Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w usłudze Intune
Wyświetl ustawienia, które można skonfigurować w profilach zasad szyfrowania dysków w węźle Zabezpieczenia punktu końcowego usługi Intune w ramach zasad zabezpieczeń punktu końcowego.
Uwaga
Począwszy od 19 czerwca 2023 r., profil funkcji BitLocker dla systemu Windows został zaktualizowany w celu używania formatu ustawień, jak pokazano w katalogu ustawień. Nowy format profilu zawiera te same ustawienia co starszy profil, ale ze względu na nowy format nazwy ustawień w centrum administracyjnym usługi Intune zostały zaktualizowane. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu. Istniejące wystąpienia starego profilu pozostają dostępne do użycia i edycji.
Szczegóły ustawień w tym artykule dotyczą tylko profilów funkcji BitLocker utworzonych przed 19 czerwca 2023 r.
W nowym formacie profilu nie publikujemy już dedykowanej listy ustawień, jak można znaleźć w profilu. Zamiast tego użyj linku Dowiedz się więcej w interfejsie użytkownika podczas wyświetlania informacji o ustawieniu, aby otworzyć program CSP funkcji BitLocker w dokumentacji systemu Windows, gdzie ustawienie jest szczegółowo opisane.
Dotyczy:
- macOS
- Windows 10
- Windows 11
Obsługiwane platformy i profile:
-
macOS:
- Profil: FileVault
-
System Windows 10 i nowsze:
- Profil: Funkcja BitLocker
FileVault
Szyfrowanie
Włączanie programu FileVault
Nie skonfigurowano (wartość domyślna)
Tak — włącz szyfrowanie pełnego dysku przy użyciu protokołu XTS-AES 128 z programem FileVault na urządzeniach z systemem macOS 10.13 lub nowszym. Program FileVault jest włączony, gdy użytkownik wylogowuje się z urządzenia.
Po ustawieniu opcji Tak można skonfigurować więcej ustawień dla programu FileVault.
Typ klucza odzyskiwaniaKlucz osobisty klucza odzyskiwania są tworzone dla urządzeń. Skonfiguruj następujące ustawienia dla klucza osobistego:
-
Rotacja osobistego klucza odzyskiwania
Określ częstotliwość rotacji osobistego klucza odzyskiwania dla urządzenia. Możesz wybrać wartość domyślną Nieskonfigurowane lub wartość od 1 do 12 miesięcy. -
Opis lokalizacji escrow osobistego klucza odzyskiwania
Określ krótki komunikat do użytkownika, który wyjaśnia, w jaki sposób może pobrać swój osobisty klucz odzyskiwania. Użytkownik widzi tę wiadomość na ekranie logowania po wyświetleniu monitu o wprowadzenie osobistego klucza odzyskiwania, jeśli hasło zostanie zapomniane.
-
Rotacja osobistego klucza odzyskiwania
Liczba dozwolonych czasów obejścia
Ustaw, ile razy użytkownik może ignorować monity o włączenie programu FileVault, zanim program FileVault będzie wymagany do zalogowania się użytkownika.- Nie skonfigurowano (ustawienie domyślne) — szyfrowanie na urządzeniu jest wymagane przed zezwoleniem na następne logowanie.
- Od 1 do 10 — umożliwia użytkownikowi zignorowanie monitu od 1 do 10 razy przed wymaganiem szyfrowania na urządzeniu.
- Bez limitu, zawsze monituj — użytkownik jest monitowany o włączenie usługi FileVault, ale szyfrowanie nigdy nie jest wymagane.
Zezwalaj na odroczenie do momentu wylogowywania
- Nie skonfigurowano (wartość domyślna)
- Tak — odrocz monit, aby włączyć program FileVault, dopóki użytkownik się nie wyloguje.
Wyłącz monit podczas wylogowywania
Uniemożliwiaj monit użytkownikowi, który żąda włączenia programu FileVault podczas wylogowywania się. Po ustawieniu opcji Wyłącz monit podczas wylogowywania jest wyłączony, a zamiast tego użytkownik jest monitowany po zalogowaniu się.- Nie skonfigurowano (wartość domyślna)
- Tak — wyłącz monit, aby włączyć funkcję FileVault wyświetlaną podczas wylogowywania.
