{"id":449361,"date":"2025-04-08T15:34:19","date_gmt":"2025-04-08T15:34:19","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=449361"},"modified":"2025-03-24T08:52:55","modified_gmt":"2025-03-24T08:52:55","slug":"benutzer-verhindern-den-wechsel-von-bitlocker-pin","status":"publish","type":"post","link":"https:\/\/www.ninjaonesandbox.dev\/de\/blog\/benutzer-verhindern-den-wechsel-von-bitlocker-pin\/","title":{"rendered":"Aktivieren oder Deaktivieren des \u00c4nderns der BitLocker-PIN oder des Kennworts durch Standardbenutzer in Windows"},"content":{"rendered":"

Die Datenverschl\u00fcsselung ist eine der vielen M\u00f6glichkeiten, wie IT-Administratoren Unternehmensdaten sch\u00fctzen k\u00f6nnen. In den meisten F\u00e4llen ist dies gleichbedeutend mit der Aktivierung von BitLocker und der Einrichtung von\u00a0, umzu verhindern, dass Standardbenutzer eine BitLocker-PIN oder ein Kennwort\u00a0<\/strong>ohne Genehmigung \u00e4ndern. Sie k\u00f6nnen diese Konfiguration mit dem Gruppenrichtlinien-Editor, der Powershell oder der Windows-Registrierung vornehmen.<\/p>\n

Der entscheidende Vorteil von BitLocker gegen\u00fcber Sicherheitssoftware von Drittanbietern ist die Integration in das System. Die Einrichtung und Verwaltung ist einfach, auch f\u00fcr den einzelnen Nutzer. Wenn z. B. die BitLocker-Pre-Boot-Authentifizierung aktiviert ist, wird der Zugriff auf den Computer und seine Dateien durch eine PIN eingeschr\u00e4nkt. Was aber, wenn die PIN kompromittiert wird?<\/p>\n

Verstehen der BitLocker-PIN und der Kennwortverwaltung<\/h2>\n

Eine BitLocker-PIN wird f\u00fcr die Pre-Boot-Authentifizierung verwendet. Ohne die korrekte PIN l\u00e4sst sich das System nicht hochfahren oder starten. Gleichzeitig verhindert ein Kennwort den unbefugten Zugriff auf das Laufwerk oder den Datentr\u00e4ger, auch nach dem Start. Eine PIN ist in der Regel ein numerischer Code mit mindestens vier bis zwanzig Zeichen, w\u00e4hrend Passw\u00f6rter eine alphanumerische Eingabe haben und viel l\u00e4nger sind.<\/p>\n

Administratoren m\u00f6chten m\u00f6glicherweise BitLocker-Kennwort\u00e4nderungen unter Windows einschr\u00e4nken, um unternehmensweit<\/a> einheitliche oder komplexere Anmeldeinformationen zu erzwingen. Wenn Benutzer die Verschl\u00fcsselung willk\u00fcrlich \u00e4ndern k\u00f6nnen, kann dies zu verschiedenen Sicherheitsl\u00fccken f\u00fchren. Ebenso ist es keine Garantie f\u00fcr die Einhaltung der Vorschriften, wenn die Benutzer der Endger\u00e4te allein f\u00fcr die regelm\u00e4\u00dfige Aktualisierung einer PIN oder eines Passworts verantwortlich sind.<\/p>\n

Methoden, die verhindern, dass Standardbenutzer die BitLocker-PIN oder das Kennwort \u00e4ndern<\/h2>\n

Angesichts der Bedeutung einer PIN oder eines Passworts k\u00f6nnen Administratoren die Benutzer daran hindern, unbedachte \u00c4nderungen vorzunehmen, die das Sicherheitsniveau schw\u00e4chen k\u00f6nnen. Die Organisation von Passw\u00f6rtern bietet zus\u00e4tzlichen Schutz und macht die Verwaltung von Endger\u00e4ten konsistenter und einfacher zu implementieren. Im Folgenden finden Sie drei M\u00f6glichkeiten, die \u00c4nderung der BitLocker-PIN zu verhindern:<\/p>\n

\"Gruppenrichtlinien-Editor-Fenster\"<\/p>\n

Die erste Methode: Lokalen Gruppenrichtlinien-Editor (GPO) verwenden<\/h3>\n

Der Gruppenrichtlinien-Editor ist ein leistungsstarkes Werkzeug zur Verwaltung des Verhaltens Ihres PCs in bestimmten Szenarien. Hier erfahren Sie, wie Sie mithilfe von Gruppenrichtlinien (GPO) die BitLocker-PIN-\u00c4nderung f\u00fcr Nicht-Administrationsbenutzer deaktivieren k\u00f6nnen:<\/p>\n

1. Schritt: \u00d6ffnen Sie den Editor f\u00fcr lokale Gruppenrichtlinien (als Administrator):<\/h4>\n

Bevor wir beginnen, beachten Sie bitte, dass das GPO-Snap-In nur in den Windows 10 Pro-, Enterprise- und Education-Editionen verf\u00fcgbar ist. Sie k\u00f6nnen diese Methode auslassen, wenn Sie keinen Zugang zu GPO haben.<\/p>\n

Um\u00a0den Editor f\u00fcr lokale Gruppenrichtlinien zu \u00f6ffnen<\/a>, dr\u00fccken Sie\u00a0Windows + R<\/strong>\u00a0, um das Dialogfeld als Administrator auszuf\u00fchren. Geben Sie dann gpedit.msc ein und dr\u00fccken Sie\u00a0Enter<\/strong>. Mit dieser Aktion wird der Editor in einem neuen Fenster ge\u00f6ffnet.<\/p>\n

