Nastavení šifrovacího algoritmu nástroje BitLocker pro zařízení Autopilot
BitLocker automaticky šifruje interní jednotky během počátečního nastavení počítače (OOBE) pro zařízení, která podporují moderní úsporný režim nebo splňují specifikaci testovatelnosti zabezpečení hardwaru (HSTI). BitLocker používá ve výchozím nastavení 128bitové místo XTS-AES jenom pro automatické šifrování.
V systému Windows Autopilot je možné nakonfigurovat nastavení šifrování nástroje BitLocker tak, aby se použilo před spuštěním automatického šifrování. Tato konfigurace zajistí, že se výchozí šifrovací algoritmus nebo typ automaticky nepoužije. Zařízení, které obdrží tato nastavení po zašifrování automaticky, musí být dešifrováno před změnou šifrovacího algoritmu.
BitLocker používá zadaný šifrovací algoritmus nástroje BitLocker při prvním povolení nástroje BitLocker. Během Autopilotu se nástroj BitLocker povolí po nastavení zařízení na stránce stavu registrace. K dispozici jsou následující šifrovací algoritmy:
- AES-CBC 128 bitů.
- AES-CBC 256 bitů.
- XTS-AES 128 bitů (výchozí)
- XTS-AES 256 bitů.
Další informace o doporučených šifrovacích algoritmech, které se mají použít, najdete v tématu BitLocker Configuration Service Provider (CSP).
Pokud se chcete ujistit, že je požadovaný šifrovací algoritmus nástroje BitLocker nastavený před automatickým šifrováním pro zařízení Autopilot:
Nakonfigurujte nastavení metody šifrování v zásadách šifrování disků zabezpečení koncového bodu. Nastavení jsou k dispozici v částiŠifrování> disku zabezpečení> koncového boduVytvoření zásady>Platform = Windows 10 a novější, Typ profilu = BitLocker.
Přiřaďte zásadu ke skupině zařízení Autopilot. Zásady šifrování musí být přiřazené zařízením ve skupině, ne uživatelům.
Povolte pro tato zařízení stránku stavu registrace Autopilotu. Pokud tato funkce není povolená, zásada se před spuštěním šifrování nepoužije.
Existují dva typy šifrování: plný disk nebo jen využité místo. Konfigurace tichého povolení a podpory hardwaru pro moderní pohotovostní režim automaticky určuje typ použitého šifrování. Typ použitého šifrování lze vynutit konfigurací nastavení SystemDrivesEncryptionType . Podobně jako šifrovací algoritmus používá BitLocker typ šifrování při prvním povolení nástroje BitLocker. Další informace o očekávaném chování typu šifrování najdete v tématu Správa zásad nástroje BitLocker.
Vynucení použitého typu šifrování jednotky:
Nakonfigurujte nastavení Vynutit typ šifrování jednotek na jednotkách operačního systému v katalogu nastavení. Toto nastavení je k dispozici v kategorii Jednotky operačního systému BitLocker Drive Encryption > Součásti pro správu Součásti >> systému Windows v nástroji pro výběr nastavení.
Přiřaďte zásadu ke skupině zařízení Autopilot. Zásady šifrování musí být přiřazené zařízením ve skupině, ne uživatelům.
Povolte pro tato zařízení stránku stavu registrace Autopilotu. Pokud tato funkce není povolená, zásada se před spuštěním šifrování nepoužije.