New-CMBMSOSDEncryptionPolicy
Erstellen Sie eine Richtlinie, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.
Syntax
New-CMBMSOSDEncryptionPolicy
[-PolicyState <State>]
[-RequireTpm]
[-MinimumPinLength <UInt32>]
[-Protector <TpmProtector>]
[-DisableWildcardHandling]
[-ForceWildcardHandling]
[<CommonParameters>] Beschreibung
Verwenden Sie dieses Cmdlet, um eine Richtlinie zu erstellen, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.
Wenn Sie BitLocker auf einem Computer ohne Trusted Platform Module (TPM) verwenden möchten, verwenden Sie nicht den Parameter -RequireTpm . In diesem Modus erfordert BitLocker beim Starten des Geräts ein Kennwort. Wenn Sie das Kennwort vergessen haben, verwenden Sie eine BitLocker-Wiederherstellungsoption, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM kann BitLocker zwei Authentifizierungsmethoden verwenden, wenn das Gerät gestartet wird. Dieses Verhalten bietet zusätzlichen Schutz für verschlüsselte Daten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern.
Tipp
Wenn Sie Geräte mit TPM - und PIN-Schutz aktivieren, sollten Sie aus Sicherheitsgründen die folgenden Gruppenrichtlinieneinstellungen in den Einstellungen für denEnergiesparmodus derSystemenergieverwaltung>> deaktivieren:
Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)
Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)
Beispiele
Beispiel 1: Erstellen einer neuen Richtlinie, die TPM mit PIN erfordert
In diesem Beispiel wird eine neue Richtlinie erstellt, die mit den folgenden Attributen aktiviert ist:
- Erfordert ein TPM
- Anfordern einer PIN mit dem TPM
- Die PIN muss mindestens 16 Nummern umfassen.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPinBeispiel 2: Erstellen einer neuen Richtlinie nur für TPM
In diesem Beispiel wird eine neue Richtlinie erstellt, die aktiviert ist und nur ein TPM erfordert.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnlyParameter
-DisableWildcardHandling
Dieser Parameter behandelt Wildcardzeichen als Literalzeichenwerte. Sie können es nicht mit ForceWildcardHandling kombinieren.
| Typ: | SwitchParameter |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-ForceWildcardHandling
Dieser Parameter verarbeitet Wildcardzeichen und kann zu unerwartetem Verhalten führen (nicht empfohlen). Sie können es nicht mit DisableWildcardHandling kombinieren.
| Typ: | SwitchParameter |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-MinimumPinLength
Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist 4die minimale PIN-Länge . Legen Sie einen Wert von auf 4 fest 20.
| Typ: | UInt32 |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-PolicyState
Verwenden Sie diesen Parameter, um die Richtlinie zu konfigurieren.
Enabled: Wenn Sie diese Richtlinie aktivieren, muss der Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen und das Laufwerk verschlüsseln.Disabled: Wenn Sie diese Richtlinie deaktivieren, kann der Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, entschlüsselt BitLocker das Laufwerk.NotConfigured: Wenn Sie diese Richtlinie nicht konfigurieren, ist BitLocker auf dem Betriebssystemlaufwerk nicht erforderlich.
| Typ: | State |
| Zulässige Werte: | Enabled, Disabled, NotConfigured |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-Protector
Verwenden Sie diesen Parameter, um eine Schutzvorrichtung für das Betriebssystemlaufwerk anzugeben:
TpmOnly: Verwenden Sie das TPM nur als Schutzvorrichtung.TpmAndPin: Verwenden einer PIN mit dem TPM
| Typ: | TpmProtector |
| Zulässige Werte: | TpmOnly, TpmAndPin |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
-RequireTpm
Fügen Sie diesen Parameter hinzu, um die Richtlinie so zu konfigurieren, dass das Gerät über ein kompatibles TPM verfügt.
| Typ: | SwitchParameter |
| Position: | Named |
| Standardwert: | None |
| Erforderlich: | False |
| Pipelineeingabe akzeptieren: | False |
| Platzhalterzeichen akzeptieren: | False |
Eingaben
None
Ausgaben
Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject