD-Konto auf BitLocker zugreifen. Bei Win8.1 nicht. Für alle Test-VM gelten dieselben GPO, wie für das Notebook, um welches es eigentlich geht.

Ich danke Euch allen für Eure Hilfe!

Schönes WE noch.

E.

Edit:
Bevor ich das geändert hatte, konnte ich unter Win8.1 nicht mit
manage-bde -protectors -adbackup C: -id {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
den Schlüssel hochladen. Da kam als Fehler:
FEHLER: Die Gruppenrichtlinie ermöglicht nicht das Speichern von Wiederherstellungsinformationen in Active Directory. Der Vorgang wurde nicht ausgeführt.
Wohlgemerkt die selbe GPO, bei welcher Win10 bei diesem Befehl noch behauptet hat, dass es den Schlüssel hochgeladen hat. Das ist in jedem Fall ein Bug im Win10.
DerWoWusste
DerWoWusste 14.07.2017 um 23:38:48 Uhr
Goto Top
omg!...
Dein erster Screenshot hätte es uns eigentlich lehren sollen. Bei der deutschen Fassung steht da "Festplattenlaufwerke", da bin ich nicht drauf angesprungen... face-smile im englischen OS steht dort "fixed data drives" im Gegensatz zu OS drives, da wäre es mir wohl schnell aufgefallen.
Na schön, haste ja was gelernt - den Fehler immer zuerst in den simplen Dingen suchen.