Ukryj klucz odzyskiwania
Ukryj osobisty klucz odzyskiwania przed użytkownikiem urządzenia z systemem macOS podczas szyfrowania. Po zaszyfrowanym dysku użytkownik może użyć dowolnego urządzenia do wyświetlenia osobistego klucza odzyskiwania za pośrednictwem witryny internetowej Portal firmy usługi Intune lub aplikacji Portal firmy na obsługiwanej platformie.- Nie skonfigurowano (wartość domyślna)
- Tak — ukryj osobisty klucz odzyskiwania podczas szyfrowania urządzenia.
Funkcja BitLocker
Uwaga
W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach funkcji BitLocker utworzonych przed 19 czerwca 2023 r. dla systemu Windows 10 i nowszej platformy dla zasad szyfrowania dysków zabezpieczeń punktu końcowego. 19 czerwca 2023 r. profil systemu Windows 10 i nowszych został zaktualizowany w celu używania nowego formatu ustawień, jak pokazano w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.
W przypadku profilów korzystających z nowego formatu ustawień usługa Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśniający widoczny w centrum administracyjnym usługi Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.
Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.
BitLocker — ustawienia podstawowe
Włączanie pełnego szyfrowania dysków dla systemów operacyjnych i stałych dysków danych
Dostawca usług kryptograficznych: BitLocker — RequireDeviceEncryptionJeśli dysk został zaszyfrowany przed zastosowaniem tych zasad, nie są podejmowane żadne dodatkowe działania. Jeśli metoda szyfrowania i opcje są zgodne z tą zasadą, konfiguracja powinna zwrócić powodzenie. Jeśli opcja konfiguracji funkcji BitLocker w miejscu nie jest zgodna z tą zasadą, konfiguracja prawdopodobnie zwróci błąd.
Aby zastosować te zasady do dysku już zaszyfrowanego, odszyfruj dysk i ponownie zastosuj zasady MDM. Domyślnie system Windows nie wymaga szyfrowania dysków funkcją BitLocker. Jednak w przypadku automatycznego szyfrowania rejestracji/logowania przy użyciu funkcji Microsoft Entra join i konta Microsoft (MSA) można zastosować włączanie funkcji BitLocker przy szyfrowaniu 128-bitowym XTS-AES.
- Nie skonfigurowano (ustawienie domyślne) — nie jest wykonywane wymuszanie funkcji BitLocker.
- Tak — wymusza użycie funkcji BitLocker.
Wymagaj szyfrowania kart pamięci (tylko urządzenia przenośne)
Dostawca usług kryptograficznych: BitLocker — RequireStorageCardEncryptionTo ustawienie dotyczy tylko urządzeń ZUS z systemami Windows Mobile i Mobile Enterprise.
- Nieskonfigurowane (ustawienie domyślne) — ustawienie powraca do domyślnego ustawienia systemu operacyjnego, czyli nie wymaga szyfrowania kartą magazynu.
- Tak — szyfrowanie na kartach pamięci jest wymagane dla urządzeń przenośnych.
Uwaga
Obsługa systemów Windows 10 Mobile i Windows Phone 8.1 zakończyła się w sierpniu 2020 r.
Ukryj monit o szyfrowanie innych firm
Dostawca usług kryptograficznych: BitLocker — AllowWarningForOtherDiskEncryptionJeśli funkcja BitLocker jest włączona w systemie, który jest już zaszyfrowany przez produkt szyfrowania innej firmy, może spowodować, że urządzenie będzie bezużyteczne. Może wystąpić utrata danych i może być konieczne ponowne zainstalowanie systemu Windows. Zdecydowanie zaleca się, aby nigdy nie włączać funkcji BitLocker na urządzeniu z zainstalowanym lub włączonym szyfrowaniem innych firm.
Domyślnie kreator konfiguracji funkcji BitLocker monituje użytkowników o potwierdzenie, że nie istnieje żadne szyfrowanie innych firm.
- Nie skonfigurowano (ustawienie domyślne) — kreator konfiguracji funkcji BitLocker wyświetla ostrzeżenie i monituje użytkowników o potwierdzenie braku szyfrowania innych firm.
- Tak — ukryj monit kreatorów konfiguracji funkcji BitLocker przed użytkownikami.
