Windows Bitlocker
Einführung
Mit Relution kann die BitLocker-Verschlüsselung in einer Richtlinie für Windows-Geräte konfiguriert werden. Details zu BitLocker und dessen Funktionsweise kann der Microsoft Dokumentation entnommen werden.
Konfiguration
In der Konfiguration stehen drei verschiedene Bereiche zur Verfügung.
- OS-Laufwerk
- Installierte Festplatten
- Wechselbare Festplatten
Die Verschlüsselungsart kann jeweils konfiguriert werden.
Je nach Datenträgertyp können Sie zwischen verschiedenen Wiederherstellungsoptionen wählen.
OS-Datenträger
- Wiederherstellungsoptionen vor dem Start:
- Standard-Wiederherstellungsnachricht und URL vor dem Start
- Benutzerdefinierte Wiederherstellungs-URL vor dem Start
- Benutzerdefinierte Wiederherstellungsnachricht vor dem Start
Installierte Festplatten
- Wiederherstellungsoptionen:
- Wiederherstellungskennwort erstellen
- Wiederherstellungsschlüssel erstellen
- Speicherung des Wiederherstellungsschlüssels in AD Domain Services
Der Wiederherstellungsschlüssel wird auch in Relution in den Geräteinformationen gespeichert (ab Server 5.21).
Geräteverschlüsselung ohne Benutzerinteraktion
BitLocker kann auf dem Gerät unter bestimmten Voraussetzungen ohne Benutzeraktion aktiviert werden. Dies gilt auch für Nutzer mit Standard-Rechten.
Die Geräte müssen dafür folgende Voraussetzungen erfüllen:
- Version 1803 oder höher für Endbenutzer mit Administrator-Berechtigung
- Version 1809 oder höher für Endbenutzer mit Standard-Berechtigung
- Eingebunden in Microsoft Entra oder Microsoft Entra hybrid oder Aktivierung über die BitLocker aktivieren Aktion in Relution
- Mindestens TPM 1.2
- BIOS-Modus Einstellung: “Native UEFI”
Microsoft Entra oder Microsoft Entra hybrid eingebunde Geräte
Sind Geräte in Relution eingeschrieben und zusätzlich in Microsoft Entra eingebunden (z.B. über Autopilot), dann kann die BitLocker Konfiguration wie folgt konfiguriert werden, damit die Geräte automatisiert verschlüsselt werden, sobald die Konfiguration auf dem Gerät angewendet wird.
Basiseinstellungen:
- Geräte Verschlüsselung erforderlich: Aktiviert
- Erlauben Sie Standardbenutzern, die BitLocker-Verschlüsselung unbeaufsichtigt zu aktivieren: Aktiviert
OS Datenträger
- Verschlüsselungstyp: Vollständig
- Authentifizierung beim Starten erforderlich: Aktiviert
- TPM Start: Optional oder Erforderlich
- TPM Start PIN: Blockiert
- TPM Startschlüssel: Blockiert
- TPM Start PIN und Startschlüssel: Blockiert
- Wiederherstellung konfigurieren: Deaktiviert
- Alternativ kann es auch aktiviert werden, dann müssen jedoch folgende Punkte ebenfalls konfiguriert werden
- Wiederherstellungspasswort erstellen: Erlaubt oder Erforderlich
- Wiederherstellungsschlüssel erstellen: Erlaubt oder Erforderlich
- Wiederherstellungsbildschirm während der BitLocker Einrichtung verbergen: Aktiviert
Andere Einstellungsmöglichkeiten in der Konfiguration können je nach Bedarf gesetzt werden. Nicht unterstützte Einstellungen können jedoch zu Problemen bei der Aktivierung BitLocker führen.
Mittels Aktion - BitLocker aktiveren
Geräte, die nicht in Microsoft Entra oder Microsoft Entra hybrid eingeschrieben sind, können die BitLockerVerschlüsselung ohne Endbenutzer Interaktion über die Aktion BitLocker aktivieren starten. Dies funktioniert ebenfalls für Standardbenutzer.
Es wird jedoch empfohlen zunächst eine BitLocker Konfiguration auf dem Gerät anzuwenden, um z.B. die Verschlüsselmethode oder andere Einstellungen festzulegen, auch wenn dies für die automatische Aktivierung nicht zwingend erforderlich ist.
Bekannte Fehler
Fehlermeldung:
BitLocker Configuration violated. Messages: - The BitLocker policy requires a TPM protector to protect the OS volume, but a TPM is not used
Lösung:
In der Bitlocker Konfiguration folgende Punkte Aktivieren:
- Startup authentication required
On - Trusted Platform Module (TPM) on incompatible devices
On - TPM startup
Required - TPM startup PIN
Blocked - TPM startup key
Blocked - TPM startup PIN and key
Blocked