Ein durch BitLocker geschütztes Laufwerk kann mithilfe eines Datenwiederherstellungs-Agents wiederhergestellt werden, der mit dem entsprechenden Zertifikat konfiguriert wurde. Um einen Datenwiederherstellungs-Agent für ein Laufwerk konfigurieren zu können, müssen Sie den Datenwiederherstellungs-Agent aus Richtlinien öffentlicher Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) oder im Editor für lokale Gruppenrichtlinien hinzufügen. Außerdem müssen Sie die Richtlinieneinstellung für die Bereitstellung der eindeutigen IDs für Ihre Organisation aktivieren und konfigurieren, um eine eindeutige ID einem neuen Laufwerk zuzuordnen, für das BitLocker aktiviert ist. ID-Felder sind für die Verwaltung von Datenwiederherstellungs-Agents auf durch BitLocker geschützten Laufwerken erforderlich. Von BitLocker werden Datenwiederherstellungs-Agents nur verwaltet und aktualisiert, wenn auf einem Laufwerk ein ID-Feld vorhanden ist, das mit dem auf dem Computer konfigurierten Wert identisch ist.
Zertifikatanforderungen
Ein Zertifikat muss die folgenden Anforderungen für die Schlüsselverwendung und die erweiterte Schlüsselverwendung erfüllen, damit es zum Verschlüsseln eines Laufwerks mit BitLocker verwendet werden kann:
- Das Schlüsselverwendungsattribut muss entweder Keine, Schlüsselverschlüsselung oder einer der folgenden Schlüsselverwendungswerte sein:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE - Das erweiterte Schlüsselverwendungsattribut muss entweder Keine oder einer der folgenden Werte sein:
1.3.6.1.4.1.311.67.1.1
Eine beliebige erweiterte Schlüsselverwendungsobjekt-ID, die von Ihrer Zertifizierungsstelle unterstützt wird
Die BitLocker-Objekt-ID ist standardmäßig auf 1.3.6.1.4.1.311.67.1.1 festgelegt. Mithilfe der Gruppenrichtlinie können Sie diesen Wert ändern, falls Sie z. B. ein vorhandenes Zertifikat mit BitLocker freigeben möchten. Falls das Zertifikat zu einem Datenwiederherstellungs-Agent gehört und nur zum Wiederherstellen von durch BitLocker geschützten Daten verwendet wird, wird eines dieser Attribute empfohlen. Dies ist allerdings nicht obligatorisch. Beim Hinzufügen eines Datenwiederherstellungs-Agents zu einem Laufwerk erfolgt keine Zertifikatüberprüfung.
Konfigurieren eines Datenwiederherstellungs-Agents und eines ID-Felds für BitLocker
In den folgenden Verfahren wird erläutert, wie Sie einen Datenwiederherstellungs-Agent und ein ID-Feld für BitLocker konfigurieren.
Sie müssen mindestens Mitglied der Gruppe Lokale Administratoren sein, um diese Verfahren ausführen zu können.
 | So konfigurieren Sie einen Datenwiederherstellungs-Agent |
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole oder den Editor für lokale Gruppenrichtlinien.
Klicken Sie in der Konsolenstruktur unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel mit der rechten Maustaste auf BitLocker-Laufwerkverschlüsselung.
Klicken Sie auf Datenwiederherstellungs-Agenten hinzufügen, um den Assistenten für das Hinzufügen eines Wiederherstellungs-Agents zu starten. Klicken Sie auf Weiter.
Klicken Sie auf der Seite Wiederherstellungs-Agents auswählen auf Ordner durchsuchen, und wählen Sie eine CER-Datei aus, die als Datenwiederherstellungs-Agent verwendet werden soll. Nachdem die Datei ausgewählt wurde, wird sie importiert und in der Liste Wiederherstellungs-Agents des Assistenten angezeigt. Mehrere Datenwiederherstellungs-Agents können angegeben werden. Klicken Sie auf Weiter, nachdem Sie die gewünschten Datenwiederherstellungs-Agents angegeben haben.
Auf der Assistentenseite Fertigstellen des Assistenten wird eine Liste der Datenwiederherstellungs-Agents angezeigt, die der Gruppenrichtlinie hinzugefügt werden. Klicken Sie auf Fertig stellen, um die Datenwiederherstellungs-Agents zu bestätigen, und schließen Sie den Assistenten.
Nachdem der Assistent geschlossen wurde, werden die Datenwiederherstellungs-Agents im Detailbereich angezeigt.
| So konfigurieren Sie ein ID-Feld |
Erweitern Sie in der der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien die Konsolenstruktur Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\BitLocker-Laufwerkverschlüsselung, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung, um die Richtlinieneinstellungen anzuzeigen.
Doppelklicken Sie im Detailbereich auf die Richtlinieneinstellung für die Bereitstellung der eindeutigen IDs für Ihre Organisation.
Klicken Sie auf Aktivieren. Geben Sie im Feld für die BitLocker-ID das ID-Feld für Ihre Organisation ein.
Klicken Sie auf OK, um die Richtlinieneinstellung anzuwenden und zu schließen.
 | Hinweis |
|
Laufwerken, die mit BitLocker verschlüsselt wurden, bevor ein ID-Feld konfiguriert wurde, werden aufgrund des fehlenden ID-Felds keine Datenwiederherstellungs-Agents zugewiesen. Mit der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) oder dem Befehlszeilentool Manage-bde können Sie ein ID-Feld auf einem zuvor verschlüsselten Laufwerk festlegen. Wenn Sie Manage-bde verwenden, wird das ID-Feld auf den in der Richtlinieneinstellung für die Bereitstellung der eindeutigen IDs für Ihre Organisation angegebenen Wert festgelegt. Weitere Informationen zur Verwendung der Windows-Verwaltungsinstrumentation oder von Manage-bde finden Sie unter |