A BitLocker beállításainak referenciája
A következőre vonatkozik: Configuration Manager (aktuális ág)
A BitLocker felügyeleti szabályzatai Configuration Manager a következő szabályzatcsoportokat tartalmazzák:
- Beállítás
- Operációs rendszer meghajtója
- Rögzített meghajtó
- Cserélhető meghajtó
- Ügyfélkezelés
Az alábbi szakaszok ismertetik és javasolják az egyes csoportok beállításainak konfigurációit.
Beállítás
Az ezen az oldalon található beállítások a globális BitLocker titkosítási beállításokat konfigurálják.
Meghajtótitkosítási módszer és titkosítás erőssége
Javasolt konfiguráció: Az alapértelmezett vagy nagyobb titkosítási módszerrel engedélyezve .
Megjegyzés:
A Beállítás tulajdonságai lap két beállításcsoportot tartalmaz a Windows különböző verzióihoz. Ez a szakasz mindkettőt ismerteti.
Windows 8.1-eszközök
Windows 8.1-eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége beállítást, és válasszon az alábbi titkosítási módszerek közül:
- AES 128 bites fúvókával
- AES 256 bites fúvókával
- AES 128 bites (alapértelmezett)
- AES 256 bites
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBLEncryptionMethodPolicy.
Windows 10 vagy újabb eszközök
Windows 10 vagy újabb eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége (Windows 10 vagy újabb) beállítást. Ezután egyenként válassza ki az alábbi titkosítási módszerek egyikét az operációsrendszer-meghajtókhoz, a rögzített adatmeghajtókhoz és a cserélhető adatmeghajtókhoz:
- AES-CBC 128 bites
- 256 bites AES-CBC
- XTS-AES 128 bites (alapértelmezett)
- XTS-AES 256 bites
Tipp
A BitLocker az Advanced Encryption Standard (AES) titkosítási algoritmust használja 128 vagy 256 bites konfigurálható kulcshosszúságokkal. Windows 10 vagy újabb eszközökön az AES-titkosítás támogatja a titkosítási blokkláncolást (CBC) vagy a titkosítószöveg-lopást (XTS).
Ha cserélhető meghajtót kell használnia olyan eszközökön, amelyek nem Windows 10 futnak, használja az AES-CBC-t.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBLEncryptionMethodWithXts.
Általános használati megjegyzések a meghajtótitkosításhoz és a titkosítás erősségéhez
Ha letiltja vagy nem konfigurálja ezeket a beállításokat, a BitLocker az alapértelmezett titkosítási módszert használja.
Configuration Manager alkalmazza ezeket a beállításokat a BitLocker bekapcsolásakor.
Ha a meghajtó már titkosítva van vagy folyamatban van, a házirend-beállítások módosítása nem módosítja a meghajtótitkosítást az eszközön.
Ha az alapértelmezett értéket használja, előfordulhat, hogy a BitLocker számítógép-megfelelőségi jelentése ismeretlenként jeleníti meg a titkosítás erősségét. A probléma megkerüléséhez engedélyezze ezt a beállítást, és állítson be egy explicit értéket a titkosítás erősségéhez.
Memória felülírásának megakadályozása újraindítás során
Javasolt konfiguráció: Nincs konfigurálva
Konfigurálja ezt a szabályzatot az újraindítási teljesítmény javítása érdekében anélkül, hogy újrainduláskor felülírja a Memóriában lévő BitLocker titkos kódokat.
Ha nem konfigurálja ezt a házirendet, a BitLocker a számítógép újraindításakor eltávolítja a titkos kulcsokat a memóriából.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMNoOverwritePolicy.
Intelligens kártya tanúsítványhasználati szabályának megfelelőségének ellenőrzése
Javasolt konfiguráció: Nincs konfigurálva
Konfigurálja ezt a szabályzatot intelligenskártya-tanúsítványalapú BitLocker-védelem használatára. Ezután adja meg a tanúsítványobjektum azonosítót.
Ha nem konfigurálja ezt a házirendet, a BitLocker az alapértelmezett objektumazonosítót 1.3.6.1.4.1.311.67.1.1 használja a tanúsítvány megadásához.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMScCompliancePolicy.
