Delen via


Verwijzing naar BitLocker-instellingen

Van toepassing op: Configuration Manager (current branch)

BitLocker-beheerbeleidsregels in Configuration Manager de volgende beleidsgroepen bevatten:

  • Configuratie
  • Besturingssysteemstation
  • Vast station
  • Verwisselbaar station
  • Clientbeheer

In de volgende secties worden configuraties voor de instellingen in elke groep beschreven en voorgesteld.

Configuratie

De instellingen op deze pagina configureren globale BitLocker-versleutelingsopties.

Stationsversleutelingsmethode en coderingssterkte

Voorgestelde configuratie: ingeschakeld met de standaard- of hogere versleutelingsmethode.

Opmerking

De instellingenpagina bevat twee groepen instellingen voor verschillende versies van Windows. In deze sectie worden beide beschreven.

Windows 8.1-apparaten

Schakel voor Windows 8.1-apparaten de optie stationsversleutelingsmethode en coderingssterkte in en selecteer een van de volgende versleutelingsmethoden:

  • AES 128-bits met diffuser
  • AES 256-bits met diffuser
  • AES 128-bits (standaard)
  • AES 256-bits

Zie New-CMBLEncryptionMethodPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

apparaten Windows 10 of hoger

Schakel voor Windows 10 of nieuwere apparaten de optie stationsversleutelingsmethode en coderingssterkte (Windows 10 of hoger) in. Selecteer vervolgens afzonderlijk een van de volgende versleutelingsmethoden voor besturingssysteemstations, vaste gegevensstations en verwisselbare gegevensstations:

  • AES-CBC 128-bits
  • AES-CBC 256-bits
  • XTS-AES 128-bits (standaard)
  • XTS-AES 256-bits

Tip

BitLocker gebruikt Advanced Encryption Standard (AES) als versleutelingsalgoritmen met configureerbare sleutellengten van 128 of 256 bits. Op Windows 10 of nieuwere apparaten ondersteunt de AES-versleuteling CBC (cipher block chaining) of het stelen van coderingstekst (XTS).

Als u een verwisselbaar station wilt gebruiken op apparaten waarop Windows 10 niet wordt uitgevoerd, gebruikt u AES-CBC.

Zie New-CMBLEncryptionMethodWithXts voor meer informatie over het maken van dit beleid met Windows PowerShell.

Algemene gebruiksopmerkingen voor stationsversleuteling en coderingssterkte

  • Als u deze instellingen uitschakelt of niet configureert, gebruikt BitLocker de standaardversleutelingsmethode.

  • Configuration Manager past deze instellingen toe wanneer u BitLocker inschakelt.

  • Als het station al is versleuteld of wordt uitgevoerd, verandert elke wijziging in deze beleidsinstellingen de stationsversleuteling op het apparaat niet.

  • Als u de standaardwaarde gebruikt, kan het rapport BitLocker-computercompatibiliteit de coderingssterkte als onbekend weergeven. U kunt dit probleem omzeilen door deze instelling in te schakelen en een expliciete waarde in te stellen voor coderingssterkte.

Overschrijven van geheugen voorkomen bij opnieuw opstarten

Voorgestelde configuratie: niet geconfigureerd

Configureer dit beleid om de prestaties van opnieuw opstarten te verbeteren zonder BitLocker-geheimen in het geheugen te overschrijven bij opnieuw opstarten.

Wanneer u dit beleid niet configureert, verwijdert BitLocker de geheimen uit het geheugen wanneer de computer opnieuw wordt opgestart.

Zie New-CMNoOverwritePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Naleving van de regels voor het gebruik van smartcardcertificaten valideren

Voorgestelde configuratie: niet geconfigureerd

Configureer dit beleid om BitLocker-beveiliging op basis van smartcardcertificaten te gebruiken. Geef vervolgens de certificaatobject-id op.

Wanneer u dit beleid niet configureert, gebruikt BitLocker de standaardobject-id 1.3.6.1.4.1.311.67.1.1 om een certificaat op te geven.

Zie New-CMScCompliancePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Unieke organisatie-id's

Voorgestelde configuratie: niet geconfigureerd

Configureer dit beleid voor het gebruik van een agent voor gegevensherstel op basis van certificaten of de BitLocker To Go-lezer.

