Referenční informace k nastavení nástroje BitLocker
Platí pro: Configuration Manager (Current Branch)
Zásady správy nástroje BitLocker v Configuration Manager obsahovat následující skupiny zásad:
- Instalace
- Jednotka operačního systému
- Pevná jednotka
- Vyměnitelná jednotka
- Správa klientů
Následující části popisují a navrhují konfigurace nastavení v jednotlivých skupinách.
Instalace
Nastavení na této stránce konfiguruje globální možnosti šifrování nástrojem BitLocker.
Metoda šifrování disku a síla šifry
Navrhovaná konfigurace: Povolená s výchozí nebo vyšší metodou šifrování.
Poznámka
Stránka Vlastností instalace obsahuje dvě skupiny nastavení pro různé verze Systému Windows. Tato část je popisuje oba.
Windows 8.1 zařízení
U Windows 8.1 zařízení povolte možnost Metoda šifrování jednotky a síla šifry a vyberte jednu z následujících metod šifrování:
- AES 128 bitů s difuzorem
- AES 256 bitů s difuzorem
- AES 128 bitů (výchozí)
- AES (256bitová verze)
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMBLEncryptionMethodPolicy.
Windows 10 nebo novější zařízení
U Windows 10 nebo novějších zařízení povolte možnost Metoda šifrování jednotky a síla šifry (Windows 10 nebo novější). Pak jednotlivě vyberte jednu z následujících metod šifrování jednotek s operačním systémem, pevných datových jednotek a vyměnitelných datových jednotek:
- AES-CBC (128bitová verze)
- AES-CBC (256bitová verze)
- XTS-AES 128 bitů (výchozí)
- XTS-AES 256 bitů
Tip
BitLocker používá jako šifrovací algoritmus AES (Advanced Encryption Standard) s konfigurovatelnou délkou klíče 128 nebo 256 bitů. Na Windows 10 nebo novějších zařízeních šifrování AES podporuje CBC (Cipher Block Chaining) nebo ciphertext stealing (XTS).
Pokud potřebujete použít vyměnitelnou jednotku na zařízeních, která nespouštějí Windows 10, použijte AES-CBC.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMBLEncryptionMethodWithXts.
Obecné poznámky k použití pro šifrování jednotek a sílu šifry
Pokud tato nastavení zakážete nebo nenakonfigurujete, BitLocker použije výchozí metodu šifrování.
Configuration Manager použije tato nastavení při zapnutí nástroje BitLocker.
Pokud je jednotka už zašifrovaná nebo probíhá, při jakékoli změně nastavení těchto zásad se šifrování jednotky v zařízení nezmění.
Pokud použijete výchozí hodnotu, může sestava kompatibility počítače nástroje BitLocker zobrazit sílu šifry jako neznámou. Chcete-li tento problém vyřešit, povolte toto nastavení a nastavte explicitní hodnotu pro sílu šifry.
Zabránění přepsání paměti při restartování
Navrhovaná konfigurace: Nenakonfigurováno
Nakonfigurujte tuto zásadu, abyste zlepšili výkon restartování bez přepsání tajných kódů Nástroje BitLocker v paměti při restartování.
Pokud tuto zásadu nenakonfigurujete, nástroj BitLocker při restartování počítače odebere jeho tajné kódy z paměti.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMNoOverwritePolicy.
Ověření dodržování předpisů pro používání certifikátů čipových karet
Navrhovaná konfigurace: Nenakonfigurováno
Nakonfigurujte tuto zásadu tak, aby používala ochranu BitLockerem založenou na čipové kartě. Pak zadejte identifikátor objektu certifikátu.
Pokud tuto zásadu nenakonfigurujete, BitLocker použije k určení certifikátu výchozí identifikátor 1.3.6.1.4.1.311.67.1.1
objektu.
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMScCompliancePolicy.
Jedinečné identifikátory organizace
Navrhovaná konfigurace: Nenakonfigurováno
Nakonfigurujte tuto zásadu tak, aby používala agenta obnovení dat založeného na certifikátu nebo čtečku BitLocker To Go.
Pokud tuto zásadu nenakonfigurujete, BitLocker pole Identifikace nepoužívá.
Pokud vaše organizace vyžaduje vyšší úroveň zabezpečení, nakonfigurujte pole Identifikace . Nastavte toto pole na všechna cílová zařízení USB a zarovnejte ho s tímto nastavením.
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMUidPolicy.
Jednotka operačního systému
Nastavení na této stránce konfigurují nastavení šifrování pro jednotku, na které je nainstalovaný systém Windows.
Nastavení šifrování jednotek operačního systému
Navrhovaná konfigurace: Povoleno
Pokud toto nastavení povolíte, musí uživatel chránit jednotku operačního systému a BitLocker jednotku zašifruje. Pokud ho zakážete, uživatel nemůže jednotku chránit. Pokud tuto zásadu nenakonfigurujete, ochrana nástrojem BitLocker se na jednotce s operačním systémem nevyžaduje.
Poznámka
Pokud je jednotka již zašifrovaná a toto nastavení zakážete, Nástroj BitLocker jednotku dešifruje.
Pokud máte zařízení bez čipu TPM (Trusted Platform Module), použijte možnost Povolit Nástroj BitLocker bez kompatibilního čipu TPM (vyžaduje heslo). Toto nastavení umožňuje nástroji BitLocker zašifrovat jednotku operačního systému, i když zařízení nemá čip TPM. Pokud tuto možnost povolíte, systém Windows vyzve uživatele k zadání hesla nástroje BitLocker.
Na zařízeních s kompatibilním čipem TPM je možné při spuštění použít dva typy metod ověřování k zajištění další ochrany šifrovaných dat. Když se počítač spustí, může k ověření použít jenom čip TPM nebo může vyžadovat zadání osobního identifikačního čísla (PIN). Nakonfigurujte následující nastavení:
Vyberte ochranu pro jednotku s operačním systémem: Nakonfigurujte ji tak, aby používala čip TPM a PIN kód nebo jenom čip TPM.
Konfigurace minimální délky KÓDU PIN pro spuštění: Pokud potřebujete PIN kód, jedná se o nejkratší délku, kterou může uživatel zadat. Uživatel zadá tento PIN kód, když se počítač spustí a jednotku odemkne. Ve výchozím nastavení je
4
minimální délka PIN kódu .
Tip
Pokud povolíte zařízení s čipem TPM a ochranou PIN kódem, pro zajištění vyššího zabezpečení zvažte zakázání následujících nastavení zásad skupiny vnastavení režimu spánkuŘízení> spotřeby systému>:
Povolit pohotovostní stavy (S1-S3) v režimu spánku (připojeno k elektrické síti)
Povolit pohotovostní stavy (S1-S3) v režimu spánku (při napájení z baterie)
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMBMSOSDEncryptionPolicy.
Povolit rozšířené PIN kódy pro spuštění
Navrhovaná konfigurace: Nenakonfigurováno
Nakonfigurujte BitLocker tak, aby používal rozšířené spouštěcí PIN kódy. Tyto PIN kódy umožňují použití více znaků, jako jsou velká a malá písmena, symboly, čísla a mezery. Toto nastavení platí při zapnutí nástroje BitLocker.
Důležité
Ne všechny počítače podporují rozšířené PIN kódy v prostředí před spuštěním. Než povolíte jeho použití, vyhodnoťte, jestli jsou vaše zařízení s touto funkcí kompatibilní.
Pokud toto nastavení povolíte, všechny nové spouštěcí PIN kódy nástroje BitLocker umožní uživateli vytvářet rozšířené PIN kódy.
- Vyžadovat pin kódy jen ASCII: Pomozte zvýšit kompatibilitu rozšířených PIN kódů s počítači, které omezují typ nebo počet znaků, které můžete zadat v prostředí před spuštěním.
Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, BitLocker nebude používat rozšířené PIN kódy.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMEnhancedPIN.
Zásady hesel jednotek operačního systému
Navrhovaná konfigurace: Nenakonfigurováno
Pomocí těchto nastavení můžete nastavit omezení hesel pro odemknutí jednotek operačního systému chráněných bitlockerem. Pokud na jednotkách s operačním systémem povolíte ochranu bez čipu TPM, nakonfigurujte následující nastavení:
Konfigurace složitosti hesla pro jednotky operačního systému: Pokud chcete vynutit požadavky na složitost hesla, vyberte Vyžadovat složitost hesla.
Minimální délka hesla pro jednotku s operačním systémem: Ve výchozím nastavení je
8
minimální délka .Vyžadování hesel jenom ASCII pro vyměnitelné jednotky s operačním systémem
Pokud toto nastavení zásad povolíte, můžou uživatelé nakonfigurovat heslo, které splňuje vámi definované požadavky.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMOSPassphrase.
Poznámky k obecnému použití pro zásady hesel jednotek operačního systému
Aby nastavení požadavků na složitost bylo efektivní, povolte také nastavení zásad skupiny Heslo musí splňovat požadavky na složitost v části Konfigurace> počítačeNastavení systému Windows Nastavení>>ZabezpečeníZásady hesel Zásady>hesel účtu.
BitLocker tato nastavení vynucuje při zapnutí, ne při odemknutí svazku. Nástroj BitLocker umožňuje odemknout jednotku pomocí libovolné ochrany, která je na jednotce k dispozici.
Pokud použijete zásady skupiny k povolení algoritmů kompatibilních s FIPS pro šifrování, hashování a podepisování, nemůžete hesla povolit jako ochranu nástrojem BitLocker.
Resetování ověřovacích dat platformy po obnovení nástrojem BitLocker
Navrhovaná konfigurace: Nenakonfigurováno
Určuje, jestli systém Windows aktualizuje ověřovací data platformy při spuštění po obnovení bitlockeru.
Pokud toto nastavení povolíte nebo nenakonfigurujete, systém Windows v této situaci aktualizuje data ověření platformy.
Pokud toto nastavení zásad zakážete, systém Windows v této situaci neaktualizuje ověřovací data platformy.
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMTpmAutoResealPolicy.
Zpráva o obnovení před spuštěním a adresa URL
Navrhovaná konfigurace: Nenakonfigurováno
Když BitLocker uzamkne jednotku operačního systému, použijte toto nastavení k zobrazení vlastní zprávy o obnovení nebo adresy URL na obrazovce pro obnovení nástroje BitLocker před spuštěním. Toto nastavení platí jenom pro Windows 10 nebo novější zařízení.
Když toto nastavení povolíte, vyberte jednu z následujících možností pro zprávu o obnovení před spuštěním:
Použít výchozí zprávu a adresu URL pro obnovení: Na obrazovce pro obnovení nástroje BitLocker před spuštěním zobrazte výchozí zprávu a adresu URL nástroje BitLocker pro obnovení. Pokud jste dříve nakonfigurovali vlastní zprávu nebo adresu URL pro obnovení, použijte tuto možnost k návratu k výchozí zprávě.
Použít vlastní zprávu pro obnovení: Na obrazovce pro obnovení nástroje BitLocker před spuštěním zahrňte vlastní zprávu.
- Možnost vlastní zprávy o obnovení: Zadejte vlastní zprávu, která se má zobrazit. Pokud chcete také zadat adresu URL pro obnovení, zahrňte ji jako součást této vlastní zprávy o obnovení. Maximální délka řetězce je 32 768 znaků.
Použít vlastní adresu URL pro obnovení: Nahraďte výchozí adresu URL zobrazenou na obrazovce pro obnovení nástroje BitLocker před spuštěním.
- Možnost vlastní adresy URL pro obnovení: Zadejte adresu URL, která se má zobrazit. Maximální délka řetězce je 32 768 znaků.
Poznámka
Před spuštěním se nepodporují všechny znaky a jazyky. Nejprve otestujte vlastní zprávu nebo adresu URL a ujistěte se, že se na obrazovce pro obnovení nástroje BitLocker před spuštěním správně zobrazují.
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMPrebootRecoveryInfo.
Nastavení vynucení zásad šifrování (jednotka operačního systému)
Navrhovaná konfigurace: Povoleno
Nakonfigurujte počet dnů, po které můžou uživatelé odložit dodržování předpisů nástrojem BitLocker pro jednotku operačního systému. Období odkladu pro nedodržování předpisů začíná, když Configuration Manager poprvé zjistí, že nedodržuje předpisy. Po uplynutí této lhůty nebudou uživatelé moct požadovanou akci odložit ani požádat o výjimku.
Pokud proces šifrování vyžaduje vstup uživatele, zobrazí se ve Windows dialogové okno, které uživatel nemůže zavřít, dokud nezadá požadované informace. Budoucí oznámení o chybách nebo stavu nebudou mít toto omezení.
Pokud BitLocker nevyžaduje interakci uživatele s přidáním ochrany, spustí po uplynutí lhůty odkladu šifrování na pozadí.
Pokud toto nastavení zakážete nebo nenakonfigurujete, Configuration Manager nevyžaduje, aby uživatelé dodržovali zásady nástroje BitLocker.
Pokud chcete zásadu vynutit okamžitě, nastavte období odkladu .0
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMUseOsEnforcePolicy.
Pevná jednotka
Nastavení na této stránce konfigurují šifrování pro jiné datové jednotky v zařízení.
Oprava šifrování datové jednotky
Navrhovaná konfigurace: Povoleno
Spravujte požadavky na šifrování pevných datových jednotek. Pokud toto nastavení povolíte, BitLocker vyžaduje, aby uživatelé všechny pevné datové jednotky umístili pod ochranu. Pak zašifruje datové jednotky.
Když tuto zásadu povolíte, povolte buď automatické odemykání, nebo nastavení pro zásady hesel pevných datových jednotek.
- Konfigurace automatického odemykání pevné datové jednotky: Povolí nebo vyžaduje, aby Nástroj BitLocker automaticky odemyká všechny šifrované datové jednotky. Pokud chcete použít automatické odemykání, musíte také šifrovat jednotku s operačním systémem pomocí nástroje BitLocker.
Pokud toto nastavení nenakonfigurujete, BitLocker nevyžaduje, aby uživatelé uchovali pevné datové jednotky pod ochranou.
Pokud toto nastavení zakážete, uživatelé nebudou moct své pevné datové jednotky umístit pod ochranu nástrojem BitLocker. Pokud tuto zásadu zakážete po šifrování pevných datových jednotek nástrojem BitLocker, nástroj BitLocker pevné datové jednotky dešifruje.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMBMSFDVEncryptionPolicy.
Odepření přístupu k zápisu k pevným jednotkám, které nejsou chráněné nástrojem BitLocker
Navrhovaná konfigurace: Nenakonfigurováno
Vyžadovat ochranu nástrojem BitLocker pro Windows k zápisu dat na pevné jednotky v zařízení. BitLocker tuto zásadu použije, když ji zapnete.
Když povolíte toto nastavení:
Pokud BitLocker chrání pevnou datovou jednotku, systém Windows ji připojí s přístupem ke čtení a zápisu.
Pro všechny pevné datové jednotky, které BitLocker nechrání, připojí systém Windows jako jen pro čtení.
Pokud toto nastavení nenakonfigurujete, systém Windows připojí všechny pevné datové jednotky s přístupem ke čtení a zápisu.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMFDVDenyWriteAccessPolicy.
Pevné zásady hesel datových jednotek
Navrhovaná konfigurace: Nenakonfigurováno
Pomocí těchto nastavení můžete nastavit omezení hesel pro odemknutí pevných datových jednotek chráněných bitlockerem.
Pokud toto nastavení povolíte, můžou uživatelé nakonfigurovat heslo, které splňuje vaše definované požadavky.
Pokud chcete vyšší zabezpečení, povolte toto nastavení a pak nakonfigurujte následující nastavení:
Vyžadovat heslo pro pevnou datovou jednotku: Uživatelé musí zadat heslo k odemknutí pevné datové jednotky chráněné bitlockerem.
Konfigurace složitosti hesla pro pevné datové jednotky: Pokud chcete vynutit požadavky na složitost hesla, vyberte Vyžadovat složitost hesla.
Minimální délka hesla pro pevnou datovou jednotku: Ve výchozím nastavení je
8
minimální délka .
Pokud toto nastavení zakážete, uživatelé nebudou moct nakonfigurovat heslo.
Pokud zásady nejsou nakonfigurované, BitLocker podporuje hesla s výchozím nastavením. Výchozí nastavení nezahrnuje požadavky na složitost hesla a vyžadují pouze osm znaků.
Další informace o tom, jak vytvořit tuto zásadu s Windows PowerShell, najdete v tématu New-CMFDVPassPhrasePolicy.
Poznámky k obecnému použití pro zásady hesel pevných datových jednotek
Aby nastavení požadavků na složitost bylo efektivní, povolte také nastavení zásad skupiny Heslo musí splňovat požadavky na složitost v části Konfigurace> počítačeNastavení systému Windows Nastavení>>ZabezpečeníZásady hesel Zásady>hesel účtu.
BitLocker tato nastavení vynucuje při zapnutí, ne při odemknutí svazku. Nástroj BitLocker umožňuje odemknout jednotku pomocí libovolné ochrany, která je na jednotce k dispozici.
Pokud použijete zásady skupiny k povolení algoritmů kompatibilních s FIPS pro šifrování, hashování a podepisování, nemůžete hesla povolit jako ochranu nástrojem BitLocker.
Nastavení vynucení zásad šifrování (pevná datová jednotka)
Navrhovaná konfigurace: Povoleno
Nakonfigurujte počet dní, po které můžou uživatelé odložit dodržování předpisů nástrojem BitLocker pro pevné datové jednotky. Období odkladu pro nedodržování předpisů začíná, když Configuration Manager poprvé zjistí, že pevná datová jednotka nedodržuje předpisy. Nevynucuje zásady pevných datových jednotek, dokud není jednotka s operačním systémem kompatibilní. Po uplynutí odkladu uživatelé nemůžou odložit požadovanou akci ani požádat o výjimku.
Pokud proces šifrování vyžaduje vstup uživatele, zobrazí se ve Windows dialogové okno, které uživatel nemůže zavřít, dokud nezadá požadované informace. Budoucí oznámení o chybách nebo stavu nebudou mít toto omezení.
Pokud BitLocker nevyžaduje interakci uživatele s přidáním ochrany, spustí po uplynutí lhůty odkladu šifrování na pozadí.
Pokud toto nastavení zakážete nebo nenakonfigurujete, Configuration Manager nevyžaduje, aby uživatelé dodržovali zásady nástroje BitLocker.
Pokud chcete zásadu vynutit okamžitě, nastavte období odkladu .0
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMUseFddEnforcePolicy.
Vyměnitelná jednotka
Nastavení na této stránce konfiguruje šifrování vyměnitelných jednotek, jako jsou například usb klíče.
Šifrování vyměnitelné datové jednotky
Navrhovaná konfigurace: Povoleno
Toto nastavení řídí použití nástroje BitLocker na vyměnitelných jednotkách.
Povolit uživatelům používat ochranu nástrojem BitLocker na vyměnitelné datové jednotky: Uživatelé můžou zapnout ochranu nástrojem BitLocker pro vyměnitelnou jednotku.
Povolit uživatelům pozastavit a dešifrovat nástroj BitLocker na vyměnitelných datových jednotkách: Uživatelé můžou odebrat nebo dočasně pozastavit šifrování jednotky nástroje BitLocker z vyměnitelné jednotky.
Když povolíte toto nastavení a povolíte uživatelům použít ochranu nástrojem BitLocker, klient Configuration Manager uloží informace o obnovení o vyměnitelných jednotkách do služby obnovení v bodě správy. Toto chování umožňuje uživatelům obnovit jednotku, pokud zapomenou nebo ztratí ochranu (heslo).
Když povolíte toto nastavení:
Povolení nastavení zásad hesel vyměnitelné datové jednotky
Zakažte následující nastavení zásad skupiny v> systémovém přístupuk vyměnitelnému úložišti pro uživatelské & konfigurace počítače:
- Všechny vyměnitelné třídy úložiště: Odepřít veškerý přístup
- Vyměnitelné disky: Odepření přístupu k zápisu
- Vyměnitelné disky: Odepření přístupu pro čtení
Pokud toto nastavení zakážete, nebudou uživatelé moct nástroj BitLocker používat na vyměnitelných jednotkách.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMRDVConfigureBDEPolicy.
Odepřít přístup k zápisu k vyměnitelným jednotkám, které nejsou chráněné nástrojem BitLocker
Navrhovaná konfigurace: Nenakonfigurováno
Při zápisu dat na vyměnitelné jednotky v zařízení je vyžadována ochrana nástrojem BitLocker ve Windows. BitLocker tuto zásadu použije, když ji zapnete.
Když povolíte toto nastavení:
Pokud BitLocker chrání vyměnitelnou jednotku, systém Windows ji připojí s přístupem ke čtení a zápisu.
Pro každou vyměnitelnou jednotku, kterou BitLocker nechrání, připojí systém Windows jako jen pro čtení.
Pokud povolíte možnost Odepřít přístup k zápisu k zařízením nakonfigurovaným v jiné organizaci, nástroj BitLocker udělí přístup k zápisu jenom k vyměnitelným jednotkám s identifikačními poli, která odpovídají povoleným identifikačním polím. Definujte tato pole pomocí globálního nastavení Jedinečných identifikátorů organizace na stránce Nastavení .
Pokud toto nastavení zakážete nebo nenakonfigurujete, systém Windows připojí všechny vyměnitelné jednotky s přístupem ke čtení a zápisu.
Poznámka
Toto nastavení můžete přepsat nastavením zásad skupiny v části Systémový>přístup k vyměnitelnému úložišti. Pokud povolíte nastavení zásad skupiny Vyměnitelné disky: Odepřít přístup k zápisu, nástroj BitLocker toto nastavení Configuration Manager ignoruje.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMRDVDenyWriteAccessPolicy.
Zásady hesel vyměnitelných datových jednotek
Navrhovaná konfigurace: Povoleno
Pomocí těchto nastavení můžete nastavit omezení hesel pro odemknutí vyměnitelných jednotek chráněných bitlockerem.
Pokud toto nastavení povolíte, můžou uživatelé nakonfigurovat heslo, které splňuje vaše definované požadavky.
Pokud chcete vyšší zabezpečení, povolte toto nastavení a pak nakonfigurujte následující nastavení:
Vyžadovat heslo pro vyměnitelnou datovou jednotku: Uživatelé musí zadat heslo k odemknutí vyměnitelné jednotky chráněné bitlockerem.
Konfigurace složitosti hesla pro vyměnitelné datové jednotky: Pokud chcete vynutit požadavky na složitost hesla, vyberte Vyžadovat složitost hesla.
Minimální délka hesla pro vyměnitelnou datovou jednotku: Ve výchozím nastavení je
8
minimální délka .
Pokud toto nastavení zakážete, uživatelé nebudou moct nakonfigurovat heslo.
Pokud zásady nejsou nakonfigurované, BitLocker podporuje hesla s výchozím nastavením. Výchozí nastavení nezahrnuje požadavky na složitost hesla a vyžadují pouze osm znaků.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMRDVPassPhrasePolicy.
Poznámky k obecnému použití zásad hesel vyměnitelných datových jednotek
Aby nastavení požadavků na složitost bylo efektivní, povolte také nastavení zásad skupiny Heslo musí splňovat požadavky na složitost v části Konfigurace> počítačeNastavení systému Windows Nastavení>>ZabezpečeníZásady hesel Zásady>hesel účtu.
BitLocker tato nastavení vynucuje při zapnutí, ne při odemknutí svazku. Nástroj BitLocker umožňuje odemknout jednotku pomocí libovolné ochrany, která je na jednotce k dispozici.
Pokud použijete zásady skupiny k povolení algoritmů kompatibilních s FIPS pro šifrování, hashování a podepisování, nemůžete hesla povolit jako ochranu nástrojem BitLocker.
Správa klientů
Nastavení na této stránce konfiguruje služby pro správu a klienty nástroje BitLocker.
Služba pro správu nástroje BitLocker
Navrhovaná konfigurace: Povoleno
Když toto nastavení povolíte, Configuration Manager automaticky a bezobslužně zálohuje informace o obnovení klíčů v databázi lokality. Pokud toto nastavení zakážete nebo nenakonfigurujete, Configuration Manager neuloží informace o obnovení klíče.