Szervezet egyedi azonosítói
Javasolt konfiguráció: Nincs konfigurálva
Konfigurálja ezt a házirendet tanúsítványalapú adat-helyreállítási ügynök vagy BitLocker To Go-olvasó használatára.
Ha nem konfigurálja ezt a szabályzatot, a BitLocker nem használja az Azonosítás mezőt.
Ha a szervezet nagyobb biztonsági méréseket igényel, konfigurálja az Azonosítás mezőt. Állítsa be ezt a mezőt az összes megcélzott USB-eszközön, és igazodjon ehhez a beállításhoz.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUidPolicy.
Operációsrendszer-meghajtó
Az ezen a lapon található beállítások konfigurálják annak a meghajtónak a titkosítási beállításait, amelyre a Windows telepítve van.
Operációs rendszer meghajtótitkosítási beállításai
Javasolt konfiguráció: Engedélyezve
Ha engedélyezi ezt a beállítást, a felhasználónak védenie kell az operációsrendszer-meghajtót, és a BitLocker titkosítja a meghajtót. Ha letiltja, a felhasználó nem tudja megvédeni a meghajtót. Ha nem konfigurálja ezt a szabályzatot, az operációs rendszer meghajtóján nincs szükség BitLocker-védelemre.
Megjegyzés:
Ha a meghajtó már titkosítva van, és letiltja ezt a beállítást, a BitLocker visszafejti a meghajtót.
Ha megbízható platformmodullal (TPM) nem rendelkező eszközökkel rendelkezik, használja a BitLocker engedélyezése kompatibilis TPM nélkül (jelszó szükséges) lehetőséget. Ezzel a beállítással a BitLocker akkor is titkosíthatja az operációsrendszer-meghajtót, ha az eszköz nem rendelkezik TPM-rel. Ha engedélyezi ezt a beállítást, a Windows arra kéri a felhasználót, hogy adjon meg egy BitLocker-jelszót.
A kompatibilis TPM-et használó eszközökön indításkor kétféle hitelesítési módszer használható a titkosított adatok további védelmének biztosításához. Amikor a számítógép elindul, csak a TPM-et használhatja a hitelesítéshez, vagy megkövetelheti egy személyes azonosító szám (PIN-kód) megadását is. Konfigurálja a következő beállításokat:
Válassza ki a védelmi modult az operációsrendszer-meghajtóhoz: Konfigurálja úgy, hogy TPM-et és PIN-kódot használjon, vagy csak a TPM-et.
Pin-kód minimális hosszának konfigurálása indításhoz: Ha PIN-kódot igényel, ez az érték a felhasználó által megadható legrövidebb hossz. A felhasználó akkor adja meg ezt a PIN-kódot, amikor a számítógép elindul a meghajtó zárolásának feloldásához. Alapértelmezés szerint a PIN-kód minimális hossza
4.
Tipp
A nagyobb biztonság érdekében, ha engedélyezi a TPM + PIN-védelemmel rendelkező eszközöket, fontolja meg a következő csoportházirend-beállítások letiltását a rendszer>energiagazdálkodási>alvó beállításaiban:
Készenléti állapotok (S1-S3) engedélyezése alvó állapotban (csatlakoztatva)
Készenléti állapotok (S1-S3) engedélyezése alvó állapotban (akkumulátoron)
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSOSDEncryptionPolicy.
Továbbfejlesztett PIN-címek engedélyezése indításhoz
Javasolt konfiguráció: Nincs konfigurálva
Konfigurálja a BitLockert továbbfejlesztett indítási PIN-nevek használatára. Ezek a PIN-számok több karakter használatát teszik lehetővé, például nagy- és kisbetűk, szimbólumok, számok és szóközök használatát. Ez a beállítás a BitLocker bekapcsolásakor érvényes.
Fontos
Nem minden számítógép támogatja a továbbfejlesztett PIN-eket a rendszerindítás előtti környezetben. A használat engedélyezése előtt ellenőrizze, hogy az eszközei kompatibilisek-e ezzel a funkcióval.
Ha engedélyezi ezt a beállítást, az összes új BitLocker indítási PIN-azonosító lehetővé teszi, hogy a felhasználó továbbfejlesztett PIN-eket hozzon létre.
- Csak ASCII-alapú PIN-kód megkövetelése: A továbbfejlesztett PIN-kódokat kompatibilisebbé teheti azokkal a számítógépekkel, amelyek korlátozzák a rendszerindítás előtti környezetben megadható karakterek típusát vagy számát.
Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a BitLocker nem használ továbbfejlesztett PIN-eket.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMEnhancedPIN.
Operációs rendszer meghajtójelszó-szabályzata
Javasolt konfiguráció: Nincs konfigurálva
Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett operációsrendszer-meghajtók zárolásának feloldásához. Ha nem TPM-védőket engedélyez az operációsrendszer-meghajtókon, konfigurálja a következő beállításokat:
Jelszó összetettségének konfigurálása operációsrendszer-meghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.
Az operációs rendszer meghajtójának minimális jelszóhossza: Alapértelmezés szerint a minimális hossz
8.Csak ASCII-jelszavak megkövetelése cserélhető operációsrendszer-meghajtókhoz
Ha engedélyezi ezt a házirend-beállítást, a felhasználók olyan jelszót konfigurálhatnak, amely megfelel az Ön által meghatározott követelményeknek.
A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMOSPassphrase.
Általános használati megjegyzések az operációs rendszer meghajtójelszó-szabályzatához
Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.
A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.
Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.
Platformérvényesítési adatok alaphelyzetbe állítása a BitLocker helyreállítása után
Javasolt konfiguráció: Nincs konfigurálva
Szabályozhatja, hogy a Windows frissíti-e a platformérvényesítési adatokat, amikor azok a BitLocker helyreállítása után elindulnak.
Ha engedélyezi vagy nem konfigurálja ezt a beállítást, a Windows ebben az esetben frissíti a platformérvényesítési adatokat.
Ha letiltja ezt a házirend-beállítást, a Windows ebben az esetben nem frissíti a platformérvényesítési adatokat.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMTpmAutoResealPolicy.
Rendszerindítás előtti helyreállítási üzenet és URL-cím
Javasolt konfiguráció: Nincs konfigurálva
Amikor a BitLocker zárolja az operációsrendszer-meghajtót, ezzel a beállítással egyéni helyreállítási üzenetet vagy URL-címet jeleníthet meg a Rendszerindítás előtti BitLocker helyreállítási képernyőn. Ez a beállítás csak Windows 10 vagy újabb eszközökre vonatkozik.
Ha engedélyezi ezt a beállítást, válasszon az alábbi lehetőségek közül a rendszerindítás előtti helyreállítási üzenethez:
Alapértelmezett helyreállítási üzenet és URL-cím használata: Az alapértelmezett BitLocker helyreállítási üzenet és URL-cím megjelenítése a rendszerindítás előtti BitLocker helyreállítási képernyőn. Ha korábban egyéni helyreállítási üzenetet vagy URL-címet konfigurált, ezzel a beállítással visszaállíthatja az alapértelmezett üzenetet.
Egyéni helyreállítási üzenet használata: Adjon meg egy egyéni üzenetet az indítás előtti BitLocker helyreállítási képernyőn.
- Egyéni helyreállítási üzenet beállítás: Írja be a megjelenítendő egyéni üzenetet. Ha helyreállítási URL-címet is meg szeretne adni, adja meg az egyéni helyreállítási üzenet részeként. A maximális karakterlánchossz 32 768 karakter.
Egyéni helyreállítási URL-cím használata: Cserélje le az indítás előtti BitLocker helyreállítási képernyőn megjelenő alapértelmezett URL-címet.
- Egyéni helyreállítási URL-cím beállítás: Írja be a megjelenítendő URL-címet. A maximális karakterlánchossz 32 768 karakter.
Megjegyzés:
A rendszerindítás előtt nem minden karakter és nyelv támogatott. Először tesztelje az egyéni üzenetet vagy URL-címet, és ellenőrizze, hogy helyesen jelenik-e meg az indítás előtti BitLocker helyreállítási képernyőn.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMPrebootRecoveryInfo.
Titkosítási szabályzat kényszerítési beállításai (operációsrendszer-meghajtó)
Javasolt konfiguráció: Engedélyezve
Adja meg, hogy a felhasználók hány napig halaszthatják el a BitLocker megfelelőségét az operációsrendszer-meghajtón. A meg nem felelési türelmi időszak akkor kezdődik, amikor Configuration Manager először nem megfelelőként észleli. A türelmi időszak lejárta után a felhasználók nem késleltethetik a szükséges műveletet, és nem kérhetnek kivételt.
Ha a titkosítási folyamat felhasználói bevitelt igényel, megjelenik egy párbeszédpanel a Windowsban, amelyet a felhasználó addig nem zárhat be, amíg meg nem adja a szükséges adatokat. A jövőbeli hibákra vagy állapotra vonatkozó értesítésekre nem vonatkozik ez a korlátozás.
Ha a BitLocker nem igényel felhasználói beavatkozást a védő hozzáadásához, a türelmi időszak lejárta után a BitLocker elkezdi a titkosítást a háttérben.
Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem követeli meg a felhasználóktól a BitLocker-házirendek betartását.
A szabályzat azonnali kényszerítéséhez állítson be egy türelmi időszakot a következőre 0: .
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUseOsEnforcePolicy.
Rögzített meghajtó
Az ezen a lapon található beállítások konfigurálják az eszköz más adatmeghajtóinak titkosítását.
Rögzített adatmeghajtó-titkosítás
Javasolt konfiguráció: Engedélyezve
A rögzített adatmeghajtók titkosítására vonatkozó követelmény kezelése. Ha engedélyezi ezt a beállítást, a BitLocker megköveteli a felhasználóktól, hogy minden rögzített adatmeghajtót védelem alá helyezzenek. Ezután titkosítja az adatmeghajtókat.
Ha engedélyezi ezt a házirendet, engedélyezze az automatikus feloldást, vagy a Rögzített adatmeghajtó jelszóházirend beállításait.
- Automatikus zárolásfeloldás konfigurálása rögzített adatmeghajtóhoz: Engedélyezi vagy megköveteli, hogy a BitLocker automatikusan feloldja a titkosított adatmeghajtók zárolását. Az automatikus zárolásfeloldás használatához a BitLockernek is szüksége van az operációsrendszer-meghajtó titkosítására.
Ha nem konfigurálja ezt a beállítást, a BitLocker nem követeli meg a felhasználóktól a rögzített adatmeghajtók védelmét.
Ha letiltja ezt a beállítást, a felhasználók nem helyezhetik a rögzített adatmeghajtóikat BitLocker-védelem alá. Ha letiltja ezt a szabályzatot, miután a BitLocker titkosítja a rögzített adatmeghajtókat, a BitLocker visszafejti a rögzített adatmeghajtókat.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSFDVEncryptionPolicy.
Írási hozzáférés megtagadása a BitLocker által nem védett rögzített meghajtókhoz
Javasolt konfiguráció: Nincs konfigurálva
BitLocker-védelem megkövetelése a Windows számára az adatok rögzített meghajtókra való írásához az eszközön. A BitLocker ezt a házirendet alkalmazza, amikor bekapcsolja.
Ha engedélyezi ezt a beállítást:
Ha a BitLocker védi a rögzített adatmeghajtókat, a Windows olvasási és írási hozzáféréssel csatlakoztatja azt.
A BitLocker által nem védett rögzített adatmeghajtók esetében a Windows írásvédettként csatlakoztatja.
Ha nem konfigurálja ezt a beállítást, a Windows az összes rögzített adatmeghajtót csatlakoztatja olvasási és írási hozzáféréssel.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMFDVDenyWriteAccessPolicy.
Rögzített adatmeghajtó jelszószabályzata
Javasolt konfiguráció: Nincs konfigurálva
Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett rögzített adatmeghajtók feloldásához.
Ha engedélyezi ezt a beállítást, a felhasználók a megadott követelményeknek megfelelő jelszót konfigurálhatnak.
A nagyobb biztonság érdekében engedélyezze ezt a beállítást, majd konfigurálja a következő beállításokat:
Jelszó megkövetelése a rögzített adatmeghajtóhoz: A felhasználóknak jelszót kell megadniuk a BitLocker által védett rögzített adatmeghajtó feloldásához.
Jelszó összetettségének konfigurálása rögzített adatmeghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.
Rögzített adatmeghajtóhoz tartozó jelszó minimális hossza: Alapértelmezés szerint a minimális hossz
8.
Ha letiltja ezt a beállítást, a felhasználók nem konfigurálhatnak jelszót.
Ha a szabályzat nincs konfigurálva, a BitLocker támogatja az alapértelmezett beállításokkal rendelkező jelszavakat. Az alapértelmezett beállítások nem tartalmazzák a jelszó összetettségi követelményeit, és csak nyolc karaktert igényelnek.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMFDVPassPhrasePolicy.
Általános használati megjegyzések rögzített adatmeghajtó-jelszóházirendhez
Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.
A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.
Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.
Titkosítási szabályzat kényszerítési beállításai (rögzített adatmeghajtó)
Javasolt konfiguráció: Engedélyezve
Konfigurálja, hogy a felhasználók hány napig halaszthatják el a BitLocker-megfelelőséget a rögzített adatmeghajtókon. A meg nem felelési türelmi időszak akkor kezdődik, amikor Configuration Manager először nem megfelelőként észleli a rögzített adatmeghajtót. Nem kényszeríti ki a rögzített adatmeghajtó-szabályzatot, amíg az operációsrendszer-meghajtó nem megfelelő. A türelmi időszak lejárta után a felhasználók nem késleltethetik a szükséges műveletet, és nem kérhetnek kivételt.
Ha a titkosítási folyamat felhasználói bevitelt igényel, megjelenik egy párbeszédpanel a Windowsban, amelyet a felhasználó addig nem zárhat be, amíg meg nem adja a szükséges adatokat. A jövőbeli hibákra vagy állapotra vonatkozó értesítésekre nem vonatkozik ez a korlátozás.
Ha a BitLocker nem igényel felhasználói beavatkozást a védő hozzáadásához, a türelmi időszak lejárta után a BitLocker elkezdi a titkosítást a háttérben.
Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem követeli meg a felhasználóktól a BitLocker-házirendek betartását.
A szabályzat azonnali kényszerítéséhez állítson be egy türelmi időszakot a következőre 0: .
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUseFddEnforcePolicy.
Cserélhető meghajtó
Az ezen a lapon található beállítások konfigurálják a cserélhető meghajtók, például az USB-kulcsok titkosítását.
Cserélhető adatmeghajtó-titkosítás
Javasolt konfiguráció: Engedélyezve
Ez a beállítás szabályozza a BitLocker használatát cserélhető meghajtókon.
BitLocker-védelem alkalmazásának engedélyezése a cserélhető adatmeghajtókon: A felhasználók bekapcsolhatják a BitLocker-védelmet a cserélhető meghajtókon.
A BitLocker cserélhető adatmeghajtókon való felfüggesztésének és visszafejtése a felhasználók számára: A felhasználók eltávolíthatják vagy ideiglenesen felfüggeszthetik a BitLocker meghajtótitkosítását egy cserélhető meghajtóról.
Ha engedélyezi ezt a beállítást, és engedélyezi a felhasználóknak a BitLocker-védelem alkalmazását, a Configuration Manager-ügyfél a felügyeleti ponton menti a cserélhető meghajtók helyreállítási adatait a helyreállítási szolgáltatásba. Ez a viselkedés lehetővé teszi a felhasználók számára a meghajtó helyreállítását, ha elfelejtik vagy elveszítik a védőt (jelszót).
Ha engedélyezi ezt a beállítást:
A cserélhető adatmeghajtó jelszóházirendjének engedélyezése
Tiltsa le a következő csoportházirend-beállításokat a System>Removable Storage Accessben mindkét felhasználói & számítógép-konfigurációhoz:
- Minden cserélhető tárolóosztály: Minden hozzáférés megtagadása
- Cserélhető lemezek: Írási hozzáférés megtagadása
- Cserélhető lemezek: Olvasási hozzáférés megtagadása
Ha letiltja ezt a beállítást, a felhasználók nem használhatják a BitLockert cserélhető meghajtókon.
A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMRDVConfigureBDEPolicy.
A BitLocker által nem védett cserélhető meghajtók írási hozzáférésének megtagadása
Javasolt konfiguráció: Nincs konfigurálva
BitLocker-védelem megkövetelése a Windows számára az adatok cserélhető meghajtókra való írásához az eszközön. A BitLocker ezt a házirendet alkalmazza, amikor bekapcsolja.
Ha engedélyezi ezt a beállítást:
Ha a BitLocker védi a cserélhető meghajtókat, a Windows olvasási és írási hozzáféréssel csatlakoztatja azt.
A BitLocker által nem védett cserélhető meghajtók esetében a Windows írásvédettként csatlakoztatja.
Ha engedélyezi a Más szervezetben konfigurált eszközök írási hozzáférésének megtagadása beállítást, a BitLocker csak az engedélyezett azonosító mezőknek megfelelő azonosító mezőkkel rendelkező cserélhető meghajtókhoz biztosít írási hozzáférést. Definiálja ezeket a mezőket a Szervezet egyedi azonosítói globális beállításokkal a Beállítás lapon.
Ha letiltja vagy nem konfigurálja ezt a beállítást, a Windows minden cserélhető meghajtót csatlakoztat olvasási és írási hozzáféréssel.
Megjegyzés:
Ezt a beállítást felülbírálhatja a System>Removable Storage Access csoportházirend-beállításaival. Ha engedélyezi a Cserélhető lemezek: Írási hozzáférés megtagadása csoportházirend-beállítást, akkor a BitLocker figyelmen kívül hagyja ezt a Configuration Manager beállítást.
A szabályzat Windows PowerShell használatával történő létrehozásáról további információt a New-CMRDVDenyWriteAccessPolicy című témakörben talál.
Cserélhető adatmeghajtó jelszószabályzata
Javasolt konfiguráció: Engedélyezve
Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett cserélhető meghajtók zárolásának feloldásához.
Ha engedélyezi ezt a beállítást, a felhasználók a megadott követelményeknek megfelelő jelszót konfigurálhatnak.
A nagyobb biztonság érdekében engedélyezze ezt a beállítást, majd konfigurálja a következő beállításokat:
Jelszó megkövetelése cserélhető adatmeghajtóhoz: A felhasználóknak jelszót kell megadniuk a BitLocker által védett cserélhető meghajtó zárolásának feloldásához.
Jelszó összetettségének konfigurálása cserélhető adatmeghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.
A cserélhető adatmeghajtó jelszó minimális hossza: Alapértelmezés szerint a minimális hossz
8.
Ha letiltja ezt a beállítást, a felhasználók nem konfigurálhatnak jelszót.
Ha a szabályzat nincs konfigurálva, a BitLocker támogatja az alapértelmezett beállításokkal rendelkező jelszavakat. Az alapértelmezett beállítások nem tartalmazzák a jelszó összetettségi követelményeit, és csak nyolc karaktert igényelnek.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMRDVPassPhrasePolicy.
Általános használati megjegyzések cserélhető adatmeghajtó jelszószabályzatához
Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.
A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.
Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.
Ügyfélkezelés
Az ezen a lapon található beállítások konfigurálják a BitLocker felügyeleti szolgáltatásait és ügyfeleit.
BitLocker felügyeleti szolgáltatások
Javasolt konfiguráció: Engedélyezve
Ha engedélyezi ezt a beállítást, Configuration Manager automatikusan és csendesen biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem menti a kulcs helyreállítási adatait.
Válassza ki a tárolni kívánt BitLocker helyreállítási adatokat: Konfigurálja a kulcs-helyreállítási szolgáltatást a BitLocker helyreállítási adatainak biztonsági mentéséhez. Ez egy felügyeleti módszert biztosít a BitLocker által titkosított adatok helyreállításához, amely segít megelőzni az adatvesztést a kulcsfontosságú információk hiánya miatt.
A helyreállítási adatok egyszerű szöveges tárolásának engedélyezése: A SQL Server BitLocker felügyeleti titkosítási tanúsítványa nélkül Configuration Manager a kulcs-helyreállítási információkat egyszerű szövegben tárolja. További információ: Helyreállítási adatok titkosítása az adatbázisban.
