Megosztás a következőn keresztül:

A BitLocker beállításainak referenciája

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A BitLocker felügyeleti szabályzatai Configuration Manager a következő szabályzatcsoportokat tartalmazzák:

  • Beállítás
  • Operációs rendszer meghajtója
  • Rögzített meghajtó
  • Cserélhető meghajtó
  • Ügyfélkezelés

Az alábbi szakaszok ismertetik és javasolják az egyes csoportok beállításainak konfigurációit.

Beállítás

Az ezen az oldalon található beállítások a globális BitLocker titkosítási beállításokat konfigurálják.

Meghajtótitkosítási módszer és titkosítás erőssége

Javasolt konfiguráció: Az alapértelmezett vagy nagyobb titkosítási módszerrel engedélyezve .

Megjegyzés:

A Beállítás tulajdonságai lap két beállításcsoportot tartalmaz a Windows különböző verzióihoz. Ez a szakasz mindkettőt ismerteti.

Windows 8.1-eszközök

Windows 8.1-eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége beállítást, és válasszon az alábbi titkosítási módszerek közül:

  • AES 128 bites fúvókával
  • AES 256 bites fúvókával
  • AES 128 bites (alapértelmezett)
  • AES 256 bites

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBLEncryptionMethodPolicy.

Windows 10 vagy újabb eszközök

Windows 10 vagy újabb eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége (Windows 10 vagy újabb) beállítást. Ezután egyenként válassza ki az alábbi titkosítási módszerek egyikét az operációsrendszer-meghajtókhoz, a rögzített adatmeghajtókhoz és a cserélhető adatmeghajtókhoz:

  • AES-CBC 128 bites
  • 256 bites AES-CBC
  • XTS-AES 128 bites (alapértelmezett)
  • XTS-AES 256 bites

Tipp

A BitLocker az Advanced Encryption Standard (AES) titkosítási algoritmust használja 128 vagy 256 bites konfigurálható kulcshosszúságokkal. Windows 10 vagy újabb eszközökön az AES-titkosítás támogatja a titkosítási blokkláncolást (CBC) vagy a titkosítószöveg-lopást (XTS).

Ha cserélhető meghajtót kell használnia olyan eszközökön, amelyek nem Windows 10 futnak, használja az AES-CBC-t.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBLEncryptionMethodWithXts.

Általános használati megjegyzések a meghajtótitkosításhoz és a titkosítás erősségéhez

  • Ha letiltja vagy nem konfigurálja ezeket a beállításokat, a BitLocker az alapértelmezett titkosítási módszert használja.

  • Configuration Manager alkalmazza ezeket a beállításokat a BitLocker bekapcsolásakor.

  • Ha a meghajtó már titkosítva van vagy folyamatban van, a házirend-beállítások módosítása nem módosítja a meghajtótitkosítást az eszközön.

  • Ha az alapértelmezett értéket használja, előfordulhat, hogy a BitLocker számítógép-megfelelőségi jelentése ismeretlenként jeleníti meg a titkosítás erősségét. A probléma megkerüléséhez engedélyezze ezt a beállítást, és állítson be egy explicit értéket a titkosítás erősségéhez.

Memória felülírásának megakadályozása újraindítás során

Javasolt konfiguráció: Nincs konfigurálva

Konfigurálja ezt a szabályzatot az újraindítási teljesítmény javítása érdekében anélkül, hogy újrainduláskor felülírja a Memóriában lévő BitLocker titkos kódokat.

Ha nem konfigurálja ezt a házirendet, a BitLocker a számítógép újraindításakor eltávolítja a titkos kulcsokat a memóriából.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMNoOverwritePolicy.

Intelligens kártya tanúsítványhasználati szabályának megfelelőségének ellenőrzése

Javasolt konfiguráció: Nincs konfigurálva

Konfigurálja ezt a szabályzatot intelligenskártya-tanúsítványalapú BitLocker-védelem használatára. Ezután adja meg a tanúsítványobjektum azonosítót.

Ha nem konfigurálja ezt a házirendet, a BitLocker az alapértelmezett objektumazonosítót 1.3.6.1.4.1.311.67.1.1 használja a tanúsítvány megadásához.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMScCompliancePolicy.

Szervezet egyedi azonosítói

Javasolt konfiguráció: Nincs konfigurálva

Konfigurálja ezt a házirendet tanúsítványalapú adat-helyreállítási ügynök vagy BitLocker To Go-olvasó használatára.

Ha nem konfigurálja ezt a szabályzatot, a BitLocker nem használja az Azonosítás mezőt.

Ha a szervezet nagyobb biztonsági méréseket igényel, konfigurálja az Azonosítás mezőt. Állítsa be ezt a mezőt az összes megcélzott USB-eszközön, és igazodjon ehhez a beállításhoz.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUidPolicy.

Operációsrendszer-meghajtó

Az ezen a lapon található beállítások konfigurálják annak a meghajtónak a titkosítási beállításait, amelyre a Windows telepítve van.

Operációs rendszer meghajtótitkosítási beállításai

Javasolt konfiguráció: Engedélyezve

Ha engedélyezi ezt a beállítást, a felhasználónak védenie kell az operációsrendszer-meghajtót, és a BitLocker titkosítja a meghajtót. Ha letiltja, a felhasználó nem tudja megvédeni a meghajtót. Ha nem konfigurálja ezt a szabályzatot, az operációs rendszer meghajtóján nincs szükség BitLocker-védelemre.

Megjegyzés:

Ha a meghajtó már titkosítva van, és letiltja ezt a beállítást, a BitLocker visszafejti a meghajtót.

Ha megbízható platformmodullal (TPM) nem rendelkező eszközökkel rendelkezik, használja a BitLocker engedélyezése kompatibilis TPM nélkül (jelszó szükséges) lehetőséget. Ezzel a beállítással a BitLocker akkor is titkosíthatja az operációsrendszer-meghajtót, ha az eszköz nem rendelkezik TPM-rel. Ha engedélyezi ezt a beállítást, a Windows arra kéri a felhasználót, hogy adjon meg egy BitLocker-jelszót.

A kompatibilis TPM-et használó eszközökön indításkor kétféle hitelesítési módszer használható a titkosított adatok további védelmének biztosításához. Amikor a számítógép elindul, csak a TPM-et használhatja a hitelesítéshez, vagy megkövetelheti egy személyes azonosító szám (PIN-kód) megadását is. Konfigurálja a következő beállításokat:

  • Válassza ki a védelmi modult az operációsrendszer-meghajtóhoz: Konfigurálja úgy, hogy TPM-et és PIN-kódot használjon, vagy csak a TPM-et.

  • Pin-kód minimális hosszának konfigurálása indításhoz: Ha PIN-kódot igényel, ez az érték a felhasználó által megadható legrövidebb hossz. A felhasználó akkor adja meg ezt a PIN-kódot, amikor a számítógép elindul a meghajtó zárolásának feloldásához. Alapértelmezés szerint a PIN-kód minimális hossza 4.

Tipp

A nagyobb biztonság érdekében, ha engedélyezi a TPM + PIN-védelemmel rendelkező eszközöket, fontolja meg a következő csoportházirend-beállítások letiltását a rendszer>energiagazdálkodási>alvó beállításaiban:

  • Készenléti állapotok (S1-S3) engedélyezése alvó állapotban (csatlakoztatva)

  • Készenléti állapotok (S1-S3) engedélyezése alvó állapotban (akkumulátoron)

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSOSDEncryptionPolicy.

Továbbfejlesztett PIN-címek engedélyezése indításhoz

Javasolt konfiguráció: Nincs konfigurálva

Konfigurálja a BitLockert továbbfejlesztett indítási PIN-nevek használatára. Ezek a PIN-számok több karakter használatát teszik lehetővé, például nagy- és kisbetűk, szimbólumok, számok és szóközök használatát. Ez a beállítás a BitLocker bekapcsolásakor érvényes.

Fontos

Nem minden számítógép támogatja a továbbfejlesztett PIN-eket a rendszerindítás előtti környezetben. A használat engedélyezése előtt ellenőrizze, hogy az eszközei kompatibilisek-e ezzel a funkcióval.

Ha engedélyezi ezt a beállítást, az összes új BitLocker indítási PIN-azonosító lehetővé teszi, hogy a felhasználó továbbfejlesztett PIN-eket hozzon létre.

  • Csak ASCII-alapú PIN-kód megkövetelése: A továbbfejlesztett PIN-kódokat kompatibilisebbé teheti azokkal a számítógépekkel, amelyek korlátozzák a rendszerindítás előtti környezetben megadható karakterek típusát vagy számát.

Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, a BitLocker nem használ továbbfejlesztett PIN-eket.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMEnhancedPIN.

Operációs rendszer meghajtójelszó-szabályzata

Javasolt konfiguráció: Nincs konfigurálva

Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett operációsrendszer-meghajtók zárolásának feloldásához. Ha nem TPM-védőket engedélyez az operációsrendszer-meghajtókon, konfigurálja a következő beállításokat:

  • Jelszó összetettségének konfigurálása operációsrendszer-meghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.

  • Az operációs rendszer meghajtójának minimális jelszóhossza: Alapértelmezés szerint a minimális hossz 8.

  • Csak ASCII-jelszavak megkövetelése cserélhető operációsrendszer-meghajtókhoz

Ha engedélyezi ezt a házirend-beállítást, a felhasználók olyan jelszót konfigurálhatnak, amely megfelel az Ön által meghatározott követelményeknek.

A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMOSPassphrase.

Általános használati megjegyzések az operációs rendszer meghajtójelszó-szabályzatához

  • Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.

  • A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.

  • Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.

Platformérvényesítési adatok alaphelyzetbe állítása a BitLocker helyreállítása után

Javasolt konfiguráció: Nincs konfigurálva

Szabályozhatja, hogy a Windows frissíti-e a platformérvényesítési adatokat, amikor azok a BitLocker helyreállítása után elindulnak.

Ha engedélyezi vagy nem konfigurálja ezt a beállítást, a Windows ebben az esetben frissíti a platformérvényesítési adatokat.

Ha letiltja ezt a házirend-beállítást, a Windows ebben az esetben nem frissíti a platformérvényesítési adatokat.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMTpmAutoResealPolicy.

Rendszerindítás előtti helyreállítási üzenet és URL-cím

Javasolt konfiguráció: Nincs konfigurálva

Amikor a BitLocker zárolja az operációsrendszer-meghajtót, ezzel a beállítással egyéni helyreállítási üzenetet vagy URL-címet jeleníthet meg a Rendszerindítás előtti BitLocker helyreállítási képernyőn. Ez a beállítás csak Windows 10 vagy újabb eszközökre vonatkozik.

Ha engedélyezi ezt a beállítást, válasszon az alábbi lehetőségek közül a rendszerindítás előtti helyreállítási üzenethez:

  • Alapértelmezett helyreállítási üzenet és URL-cím használata: Az alapértelmezett BitLocker helyreállítási üzenet és URL-cím megjelenítése a rendszerindítás előtti BitLocker helyreállítási képernyőn. Ha korábban egyéni helyreállítási üzenetet vagy URL-címet konfigurált, ezzel a beállítással visszaállíthatja az alapértelmezett üzenetet.

  • Egyéni helyreállítási üzenet használata: Adjon meg egy egyéni üzenetet az indítás előtti BitLocker helyreállítási képernyőn.

    • Egyéni helyreállítási üzenet beállítás: Írja be a megjelenítendő egyéni üzenetet. Ha helyreállítási URL-címet is meg szeretne adni, adja meg az egyéni helyreállítási üzenet részeként. A maximális karakterlánchossz 32 768 karakter.

  • Egyéni helyreállítási URL-cím használata: Cserélje le az indítás előtti BitLocker helyreállítási képernyőn megjelenő alapértelmezett URL-címet.

    • Egyéni helyreállítási URL-cím beállítás: Írja be a megjelenítendő URL-címet. A maximális karakterlánchossz 32 768 karakter.

Megjegyzés:

A rendszerindítás előtt nem minden karakter és nyelv támogatott. Először tesztelje az egyéni üzenetet vagy URL-címet, és ellenőrizze, hogy helyesen jelenik-e meg az indítás előtti BitLocker helyreállítási képernyőn.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMPrebootRecoveryInfo.

Titkosítási szabályzat kényszerítési beállításai (operációsrendszer-meghajtó)

Javasolt konfiguráció: Engedélyezve

Adja meg, hogy a felhasználók hány napig halaszthatják el a BitLocker megfelelőségét az operációsrendszer-meghajtón. A meg nem felelési türelmi időszak akkor kezdődik, amikor Configuration Manager először nem megfelelőként észleli. A türelmi időszak lejárta után a felhasználók nem késleltethetik a szükséges műveletet, és nem kérhetnek kivételt.

Ha a titkosítási folyamat felhasználói bevitelt igényel, megjelenik egy párbeszédpanel a Windowsban, amelyet a felhasználó addig nem zárhat be, amíg meg nem adja a szükséges adatokat. A jövőbeli hibákra vagy állapotra vonatkozó értesítésekre nem vonatkozik ez a korlátozás.

Ha a BitLocker nem igényel felhasználói beavatkozást a védő hozzáadásához, a türelmi időszak lejárta után a BitLocker elkezdi a titkosítást a háttérben.

Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem követeli meg a felhasználóktól a BitLocker-házirendek betartását.

A szabályzat azonnali kényszerítéséhez állítson be egy türelmi időszakot a következőre 0: .

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUseOsEnforcePolicy.

Rögzített meghajtó

Az ezen a lapon található beállítások konfigurálják az eszköz más adatmeghajtóinak titkosítását.

Rögzített adatmeghajtó-titkosítás

Javasolt konfiguráció: Engedélyezve

A rögzített adatmeghajtók titkosítására vonatkozó követelmény kezelése. Ha engedélyezi ezt a beállítást, a BitLocker megköveteli a felhasználóktól, hogy minden rögzített adatmeghajtót védelem alá helyezzenek. Ezután titkosítja az adatmeghajtókat.

Ha engedélyezi ezt a házirendet, engedélyezze az automatikus feloldást, vagy a Rögzített adatmeghajtó jelszóházirend beállításait.

  • Automatikus zárolásfeloldás konfigurálása rögzített adatmeghajtóhoz: Engedélyezi vagy megköveteli, hogy a BitLocker automatikusan feloldja a titkosított adatmeghajtók zárolását. Az automatikus zárolásfeloldás használatához a BitLockernek is szüksége van az operációsrendszer-meghajtó titkosítására.

Ha nem konfigurálja ezt a beállítást, a BitLocker nem követeli meg a felhasználóktól a rögzített adatmeghajtók védelmét.

Ha letiltja ezt a beállítást, a felhasználók nem helyezhetik a rögzített adatmeghajtóikat BitLocker-védelem alá. Ha letiltja ezt a szabályzatot, miután a BitLocker titkosítja a rögzített adatmeghajtókat, a BitLocker visszafejti a rögzített adatmeghajtókat.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSFDVEncryptionPolicy.

Írási hozzáférés megtagadása a BitLocker által nem védett rögzített meghajtókhoz

Javasolt konfiguráció: Nincs konfigurálva

BitLocker-védelem megkövetelése a Windows számára az adatok rögzített meghajtókra való írásához az eszközön. A BitLocker ezt a házirendet alkalmazza, amikor bekapcsolja.

Ha engedélyezi ezt a beállítást:

  • Ha a BitLocker védi a rögzített adatmeghajtókat, a Windows olvasási és írási hozzáféréssel csatlakoztatja azt.

  • A BitLocker által nem védett rögzített adatmeghajtók esetében a Windows írásvédettként csatlakoztatja.

Ha nem konfigurálja ezt a beállítást, a Windows az összes rögzített adatmeghajtót csatlakoztatja olvasási és írási hozzáféréssel.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMFDVDenyWriteAccessPolicy.

Rögzített adatmeghajtó jelszószabályzata

Javasolt konfiguráció: Nincs konfigurálva

Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett rögzített adatmeghajtók feloldásához.

Ha engedélyezi ezt a beállítást, a felhasználók a megadott követelményeknek megfelelő jelszót konfigurálhatnak.

A nagyobb biztonság érdekében engedélyezze ezt a beállítást, majd konfigurálja a következő beállításokat:

  • Jelszó megkövetelése a rögzített adatmeghajtóhoz: A felhasználóknak jelszót kell megadniuk a BitLocker által védett rögzített adatmeghajtó feloldásához.

  • Jelszó összetettségének konfigurálása rögzített adatmeghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.

  • Rögzített adatmeghajtóhoz tartozó jelszó minimális hossza: Alapértelmezés szerint a minimális hossz 8.

Ha letiltja ezt a beállítást, a felhasználók nem konfigurálhatnak jelszót.

Ha a szabályzat nincs konfigurálva, a BitLocker támogatja az alapértelmezett beállításokkal rendelkező jelszavakat. Az alapértelmezett beállítások nem tartalmazzák a jelszó összetettségi követelményeit, és csak nyolc karaktert igényelnek.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMFDVPassPhrasePolicy.

Általános használati megjegyzések rögzített adatmeghajtó-jelszóházirendhez

  • Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.

  • A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.

  • Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.

Titkosítási szabályzat kényszerítési beállításai (rögzített adatmeghajtó)

Javasolt konfiguráció: Engedélyezve

Konfigurálja, hogy a felhasználók hány napig halaszthatják el a BitLocker-megfelelőséget a rögzített adatmeghajtókon. A meg nem felelési türelmi időszak akkor kezdődik, amikor Configuration Manager először nem megfelelőként észleli a rögzített adatmeghajtót. Nem kényszeríti ki a rögzített adatmeghajtó-szabályzatot, amíg az operációsrendszer-meghajtó nem megfelelő. A türelmi időszak lejárta után a felhasználók nem késleltethetik a szükséges műveletet, és nem kérhetnek kivételt.

Ha a titkosítási folyamat felhasználói bevitelt igényel, megjelenik egy párbeszédpanel a Windowsban, amelyet a felhasználó addig nem zárhat be, amíg meg nem adja a szükséges adatokat. A jövőbeli hibákra vagy állapotra vonatkozó értesítésekre nem vonatkozik ez a korlátozás.

Ha a BitLocker nem igényel felhasználói beavatkozást a védő hozzáadásához, a türelmi időszak lejárta után a BitLocker elkezdi a titkosítást a háttérben.

Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem követeli meg a felhasználóktól a BitLocker-házirendek betartását.

A szabályzat azonnali kényszerítéséhez állítson be egy türelmi időszakot a következőre 0: .

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMUseFddEnforcePolicy.

Cserélhető meghajtó

Az ezen a lapon található beállítások konfigurálják a cserélhető meghajtók, például az USB-kulcsok titkosítását.

Cserélhető adatmeghajtó-titkosítás

Javasolt konfiguráció: Engedélyezve

Ez a beállítás szabályozza a BitLocker használatát cserélhető meghajtókon.

  • BitLocker-védelem alkalmazásának engedélyezése a cserélhető adatmeghajtókon: A felhasználók bekapcsolhatják a BitLocker-védelmet a cserélhető meghajtókon.

  • A BitLocker cserélhető adatmeghajtókon való felfüggesztésének és visszafejtése a felhasználók számára: A felhasználók eltávolíthatják vagy ideiglenesen felfüggeszthetik a BitLocker meghajtótitkosítását egy cserélhető meghajtóról.

Ha engedélyezi ezt a beállítást, és engedélyezi a felhasználóknak a BitLocker-védelem alkalmazását, a Configuration Manager-ügyfél a felügyeleti ponton menti a cserélhető meghajtók helyreállítási adatait a helyreállítási szolgáltatásba. Ez a viselkedés lehetővé teszi a felhasználók számára a meghajtó helyreállítását, ha elfelejtik vagy elveszítik a védőt (jelszót).

Ha engedélyezi ezt a beállítást:

  • A cserélhető adatmeghajtó jelszóházirendjének engedélyezése

  • Tiltsa le a következő csoportházirend-beállításokat a System>Removable Storage Accessben mindkét felhasználói & számítógép-konfigurációhoz:

    • Minden cserélhető tárolóosztály: Minden hozzáférés megtagadása
    • Cserélhető lemezek: Írási hozzáférés megtagadása
    • Cserélhető lemezek: Olvasási hozzáférés megtagadása

Ha letiltja ezt a beállítást, a felhasználók nem használhatják a BitLockert cserélhető meghajtókon.

A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMRDVConfigureBDEPolicy.

A BitLocker által nem védett cserélhető meghajtók írási hozzáférésének megtagadása

Javasolt konfiguráció: Nincs konfigurálva

BitLocker-védelem megkövetelése a Windows számára az adatok cserélhető meghajtókra való írásához az eszközön. A BitLocker ezt a házirendet alkalmazza, amikor bekapcsolja.

Ha engedélyezi ezt a beállítást:

  • Ha a BitLocker védi a cserélhető meghajtókat, a Windows olvasási és írási hozzáféréssel csatlakoztatja azt.

  • A BitLocker által nem védett cserélhető meghajtók esetében a Windows írásvédettként csatlakoztatja.

  • Ha engedélyezi a Más szervezetben konfigurált eszközök írási hozzáférésének megtagadása beállítást, a BitLocker csak az engedélyezett azonosító mezőknek megfelelő azonosító mezőkkel rendelkező cserélhető meghajtókhoz biztosít írási hozzáférést. Definiálja ezeket a mezőket a Szervezet egyedi azonosítói globális beállításokkal a Beállítás lapon.

Ha letiltja vagy nem konfigurálja ezt a beállítást, a Windows minden cserélhető meghajtót csatlakoztat olvasási és írási hozzáféréssel.

Megjegyzés:

Ezt a beállítást felülbírálhatja a System>Removable Storage Access csoportházirend-beállításaival. Ha engedélyezi a Cserélhető lemezek: Írási hozzáférés megtagadása csoportházirend-beállítást, akkor a BitLocker figyelmen kívül hagyja ezt a Configuration Manager beállítást.

A szabályzat Windows PowerShell használatával történő létrehozásáról további információt a New-CMRDVDenyWriteAccessPolicy című témakörben talál.

Cserélhető adatmeghajtó jelszószabályzata

Javasolt konfiguráció: Engedélyezve

Ezekkel a beállításokkal beállíthatja a jelszókorlátozásokat a BitLocker által védett cserélhető meghajtók zárolásának feloldásához.

Ha engedélyezi ezt a beállítást, a felhasználók a megadott követelményeknek megfelelő jelszót konfigurálhatnak.

A nagyobb biztonság érdekében engedélyezze ezt a beállítást, majd konfigurálja a következő beállításokat:

  • Jelszó megkövetelése cserélhető adatmeghajtóhoz: A felhasználóknak jelszót kell megadniuk a BitLocker által védett cserélhető meghajtó zárolásának feloldásához.

  • Jelszó összetettségének konfigurálása cserélhető adatmeghajtókhoz: A jelszó összetettségi követelményeinek érvényesítéséhez válassza a Jelszó összetettségének megkövetelése lehetőséget.

  • A cserélhető adatmeghajtó jelszó minimális hossza: Alapértelmezés szerint a minimális hossz 8.

Ha letiltja ezt a beállítást, a felhasználók nem konfigurálhatnak jelszót.

Ha a szabályzat nincs konfigurálva, a BitLocker támogatja az alapértelmezett beállításokkal rendelkező jelszavakat. Az alapértelmezett beállítások nem tartalmazzák a jelszó összetettségi követelményeit, és csak nyolc karaktert igényelnek.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMRDVPassPhrasePolicy.

Általános használati megjegyzések cserélhető adatmeghajtó jelszószabályzatához

  • Ahhoz, hogy ezek az összetettségi követelmények hatékonyak legyenek, engedélyezze a Jelszónak meg kell felelnie az összetettségi követelményeknek című csoportházirend-beállítást a Számítógép konfigurációja>Windows-beállítások>Biztonsági beállítások>Fiókszabályzatok>Jelszóházirend című témakörben.

  • A BitLocker ezeket a beállításokat a bekapcsoláskor kényszeríti ki, nem pedig a kötet zárolásának feloldásakor. A BitLocker lehetővé teszi a meghajtó zárolásának feloldását a meghajtón elérhető bármely védővel.

  • Ha csoportházirend használatával engedélyezi a FIPS-kompatibilis algoritmusokat a titkosításhoz, kivonatoláshoz és aláíráshoz, nem engedélyezheti a jelszavakat BitLocker-védőként.

Ügyfélkezelés

Az ezen a lapon található beállítások konfigurálják a BitLocker felügyeleti szolgáltatásait és ügyfeleit.

BitLocker felügyeleti szolgáltatások

Javasolt konfiguráció: Engedélyezve

Ha engedélyezi ezt a beállítást, Configuration Manager automatikusan és csendesen biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem menti a kulcs helyreállítási adatait.

  • Válassza ki a tárolni kívánt BitLocker helyreállítási adatokat: Konfigurálja a kulcs-helyreállítási szolgáltatást a BitLocker helyreállítási adatainak biztonsági mentéséhez. Ez egy felügyeleti módszert biztosít a BitLocker által titkosított adatok helyreállításához, amely segít megelőzni az adatvesztést a kulcsfontosságú információk hiánya miatt.

  • A helyreállítási adatok egyszerű szöveges tárolásának engedélyezése: A SQL Server BitLocker felügyeleti titkosítási tanúsítványa nélkül Configuration Manager a kulcs-helyreállítási információkat egyszerű szövegben tárolja. További információ: Helyreállítási adatok titkosítása az adatbázisban.

  • Ügyfél-ellenőrzési állapot gyakorisága (perc):: A konfigurált gyakorisággal az ügyfél ellenőrzi a BitLocker védelmi szabályzatait és állapotát a számítógépen, és biztonsági másolatot készít az ügyfél helyreállítási kulcsáról is. Alapértelmezés szerint a Configuration Manager-ügyfél 90 percenként ellenőrzi a BitLocker állapotát.

    Fontos

    Ne állítsa ezt az értéket 60-nál kisebbre. A kisebb gyakorisági érték miatt előfordulhat, hogy az ügyfél röviden jelenti a pontatlan megfelelőségi állapotokat.

A szabályzatok Windows PowerShell való létrehozásával kapcsolatos további információkért lásd:

Felhasználói kivételre vonatkozó szabályzat

Javasolt konfiguráció: Nincs konfigurálva

Konfiguráljon egy kapcsolatfelvételi módszert a felhasználók számára, hogy kivételt kérjenek a BitLocker titkosítás alól.

Ha engedélyezi ezt a házirend-beállítást, adja meg a következő információkat:

  • Az elhalasztandó napok maximális száma: A felhasználó hány nappal halaszthatja el a kényszerített szabályzatot. Alapértelmezés szerint ez az 7 érték nap (egy hét).

  • Kapcsolatfelvételi módszer: Adja meg, hogy a felhasználók hogyan kérhetnek kivételt: URL-cím, e-mail-cím vagy telefonszám.

  • Kapcsolat: Adja meg az URL-címet, az e-mail-címet vagy a telefonszámot. Amikor egy felhasználó kivételt kér a BitLocker-védelem alól, megjelenik egy Windows párbeszédpanel, amely útmutatást tartalmaz az alkalmazáshoz. Configuration Manager nem ellenőrzi a megadott adatokat.

    • URL: Használja a szabványos URL-formátumot ( https://website.domain.tld). A Windows hivatkozásként jeleníti meg az URL-címet.

    • Email cím: Használja a szabványos e-mail-címformátumot( user@domain.tld). A Windows a címet a következő hivatkozásként jeleníti meg: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Telefonszám: Adja meg, hogy a felhasználók milyen számot hívjanak. A Windows a következő leírással jeleníti meg a számot: Please call <your number> for applying exemption.

Ha letiltja vagy nem konfigurálja ezt a beállítást, a Windows nem jeleníti meg a kivételkérelemre vonatkozó utasításokat a felhasználók számára.

Megjegyzés:

A BitLocker felhasználónként, nem számítógépenként kezeli a kivételeket. Ha több felhasználó jelentkezik be ugyanarra a számítógépre, és egyetlen felhasználó sem kivételt képez, a BitLocker titkosítja a számítógépet.

A szabályzat Windows PowerShell való létrehozásával kapcsolatos további információkért lásd: New-CMBMSUserExemptionPolicy.

Javasolt konfiguráció: Engedélyezve

Adjon meg egy URL-címet, amely a windowsos céges biztonsági szabályzatként jelenik meg a felhasználóknak. Ezen a hivatkozáson információkat biztosíthat a felhasználóknak a titkosítási követelményekről. Azt mutatja, hogy a BitLocker mikor kéri a felhasználót a meghajtó titkosítására.

Ha engedélyezi ezt a beállítást, konfigurálja a biztonsági szabályzat hivatkozásának URL-címét.

Ha letiltja vagy nem konfigurálja ezt a beállítást, a BitLocker nem jeleníti meg a biztonsági szabályzat hivatkozását.

A szabályzat Windows PowerShell használatával történő létrehozásával kapcsolatos további információkért lásd: New-CMMoreInfoUrlPolicy.

Következő lépések

Ha Windows PowerShell használja ezeket a szabályzatobjektumokat, használja a New-CMBlmSetting parancsmagot. Ez a parancsmag létrehoz egy BitLocker felügyeleti házirend-beállítási objektumot, amely az összes megadott házirendet tartalmazza. A szabályzatbeállítások gyűjteményben való üzembe helyezéséhez használja a New-CMSettingDeployment parancsmagot.