Jeśli funkcje włączania funkcji BitLocker w trybie dyskretnym są wymagane, ostrzeżenie o szyfrowaniu innych firm musi być ukryte, ponieważ dowolny wymagany monit przerywa przepływy pracy włączania dyskretnego.
Po ustawieniu wartości Tak możesz skonfigurować następujące ustawienie:
Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas rozwiązania Autopilot
Dostawca usług kryptograficznych: BitLocker — AllowStandardUserEncryption- Nie skonfigurowano (ustawienie domyślne) — ustawienie pozostaje domyślne dla klienta, czyli wymaganie dostępu administratora lokalnego w celu włączenia funkcji BitLocker.
- Tak — w scenariuszach włączania dyskretnego dołączania do usługi Microsoft Entra użytkownicy nie muszą być administratorami lokalnymi, aby włączyć funkcję BitLocker.
W przypadku scenariuszy włączania bez milczenia i rozwiązania Autopilot użytkownik musi być administratorem lokalnym, aby ukończyć pracę kreatora instalacji funkcji BitLocker.
Konfigurowanie rotacji haseł odzyskiwania opartej na kliencie
Zasady zabezpieczeń zawartości: Funkcja BitLocker — ConfigureRecoveryPasswordRotationDodawanie urządzeń z kontem służbowym (AWA, formalnie przyłączonych do miejsca pracy) nie jest obsługiwane w przypadku rotacji kluczy.
- Nie skonfigurowano (wartość domyślna) — klient nie będzie obracał kluczy odzyskiwania funkcji BitLocker.
- Wyłączona
- Urządzenia przyłączone do usługi Microsoft Entra
- Urządzenia przyłączone hybrydowo do usługi Microsoft Entra
Funkcja BitLocker — ustawienia dysku stałego
Zasady dysków stałych funkcji BitLocker
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveTypeOdzyskiwanie dysku stałego
Zasady zabezpieczeń zawartości: Funkcja BitLocker — FixedDrivesRecoveryOptionsKontrolowanie sposobu odzyskiwania stałych dysków danych chronionych przez funkcję BitLocker w przypadku braku wymaganych informacji o kluczu uruchamiania.
- Nie skonfigurowano (ustawienie domyślne) — obsługiwane są domyślne opcje odzyskiwania, w tym agent odzyskiwania danych (DRA). Użytkownik końcowy może określić opcje odzyskiwania, a informacje odzyskiwania nie są kopią zapasową w usłudze Microsoft Entra.
- Konfigurowanie — umożliwia dostęp do konfigurowania różnych technik odzyskiwania dysków.
Po ustawieniu opcji Skonfiguruj dostępne są następujące ustawienia:
Tworzenie klucza odzyskiwania przez użytkownika
- Zablokowane (ustawienie domyślne)
- Wymagany
- Dozwolone
Konfigurowanie pakietu odzyskiwania funkcji BitLocker
- Hasło i klucz (domyślnie) — uwzględnij zarówno hasło odzyskiwania funkcji BitLocker używane przez administratorów, jak i użytkowników do odblokowywania dysków chronionych, oraz pakiety kluczy odzyskiwania używane przez administratorów do odzyskiwania danych w usłudze Active Directory.
- Tylko hasło — pakiety kluczy odzyskiwania mogą być niedostępne w razie potrzeby.
Wymaganie od urządzenia tworzenia kopii zapasowej informacji odzyskiwania w usłudze Microsoft Entra
- Nie skonfigurowano (ustawienie domyślne) — włączenie funkcji BitLocker zakończy się, nawet jeśli kopia zapasowa klucza odzyskiwania w identyfikatorze Microsoft Entra zakończy się niepowodzeniem. Może to spowodować, że żadne informacje odzyskiwania nie będą przechowywane zewnętrznie.
- Tak — funkcja BitLocker nie zakończy włączania, dopóki klucze odzyskiwania nie zostaną pomyślnie zapisane w usłudze Microsoft Entra.
Tworzenie hasła odzyskiwania przez użytkownika
- Zablokowane (ustawienie domyślne)
- Wymagany
- Dozwolone
Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker
- Nie skonfigurowano (ustawienie domyślne) — zezwala użytkownikowi na dostęp do dodatkowych opcji odzyskiwania.
- Tak — zablokuj użytkownikowi końcowemu możliwość wybierania dodatkowych opcji odzyskiwania, takich jak drukowanie kluczy odzyskiwania w kreatorze instalacji funkcji BitLocker.
