Het herstelwachtwoord voor Windows BitLocker is niet beschikbaar wanneer FIPS-compatibel beleid is ingesteld in Windows
In dit artikel worden de problemen beschreven die optreden omdat het herstelwachtwoord voor Windows BitLocker niet compatibel is met FIPS in Windows.
Van toepassing op: Windows 7 Service Pack 1, Windows Server 2008 R2
Origineel KB-nummer: 947249
Inleiding
Het sleutel-afleidingsalgoritme dat wordt gebruikt met het herstelwachtwoord voor Windows BitLocker-stationsversleuteling is niet compatibel met Federal Information Processing Standards (FIPS) in Windows. Daarom kunnen de volgende problemen optreden wanneer de instelling Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening groepsbeleid is ingeschakeld.
Probleem 1
Wanneer u handmatig een herstelwachtwoord toevoegt bij een opdrachtprompt, ontvangt u het volgende foutbericht:
Het numerieke wachtwoord is niet toegevoegd. De instelling FIPS groepsbeleid op de computer voorkomt het maken van een herstelwachtwoord.
Probleem 2
Wanneer u probeert een station te versleutelen waarop BitLocker-herstelwachtwoorden zijn vereist, kunt u het station niet versleutelen zoals verwacht. Bovendien wordt het volgende foutbericht weergegeven:
Kan schijf niet versleutelen. Beleid vereist een wachtwoord dat niet is toegestaan met het huidige beveiligingsbeleid voor het gebruik van FIPS-algoritmen.
Probleem 3
Wanneer u een station versleutelt, wordt er een herstelsleutel gemaakt, maar wordt er geen herstelwachtwoord gemaakt als sleutelbeveiliging.
Probleem 4
Een herstelwachtwoord wordt niet gearchiveerd in de Active Directory-adreslijstservice.
Meer informatie
Een BitLocker-herstelwachtwoord heeft 48 cijfers. Dit wachtwoord wordt gebruikt in een sleutelderivatie-algoritme dat niet compatibel is met FIPS. Als u de instelling Systeemcryptografie: fips-compatibele algoritmen voor versleuteling, hashing en ondertekening inschakelt groepsbeleid, kunt u geen station maken of ontgrendelen met behulp van een herstelwachtwoord. Een BitLocker-herstelsleutel is daarentegen een AES-sleutel waarvoor geen sleutelderingsalgoritmen hoeven te worden uitgevoerd en die compatibel is met FIPS. Daarom wordt een herstelsleutel niet beïnvloed door deze groepsbeleid-instelling.
Voer de volgende stappen uit om de instelling Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening uit te schakelen groepsbeleid:
Klik op Start, typ gpedit.msc in het vak Zoekopdracht starten en klik vervolgens op OK.
Opmerking
Als u om een administratorwachtwoord of om een bevestiging wordt gevraagd, typt u uw wachtwoord of bevestigt u de bewerking.
Vouw Computerconfiguratie uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit, vouw Lokaal beleid uit en klik vervolgens op Beveiligingsopties.
Dubbelklik in het detailvenster op Systeemcryptografie: FIPS-compatibele algoritmen gebruiken voor versleuteling, hashing en ondertekening, klik op Uitschakelen en klik vervolgens op OK.
Opmerking
Deze groepsbeleid instelling kan door een beheerder worden geconfigureerd om automatisch te worden toegepast vanaf een domeincontroller. In deze situatie kunt u deze instelling niet lokaal uitschakelen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor