Condividi tramite

Crittografare i dati di ripristino in rete

  • Articolo

Si applica a: Configuration Manager (Current Branch)

Quando si creano criteri di gestione di BitLocker, Configuration Manager distribuisce il servizio di ripristino in un punto di gestione. Nella pagina Gestione client dei criteri di gestione di BitLocker, quando si configura BitLocker Management Services, il client esegue il backup delle informazioni di ripristino delle chiavi nel database del sito. Queste informazioni includono chiavi di ripristino di BitLocker, pacchetti di ripristino e hash delle password TPM. Quando gli utenti sono bloccati fuori dal dispositivo protetto, è possibile usare queste informazioni per consentire loro di ripristinare l'accesso al dispositivo.

Data la natura sensibile di queste informazioni, è necessario proteggerle.

Importante

A partire dalla versione 2103, l'implementazione del servizio di ripristino è cambiata. Non usa più componenti MBAM legacy, ma viene ancora definito concettualmente servizio di ripristino. Tutti i client della versione 2103 usano il componente del motore di elaborazione dei messaggi del punto di gestione come servizio di ripristino. Depositano le chiavi di ripristino sul canale di notifica client sicuro. Con questa modifica, è possibile abilitare il sito Configuration Manager per http avanzato. Questa configurazione non influisce sulle funzionalità di gestione di BitLocker in Configuration Manager.

Quando sia il sito che i client eseguono Configuration Manager versione 2103 o successiva, i client inviano le chiavi di ripristino al punto di gestione tramite il canale di notifica client sicuro. Se i client si trovano nella versione 2010 o precedente, è necessario un servizio di ripristino abilitato per HTTPS nel punto di gestione per il deposito delle chiavi.

Requisiti del certificato HTTPS

Nota

Questi requisiti si applicano solo se il sito è versione 2010 o precedente o se si distribuiscono i criteri di gestione di BitLocker nei dispositivi con Configuration Manager versione client 2010 o precedente.

Configuration Manager richiede una connessione sicura tra il client e il servizio di ripristino per crittografare i dati in transito attraverso la rete. Usare una delle opzioni seguenti:

Nota

Se il sito dispone di più punti di gestione, abilitare HTTPS in tutti i punti di gestione del sito con cui un client gestito da BitLocker potrebbe potenzialmente comunicare. Se il punto di gestione HTTPS non è disponibile, il client potrebbe eseguire il failover in un punto di gestione HTTP e quindi non riuscire a depositarne la chiave di ripristino.

Questa raccomandazione si applica a entrambe le opzioni: abilitare il punto di gestione per HTTPS o abilitare il sito Web IIS che ospita il servizio di ripristino nel punto di gestione.

Configurare il punto di gestione per HTTPS

Nelle versioni precedenti di Configuration Manager current branch, per integrare il servizio di ripristino BitLocker era necessario abilitare HTTPS un punto di gestione. La connessione HTTPS è necessaria per crittografare le chiavi di ripristino nella rete dal client Configuration Manager al punto di gestione. La configurazione del punto di gestione e di tutti i client per HTTPS può essere complessa per molti clienti.

Abilitare HTTPS per il sito Web IIS

Il requisito HTTPS è ora per il sito Web IIS che ospita il servizio di ripristino, non l'intero ruolo del punto di gestione. Questa configurazione elimina i requisiti del certificato e crittografa comunque le chiavi di ripristino in transito.

La proprietà Connessioni client del punto di gestione può essere HTTP o HTTPS. Se il punto di gestione è configurato per HTTP, per supportare il servizio di ripristino BitLocker:

  1. Acquisire un certificato di autenticazione del server. Associare il certificato al sito Web IIS nel punto di gestione che ospita il servizio di ripristino BitLocker.

  2. Configurare i client in modo che consideri attendibile il certificato di autenticazione del server. Esistono due metodi per eseguire questa relazione di trust:

    • Usare un certificato da un provider di certificati pubblico e attendibile a livello globale. I client Windows includono autorità di certificazione radice attendibili da questi provider. Usando un certificato di autenticazione server emesso da uno di questi provider, i client devono considerarlo automaticamente attendibile.

    • Usare un certificato emesso da un'autorità di certificazione dell'infrastruttura a chiave pubblica (PKI) dell'organizzazione. La maggior parte delle implementazioni PKI aggiunge le CA radice attendibili ai client Windows. Ad esempio, l'uso di Servizi certificati Active Directory con Criteri di gruppo. Se si rilascia il certificato di autenticazione server da una CA che i client non considerano attendibile automaticamente, aggiungere il certificato radice attendibile della CA ai client.

Consiglio

Gli unici client che devono comunicare con il servizio di ripristino sono quelli che si prevede di usare come destinazione con un criterio di gestione BitLocker e include una regola di gestione client .

Risolvere i problemi di connessione

Nel client usare BitLockerManagementHandler.log per risolvere i problemi di connessione. Per la connettività al servizio di ripristino, il log mostra l'URL usato dal client. Individuare una voce nel log in base alla versione di Configuration Manager:

  • Nella versione 2103 e successive, la voce inizia con Recovery keys escrowed to MP
  • Nella versione 2010 e precedenti, la voce inizia con Checking for Recovery Service at

Passaggi successivi

La crittografia dei dati di ripristino nel database è un prerequisito facoltativo prima della distribuzione dei criteri per la prima volta.

Distribuire il client di gestione BitLocker