Ügyfél-ellenőrzési állapot gyakorisága (perc):: A konfigurált gyakorisággal az ügyfél ellenőrzi a BitLocker védelmi szabályzatait és állapotát a számítógépen, és biztonsági másolatot készít az ügyfél helyreállítási kulcsáról is. Alapértelmezés szerint a Configuration Manager-ügyfél 90 percenként ellenőrzi a BitLocker állapotát.
Fontos
Ne állítsa ezt az értéket 60-nál kisebbre. A kisebb gyakorisági érték miatt előfordulhat, hogy az ügyfél röviden jelenti a pontatlan megfelelőségi állapotokat.
A szabályzatok Windows PowerShell való létrehozásával kapcsolatos további információkért lásd:
Felhasználói kivételre vonatkozó szabályzat
Javasolt konfiguráció: Nincs konfigurálva
Konfiguráljon egy kapcsolatfelvételi módszert a felhasználók számára, hogy kivételt kérjenek a BitLocker titkosítás alól.
Ha engedélyezi ezt a házirend-beállítást, adja meg a következő információkat:
Az elhalasztandó napok maximális száma: A felhasználó hány nappal halaszthatja el a kényszerített szabályzatot. Alapértelmezés szerint ez az
7érték nap (egy hét).Kapcsolatfelvételi módszer: Adja meg, hogy a felhasználók hogyan kérhetnek kivételt: URL-cím, e-mail-cím vagy telefonszám.
Kapcsolat: Adja meg az URL-címet, az e-mail-címet vagy a telefonszámot. Amikor egy felhasználó kivételt kér a BitLocker-védelem alól, megjelenik egy Windows párbeszédpanel, amely útmutatást tartalmaz az alkalmazáshoz. Configuration Manager nem ellenőrzi a megadott adatokat.
URL: Használja a szabványos URL-formátumot (
https://website.domain.tld). A Windows hivatkozásként jeleníti meg az URL-címet.Email cím: Használja a szabványos e-mail-címformátumot(
user@domain.tld). A Windows a címet a következő hivatkozásként jeleníti meg:mailto:user@domain.tld?subject=Request exemption from BitLocker protection.Telefonszám: Adja meg, hogy a felhasználók milyen számot hívjanak. A Windows a következő leírással jeleníti meg a számot:
Please call <your number> for applying exemption.
Ha letiltja vagy nem konfigurálja ezt a beállítást, a Windows nem jeleníti meg a kivételkérelemre vonatkozó utasításokat a felhasználók számára.
Megjegyzés:
A BitLocker felhasználónként, nem számítógépenként kezeli a kivételeket. Ha több felhasználó jelentkezik be ugyanarra a számítógépre, és egyetlen felhasználó sem kivételt képez, a BitLocker titkosítja a számítógépet.
A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSUserExemptionPolicy.
A biztonsági szabályzat hivatkozásának URL-címe
Javasolt konfiguráció: Engedélyezve
Adjon meg egy URL-címet, amely a windowsos céges biztonsági szabályzatként jelenik meg a felhasználóknak. Ezen a hivatkozáson információkat biztosíthat a felhasználóknak a titkosítási követelményekről. Azt mutatja, hogy a BitLocker mikor kéri a felhasználót a meghajtó titkosítására.
Ha engedélyezi ezt a beállítást, konfigurálja a biztonsági szabályzat hivatkozásának URL-címét.
Ha letiltja vagy nem konfigurálja ezt a beállítást, a BitLocker nem jeleníti meg a biztonsági szabályzat hivatkozását.
A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMMoreInfoUrlPolicy.
Következő lépések
Ha Windows PowerShell használja ezeket a szabályzatobjektumokat, használja a New-CMBlmSetting parancsmagot. Ez a parancsmag létrehoz egy BitLocker felügyeleti házirend-beállítási objektumot, amely az összes megadott házirendet tartalmazza. A szabályzatbeállítások gyűjteményben való üzembe helyezéséhez használja a New-CMSettingDeployment parancsmagot.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: