A BitLocker titkosítási algoritmus beállítása Autopilot-eszközökhöz
A BitLocker automatikusan titkosítja a belső meghajtókat a kezdőélmény (OOBE) során olyan eszközök esetében, amelyek támogatják a modern készenlétet, vagy megfelelnek a hardveres biztonsági tesztelhetőségi specifikációnak (HSTI). A BitLocker alapértelmezés szerint csak az automatikus titkosításhoz használ 128 bites XTS-AES-lemezterületet.
A Windows Autopilot használatával a BitLocker titkosítási beállításai úgy konfigurálhatók, hogy az alkalmazásuk az automatikus titkosítás megkezdése előtt történjen. Ez a konfiguráció gondoskodik arról, hogy az alapértelmezett titkosítási algoritmus vagy típus ne legyen automatikusan alkalmazva. A titkosítás után ezeket a beállításokat fogadó eszközöket a titkosítási algoritmus módosítása előtt vissza kell fejteni.
Titkosítási algoritmus
A BitLocker a bitlocker első engedélyezésekor a megadott BitLocker titkosítási algoritmust használja. Az Autopilot során a BitLocker engedélyezve lesz a regisztrációs állapotlap eszközbeállítási része után. A következő titkosítási algoritmusok érhetők el:
- AES-CBC 128 bites.
- AES-CBC 256 bites.
- XTS-AES 128 bites (alapértelmezett).
- XTS-AES 256 bites.
Az ajánlott titkosítási algoritmusokról további információt a BitLocker konfigurációs szolgáltató (CSP) című témakörben talál.
Annak ellenőrzése, hogy a kívánt BitLocker titkosítási algoritmus be van-e állítva az Autopilot-eszközök automatikus titkosítása előtt:
Konfigurálja a titkosítási módszer beállításait az Endpoint Security lemeztitkosítási szabályzatában. A beállítások az Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 és újabb, Profile type = BitLocker alatt érhetők el.
Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.
Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha ez a funkció nincs engedélyezve, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.
Teljes lemez vagy csak helyalapú titkosítás
A titkosításnak két típusa van: teljes lemez vagy csak felhasznált hely. A csendes engedélyezés és a hardvertámogatás konfigurálása a modern készenlétben automatikusan meghatározza a használt titkosítás típusát. A használt titkosítás típusa a SystemDrivesEncryptionType beállítás konfigurálásával kényszeríthető ki. A titkosítási algoritmushoz hasonlóan a BitLocker is a titkosítás típusát használja a BitLocker első engedélyezésekor. A titkosítás várható viselkedésével kapcsolatos további információkért lásd: BitLocker-szabályzat kezelése.
A használt meghajtótitkosítás típusának kényszerítése:
Konfigurálja a Meghajtótitkosítási típus kényszerítése operációsrendszer-meghajtókon beállítást a beállításkatalógusban. Ez a beállítás a Felügyeleti sablonok > Windows-összetevők BitLocker meghajtótitkosítás >> operációsrendszer-meghajtók kategóriájában érhető el a beállításválasztóban.
Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.
Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha ez a funkció nincs engedélyezve, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.