trendchiller 10 Geschrieben 25. August 2014 Melden Teilen Geschrieben 25. August 2014 Hi ! Wir hatten unsere Windows GPOs so konfiguriert, daß TPM nicht benutzt wird, Bitlocker die Daten ins AD schreibt und nur ein USB-Stick zur Entsperrung zulässig ist. Mit Windows 7 lief das alles gut. Seit Windows 8 bietet der Bitlocker (unter Bitlocker verwalten) zusätzlich "Kennwort eingeben" an. Das Kennwort allerdings wollen wir nicht anbieten. Alle meine Suchen waren irgendwie nicht zielführend - weiss jemand, wo ich / ob ich das irgendwie per GPO ausschalten kann ? beste Grüße, Martin Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 25. August 2014 Melden Teilen Geschrieben 25. August 2014 (bearbeitet) Hi Martin, um BitLocker auf einem Computer ohne TPM zu aktivieren, kannst Du mittels GPO in der Konfiguration Zusätzliche Authentifizierung beim Start anfordern unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung\Betriebssystemlaufwerke das Kontrollkästchen BitLocker ohne kompatibles TPM zulassen aktivieren. Nachdem diese Einstellung auf den lokalen Computer angewendet wurde, werden die Nicht-TPM-Einstellungen im BitLocker-Setup-Assistenten angezeigt. In diesem Modus ist für den Start entweder ein Kennwort oder ein USB-Laufwerk erforderlich. Bei Verwendung eines Systemstartschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, in Form eines USB-Schlüssels auf dem USB-Laufwerk gespeichert. Wenn der USB-Schlüssel verfügbar gemacht wird, wird der Zugriff auf das Laufwerk authentifiziert, und es kann auf das Laufwerk zugegriffen werden. Wenn Du hier die Systemstart-PIN sowie Systemstartschlüssel und -PIN deaktivierst und nur die Verwendung des Systemstartschlüssels erzwingst, sollte das auch bei Computern ohne TPM funktionieren. Es gibt noch eine zweite Richtlinie PIN- oder Kennwortänderung durch Standardbenutzer nicht zulassen. Wenn Deine Anwender keine Administratoren sind, dann ist das der Weg, die Nutzung zu unterbinden. Sollten sie allerdings Admins sein, gibt es keine verbindliche Lösung, denn sie könnten die Einschränkungen, die durch die GPOs gesetzt werden, leicht rückgängig machen. Eine dritte Möglichkeit ist die Option Verwendung der BitLocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Starten auf Slates aktivieren. Wenn Du die auf Deaktiviert setzt, sollte die Verwendung einer Systemstart-PIN auch nicht möglich sein. Ich habe alle drei Optionen so, wie Du es Dir wünschst, selbst noch nicht ausprobiert, denn ich finde, dass gerade die Möglichkeit, ein Kennwort zu nutzen, besser ist, als ein USB-Laufwerk zwingend erforderlich zu machen. Der USB-Stick wird dann von den Benutzern oft in der gleichen Tasche wie das Notebook aufbewahrt oder gleich am Gerät gelassen. Weiterhin kann ein Systemstartschlüssel vom USB-Stick sehr schnell kopiert werden. Ein Passwort bietet hier in beiden Fällen einen besseren Schutz. Have fun!Daniel bearbeitet 25. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.