BitLocker-felügyelet üzembe helyezése
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Configuration Manager BitLocker-felügyelete a következő összetevőket tartalmazza:
BitLocker felügyeleti ügynök: A Configuration Manager engedélyezi ezt az ügynököt egy eszközön, amikor létrehoz egy szabályzatot , és üzembe helyezi azt egy gyűjteményben.
Helyreállítási szolgáltatás: Az a kiszolgálói összetevő, amely BitLocker helyreállítási adatokat fogad az ügyfelektől. További információ: Helyreállítási szolgáltatás.
A BitLocker felügyeleti szabályzatok létrehozása és telepítése előtt:
Az előfeltételek áttekintése
Ha szükséges, titkosítsa a helyreállítási kulcsokat a helyadatbázisban
Szabályzat létrehozása
A szabályzat létrehozásakor és telepítésekor a Configuration Manager-ügyfél engedélyezi a BitLocker felügyeleti ügynököt az eszközön.
Megjegyzés:
BitLocker felügyeleti szabályzat létrehozásához teljes rendszergazdai szerepkörre van szükség a Configuration Managerben.
A Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki az Endpoint Protection elemet, és válassza a BitLocker felügyeleti csomópontot.
A menüszalagon válassza a BitLocker felügyeleti vezérlőszabályzat létrehozása lehetőséget.
Az Általános lapon adja meg a nevet és az opcionális leírást. Válassza ki azokat az összetevőket, amelyeket engedélyezni szeretne az ügyfeleken ezzel a szabályzattal:
Operációsrendszer-meghajtó: Annak kezelése, hogy az operációs rendszer meghajtója titkosítva van-e
Rögzített meghajtó: Más adatmeghajtók titkosításának kezelése az eszközön
Cserélhető meghajtó: Az eszközről eltávolítható meghajtók, például usb-kulcsok titkosításának kezelése
Ügyfélkezelés: A BitLocker meghajtótitkosítás helyreállítási adatainak kulcs-helyreállítási szolgáltatásbeli biztonsági mentésének kezelése
A Beállítás lapon konfigurálja a következő globális beállításokat a BitLocker meghajtótitkosításhoz:
Megjegyzés:
A Configuration Manager ezeket a beállításokat alkalmazza a BitLocker engedélyezésekor. Ha a meghajtó már titkosítva van vagy folyamatban van, a házirend-beállítások módosítása nem módosítja a meghajtótitkosítást az eszközön.
Ha letiltja vagy nem konfigurálja ezeket a beállításokat, a BitLocker az alapértelmezett titkosítási módszert (AES 128 bites) használja.
Windows 8.1-eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége beállítást. Ezután válassza ki a titkosítási módszert.
Windows 10 vagy újabb rendszerű eszközök esetén engedélyezze a Meghajtótitkosítási módszer és titkosítás erőssége (Windows 10 vagy újabb) beállítást. Ezután egyenként válassza ki az operációsrendszer-meghajtók, a rögzített adatmeghajtók és a cserélhető adatmeghajtók titkosítási módját.
Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referenciája – Beállítás című témakörben talál.
Az Operációs rendszer meghajtója lapon adja meg a következő beállításokat:
- Operációs rendszer meghajtótitkosítási beállításai: Ha engedélyezi ezt a beállítást, a felhasználónak védenie kell az operációsrendszer-meghajtót, és a BitLocker titkosítja a meghajtót. Ha letiltja, a felhasználó nem tudja megvédeni a meghajtót.
A kompatibilis TPM-et használó eszközökön indításkor kétféle hitelesítési módszer használható a titkosított adatok további védelmének biztosításához. Amikor a számítógép elindul, csak a TPM-et használhatja a hitelesítéshez, vagy megkövetelheti egy személyes azonosító szám (PIN-kód) megadását is. Konfigurálja a következő beállításokat:
Válassza ki a védelmi modult az operációsrendszer-meghajtóhoz: Konfigurálja úgy, hogy TPM-et és PIN-kódot használjon, vagy csak a TPM-et.
Pin-kód minimális hosszának konfigurálása indításhoz: Ha PIN-kódot igényel, ez az érték a felhasználó által megadható legrövidebb hossz. A felhasználó akkor adja meg ezt a PIN-kódot, amikor a számítógép elindul a meghajtó zárolásának feloldásához. Alapértelmezés szerint a PIN-kód minimális hossza
4
.
Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Operációsrendszer-meghajtó című témakörben talál.
A Rögzített meghajtó lapon adja meg a következő beállításokat:
Rögzített adatmeghajtó-titkosítás: Ha engedélyezi ezt a beállítást, a BitLocker megköveteli a felhasználóktól, hogy minden rögzített adatmeghajtót védelem alá helyezzenek. Ezután titkosítja az adatmeghajtókat. Ha engedélyezi ezt a házirendet, engedélyezze az automatikus feloldást, vagy a Rögzített adatmeghajtó jelszóházirend beállításait.
