In diesem Tutorial erfahren Sie, wie Sie Gruppenrichtlinien konfigurieren, um die USB-Verschlüsselung auf Wechselmedien auf Windows 2012-Servern mithilfe von Bitlocker zu erzwingen.

Dies wird Ihrer Computerumgebung helfen, eine höhere Sicherheitsstufe zu erreichen.

Auf dem Domänencontroller wird Windows 2012 R2 ausgeführt.

Auf den Domänencomputern wird Windows 10 enterprise ausgeführt.

Auf den Domänencomputern wird Windows 7 Enterprise ausgeführt.

Hardwareliste:

Im folgenden Abschnitt wird die Liste der Geräte angezeigt, die zum Erstellen dieses Windows-Tutorials verwendet wurden.

Jede der oben aufgeführten Hardwarestücke finden Sie auf der Amazon-Website.

Windows-Playlist:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Videos zu Windows.

Vergessen Sie nicht, unseren Youtube-Kanal namens FKITzu abonnieren.

Windows-bezogenes Tutorial:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials zu Windows.

Tutorial – Erstellen des Gruppenrichtlinienobjekts zum Erzwingen der USB-Laufwerkverschlüsselung

Die folgenden Aufgaben wurden auf einem Domänencontroller ausgeführt, auf dem Windows 2012 R2 mit Active Directory ausgeführt wird.

Klicken Sie auf das Startmenü, suchen und öffnen Sie das Gruppenrichtlinien-Management-Tool.

Suchen Sie auf dem Bildschirm Gruppenrichtlinienverwaltung den Ordner mit dem Namen Gruppenrichtlinienobjekte.

Klicken Sie mit der rechten Maustaste auf den Ordner Gruppenrichtlinienobjekte, und wählen Sie die Option Neu aus.

Geben Sie einen Namen für Ihre neue Richtlinie ein.

Windows 2012 - GPO Force USB Encryption

In unserem Beispiel wurde das neue Gruppenrichtlinienobjekt mit dem Namen FORCE USB ENCRYPTION benannt.

Erweitern Sie auf dem Bildschirm Gruppenrichtlinienverwaltung den Ordner mit dem Namen Gruppenrichtlinienobjekte.

Klicken Sie mit der rechten Maustaste auf Ihr neues Gruppenrichtlinienobjekt, und wählen Sie die Option Bearbeiten aus.

windows 2012 - bitlocker gpo configuration

Auf dem Bildschirm „Gruppenrichtlinien-Editor“ werden Sie den Benutzerkonfigurationen und Computerkonfigurationen angezeigt.

Wir ändern nur die Computerkonfigurationen.

Wir müssen keine Benutzerkonfiguration ändern.

Erweitern Sie auf dem Bildschirm des Gruppenrichtlinien-Editors den Ordner Computerkonfiguration, und suchen Sie das folgende Element.

Copy to Clipboard

Greifen Sie auf den Ordner mit dem Namen „Wechseldatenlaufwerke“ zu.

windows 2012 - bitlocker gpo configuration folder

Auf der rechten Seite wird die Liste der verfügbaren Konfigurationsoptionen angezeigt.

windows 2012 - bitlocker removable devices

Deaktivieren wir zunächst den Schreibzugriff auf unverschlüsselte USB-Speichergeräte.

Doppelklicken Sie auf das Konfigurationselement mit dem Namen: Verweigern Sie Schreibzugriff auf Wechseldatenträger, die nicht durch Bitlocker geschützt sind.

Auf dem Bildschirm des Konfigurationselements müssen Sie die Option Aktivieren auswählen.

GPO Enable Bitlocker USB drive

Wenn Sie auch die Verwendung von Bitlocker für frühere Versionen von Windows aktivieren möchten.

Doppelklicken Sie auf das Konfigurationselement mit dem Namen Zugriff auf BitLocker geschützte Wechsellaufwerke von früheren Windows-Versionen zulassen

Auf dem Bildschirm des Konfigurationselements müssen Sie die Option Aktivieren auswählen.

GPO Enable Bitlocker on earlier Windows

Um die Gruppenrichtlinienerstellung abzuschließen, müssen Sie das Gruppenrichtlinien-Editorfenster schließen.

Nur wenn Sie das Gruppenrichtlinienfenster schließen, speichert das System Ihre Konfiguration.

Tutorial – Anwenden des Gruppenrichtlinienobjekts zum Erzwingen der USB-Laufwerkverschlüsselung

Sie haben die Erstellung des Gruppenrichtlinienobjekts für Netzwerkeinschränkung abgeschlossen.

Sie müssen jedoch weiterhin die Verwendung Ihrer neuen Gruppenrichtlinie aktivieren.

Auf dem Bildschirm Gruppenrichtlinienverwaltung müssen Sie mit der rechten Maustaste auf die gewünschte Organisationseinheit klicken und die Option zum Verknüpfen eines vorhandenen Gruppenrichtlinienobjekts auswählen.

In unserem Beispiel werden wir die Gruppenrichtlinie mit dem Namen FORCE USB ENCRYPTION mit der Wurzel unserer Domain namens TECH verknüpfen. lokal.

Windows force USB Encryption

Nach der Anwendung des Gruppenrichtlinienobjekts müssen Sie 10 oder 20 Minuten warten.

Während dieser Zeit wird das Gruppenrichtlinienobjekt auf andere Domänencontroller repliziert, die Sie möglicherweise haben.

Nachdem Sie 20 Minuten gewartet haben, sollten Sie den Computer eines Benutzers neu starten.

Während des Neustarts erhält und wendet der Computer eine Kopie der neuen Gruppenrichtlinie an.

Um die Konfiguration zu testen, müssen Sie ein USB-Speicherlaufwerk an den Computer anschließen und versuchen, eine Datei zu speichern.

Ihr Computer sollte automatisch den Schreibzugriff auf das unverschlüsselte USB-Speichergerät verweigern.

Ihr Computer sollte automatisch anbieten, das USB-Speichergerät mit Bitlocker zu verschlüsseln.

Bitlocker Windows

Nach dem Verschlüsseln des USB-Speichergeräts können Sie Daten auf das Gerät schreiben.