Herstelgegevens versleutelen via het netwerk
Van toepassing op: Configuration Manager (current branch)
Wanneer u een BitLocker-beheerbeleid maakt, implementeert Configuration Manager de herstelservice naar een beheerpunt. Op de pagina Clientbeheer van het BitLocker-beheerbeleid maakt de client een back-up van belangrijke herstelgegevens naar de sitedatabase wanneer u BitLocker Management Services configureert. Deze informatie omvat BitLocker-herstelsleutels, herstelpakketten en TPM-wachtwoordhashes. Wanneer gebruikers zijn vergrendeld van hun beveiligde apparaat, kunt u deze informatie gebruiken om hen te helpen de toegang tot het apparaat te herstellen.
Gezien de gevoelige aard van deze informatie, moet u deze beveiligen.
Belangrijk
Vanaf versie 2103 is de implementatie van de herstelservice gewijzigd. Het maakt geen gebruik meer van verouderde MBAM-onderdelen, maar wordt nog steeds conceptueel aangeduid als de herstelservice. Alle versie 2103-clients gebruiken het onderdeel van de berichtenverwerkingsengine van het beheerpunt als hun herstelservice. Ze borgen hun herstelsleutels via het beveiligde clientmeldingskanaal. Met deze wijziging kunt u de Configuration Manager site inschakelen voor verbeterde HTTP. Deze configuratie heeft geen invloed op de functionaliteit van BitLocker-beheer in Configuration Manager.
Wanneer zowel de site als de clients Configuration Manager versie 2103 of hoger worden uitgevoerd, verzenden clients hun herstelsleutels naar het beheerpunt via het beveiligde clientmeldingskanaal. Als er clients zijn met versie 2010 of eerder, hebben ze een HTTPS-herstelservice op het beheerpunt nodig om hun sleutels te borgen.
HTTPS-certificaatvereisten
Opmerking
Deze vereisten zijn alleen van toepassing als de site versie 2010 of eerder is of als u BitLocker-beheerbeleid implementeert op apparaten met Configuration Manager clientversie 2010 of eerder.
Configuration Manager vereist een beveiligde verbinding tussen de client en de herstelservice om de gegevens die via het netwerk worden overgedragen te versleutelen. Gebruik een van de volgende opties:
HTTPS-schakel de IIS-website in op het beheerpunt dat als host fungeert voor de herstelservice, niet de volledige beheerpuntrol.
Configureer het beheerpunt voor HTTPS. Op de eigenschappen van het beheerpunt moet de instelling ClientverbindingenHTTPS zijn.
Opmerking
Als uw site meer dan één beheerpunt heeft, schakelt u HTTPS in op alle beheerpunten op de site waarmee een door BitLocker beheerde client mogelijk kan communiceren. Als het HTTPS-beheerpunt niet beschikbaar is, kan de client een failover uitvoeren naar een HTTP-beheerpunt en kan de herstelsleutel vervolgens niet worden geblokkeerd.
Deze aanbeveling is van toepassing op beide opties: het beheerpunt inschakelen voor HTTPS of de IIS-website inschakelen die als host fungeert voor de herstelservice op het beheerpunt.
Het beheerpunt voor HTTPS configureren
In eerdere versies van Configuration Manager huidige vertakking moest u een beheerpunt HTTPS inschakelen om de BitLocker-herstelservice te integreren. De HTTPS-verbinding is nodig om de herstelsleutels in het netwerk te versleutelen van de Configuration Manager-client naar het beheerpunt. Het configureren van het beheerpunt en alle clients voor HTTPS kan lastig zijn voor veel klanten.
HTTPS-de IIS-website inschakelen
De HTTPS-vereiste is nu voor de IIS-website die als host fungeert voor de herstelservice, niet voor de volledige beheerpuntrol. Deze configuratie versoepeling van de certificaatvereisten en versleutelt nog steeds de herstelsleutels die onderweg zijn.
De eigenschap Clientverbindingen van het beheerpunt kan HTTP of HTTPS zijn. Als het beheerpunt is geconfigureerd voor HTTP, ter ondersteuning van de BitLocker-herstelservice:
Een serververificatiecertificaat verkrijgen. Bind het certificaat aan de IIS-website op het beheerpunt waarop de BitLocker-herstelservice wordt gehost.
Configureer clients om het serververificatiecertificaat te vertrouwen. Er zijn twee methoden om deze vertrouwensrelatie tot stand te brengen:
Gebruik een certificaat van een openbare en wereldwijd vertrouwde certificaatprovider. Windows-clients bevatten vertrouwde basiscertificeringsinstanties (CA's) van deze providers. Door gebruik te maken van een serververificatiecertificaat dat is uitgegeven door een van deze providers, moeten uw clients het automatisch vertrouwen.
Gebruik een certificaat dat is uitgegeven door een CA van de PKI (Public Key Infrastructure) van uw organisatie. De meeste PKI-implementaties voegen de vertrouwde basis-CA's toe aan Windows-clients. Bijvoorbeeld met Behulp van Active Directory Certificate Services met groepsbeleid. Als u het serververificatiecertificaat uitgeeft van een CA die uw clients niet automatisch vertrouwen, voegt u het vertrouwde basiscertificaat van de CA toe aan clients.
Tip
De enige clients die moeten communiceren met de herstelservice zijn de clients die u wilt targeten met een BitLocker-beheerbeleid en die een clientbeheerregel bevat.
Problemen met de verbinding oplossen
Gebruik op de client bitLockerManagementHandler.log om problemen met deze verbinding op te lossen. Voor connectiviteit met de herstelservice toont het logboek de URL die de client gebruikt. Zoek een vermelding in het logboek op basis van de versie van Configuration Manager:
- In versie 2103 en hoger begint de vermelding met
Recovery keys escrowed to MP
- In versie 2010 en eerder begint de vermelding met
Checking for Recovery Service at
Volgende stappen
Herstelgegevens in de database versleutelen is een optionele vereiste voordat u beleid voor de eerste keer implementeert.