Automatikus zárolásfeloldás konfigurálása rögzített adatmeghajtóhoz: Engedélyezi vagy megköveteli, hogy a BitLocker automatikusan feloldja a titkosított adatmeghajtók zárolását. Az automatikus zárolásfeloldás használatához a BitLockernek is szüksége van az operációsrendszer-meghajtó titkosítására.
Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Rögzített meghajtó című témakörben talál.
A Cserélhető meghajtó lapon adja meg a következő beállításokat:
Cserélhető adatmeghajtó-titkosítás: Ha engedélyezi ezt a beállítást, és engedélyezi a felhasználók számára a BitLocker-védelem alkalmazását, a Configuration Manager-ügyfél a felügyeleti ponton menti a cserélhető meghajtók helyreállítási adatait a helyreállítási szolgáltatásba. Ez a viselkedés lehetővé teszi a felhasználók számára a meghajtó helyreállítását, ha elfelejtik vagy elveszítik a védőt (jelszót).
BitLocker-védelem alkalmazásának engedélyezése a cserélhető adatmeghajtókon: A felhasználók bekapcsolhatják a BitLocker-védelmet a cserélhető meghajtókon.
Cserélhető adatmeghajtó jelszóházirendje: Ezekkel a beállításokkal megadhatja a jelszókorlátozásokat a BitLocker által védett cserélhető meghajtók feloldásához.
Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Cserélhető meghajtó című témakörben talál.
Az Ügyfélkezelés lapon adja meg a következő beállításokat:
Fontos
Ha a Configuration Manager 2103-at megelőző verzióiban nem rendelkezik HTTPS-kompatibilis webhelytel rendelkező felügyeleti ponttal, ne konfigurálja ezt a beállítást. További információ: Helyreállítási szolgáltatás.
A BitLocker felügyeleti szolgáltatásainak konfigurálása: Ha engedélyezi ezt a beállítást, a Configuration Manager automatikusan és csendesen biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ha letiltja vagy nem konfigurálja ezt a beállítást, a Configuration Manager nem menti a kulcs-helyreállítási információkat.
Válassza a Tárolni kívánt BitLocker helyreállítási adatokat: Konfigurálja úgy, hogy helyreállítási jelszót és kulcscsomagot vagy csak helyreállítási jelszót használjon.
A helyreállítási adatok egyszerű szöveges tárolásának engedélyezése: BitLocker felügyeleti titkosítási tanúsítvány nélkül a Configuration Manager egyszerű szöveges formátumban tárolja a kulcshelyreállítási információkat. További információ: Helyreállítási adatok titkosítása az adatbázisban.
Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Ügyfélkezelés című témakörben talál.
Fejezze be a varázslót.
Meglévő szabályzat beállításainak módosításához válassza ki a listában, majd válassza a Tulajdonságok lehetőséget.
Ha több szabályzatot hoz létre, konfigurálhatja azok relatív prioritását. Ha több szabályzatot telepít egy ügyfélen, az a prioritási értéket használja a beállításainak meghatározásához.
A 2006-os verziótól kezdődően ehhez a feladathoz Windows PowerShell-parancsmagokat használhat. További információ: New-CMBlmSetting.
Szabályzat üzembe helyezése
Válasszon ki egy meglévő szabályzatot a BitLocker felügyeleti csomópontjában. A menüszalagon válassza az Üzembe helyezés lehetőséget.
Válasszon ki egy eszközgyűjteményt az üzembe helyezés céljaként.
Ha azt szeretné, hogy az eszköz bármikor titkosíthassa vagy visszafejthesse a meghajtóit, válassza a Szervizelés engedélyezése a karbantartási időszakon kívül beállítást. Ha a gyűjtemény rendelkezik karbantartási időszakokkal, akkor is szervizeli ezt a BitLocker-házirendet.
Egyszerű vagy egyéni ütemezés konfigurálása. Az ügyfél az ütemezésben megadott beállítások alapján értékeli ki a megfelelőséget.
Kattintson az OK gombra a szabályzat üzembe helyezéséhez.
Ugyanannak a szabályzatnak több üzemelő példánya is létrehozható. Az egyes üzemelő példányokkal kapcsolatos további információk megtekintéséhez válassza ki a házirendet a BitLocker felügyeleti csomópontjában, majd a részletek panelen váltson az Üzemelő példányok lapra. Ehhez a feladathoz Windows PowerShell-parancsmagokat is használhat. További információ: New-CMSettingDeployment.
Fontos
Ha egy távoli asztali protokoll (RDP) kapcsolata aktív, az MBAM-ügyfél nem indítja el a BitLocker meghajtótitkosítási műveleteket. Zárja be az összes távoli konzolkapcsolatot, és jelentkezzen be egy konzolmunkamenetbe egy tartományi felhasználói fiókkal. Ezután elindul a BitLocker meghajtótitkosítás, és az ügyfél feltölti a helyreállítási kulcsokat és csomagokat. Ha helyi felhasználói fiókkal jelentkezik be, a BitLocker meghajtótitkosítás nem indul el.
RdP használatával távolról csatlakozhat az eszköz konzolmunkamenetéhez a /admin
kapcsolóval. Például: mstsc.exe /admin /v:<IP address of device>
A konzolmunkamenet akkor lehet, ha a számítógép fizikai konzolján van, vagy olyan távoli kapcsolat, amely megegyezik a számítógép fizikai konzoljával.
Figyelés
Tekintse meg a szabályzat telepítésének alapvető megfelelőségi statisztikáit a BitLocker felügyeleti csomópontjának részletek ablaktábláján:
- Megfelelőségek száma
- Hibák száma
- Meg nem felelés száma
Váltson az Üzemelő példányok lapra a megfelelőség százalékos arányának és a javasolt műveletnek a megtekintéséhez. Válassza ki az üzemelő példányt, majd a menüszalagon válassza az Állapot megtekintése lehetőséget. Ez a művelet átváltja a nézetet a Figyelés munkaterület Üzembe helyezések csomópontjára . A többi konfigurációs szabályzat központi telepítéséhez hasonlóan ebben a nézetben részletesebb megfelelőségi állapotot is láthat.
Annak megértéséhez, hogy az ügyfelek miért nem felelnek meg a BitLocker felügyeleti szabályzatának, tekintse meg a nem megfelelőségi kódokat.
További hibaelhárítási információkért lásd: A BitLocker hibaelhárítása.
A monitorozáshoz és a hibaelhárításhoz használja az alábbi naplókat:
Ügyfélnaplók
MBAM eseménynapló: a Windows Eseménynaplóban keresse meg az Alkalmazások és szolgáltatások>Microsoft>Windows>MBAM elemet. További információ: About BitLocker event logs and Client event logs (Tudnivalók a BitLocker eseménynaplóiról és az ügyfélesemény-naplókról).
BitlockerManagementHandler.log és BitlockerManagement_GroupPolicyHandler.log az ügyfélnaplók elérési útján alapértelmezés
%WINDIR%\CCM\Logs
szerint
Felügyeleti pont naplói (helyreállítási szolgáltatás)
Helyreállítási szolgáltatás eseménynaplója: a Windows Eseménynaplóban keresse meg az Alkalmazások és szolgáltatások>Microsoft>Windows>MBAM-Web elemet. További információ: About BitLocker event logs and Server event logs (Tudnivalók a BitLocker eseménynaplóiról és a kiszolgálói eseménynaplókról).
Helyreállítási szolgáltatás nyomkövetési naplói:
<Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl
Migrálási szempontok
Ha jelenleg a Microsoft BitLocker felügyelete és figyelése (MBAM) szolgáltatást használja, zökkenőmentesen migrálhatja a felügyeletet a Configuration Managerbe. Amikor BitLocker felügyeleti házirendeket telepít a Configuration Managerben, az ügyfelek automatikusan feltöltik a helyreállítási kulcsokat és csomagokat a Configuration Manager helyreállítási szolgáltatásba.
Fontos
Ha a különálló MBAM-ról a Configuration Manager BitLocker-felügyeletére migrál, ha a különálló MBAM meglévő funkcióira van szüksége, ne használja újra a különálló MBAM-kiszolgálókat vagy -összetevőket a Configuration Manager BitLocker-felügyelettel. Ha újra felhasználja ezeket a kiszolgálókat, a különálló MBAM működése leáll, amikor a Configuration Manager BitLocker kezelése telepíti az összetevőket ezekre a kiszolgálókra. Ne futtassa a MBAMWebSiteInstaller.ps1 szkriptet a BitLocker-portálok önálló MBAM-kiszolgálókon való beállításához. A Configuration Manager BitLocker felügyeletének beállításakor használjon különálló kiszolgálókat.
Csoportházirend
A BitLocker felügyeleti beállításai teljes mértékben kompatibilisek az MBAM csoportházirend-beállításaival. Ha az eszközök csoportházirend-beállításokat és Configuration Manager-házirendeket is kapnak, konfigurálja őket az egyezésre.
Megjegyzés:
Ha a különálló MBAM-hez létezik csoportházirend-beállítás, az felülbírálja a Configuration Manager által megkísérelt ezzel egyenértékű beállítást. Az önálló MBAM tartománycsoport-házirendet használ, míg a Configuration Manager helyi házirendeket állít be a BitLocker felügyeletéhez. A tartományi házirendek felülbírálják a helyi Configuration Manager BitLocker felügyeleti házirendjét. Ha a különálló MBAM tartományi csoportházirend nem egyezik meg a Configuration Manager-házirenddel, a Configuration Manager BitLocker kezelése sikertelen lesz. Ha például egy tartományi csoportházirend beállítja az önálló MBAM-kiszolgálót a kulcs-helyreállítási szolgáltatásokhoz, a Configuration Manager BitLocker kezelése nem tudja beállítani ugyanazt a beállítást a felügyeleti ponthoz. Ez a viselkedés miatt az ügyfelek nem jelentik a helyreállítási kulcsaikat a Configuration Manager BitLocker felügyeletikulcs-helyreállítási szolgáltatásának a felügyeleti ponton.
A Configuration Manager nem implementálja az MBAM összes csoportházirend-beállítását. Ha további beállításokat konfigurál a csoportházirendben, a Configuration Manager-ügyfelek BitLocker felügyeleti ügynöke figyelembe veszi ezeket a beállításokat.
Fontos
Ne állítson be csoportházirendet olyan beállításhoz, amelyet a Configuration Manager BitLocker kezelése már megad. Csak olyan beállításokhoz állítson be csoportházirendeket, amelyek jelenleg nem léteznek a Configuration Manager BitLocker-felügyeletében. A Configuration Manager 2002-es verziója funkcióparitást és önálló MBAM-et tartalmaz. A Configuration Manager 2002-es és újabb verzióiban a legtöbb esetben nincs ok arra, hogy tartománycsoport-házirendeket állítson be a BitLocker-házirendek konfigurálásához. Az ütközések és problémák elkerülése érdekében kerülje a BitLocker csoportházirendjeinek használatát. Konfigurálja az összes beállítást a Configuration Manager BitLocker felügyeleti szabályzataival.
TPM-jelszókivonat
A korábbi MBAM-ügyfelek nem töltik fel a TPM jelszókivonatát a Configuration Managerbe. Az ügyfél csak egyszer tölti fel a TPM jelszókivonatát.
Ha át kell telepítenie ezeket az adatokat a Configuration Manager helyreállítási szolgáltatásba, törölje a TPM-et az eszközön. Az újraindítás után feltölti az új TPM-jelszókivonatot a helyreállítási szolgáltatásba.
Megjegyzés:
A TPM-jelszókivonat feltöltése elsősorban a Windows 10 előtti Windows-verziókra vonatkozik. A Windows 10 vagy újabb verzió alapértelmezés szerint nem menti a TPM jelszókivonatát, így ezek az eszközök általában nem töltik fel. További információ: Tudnivalók a TPM-tulajdonos jelszaváról.
Újratitkosítás
A Configuration Manager nem titkosítja újra a BitLocker meghajtótitkosítással már védett meghajtókat. Ha olyan BitLocker felügyeleti házirendet telepít, amely nem felel meg a meghajtó aktuális védelmének, akkor nem megfelelőnek minősül. A meghajtó továbbra is védett.
Az MBAM használatával például az AES-XTS 128 titkosítási algoritmussal titkosította a meghajtót, de a Configuration Manager-szabályzathoz az AES-XTS 256 szükséges. A meghajtó nem felel meg a szabályzatnak, annak ellenére, hogy a meghajtó titkosítva van.
A viselkedés megkerüléséhez először tiltsa le a BitLockert az eszközön. Ezután helyezzen üzembe egy új szabályzatot az új beállításokkal.
Közös felügyelet és Intune
A BitLocker Configuration Manager ügyfélkezelője a megosztott felügyelet tudatában van. Ha az eszköz közösen van felügyelve, és az Endpoint Protection számítási feladatát Intune-ra váltja, akkor a Configuration Manager-ügyfél figyelmen kívül hagyja a BitLocker-szabályzatát. Az eszköz lekéri a Windows titkosítási szabályzatát az Intune-ból.
Megjegyzés:
A titkosításkezelő hatóságoknak a kívánt titkosítási algoritmus fenntartása mellett történő váltásához nincs szükség további műveletekre az ügyfélen. Ha azonban átvált a titkosításkezelő hatóságokra, és a kívánt titkosítási algoritmus is megváltozik, újra kell terveznie a titkosítást.
A BitLocker Intune-nal való kezeléséről az alábbi cikkekben talál további információt:
- Eszköztitkosítás használata az Intune-nal
- BitLocker-szabályzatok hibaelhárítása a Microsoft Intune-ban