Šifrování dat obnovení přes síť
Platí pro: Configuration Manager (Current Branch)
Když vytvoříte zásadu správy nástroje BitLocker, Configuration Manager nasadí službu Recovery Service do bodu správy. Na stránce Správa klientů zásad správy nástroje BitLocker při konfiguraci služeb pro správu nástroje BitLocker klient zálohuje informace o obnovení klíče do databáze lokality. Tyto informace zahrnují obnovovací klíče nástroje BitLocker, obnovovací balíčky a hodnoty hash hesel TPM. Když jsou uživatelé uzamčení svého chráněného zařízení, můžete jim pomocí těchto informací pomoct obnovit přístup k zařízení.
Vzhledem k citlivé povaze těchto informací je potřeba je chránit.
Důležité
Od verze 2103 se změnila implementace služby Recovery Service. Už nepoužívá starší komponenty MBAM, ale stále se koncepčně označuje jako služba obnovení. Všichni klienti verze 2103 používají jako službu obnovení komponentu modulu zpracování zpráv bodu správy. Své obnovovací klíče zakládají do úschovy přes kanál oznámení zabezpečeného klienta. Díky této změně můžete webu Configuration Manager povolit rozšířený protokol HTTP. Tato konfigurace nemá vliv na funkce správy nástroje BitLocker v Configuration Manager.
Pokud lokalita i klienti používají Configuration Manager verze 2103 nebo novější, klienti odesílají své obnovovací klíče do bodu správy přes kanál oznámení zabezpečeného klienta. Pokud mají klienti verzi 2010 nebo starší, potřebují v bodě správy službu obnovení s podporou protokolu HTTPS, aby mohli své klíče uschovat.
Požadavky na certifikáty HTTPS
Poznámka
Tyto požadavky platí jenom v případě, že je lokalita verze 2010 nebo starší nebo pokud nasadíte zásady správy nástroje BitLocker na zařízení s Configuration Manager klientem verze 2010 nebo starší.
Configuration Manager vyžaduje zabezpečené připojení mezi klientem a službou Recovery Service k šifrování dat přenášených přes síť. Použijte jednu z následujících možností:
Https – povolte web služby IIS v bodě správy, který je hostitelem služby Recovery Service, ne celou roli bodu správy.
Nakonfigurujte bod správy pro HTTPS. Ve vlastnostech bodu správy musí být nastavení Připojení klientůHTTPS.
Poznámka
Pokud má vaše lokalita více než jeden bod správy, povolte protokol HTTPS ve všech bodech správy v lokalitě, se kterými může klient spravovaný bitlockerem potenciálně komunikovat. Pokud je bod správy HTTPS nedostupný, klient může převzít služby při selhání k bodu správy HTTP a pak se nepovede v úschově svého obnovovacího klíče.
Toto doporučení platí pro obě možnosti: povolení bodu správy pro HTTPS nebo povolení webu IIS, který hostuje službu obnovení v bodě správy.
Konfigurace bodu správy pro HTTPS
V dřívějších verzích Configuration Manager aktuální větvi bylo nutné k integraci služby obnovení nástroje BitLocker povolit bod správy protokolem HTTPS. Připojení HTTPS je nezbytné k šifrování obnovovacích klíčů v síti od klienta Configuration Manager do bodu správy. Konfigurace bodu správy a všech klientů pro https může být pro mnoho zákazníků náročná.
Https – povolení webu služby IIS
Požadavek HTTPS teď platí pro web IIS, který je hostitelem služby Recovery Service, a ne pro celou roli bodu správy. Tato konfigurace uvolní požadavky na certifikáty a stále zašifruje obnovovací klíče při přenosu.
Vlastnost Připojení klienta bodu správy může být HTTP nebo HTTPS. Pokud je bod správy nakonfigurovaný pro protokol HTTP, aby podporoval službu obnovení nástroje BitLocker:
Získejte ověřovací certifikát serveru. Vytvořte vazbu certifikátu na web služby IIS v bodě správy, který je hostitelem služby obnovení nástroje BitLocker.
Nakonfigurujte klienty tak, aby důvěřovali ověřovacímu certifikátu serveru. Existují dvě metody, jak dosáhnout tohoto vztahu důvěryhodnosti:
Použijte certifikát od veřejného a globálně důvěryhodného zprostředkovatele certifikátů. Klienti Windows zahrnují důvěryhodné kořenové certifikační autority od těchto zprostředkovatelů. Při použití ověřovacího certifikátu serveru vydaného jedním z těchto zprostředkovatelů by mu klienti měli automaticky důvěřovat.
Použijte certifikát vydaný certifikační autoritou z infrastruktury veřejných klíčů (PKI) vaší organizace. Většina implementací infrastruktury veřejných klíčů přidává důvěryhodné kořenové certifikační autority do klientů s Windows. Například pomocí služby Active Directory Certificate Services se zásadami skupiny. Pokud vydáte ověřovací certifikát serveru z certifikační autority, které vaši klienti automaticky nedůvěřují, přidejte do klientů důvěryhodný kořenový certifikát certifikační autority.
Tip
Jedinými klienty, kteří potřebují komunikovat se službou Recovery Service, jsou klienti, na které plánujete cílit pomocí zásad správy nástroje BitLocker a které zahrnují pravidlo správy klientů .
Řešení potíží s připojením
V klientovi použijte bitLockerManagementHandler.log k řešení potíží s tímto připojením. V případě připojení ke službě Recovery Service se v protokolu zobrazuje adresa URL, kterou klient používá. Vyhledejte záznam v protokolu na základě verze Configuration Manager:
- Ve verzi 2103 a novější začíná položka na
Recovery keys escrowed to MP - Ve verzi 2010 a starších začíná položka na
Checking for Recovery Service at
Další kroky
Šifrování dat obnovení v databázi je volitelným předpokladem před prvním nasazením zásad.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro