BitLocker-beheer implementeren

  • Artikel

Van toepassing op: Configuration Manager (current branch)

BitLocker-beheer in Configuration Manager bevat de volgende onderdelen:

Voordat u BitLocker-beheerbeleid maakt en implementeert:

Een beleid maken

Wanneer u dit beleid maakt en implementeert, schakelt de Configuration Manager-client de BitLocker-beheeragent op het apparaat in.

Opmerking

Als u een BitLocker-beheerbeleid wilt maken, hebt u de rol Volledige beheerder in Configuration Manager nodig.

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving, vouw Endpoint Protection uit en selecteer het knooppunt BitLocker-beheer.

  2. Selecteer op het lint BitLocker-beheerbeheerbeleid maken.

  3. Geef op de pagina Algemeen een naam en optionele beschrijving op. Selecteer de onderdelen die u wilt inschakelen op clients met dit beleid:

    • Besturingssysteemstation: beheren of het besturingssysteemstation is versleuteld

    • Vast station: versleuteling voor andere gegevensstations op een apparaat beheren

    • Verwisselbaar station: versleuteling beheren voor stations die u van een apparaat kunt verwijderen, zoals een USB-sleutel

    • Clientbeheer: beheer de back-up van de sleutelherstelservice van herstelgegevens van BitLocker-stationsversleuteling

  4. Configureer op de pagina Setup de volgende algemene instellingen voor BitLocker-stationsversleuteling:

    Opmerking

    Configuration Manager past deze instellingen toe wanneer u BitLocker inschakelt. Als het station al is versleuteld of wordt uitgevoerd, verandert elke wijziging in deze beleidsinstellingen de stationsversleuteling op het apparaat niet.

    Als u deze instellingen uitschakelt of niet configureert, gebruikt BitLocker de standaardversleutelingsmethode (AES 128-bits).

    • Schakel voor Windows 8.1-apparaten de optie Stationsversleutelingsmethode en coderingssterkte in. Selecteer vervolgens de versleutelingsmethode.

    • Schakel voor Windows 10 of nieuwere apparaten de optie stationsversleutelingsmethode en coderingssterkte (Windows 10 of hoger) in. Selecteer vervolgens afzonderlijk de versleutelingsmethode voor besturingssysteemstations, vaste gegevensstations en verwisselbare gegevensstations.

    Zie Naslaginformatie over instellingen - Instellen voor meer informatie over deze en andere instellingen op deze pagina.

  5. Geef op de pagina Besturingssysteemstation de volgende instellingen op:

    • Instellingen voor besturingssysteemstationversleuteling: als u deze instelling inschakelt, moet de gebruiker het besturingssysteemstation beveiligen en versleutelt BitLocker het station. Als u dit uitschakelt, kan de gebruiker het station niet beveiligen.

    Op apparaten met een compatibele TPM kunnen bij het opstarten twee typen verificatiemethoden worden gebruikt om extra beveiliging te bieden voor versleutelde gegevens. Wanneer de computer wordt gestart, kan deze alleen de TPM gebruiken voor verificatie, of kan het ook nodig zijn om een persoonlijk identificatienummer (pincode) in te voeren. Configureer de volgende instellingen:

    • Selecteer beveiliging voor het besturingssysteemstation: configureer dit voor het gebruik van een TPM en pincode, of alleen de TPM.

    • Minimale pincodelengte configureren voor opstarten: als u een pincode nodig hebt, is deze waarde de kortste lengte die de gebruiker kan opgeven. De gebruiker voert deze pincode in wanneer de computer wordt opgestart om het station te ontgrendelen. De minimale lengte van de pincode is 4standaard .

    Zie Naslaginformatie over instellingen - besturingssysteemstation voor meer informatie over deze en andere instellingen op deze pagina.

  6. Geef op de pagina Vast station de volgende instellingen op:

    • Vaste versleuteling van gegevensstations: als u deze instelling inschakelt, vereist BitLocker dat gebruikers alle vaste gegevensstations onder beveiliging plaatsen. Vervolgens worden de gegevensstations versleuteld. Wanneer u dit beleid inschakelt, schakelt u automatisch ontgrendelen of de instellingen voor wachtwoordbeleid voor vast gegevensstation in.

    • Automatisch ontgrendelen configureren voor een vast gegevensstation: BitLocker toestaan of vereisen dat een versleuteld gegevensstation automatisch wordt ontgrendeld. Als u automatisch ontgrendelen wilt gebruiken, moet u ook BitLocker vereisen om het besturingssysteemstation te versleutelen.

    Zie Naslaginformatie over instellingen - Vast station voor meer informatie over deze en andere instellingen op deze pagina.

  7. Geef op de pagina Verwisselbaar station de volgende instellingen op:

    • Versleuteling van verwisselbaar gegevensstation: wanneer u deze instelling inschakelt en gebruikers toestaat BitLocker-beveiliging toe te passen, slaat de Configuration Manager-client herstelgegevens over verwisselbare stations op in de herstelservice op het beheerpunt. Met dit gedrag kunnen gebruikers het station herstellen als ze de beveiliging (wachtwoord) vergeten of kwijtraken.

    • Gebruikers toestaan bitLocker-beveiliging toe te passen op verwisselbare gegevensstations: gebruikers kunnen BitLocker-beveiliging inschakelen voor een verwisselbaar station.

    • Wachtwoordbeleid voor verwisselbare gegevensstations: gebruik deze instellingen om de beperkingen voor wachtwoorden in te stellen om met BitLocker beveiligde verwisselbare stations te ontgrendelen.

    Zie Naslaginformatie over instellingen - Verwisselbaar station voor meer informatie over deze en andere instellingen op deze pagina.

  8. Geef op de pagina Clientbeheer de volgende instellingen op:

    Belangrijk

    Voor versies van Configuration Manager ouder dan 2103 moet u deze instelling niet configureren als u geen beheerpunt hebt met een https-website. Zie Recovery-service voor meer informatie.

    • BitLocker Management Services configureren: wanneer u deze instelling inschakelt, Configuration Manager automatisch en op de achtergrond een back-up van belangrijke herstelgegevens in de sitedatabase maken. Als u deze instelling uitschakelt of niet configureert, slaat Configuration Manager geen belangrijke herstelgegevens op.

      • Selecteer BitLocker-herstelgegevens om op te slaan: configureer deze voor het gebruik van een herstelwachtwoord en sleutelpakket, of alleen een herstelwachtwoord.

      • Toestaan dat herstelgegevens worden opgeslagen in tekst zonder opmaak: zonder een BitLocker-beheerversleutelingscertificaat slaat Configuration Manager de sleutelherstelgegevens op in tekst zonder opmaak. Zie Herstelgegevens in de database versleutelen voor meer informatie.

    Zie Naslaginformatie over instellingen - Clientbeheer voor meer informatie over deze en andere instellingen op deze pagina.

  9. Voltooi de wizard.

Als u de instellingen van een bestaand beleid wilt wijzigen, kiest u dit in de lijst en selecteert u Eigenschappen.

Wanneer u meer dan één beleid maakt, kunt u de relatieve prioriteit ervan configureren. Als u meerdere beleidsregels implementeert op een client, wordt de prioriteitswaarde gebruikt om de instellingen te bepalen.

Vanaf versie 2006 kunt u voor deze taak Windows PowerShell-cmdlets gebruiken. Zie New-CMBlmSetting voor meer informatie.

Een beleid implementeren

  1. Kies een bestaand beleid in het knooppunt BitLocker-beheer . Selecteer implementeren op het lint.

  2. Selecteer een apparaatverzameling als het doel van de implementatie.

  3. Als u wilt dat het apparaat de stations op elk gewenst moment mogelijk versleutelt of ontsleutelt, selecteert u de optie Herstel toestaan buiten het onderhoudsvenster. Als de verzameling onderhoudsvensters heeft, wordt dit BitLocker-beleid nog steeds hersteld.

  4. Configureer een eenvoudige of aangepaste planning. De client evalueert de naleving ervan op basis van de instellingen die in de planning zijn opgegeven.

  5. Selecteer OK om het beleid te implementeren.

U kunt meerdere implementaties van hetzelfde beleid maken. Als u aanvullende informatie over elke implementatie wilt weergeven, selecteert u het beleid in het knooppunt BitLocker-beheer en gaat u vervolgens in het detailvenster naar het tabblad Implementaties. U kunt ook Windows PowerShell cmdlets voor deze taak gebruiken. Zie New-CMSettingDeployment voor meer informatie.

Belangrijk

Als een RDP-verbinding (Remote Desktop Protocol) actief is, start de MBAM-client geen BitLocker-stationsversleutelingsacties. Sluit alle externe consoleverbindingen en meld u aan bij een consolesessie met een domeingebruikersaccount. Vervolgens begint BitLocker-stationsversleuteling en uploadt de client herstelsleutels en pakketten. Als u zich aanmeldt met een lokaal gebruikersaccount, wordt BitLocker-stationsversleuteling niet gestart.

U kunt RDP gebruiken om extern verbinding te maken met de consolesessie van het apparaat met de /admin switch. Bijvoorbeeld:mstsc.exe /admin /v:<IP address of device>

Een consolesessie is wanneer u zich op de fysieke console van de computer bevindt, of een externe verbinding die hetzelfde is als wanneer u zich op de fysieke console van de computer bevindt.

Monitor

Bekijk basiscompatibiliteitsstatistieken over de beleidsimplementatie in het detailvenster van het knooppunt BitLocker-beheer :

  • Aantal nalevingen
  • Aantal fouten
  • Aantal niet-nalevingen

Ga naar het tabblad Implementaties om het nalevingspercentage en de aanbevolen actie te bekijken. Selecteer de implementatie en selecteer vervolgens op het lint Status weergeven. Met deze actie wordt de weergave overgeschakeld naar de werkruimte Bewaking , het knooppunt Implementaties . Net als bij de implementatie van andere implementaties van configuratiebeleid ziet u in deze weergave gedetailleerdere nalevingsstatus.

Zie Niet-nalevingscodes om te begrijpen waarom clients melden dat ze niet compatibel zijn met het BitLocker-beheerbeleid.

Zie Problemen met BitLocker oplossen voor meer informatie over het oplossen van problemen.

Gebruik de volgende logboeken om te controleren en problemen op te lossen:

Clientlogboeken

  • MBAM-gebeurtenislogboek: blader in de Windows-Logboeken naar Toepassingen en services>Microsoft>Windows>MBAM. Zie Over BitLocker-gebeurtenislogboeken en Client-gebeurtenislogboeken voor meer informatie.

  • BitlockerManagementHandler.log en BitlockerManagement_GroupPolicyHandler.log in clientlogboekenpad standaard %WINDIR%\CCM\Logs

Beheerpuntlogboeken (herstelservice)

  • Gebeurtenislogboek van herstelservice: blader in de Windows-Logboeken naar Toepassingen en services>Microsoft>Windows>MBAM-Web. Zie Over BitLocker-gebeurtenislogboeken en Server-gebeurtenislogboeken voor meer informatie.

  • Traceringslogboeken voor herstelservice: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Overwegingen bij migratie

Als u momenteel Microsoft BitLocker Administration and Monitoring (MBAM) gebruikt, kunt u het beheer naadloos migreren naar Configuration Manager. Wanneer u BitLocker-beheerbeleid implementeert in Configuration Manager, uploaden clients automatisch herstelsleutels en -pakketten naar de Configuration Manager-herstelservice.

Belangrijk

Wanneer u migreert van zelfstandige MBAM naar Configuration Manager BitLocker-beheer, gebruikt u zelfstandige MBAM-servers of -onderdelen niet opnieuw met Configuration Manager BitLocker-beheer als u de bestaande functionaliteit van zelfstandige MBAM nodig hebt. Als u deze servers opnieuw gebruikt, werkt de zelfstandige MBAM niet meer wanneer Configuration Manager BitLocker-beheer de onderdelen op die servers installeert. Voer het MBAMWebSiteInstaller.ps1-script niet uit om de BitLocker-portals in te stellen op zelfstandige MBAM-servers. Wanneer u Configuration Manager BitLocker-beheer instelt, gebruikt u afzonderlijke servers.

Groepsbeleid

  • De BitLocker-beheerinstellingen zijn volledig compatibel met de groepsbeleidsinstellingen van MBAM. Als apparaten zowel groepsbeleidsinstellingen als Configuration Manager-beleid ontvangen, configureert u deze zo dat deze overeenkomen.

    Opmerking

    Als er een groepsbeleidsinstelling bestaat voor zelfstandige MBAM, wordt de equivalente instelling die door Configuration Manager is geprobeerd, overschreven. Zelfstandige MBAM maakt gebruik van domeingroepsbeleid, terwijl Configuration Manager lokaal beleid instelt voor BitLocker-beheer. Domeinbeleid overschrijft het lokale Configuration Manager BitLocker-beheerbeleid. Als het zelfstandige MBAM-domeingroepsbeleid niet overeenkomt met het Configuration Manager-beleid, mislukt Configuration Manager BitLocker-beheer. Als een domeingroepsbeleid bijvoorbeeld de zelfstandige MBAM-server instelt voor belangrijke herstelservices, kan Configuration Manager BitLocker-beheer niet dezelfde instelling instellen voor het beheerpunt. Dit gedrag zorgt ervoor dat clients hun herstelsleutels niet rapporteren aan de Configuration Manager BitLocker-beheersleutelherstelservice op het beheerpunt.

  • Configuration Manager implementeert niet alle mbam-groepsbeleidsinstellingen. Als u meer instellingen in groepsbeleid configureert, houdt de BitLocker-beheeragent op Configuration Manager clients zich aan deze instellingen.

    Belangrijk

    Stel geen groepsbeleid in voor een instelling die Configuration Manager BitLocker-beheer al opgeeft. Stel alleen groepsbeleid in voor instellingen die momenteel niet bestaan in Configuration Manager BitLocker-beheer. Configuration Manager versie 2002 heeft functiepariteit met zelfstandige MBAM. Met Configuration Manager versie 2002 en hoger moet er in de meeste gevallen geen reden zijn om domeingroepsbeleid in te stellen om BitLocker-beleid te configureren. Vermijd het gebruik van groepsbeleid voor BitLocker om conflicten en problemen te voorkomen. Configureer alle instellingen via Configuration Manager BitLocker-beheerbeleid.

TPM-wachtwoordhash

  • Vorige MBAM-clients uploaden de TPM-wachtwoord-hash niet naar Configuration Manager. De client uploadt de TPM-wachtwoord-hash slechts eenmaal.

  • Als u deze informatie wilt migreren naar de Configuration Manager herstelservice, wist u de TPM op het apparaat. Nadat deze opnieuw is gestart, wordt de nieuwe TPM-wachtwoord-hash geüpload naar de herstelservice.

Opmerking

Het uploaden van de TPM-wachtwoord-hash heeft voornamelijk betrekking op versies van Windows voordat Windows 10. Windows 10 of hoger wordt standaard de TPM-wachtwoord-hash niet opgeslagen, zodat deze apparaten deze normaal gesproken niet uploaden. Zie Over het wachtwoord van de TPM-eigenaar voor meer informatie.

Herversleuteling

Configuration Manager versleutelt stations die al zijn beveiligd met BitLocker-stationsversleuteling niet opnieuw. Als u een BitLocker-beheerbeleid implementeert dat niet overeenkomt met de huidige beveiliging van het station, wordt gerapporteerd als niet-compatibel. Het station is nog steeds beveiligd.

U hebt bijvoorbeeld MBAM gebruikt om het station te versleutelen met het AES-XTS 128-versleutelingsalgoritmen, maar voor het Configuration Manager-beleid is AES-XTS 256 vereist. Het station voldoet niet aan het beleid, ook al is het station versleuteld.

Als u dit gedrag wilt omzeilen, schakelt u eerst BitLocker op het apparaat uit. Implementeer vervolgens een nieuw beleid met de nieuwe instellingen.

Co-beheer en Intune

De Configuration Manager clienthandler voor BitLocker is bewust van co-beheer. Als het apparaat co-beheerd wordt en u de Endpoint Protection-workload overschakelt naar Intune, negeert de Configuration Manager-client het BitLocker-beleid. Het apparaat krijgt Windows-versleutelingsbeleid van Intune.

Opmerking

Voor het schakelen tussen versleutelingsbeheerinstanties met behoud van het gewenste versleutelingsalgoritmen zijn geen extra acties op de client vereist. Als u echter van versleutelingsbeheerinstantie verandert en het gewenste versleutelingsalgoritmen ook verandert, moet u plannen voor herversleuteling.

Zie de volgende artikelen voor meer informatie over het beheren van BitLocker met Intune:

Volgende stappen

Over de BitLocker-herstelservice

BitLocker-rapporten en -portals instellen