Wanneer u dit beleid niet configureert, gebruikt BitLocker het veld Identificatie niet.

Als uw organisatie hogere beveiligingsmetingen vereist, configureert u het veld Identificatie . Stel dit veld in op alle doel-USB-apparaten en stem het uit met deze instelling.

Zie New-CMUidPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Besturingssysteemstation

De instellingen op deze pagina configureren de versleutelingsinstellingen voor het station waarop Windows is geïnstalleerd.

Instellingen voor besturingssysteemstationversleuteling

Voorgestelde configuratie: ingeschakeld

Als u deze instelling inschakelt, moet de gebruiker het besturingssysteemstation beveiligen en versleutelt BitLocker het station. Als u dit uitschakelt, kan de gebruiker het station niet beveiligen. Als u dit beleid niet configureert, is BitLocker-beveiliging niet vereist op het besturingssysteemstation.

Opmerking

Als het station al is versleuteld en u deze instelling uitschakelt, ontsleutelt BitLocker het station.

Als u apparaten hebt zonder een Trusted Platform Module (TPM), gebruikt u de optie BitLocker toestaan zonder compatibele TPM (hiervoor is een wachtwoord vereist). Met deze instelling kan BitLocker het besturingssysteemstation versleutelen, zelfs als het apparaat geen TPM heeft. Als u deze optie toestaat, vraagt Windows de gebruiker om een BitLocker-wachtwoord op te geven.

Op apparaten met een compatibele TPM kunnen bij het opstarten twee typen verificatiemethoden worden gebruikt om extra beveiliging te bieden voor versleutelde gegevens. Wanneer de computer wordt gestart, kan deze alleen de TPM gebruiken voor verificatie, of kan het ook nodig zijn om een persoonlijk identificatienummer (pincode) in te voeren. Configureer de volgende instellingen:

  • Selecteer beveiliging voor het besturingssysteemstation: configureer dit voor het gebruik van een TPM en pincode, of alleen de TPM.

  • Minimale pincodelengte configureren voor opstarten: als u een pincode nodig hebt, is deze waarde de kortste lengte die de gebruiker kan opgeven. De gebruiker voert deze pincode in wanneer de computer wordt opgestart om het station te ontgrendelen. De minimale lengte van de pincode is 4standaard .

Tip

Voor een betere beveiliging kunt u, wanneer u apparaten met TPM en pincodebeveiliging inschakelt, overwegen de volgende groepsbeleidsinstellingen uit te schakelen inSlaapstandinstellingen voor systeembeheer>>:

  • Stand-bystatussen (S1-S3) toestaan tijdens de slaapstand (aangesloten)

  • Stand-bystatussen toestaan (S1-S3) tijdens slaapstand (op batterij)

Zie New-CMBMSOSDEncryptionPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Verbeterde pincodes toestaan voor opstarten

Voorgestelde configuratie: niet geconfigureerd

Configureer BitLocker voor het gebruik van verbeterde opstart-pincodes. Met deze pincodes kunt u meer tekens gebruiken, zoals hoofdletters en kleine letters, symbolen, cijfers en spaties. Deze instelling is van toepassing wanneer u BitLocker inschakelt.

Belangrijk

Niet alle computers kunnen verbeterde pincodes ondersteunen in de pre-opstartomgeving. Voordat u het gebruik ervan inschakelt, moet u evalueren of uw apparaten compatibel zijn met deze functie.

Als u deze instelling inschakelt, kunnen alle nieuwe BitLocker-opstart-pincodes de gebruiker verbeterde pincodes maken.

  • Alleen ASCII-pincodes vereisen: help verbeterde pincodes compatibeler te maken met computers die het type of het aantal tekens beperken dat u kunt invoeren in de pre-opstartomgeving.

Als u deze beleidsinstelling uitschakelt of niet configureert, maakt BitLocker geen gebruik van verbeterde pincodes.

Zie New-CMEnhancedPIN voor meer informatie over het maken van dit beleid met Windows PowerShell.

Wachtwoordbeleid voor besturingssysteemstations

Voorgestelde configuratie: niet geconfigureerd

Gebruik deze instellingen om de beperkingen voor wachtwoorden in te stellen voor het ontgrendelen van met BitLocker beveiligde besturingssysteemstations. Als u niet-TPM-beveiligingen op besturingssysteemstations toestaat, configureert u de volgende instellingen:

  • Wachtwoordcomplexiteit configureren voor besturingssysteemstations: als u complexiteitsvereisten voor het wachtwoord wilt afdwingen, selecteert u Wachtwoordcomplexiteit vereisen.

  • Minimale wachtwoordlengte voor besturingssysteemstation: de minimumlengte is 8standaard .

  • Alleen ASCII-wachtwoorden vereisen voor verwisselbare besturingssysteemstations

Als u deze beleidsinstelling inschakelt, kunnen gebruikers een wachtwoord configureren dat voldoet aan de vereisten die u definieert.

Zie New-CMOSPassphrase voor meer informatie over het maken van dit beleid met Windows PowerShell.

Algemene gebruiksopmerkingen voor wachtwoordbeleid voor besturingssysteemstations

  • Om deze instellingen voor complexiteitsvereisten effectief te maken, schakelt u ook de groepsbeleidsinstelling Wachtwoord moet voldoen aan complexiteitsvereisten in Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>wachtwoordbeleid in.

  • BitLocker dwingt deze instellingen af wanneer u deze inschakelt, niet wanneer u een volume ontgrendelt. Met BitLocker kunt u een station ontgrendelen met een van de beveiligingen die beschikbaar zijn op het station.

  • Als u groepsbeleid gebruikt om FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening in te schakelen, kunt u wachtwoorden niet toestaan als BitLocker-beveiliging.

Platformvalidatiegegevens opnieuw instellen na BitLocker-herstel

Voorgestelde configuratie: niet geconfigureerd

Bepalen of Windows platformvalidatiegegevens vernieuwt wanneer deze worden gestart na BitLocker-herstel.

Als u deze instelling inschakelt of niet configureert, worden in deze situatie de platformvalidatiegegevens vernieuwd.

Als u deze beleidsinstelling uitschakelt, worden in deze situatie geen platformvalidatiegegevens vernieuwd.

Zie New-CMTpmAutoResealPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Pre-boot herstelbericht en URL

Voorgestelde configuratie: niet geconfigureerd

Wanneer BitLocker het besturingssysteemstation vergrendelt, gebruikt u deze instelling om een aangepast herstelbericht of een URL weer te geven op het BitLocker-herstelscherm vóór het opstarten. Deze instelling is alleen van toepassing op apparaten met Windows 10 of hoger.

Wanneer u deze instelling inschakelt, selecteert u een van de volgende opties voor het pre-boot-herstelbericht:

  • Standaardherstelbericht en -URL gebruiken: geef het standaard BitLocker-herstelbericht en de STANDAARD-URL weer in het BitLocker-herstelscherm vóór opstarten. Als u eerder een aangepast herstelbericht of aangepaste herstel-URL hebt geconfigureerd, gebruikt u deze optie om terug te keren naar het standaardbericht.

  • Aangepast herstelbericht gebruiken: neem een aangepast bericht op in het bitlocker-herstelscherm voor het opstarten.

    • Optie voor aangepast herstelbericht: typ het aangepaste bericht dat moet worden weergegeven. Als u ook een herstel-URL wilt opgeven, neemt u deze op als onderdeel van dit aangepaste herstelbericht. De maximale tekenreekslengte is 32.768 tekens.
  • Aangepaste herstel-URL gebruiken: vervang de standaard-URL die wordt weergegeven in het bitlocker-herstelscherm vóór opstarten.

    • Optie aangepaste herstel-URL: typ de URL die moet worden weergegeven. De maximale tekenreekslengte is 32.768 tekens.

Opmerking

Niet alle tekens en talen worden ondersteund tijdens het opstarten. Test eerst uw aangepaste bericht of URL om te controleren of deze correct wordt weergegeven in het BitLocker-herstelscherm vóór het opstarten.

Zie New-CMPrebootRecoveryInfo voor meer informatie over het maken van dit beleid met Windows PowerShell.

Instellingen voor het afdwingen van versleutelingsbeleid (besturingssysteemstation)

Voorgestelde configuratie: ingeschakeld

Configureer het aantal dagen dat gebruikers BitLocker-naleving voor het besturingssysteemstation kunnen uitstellen. De respijtperiode voor niet-naleving begint wanneer Configuration Manager voor het eerst detecteert dat deze niet-compatibel is. Nadat deze respijtperiode is verstreken, kunnen gebruikers de vereiste actie niet uitstellen of een uitzondering aanvragen.

Als voor het versleutelingsproces gebruikersinvoer is vereist, wordt er een dialoogvenster weergegeven in Windows dat de gebruiker pas kan sluiten als deze de vereiste informatie heeft opgegeven. Toekomstige meldingen voor fouten of status hebben deze beperking niet.

Als BitLocker geen gebruikersinteractie vereist om een beveiliging toe te voegen, start BitLocker versleuteling op de achtergrond nadat de respijtperiode is verstreken.

Als u deze instelling uitschakelt of niet configureert, hoeft Configuration Manager gebruikers niet te voldoen aan het BitLocker-beleid.

Als u het beleid onmiddellijk wilt afdwingen, stelt u een respijtperiode in van 0.

Zie New-CMUseOsEnforcePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Vast station

Met de instellingen op deze pagina configureert u versleuteling voor andere gegevensstations op een apparaat.

Versleuteling van gegevensstation opgelost

Voorgestelde configuratie: ingeschakeld

Uw vereisten voor versleuteling van vaste gegevensstations beheren. Als u deze instelling inschakelt, vereist BitLocker dat gebruikers alle vaste gegevensstations onder beveiliging plaatsen. Vervolgens worden de gegevensstations versleuteld.

Wanneer u dit beleid inschakelt, schakelt u automatisch ontgrendelen of de instellingen voor wachtwoordbeleid voor vast gegevensstation in.

  • Automatisch ontgrendelen configureren voor een vast gegevensstation: BitLocker toestaan of vereisen dat een versleuteld gegevensstation automatisch wordt ontgrendeld. Als u automatisch ontgrendelen wilt gebruiken, moet u ook BitLocker vereisen om het besturingssysteemstation te versleutelen.

Als u deze instelling niet configureert, vereist BitLocker niet dat gebruikers vaste gegevensstations onder beveiliging plaatsen.

Als u deze instelling uitschakelt, kunnen gebruikers hun vaste gegevensstations niet onder BitLocker-beveiliging plaatsen. Als u dit beleid uitschakelt nadat BitLocker vaste gegevensstations versleutelt, ontsleutelt BitLocker de vaste gegevensstations.

Zie New-CMBMSFDVEncryptionPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Schrijftoegang weigeren tot vaste stations die niet worden beveiligd door BitLocker

Voorgestelde configuratie: niet geconfigureerd

BitLocker-beveiliging vereisen voor Windows om gegevens te schrijven naar vaste stations op het apparaat. BitLocker past dit beleid toe wanneer u het inschakelt.

Wanneer u deze instelling inschakelt:

  • Als BitLocker een vast gegevensstation beveiligt, wordt dit door Windows gekoppeld met lees- en schrijftoegang.

  • Voor een vast gegevensstation dat niet door BitLocker wordt beveiligd, wordt dit door Windows als alleen-lezen gekoppeld.

Wanneer u deze instelling niet configureert, koppelt Windows alle vaste gegevensstations met lees- en schrijftoegang.

Zie New-CMFDVDenyWriteAccessPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Wachtwoordbeleid voor gegevensstations opgelost

Voorgestelde configuratie: niet geconfigureerd

Gebruik deze instellingen om de beperkingen voor wachtwoorden in te stellen voor het ontgrendelen van met BitLocker beveiligde vaste gegevensstations.

Als u deze instelling inschakelt, kunnen gebruikers een wachtwoord configureren dat voldoet aan uw gedefinieerde vereisten.

Voor een betere beveiliging schakelt u deze instelling in en configureert u vervolgens de volgende instellingen:

  • Wachtwoord vereisen voor een vast gegevensstation: gebruikers moeten een wachtwoord opgeven om een met BitLocker beveiligd vast gegevensstation te ontgrendelen.

  • Wachtwoordcomplexiteit configureren voor vaste gegevensstations: als u complexiteitsvereisten voor het wachtwoord wilt afdwingen, selecteert u Wachtwoordcomplexiteit vereisen.

  • Minimale wachtwoordlengte voor vast gegevensstation: de minimumlengte is 8standaard .

Als u deze instelling uitschakelt, kunnen gebruikers geen wachtwoord configureren.

Wanneer het beleid niet is geconfigureerd, ondersteunt BitLocker wachtwoorden met de standaardinstellingen. De standaardinstellingen bevatten geen vereisten voor wachtwoordcomplexiteit en vereisen slechts acht tekens.

Zie New-CMFDVPassPhrasePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Algemene gebruiksopmerkingen voor wachtwoordbeleid voor vaste gegevensstations

  • Om deze instellingen voor complexiteitsvereisten effectief te maken, schakelt u ook de groepsbeleidsinstelling Wachtwoord moet voldoen aan complexiteitsvereisten in Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>wachtwoordbeleid in.

  • BitLocker dwingt deze instellingen af wanneer u deze inschakelt, niet wanneer u een volume ontgrendelt. Met BitLocker kunt u een station ontgrendelen met een van de beveiligingen die beschikbaar zijn op het station.

  • Als u groepsbeleid gebruikt om FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening in te schakelen, kunt u wachtwoorden niet toestaan als BitLocker-beveiliging.

Instellingen voor het afdwingen van versleutelingsbeleid (vast gegevensstation)

Voorgestelde configuratie: ingeschakeld

Configureer het aantal dagen dat gebruikers BitLocker-naleving voor vaste gegevensstations kunnen uitstellen. De respijtperiode voor niet-naleving begint wanneer Configuration Manager het vaste gegevensstation voor het eerst detecteert als niet-compatibel. Het beleid voor vaste gegevensstations wordt pas afgedwongen als het besturingssysteemstation compatibel is. Nadat de respijtperiode is verstreken, kunnen gebruikers de vereiste actie niet uitstellen of een uitzondering aanvragen.

Als voor het versleutelingsproces gebruikersinvoer is vereist, wordt er een dialoogvenster weergegeven in Windows dat de gebruiker pas kan sluiten als deze de vereiste informatie heeft opgegeven. Toekomstige meldingen voor fouten of status hebben deze beperking niet.

Als BitLocker geen gebruikersinteractie vereist om een beveiliging toe te voegen, start BitLocker versleuteling op de achtergrond nadat de respijtperiode is verstreken.

Als u deze instelling uitschakelt of niet configureert, hoeft Configuration Manager gebruikers niet te voldoen aan het BitLocker-beleid.

Als u het beleid onmiddellijk wilt afdwingen, stelt u een respijtperiode in van 0.

Zie New-CMUseFddEnforcePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Verwisselbaar station

De instellingen op deze pagina configureren versleuteling voor verwisselbare stations, zoals USB-sleutels.

Versleuteling van verwisselbaar gegevensstation

Voorgestelde configuratie: ingeschakeld

Met deze instelling bepaalt u het gebruik van BitLocker op verwisselbare stations.

  • Gebruikers toestaan bitLocker-beveiliging toe te passen op verwisselbare gegevensstations: gebruikers kunnen BitLocker-beveiliging inschakelen voor een verwisselbaar station.

  • Toestaan dat gebruikers BitLocker op verwisselbare gegevensstations onderbreken en ontsleutelen: gebruikers kunnen BitLocker-stationsversleuteling van een verwisselbaar station verwijderen of tijdelijk onderbreken.

Wanneer u deze instelling inschakelt en gebruikers toestaat BitLocker-beveiliging toe te passen, slaat de Configuration Manager-client herstelgegevens over verwisselbare stations op in de herstelservice op het beheerpunt. Met dit gedrag kunnen gebruikers het station herstellen als ze de beveiliging (wachtwoord) vergeten of kwijtraken.

Wanneer u deze instelling inschakelt:

  • De instellingen voor wachtwoordbeleid voor verwisselbare gegevensstations inschakelen

  • Schakel de volgende groepsbeleidsinstellingen uit in Systeem>verwisselbare opslagtoegang voor zowel gebruikers- & computerconfiguraties:

    • Alle verwisselbare opslagklassen: Alle toegang weigeren
    • Verwisselbare schijven: Schrijftoegang weigeren
    • Verwisselbare schijven: Leestoegang weigeren

Als u deze instelling uitschakelt, kunnen gebruikers BitLocker niet gebruiken op verwisselbare stations.

Zie New-CMRDVConfigureBDEPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Schrijftoegang weigeren tot verwisselbare stations die niet worden beveiligd met BitLocker

Voorgestelde configuratie: niet geconfigureerd

BitLocker-beveiliging vereisen voor Windows om gegevens te schrijven naar verwisselbare stations op het apparaat. BitLocker past dit beleid toe wanneer u het inschakelt.

Wanneer u deze instelling inschakelt:

  • Als BitLocker een verwisselbaar station beveiligt, wordt dit door Windows gekoppeld met lees- en schrijftoegang.

  • Voor een verwisselbaar station dat niet door BitLocker wordt beveiligd, wordt het gekoppeld als alleen-lezen.

  • Als u de optie Schrijftoegang weigeren voor apparaten die zijn geconfigureerd in een andere organisatie inschakelt, geeft BitLocker alleen schrijftoegang tot verwisselbare stations met identificatievelden die overeenkomen met de toegestane identificatievelden. Definieer deze velden met de globale instellingen voor organisatie-unieke id's op de pagina Setup .

Wanneer u deze instelling uitschakelt of niet configureert, worden alle verwisselbare stations met lees- en schrijftoegang gekoppeld.

Opmerking

U kunt deze instelling overschrijven met de groepsbeleidsinstellingen in Systeem>verwisselbare opslagtoegang. Als u de groepsbeleidsinstelling Verwisselbare schijven: Schrijftoegang weigeren inschakelt, negeert BitLocker deze Configuration Manager instelling.

Zie New-CMRDVDenyWriteAccessPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Wachtwoordbeleid voor verwisselbare gegevensstations

Voorgestelde configuratie: ingeschakeld

Gebruik deze instellingen om de beperkingen voor wachtwoorden in te stellen voor het ontgrendelen van verwisselbare stations met BitLocker-beveiliging.

Als u deze instelling inschakelt, kunnen gebruikers een wachtwoord configureren dat voldoet aan uw gedefinieerde vereisten.

Voor een betere beveiliging schakelt u deze instelling in en configureert u vervolgens de volgende instellingen:

  • Wachtwoord vereisen voor verwisselbaar gegevensstation: gebruikers moeten een wachtwoord opgeven om een met BitLocker beveiligd verwisselbaar station te ontgrendelen.

  • Wachtwoordcomplexiteit configureren voor verwisselbare gegevensstations: als u complexiteitsvereisten voor het wachtwoord wilt afdwingen, selecteert u Wachtwoordcomplexiteit vereisen.

  • Minimale wachtwoordlengte voor verwisselbaar gegevensstation: de minimale lengte is 8standaard .

Als u deze instelling uitschakelt, kunnen gebruikers geen wachtwoord configureren.

Wanneer het beleid niet is geconfigureerd, ondersteunt BitLocker wachtwoorden met de standaardinstellingen. De standaardinstellingen bevatten geen vereisten voor wachtwoordcomplexiteit en vereisen slechts acht tekens.

Zie New-CMRDVPassPhrasePolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Algemene gebruiksopmerkingen voor wachtwoordbeleid voor verwisselbare gegevensstations

  • Om deze instellingen voor complexiteitsvereisten effectief te maken, schakelt u ook de groepsbeleidsinstelling Wachtwoord moet voldoen aan complexiteitsvereisten in Computerconfiguratie>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid>wachtwoordbeleid in.

  • BitLocker dwingt deze instellingen af wanneer u deze inschakelt, niet wanneer u een volume ontgrendelt. Met BitLocker kunt u een station ontgrendelen met een van de beveiligingen die beschikbaar zijn op het station.

  • Als u groepsbeleid gebruikt om FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening in te schakelen, kunt u wachtwoorden niet toestaan als BitLocker-beveiliging.

Clientbeheer

Met de instellingen op deze pagina worden BitLocker-beheerservices en -clients geconfigureerd.

BitLocker Management Services

Voorgestelde configuratie: ingeschakeld

Wanneer u deze instelling inschakelt, Configuration Manager automatisch en op de achtergrond back-ups maken van belangrijke herstelgegevens in de sitedatabase. Als u deze instelling uitschakelt of niet configureert, slaat Configuration Manager geen belangrijke herstelgegevens op.

  • Selecteer BitLocker-herstelgegevens om op te slaan: Configureer de sleutelherstelservice voor het maken van een back-up van BitLocker-herstelgegevens. Het biedt een beheermethode voor het herstellen van gegevens die zijn versleuteld door BitLocker, waardoor gegevensverlies vanwege het ontbreken van belangrijke informatie wordt voorkomen.

  • Toestaan dat herstelgegevens worden opgeslagen in tekst zonder opmaak: zonder een BitLocker-beheerversleutelingscertificaat voor SQL Server slaat Configuration Manager de sleutelherstelgegevens op in tekst zonder opmaak. Zie Herstelgegevens in de database versleutelen voor meer informatie.

  • Clientcontrole van de statusfrequentie (minuten): op de geconfigureerde frequentie controleert de client het BitLocker-beveiligingsbeleid en de status op de computer en maakt ook een back-up van de clientherstelsleutel. Standaard controleert de Configuration Manager-client de BitLocker-status elke 90 minuten.

    Belangrijk

    Stel deze waarde niet in op minder dan 60. Een kleinere frequentiewaarde kan ertoe leiden dat de client onnauwkeurige nalevingsstatussen kort rapporteert.

Zie voor meer informatie over het maken van deze beleidsregels met Windows PowerShell:

Beleid voor gebruikersvrijstelling

Voorgestelde configuratie: niet geconfigureerd

Configureer een contactmethode voor gebruikers om een uitzondering van BitLocker-versleuteling aan te vragen.

Als u deze beleidsinstelling inschakelt, geeft u de volgende informatie op:

  • Maximum aantal uit te stellen dagen: hoeveel dagen de gebruiker een afgedwongen beleid kan uitstellen. Deze waarde is 7 standaard dagen (één week).

  • Contactmethode: geef op hoe gebruikers een uitzondering kunnen aanvragen: URL, e-mailadres of telefoonnummer.

  • Contactpersoon: geef de URL, het e-mailadres of het telefoonnummer op. Wanneer een gebruiker een uitzondering van BitLocker-beveiliging aanvraagt, ziet deze een Windows-dialoogvenster met instructies voor het toepassen. Configuration Manager valideert de gegevens die u invoert niet.

    • URL: gebruik de standaard-URL-indeling, https://website.domain.tld. Windows geeft de URL weer als een hyperlink.

    • Email adres: gebruik de standaardindeling voor e-mailadressen, user@domain.tld. In Windows wordt het adres weergegeven als de volgende hyperlink: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Telefoonnummer: geef het nummer op dat uw gebruikers moeten bellen. Windows geeft het nummer weer met de volgende beschrijving: Please call <your number> for applying exemption.

Als u deze instelling uitschakelt of niet configureert, worden de instructies voor de uitzonderingsaanvraag niet weergegeven voor gebruikers.

Opmerking

BitLocker beheert uitzonderingen per gebruiker, niet per computer. Als meerdere gebruikers zich aanmelden bij dezelfde computer en één gebruiker niet is uitgesloten, versleutelt BitLocker de computer.

Zie New-CMBMSUserExemptionPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Voorgestelde configuratie: ingeschakeld

Geef een URL op die moet worden weergegeven voor gebruikers als het beveiligingsbeleid van het bedrijf in Windows. Gebruik deze koppeling om gebruikers te voorzien van informatie over versleutelingsvereisten. Het wordt weergegeven wanneer BitLocker de gebruiker vraagt een station te versleutelen.

Als u deze instelling inschakelt, configureert u de koppelings-URL voor beveiligingsbeleid.

Als u deze instelling uitschakelt of niet configureert, wordt de koppeling naar het beveiligingsbeleid niet weergegeven in BitLocker.

Zie New-CMMoreInfoUrlPolicy voor meer informatie over het maken van dit beleid met Windows PowerShell.

Volgende stappen

Als u Windows PowerShell gebruikt om deze beleidsobjecten te maken, gebruikt u de cmdlet New-CMBlmSetting. Met deze cmdlet maakt u een BitLocker-beheerbeleidsinstellingenobject dat alle opgegeven beleidsregels bevat. Als u de beleidsinstellingen wilt implementeren in een verzameling, gebruikt u de cmdlet New-CMSettingDeployment .