Vyberte Informace o obnovení nástroje BitLocker, které chcete uložit: Nakonfigurujte službu obnovení klíčů pro zálohování informací nástroje BitLocker pro obnovení. Poskytuje metodu správy obnovení dat šifrovaných nástrojem BitLocker, která pomáhá zabránit ztrátě dat kvůli nedostatku klíčových informací.
Povolit ukládání informací pro obnovení ve formátu prostého textu: Bez šifrovacího certifikátu pro správu nástroje BitLocker pro SQL Server Configuration Manager ukládá informace o obnovení klíče ve formátu prostého textu. Další informace najdete v tématu Šifrování dat obnovení v databázi.
Frekvence kontrol stavu klienta (minuty): V nakonfigurované frekvenci klient zkontroluje zásady ochrany a stav nástroje BitLocker na počítači a také zálohuje obnovovací klíč klienta. Ve výchozím nastavení klient Configuration Manager kontroluje stav nástroje BitLocker každých 90 minut.
Důležité
Nenastavujte tuto hodnotu na méně než 60. Menší hodnota frekvence může způsobit, že klient krátce oznámí nepřesné stavy dodržování předpisů.
Další informace o tom, jak vytvořit tyto zásady s Windows PowerShell, najdete tady:
Zásady výjimek uživatelů
Navrhovaná konfigurace: Nenakonfigurováno
Nakonfigurujte metodu kontaktu, aby uživatelé mohli požádat o výjimku z šifrování nástrojem BitLocker.
Pokud toto nastavení zásad povolíte, zadejte následující informace:
Maximální počet dnů k odložení: Kolik dní může uživatel vynucované zásady odložit. Ve výchozím nastavení je
7
tato hodnota dny (jeden týden).Způsob kontaktování: Určete, jak můžou uživatelé požádat o výjimku: adresa URL, e-mailová adresa nebo telefonní číslo.
Kontakt: Zadejte adresu URL, e-mailovou adresu nebo telefonní číslo. Když uživatel požádá o výjimku z ochrany nástrojem BitLocker, zobrazí se mu dialogové okno Windows s pokyny k použití. Configuration Manager zadané informace neověřuje.
Adresa URL: Použijte standardní formát adresy URL.
https://website.domain.tld
Systém Windows zobrazí adresu URL jako hypertextový odkaz.Email adresa: Použijte standardní formát
user@domain.tld
e-mailové adresy . Systém Windows zobrazí adresu jako následující hypertextový odkaz:mailto:user@domain.tld?subject=Request exemption from BitLocker protection
.Telefonní číslo: Zadejte číslo, na které mají uživatelé volat. Systém Windows zobrazí číslo s následujícím popisem:
Please call <your number> for applying exemption
.
Pokud toto nastavení zakážete nebo nenakonfigurujete, systém Windows nezobrazí uživatelům pokyny k žádosti o výjimku.
Poznámka
BitLocker spravuje výjimky na uživatele, ne na počítač. Pokud se ke stejnému počítači přihlásí více uživatelů a jeden z nich není vyloučen, nástroj BitLocker počítač zašifruje.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMBMSUserExemptionPolicy.
Adresa URL pro odkaz na zásady zabezpečení
Navrhovaná konfigurace: Povoleno
Zadejte adresu URL, která se zobrazí uživatelům jako Zásady zabezpečení společnosti ve Windows. Pomocí tohoto odkazu můžete uživatelům poskytnout informace o požadavcích na šifrování. Zobrazí se, když BitLocker vyzve uživatele k zašifrování jednotky.
Pokud toto nastavení povolíte, nakonfigurujte adresu URL odkazu na zásady zabezpečení.
Pokud toto nastavení zakážete nebo nenakonfigurujete, nástroj BitLocker odkaz na zásady zabezpečení nezobrazí.
Další informace o tom, jak vytvořit tuto zásadu pomocí Windows PowerShell, najdete v tématu New-CMMoreInfoUrlPolicy.
Další kroky
Pokud k vytvoření těchto objektů zásad použijete Windows PowerShell, použijte rutinu New-CMBlmSetting. Tato rutina vytvoří objekt nastavení zásad správy nástroje BitLocker, který obsahuje všechny zadané zásady. Pokud chcete nasadit nastavení zásad do kolekce, použijte rutinu New-CMSettingDeployment .