Da ich mich nach über einem Jahr mal wieder mit dem Thema Bitlocker beschäftigen möchte, habe ich erst einmal angefangen, die Gruppenrichtlinien aufzulisten anhand der Betriebssysteme bei denen sie eingesetzt wurden oder werden:
Windows Vista:
- Standardordner für Wiederherstellungskennwort auswählen
- Überschreiben des Arbeitsspeicher beim Neustart verhindern
Windows Server 2008 und Windows Vista:
- Zusätzliche Authentifizierung beim Start anfordern
- Wiederherstellungsoptionen für Bitlocker-geschützte Laufwerke für Benutzer auswählen
- Bitlocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern
- TPM-Plattformvaildierungsprofil konfigurieren (Windows Vista, Windows Server 2008, Windows 7 & Windows Server 2008 R2)
Windows Server 2008 R2 und Windows 7
- Zusätzliche Authentifizierung beim Start anfordern (ab Windows Server 2008 R2 & Windows 7)
- Erweitere Pins für Systemstart zulassen
- Minimale Pin-Länge für Systemstart konfigurieren
- Smartcard-Verwendung für Festplattenlaufwerke konfigurieren
- Kennwortverwendung für Festplattenlaufwerke konfigurieren
- Smartcard-Verwenung für Wechseldatenträger konfigurieren
- Kennwortverwendung für Wechseldatenträger konfigurieren
- Einhaltung der Regel zur Smartcard-Zertifikatverwendung überprüfen
- Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch Bitlocker geschützt sind.
- Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch Bitlocker geschützt sind
- Verwendung von Bitlocker auf Wechselmedien steuern
- Festlegen, wie Bitlocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
- Festlegen, wie Bitlocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
- Festlegen, wie Bitlocker-geschützte Wechseldatenträger wiederhergestellt werden können
- Eindeutige IDs für Ihre Organisation angeben
- Zugriff auf Bitlocker-geschützte Festplattenlaufwerke von früheren Windows-Versionen zulassen
- Zugriff auf Bitlocker-geschützte Wechseldatenträhger von früheren Windows-Versionen zulassen
Windows Server 2012 und Windows 8:
- Netzwerkentsperrung beim Start zulassen
- Pin- oder Kennwortänderung durch Standardbenutzer nicht zulassen
- Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren
- Verwendung der Bitlocker-Authentifizierung mit erforderlicher Tastatureingabe vor dem Start auf Slates aktivieren
[Dieses ist die Tablet-Unterstützung, um an entsprechenden Geräten ebenfalls Kennwörter eingeben zu können.] - Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen
- Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren
- Verwendung der hardwarebasierten Verschlüsselung für Betriebssystemlaufwerke konfigurieren
- Verwendung der hardwarebasierten Verschlüsselung für Wechseldatenträgern konfigurieren
- Laufwerksverschlüsselungstyp auf Festplattenlaufwerken erzwingen
- Laufwerksverschlüsselungstyp auf Betriebssystemlaufwerke erzwingen
- Laufwerksverschlüsselungstyp auf Wechseldatenträgern erzwingen
- Sicheren Start für Integritätsüberprüfung zulassen
- TPM-Plattformvalidierungsprofil für BIOS-basierte Firmwarekonfiguration konfigurieren
- TPM-Plattformvalidierungsprofil für systemeigene UEFI-Firmwarekonfigurationen konfigurieren
- Plattformvalidierungsdaten nach Bitlocker-Wiederherstellung zurücksetzen
- Erweitertes Validierungsprofil für Startkonfigurationsdaten verwenden
Windows 10:
- Konfigurieren der Pre-Boot-Wiederherstellungsmeldung und URL
Über MBAM (Microsoft BitLocker Administration and Monitoring) sind noch weitere Möglichkeiten gegeben, wie zum Beispiel Reset des Wiederherstellungsschlüssels nach Eingabe und ein Web-Portal zur Darstellung des Wiederherstellungsschlüssel