Megosztás a következőn keresztül:


A BitLocker titkosítási algoritmus beállítása Autopilot-eszközökhöz

A BitLocker automatikusan titkosítja a belső meghajtókat a kezdőélmény (OOBE) során olyan eszközök esetében, amelyek támogatják a modern készenlétet, vagy megfelelnek a hardveres biztonsági tesztelhetőségi specifikációnak (HSTI). A BitLocker alapértelmezés szerint csak az automatikus titkosításhoz használ 128 bites XTS-AES-lemezterületet.

A Windows Autopilot használatával a BitLocker titkosítási beállításai úgy konfigurálhatók, hogy az alkalmazásuk az automatikus titkosítás megkezdése előtt történjen. Ez a konfiguráció gondoskodik arról, hogy az alapértelmezett titkosítási algoritmus vagy típus ne legyen automatikusan alkalmazva. A titkosítás után ezeket a beállításokat fogadó eszközöket a titkosítási algoritmus módosítása előtt vissza kell fejteni.

Titkosítási algoritmus

A BitLocker a bitlocker első engedélyezésekor a megadott BitLocker titkosítási algoritmust használja. Az Autopilot során a BitLocker engedélyezve lesz a regisztrációs állapotlap eszközbeállítási része után. A következő titkosítási algoritmusok érhetők el:

  • AES-CBC 128 bites.
  • AES-CBC 256 bites.
  • XTS-AES 128 bites (alapértelmezett).
  • XTS-AES 256 bites.

Az ajánlott titkosítási algoritmusokról további információt a BitLocker konfigurációs szolgáltató (CSP) című témakörben talál.

Annak ellenőrzése, hogy a kívánt BitLocker titkosítási algoritmus be van-e állítva az Autopilot-eszközök automatikus titkosítása előtt:

  1. Konfigurálja a titkosítási módszer beállításait az Endpoint Security lemeztitkosítási szabályzatában. A beállítások az Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 és újabb, Profile type = BitLocker alatt érhetők el.

  2. Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.

  3. Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha ez a funkció nincs engedélyezve, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.

Teljes lemez vagy csak helyalapú titkosítás

A titkosításnak két típusa van: teljes lemez vagy csak felhasznált hely. A csendes engedélyezés és a hardvertámogatás konfigurálása a modern készenlétben automatikusan meghatározza a használt titkosítás típusát. A használt titkosítás típusa a SystemDrivesEncryptionType beállítás konfigurálásával kényszeríthető ki. A titkosítási algoritmushoz hasonlóan a BitLocker is a titkosítás típusát használja a BitLocker első engedélyezésekor. A titkosítás várható viselkedésével kapcsolatos további információkért lásd: BitLocker-szabályzat kezelése.

A használt meghajtótitkosítás típusának kényszerítése:

  1. Konfigurálja a Meghajtótitkosítási típus kényszerítése operációsrendszer-meghajtókon beállítást a beállításkatalógusban. Ez a beállítás a Felügyeleti sablonok > Windows-összetevők BitLocker meghajtótitkosítás >> operációsrendszer-meghajtók kategóriájában érhető el a beállításválasztóban.

  2. Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.

  3. Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha ez a funkció nincs engedélyezve, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.