Das Wiederherstellungskennwort für Windows BitLocker ist nicht verfügbar, wenn die FIPS-kompatible Richtlinie in Windows festgelegt ist.
In diesem Artikel werden die Probleme erläutert, die auftreten, weil das Wiederherstellungskennwort für Windows BitLocker in Windows nicht FIPS-kompatibel ist.
Gilt für: Windows 7 Service Pack 1, Windows Server 2008 R2
Ursprüngliche KB-Nummer: 947249
Einführung
Der Schlüsselableitungsalgorithmus, der mit dem Wiederherstellungskennwort für die Windows BitLocker-Laufwerkverschlüsselung verwendet wird, ist in Windows nicht fips-konform. Daher können die folgenden Probleme auftreten, wenn die Einstellung Systemkryptografie: Verwenden von FIPS-kompatiblen Algorithmen für Verschlüsselung, Hashing und Signieren Gruppenrichtlinie aktiviert ist.
Problem 1
Wenn Sie manuell ein Wiederherstellungskennwort an einer Eingabeaufforderung hinzufügen, erhalten Sie die folgende Fehlermeldung:
Das numerische Kennwort wurde nicht hinzugefügt. Die Einstellung FIPS Gruppenrichtlinie auf dem Computer verhindert die Erstellung von Wiederherstellungskennwörtern.
Problem 2
Wenn Sie versuchen, ein Laufwerk zu verschlüsseln, auf dem BitLocker-Wiederherstellungskennwörter erforderlich sind, können Sie das Laufwerk nicht wie erwartet verschlüsseln. Außerdem wird die folgende Fehlermeldung angezeigt:
Datenträger kann nicht verschlüsselt werden. Die Richtlinie erfordert ein Kennwort, das in der aktuellen Sicherheitsrichtlinie zur Verwendung von FIPS-Algorithmen nicht zulässig ist.
Problem 3
Wenn Sie ein Laufwerk verschlüsseln, wird ein Wiederherstellungsschlüssel erstellt, aber es wird kein Wiederherstellungskennwort als Schlüsselschutz erstellt.
Problem 4
Ein Wiederherstellungskennwort wird im Active Directory-Verzeichnisdienst nicht archiviert.
Weitere Informationen
Ein BitLocker-Wiederherstellungskennwort hat 48 Ziffern. Dieses Kennwort wird in einem Schlüsselableitungsalgorithmus verwendet, der nicht FIPS-konform ist. Wenn Sie daher die Einstellung Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signieren Gruppenrichtlinie aktivieren, können Sie ein Laufwerk nicht mit einem Wiederherstellungskennwort erstellen oder entsperren. Im Gegensatz dazu ist ein BitLocker-Wiederherstellungsschlüssel ein AES-Schlüssel, für den kein Schlüsselableitungsalgorithmus ausgeführt werden muss und der FIPS-kompatibel ist. Daher ist ein Wiederherstellungsschlüssel von dieser Gruppenrichtlinie Einstellung nicht betroffen.
Führen Sie die folgenden Schritte aus, um die Einstellung Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung Gruppenrichtlinie zu deaktivieren:
Klicken Sie auf Start, geben Sie gpedit.msc in das Feld Suche starten ein, und klicken Sie dann auf OK.
Hinweis
Wenn Sie zur Eingabe eines Administratorkennworts bzw. zur Bestätigung aufgefordert werden, geben Sie das Kennwort ein, oder bestätigen Sie den Vorgang.
Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, Erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
Doppelklicken Sie im Detailbereich auf Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur verwenden, klicken Sie auf Deaktivieren, und klicken Sie dann auf OK.
Hinweis
Diese Gruppenrichtlinie Einstellung kann von einem Administrator so konfiguriert werden, dass sie automatisch von einem Domänencontroller angewendet wird. In diesem Fall können Sie diese Einstellung nicht lokal deaktivieren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für