BitLocker-Gruppenrichtlinien

Sophos Central definiert einige Richtlinieneinstellungen automatisch, so dass Administratoren keine Vorbereitungen mehr für Device Encryption auf den Computern vornehmen müssen.

Einstellungen, die bereits von Administratoren getroffen wurden, werden dabei nicht überschrieben.

Im Editor für lokale Gruppenrichtlinien unter Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker- Laufwerksverschlüsselung > Betriebssystemlaufwerke finden Sie folgende Richtlinien:


Richtlinie	Einstellung	Wert von Sophos Central festgelegt	Anmerkung
Netzwerkentsperrung beim Start zulassen		Aktiviert	Sie können erlauben, dass eine vordefinierte BitLocker-Netzwerkentsperrung nach der Aktivierung von Central Device Encryption wie vorher funktioniert.
Zusätzliche Authentifizierung beim Start anfordern	BitLocker ohne kompatibles TPM zulassen	Aktiviert	Erlaubt unter Windows 8 beim Systemstart die Verwendung eines Kennworts zum Entsperren des Systemlaufwerks wenn kein TPM verfügbar ist.
Zusätzliche Authentifizierung beim Start anfordern	TPM-Systemstart-PIN konfigurieren	Systemstart-PIN bei TPM zulassen	Wenn die Device Encryption-Richtlinieneinstellung Authentifizierung bei Start erforderlich aktiviert ist und das System über ein TPM verfügt, dann lässt diese Richtlinieneinstellung den Systemschutz mit TPM zu und der Benutzer zusätzlich nach einer PIN gefragt.
Erweiterte PINs für Systemstart zulassen	-	Aktiviert	Diese Einstellung erlaubt die Verwendung von alphanumerischen PINs, um das Systemlaufwerk mit TPM zu schützen. Kann diese Einstellung nicht definiert werden, sind nur Ziffern erlaubt.
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren	Option für die Pre-Boot-Wiederherstellungsmeldung auswählen	Standardwiederherstellungsmeldung und -URL verwenden	Dabei wird die Standardmeldung und -URL von Sophos verwendet.
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren	Selbstdefinierte Meldungsoption	Sie haben keinen Wiederherstellungsschlüssel? Wenden Sie sich an den IT-Helpdesk oder gehen Sie zu Ihrem Self Service Portal: https://sophos.com/ssp
Pre-Boot-Wiederherstellungsmeldung und -URL konfigurieren	Benutzerdefinierte Wiederherstellungs-URL-Option
Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Datenlaufwerke	-	Deaktiviert	Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.
Konfigurieren der Verwendung hardwarebasierter Verschlüsselung für Betriebssystemlaufwerke	-	Deaktiviert	Hierdurch wird softwarebasierte Verschlüsselung erzwungen. Wenn eine vorhandene BitLocker-Gruppenrichtlinieneinstellung hardwarebasierte Verschlüsselung vorschreibt, wird diese Richtlinieneinstellung nicht überschrieben.

Verschlüsselungsalgorithmus: Sophos Central Device Encryption verwendet standardmäßig AES-256. Über eine Gruppenrichtlinie kann auch AES-128 ausgewählt werden.
PIN/Kennwortanforderungen: Gruppenrichtlinien können dazu verwendet werden, um die Mindestlänge von PIN/Kennwort zu definieren und die Verwendung von komplexen Kennwörtern zu verlangen.
Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass alle Daten verschlüsselt werden, so hat diese Richtlinie Vorrang gegenüber der Sophos Central-Richtlinie, die nur die Verschlüsselung der genutzten Festplattenbereiche vorsieht.

Manche Gruppenrichtlinien können im Widerspruch zu Sophos Central stehen, so dass die Verschlüsselung nicht durchgeführt werden kann. In diesem Fall wird eine Ereignismeldung an Sophos Central gesendet.

Smartcard erforderlich: Sieht eine Gruppenrichtlinie die Verwendung von BitLocker mit Smartcard vor, wird eine Fehlermeldung ausgegeben, da dies von Sophos Central nicht unterstützt wird.
Nur genutzte Festplattenbereiche verschlüsseln: Ist die Gruppenrichtlinie für Startvolumes und/oder Datenvolumes so definiert, dass nur genutzte Festplattenbereiche verschlüsselt werden, aber die Sophos Central-Richtlinie erfordert die Verschlüsselung aller Daten, wird eine Fehlermeldung ausgegeben.

Wenn Sie Tablet-Computer (wie zum Beispiel das MS Surface Pro) verschlüsseln und die Authentifizierung bei Start verwenden möchten, müssen Sie folgende Gruppenrichtlinie aktivieren:

Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren

Weitere Informationen finden Sie unter Verschlüsselung startet nicht auf Tablets (Slates).