Schritt 2: Navigieren Sie zu den Einstellungen f\u00fcr die BitLocker-Laufwerksverschl\u00fcsselung:<\/h4>\n

Gehen Sie unter\u00a0Computerkonfiguration<\/strong> zu\u00a0Administrative Vorlagen<\/strong>\u00a0und dann zu\u00a0Windows-Komponenten<\/strong>. Suchen Sie anschlie\u00dfend nach\u00a0BitLocker Drive Encryption<\/strong>\u00a0und klicken Sie auf\u00a0Operating System Drive<\/strong>. Doppeltippen Sie im linken Bereich auf\u00a0Standardbenutzern das \u00c4ndern der PIN- oder Kennwortrichtlinie untersagen<\/strong>\u00a0, um die Einstellungen zu \u00f6ffnen.<\/p>\n

W\u00e4hlen Sie dann, ob Sie\u00a0\u00a0aktivieren<\/strong>oder\u00a0\u00a0diese Richtliniedeaktivieren<\/strong>m\u00f6chten. Klicken Sie auf\u00a0\u00dcbernehmen<\/strong> und dann\u00a0OK<\/strong>\u00a0, um die \u00c4nderungen zu speichern.<\/p>\n

\"Windows<\/p>\n

Methode 2: Verwenden der Eingabeaufforderung oder PowerShell<\/h3>\n

Das Erlernen von Powershell<\/a>\u00a0ist f\u00fcr die Konfiguration einiger BitLocker-Einstellungen n\u00fctzlich. Hier ist die Befehlszeile, mit der Sie verhindern k\u00f6nnen, dass Benutzer die BitLocker-PIN oder das Kennwort \u00e4ndern:<\/p>\n

1. Schritt: \u00d6ffnen Sie PowerShell als Administrator<\/h4>\n

Verwenden Sie\u00a0Windows Search<\/strong>\u00a0und geben Sie PowerShell ein. Klicken Sie mit der rechten Maustaste auf\u00a0Windows PowerShell<\/strong>\u00a0und f\u00fchren Sie es als Administrator aus.<\/p>\n

Schritt 2: Verhindern, dass Standardbenutzer die PIN oder das Passwort \u00e4ndern k\u00f6nnen<\/h4>\n

F\u00fchren Sie den folgenden Befehl aus, um die \u00c4nderung der BitLocker-PIN f\u00fcr Nicht-Administrationsbenutzer zu verhindern:
\nSet-ItemProperty -Path „HKLM:\\SOFTWARE\\Policies\\Microsoft\\FVE“ -Name „DisallowStandardUserPINChanges“ -Value 1<\/strong><\/p>\n

Dr\u00fccken Sie\u00a0Enter<\/strong>\u00a0, um den Befehl zum Erstellen oder Aktualisieren eines Registrierungsschl\u00fcssels zur Durchsetzung der Beschr\u00e4nkung auszuf\u00fchren.<\/p>\n

\"\u00c4ndern<\/p>\n

Methode 3: Registrierungseditor verwenden (fortgeschrittene Benutzer)<\/h3>\n

Gehen wir abschlie\u00dfend die Schritte zum \u00c4ndern der BitLocker-PIN oder des Kennworts mit dem Registrierungseditor durch:<\/p>\n

1. Schritt: \u00d6ffnen Sie den Registrierungseditor<\/h4>\n

Dr\u00fccken Sie zun\u00e4chst\u00a0Windows + R<\/strong>\u00a0, um das Dialogfeld zu \u00f6ffnen. Geben Sie\u00a0regedit<\/strong>\u00a0ein und dr\u00fccken Sie\u00a0Enter<\/strong>.<\/p>\n

Suchen Sie imRegistrierungseditor<\/strong>\u00a0 nach dem folgenden Pfad:\u00a0HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\FVE. Wenn es keinen\u00a0FVE<\/strong>\u00a0Schl\u00fcssel gibt, m\u00fcssen Sie ihn manuell hinzuf\u00fcgen. Klicken Sie mit der rechten Maustaste auf den Schl\u00fcssel\u00a0Microsoft<\/strong>\u00a0und erstellen Sie einen Unterschl\u00fcssel namens\u00a0FVE<\/strong>.<\/p>\n

Schritt 2: Hinzuf\u00fcgen\u00a0DisallowStandardUserPINReset<\/strong><\/h4>\n

Klicken Sie bei ausgew\u00e4hltem FVE-Schl\u00fcssel mit der rechten Maustaste auf einen leeren Bereich im rechten Fensterbereich, erstellen Sie einen DWORD-Wert (32-Bit) mit dem Namen\u00a0DisallowStandardUserPINReset<\/strong> und setzen Sie den Wert auf 1.<\/p>\n

Schlie\u00dfen Sie den\u00a0Registry Editor<\/strong>.<\/p>\n

Bevor Sie \u00c4nderungen vornehmen, ist es ratsam, eine Sicherungskopie der Registrierung zu erstellen. Hier finden Sie eine Anleitung auf\u00a0, wie Sie die Windows-Registrierung sichern und wiederherstellen<\/a> k\u00f6nnen.<\/p>\n

\u00dcberpr\u00fcfung und Test der Einschr\u00e4nkungen<\/h2>\n

Sie k\u00f6nnen manuell testen, ob die Einschr\u00e4nkungen angewendet wurden, indem Sie zu einem Standardbenutzerkonto wechseln.<\/p>\n