Włączanie funkcji BitLocker po zapisaniu informacji odzyskiwania
- Nie skonfigurowano (wartość domyślna)
- Tak — ustawiając wartość Tak, informacje odzyskiwania funkcji BitLocker zostaną zapisane w usługach Active Directory Domain Services.
Blokowanie korzystania z agenta odzyskiwania danych opartego na certyfikatach (DRA)
- Nie skonfigurowano (ustawienie domyślne) — umożliwia skonfigurowanie użycia funkcji DRA. Skonfigurowanie funkcji DRA wymaga infrastruktury kluczy publicznych przedsiębiorstwa i obiektów zasad grupy do wdrożenia agenta i certyfikatów DRA.
- Tak — zablokuj możliwość korzystania z agenta odzyskiwania danych (DRA) do odzyskiwania dysków z włączoną funkcją BitLocker.
Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker
Dostawca usług kryptograficznych: BitLocker — FixedDrivesRequireEncryption
To ustawienie jest dostępne, gdy zasady dysków stałych funkcji BitLocker mają ustawioną wartość Konfiguruj.- Nie skonfigurowano (ustawienie domyślne) — dane mogą być zapisywane na nieszyfrowanych dyskach stałych.
- Tak — system Windows nie zezwala na zapisywanie żadnych danych na dyskach stałych, które nie są chronione przez funkcję BitLocker. Jeśli dysk stały nie jest zaszyfrowany, użytkownik musi ukończyć kreatora konfiguracji funkcji BitLocker dla dysku przed udzieleniem dostępu do zapisu.
Konfigurowanie metody szyfrowania dla stałych dysków danych
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveTypeSkonfiguruj metodę szyfrowania i siłę szyfrowania dla dysków z stałymi dyskami danych. XTS — 128-bitowa wersja AES to domyślna metoda szyfrowania systemu Windows i zalecana wartość.
- Nie skonfigurowano (wartość domyślna)
- AES 128bit CBC
- AES 256-bitowe CBC
- AES 128-bitowy XTS
- AES 256bit XTS
BitLocker — ustawienia dysku systemu operacyjnego
Zasady dysków systemowych funkcji BitLocker
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType- Konfigurowanie (domyślne)
- Nie skonfigurowano
Po ustawieniu opcji Konfiguruj można skonfigurować następujące ustawienia:
Wymagane jest uwierzytelnianie uruchamiania
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication- Nie skonfigurowano (wartość domyślna)
- Tak — skonfiguruj dodatkowe wymagania dotyczące uwierzytelniania podczas uruchamiania systemu, w tym użycie modułu TPM (Trusted Platform Module) lub wymagania dotyczące numeru PIN uruchamiania.
Po ustawieniu wartości Tak można skonfigurować następujące ustawienia:
Uruchamianie zgodnego modułu TPM
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthenticationZalecane jest wymaganie modułu TPM dla funkcji BitLocker. To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.
- Zablokowane (ustawienie domyślne) — funkcja BitLocker nie używa modułu TPM.
- Wymagane — funkcja BitLocker jest włączona tylko wtedy, gdy moduł TPM jest obecny i można go używać.
- Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny.
Numer PIN uruchamiania zgodnego modułu TPM
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication- Zablokowane (ustawienie domyślne) — zablokuj użycie numeru PIN.
- Wymagane — wymagaj podania numeru PIN i modułu TPM, aby włączyć funkcję BitLocker.
- Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia skonfigurowanie numeru PIN uruchamiania przez użytkownika.
W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.
Zgodny klucz uruchamiania modułu TPM
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication- Zablokowane (ustawienie domyślne) — zablokuj użycie kluczy uruchamiania.
- Wymagane — wymagaj obecności klucza uruchamiania i modułu TPM w celu włączenia funkcji BitLocker.
- Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia odblokowywanie dysków za pomocą klucza uruchamiania (takiego jak dysk USB).
W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.
Zgodny klucz startowy modułu TPM i numer PIN
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication- Zablokowane (ustawienie domyślne) — zablokuj użycie kombinacji klucza uruchamiania i numeru PIN.
- Wymagane — wymagaj, aby funkcja BitLocker miała klucz startowy i numer PIN, aby zostały włączone.
- Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia użycie klucza startowego) i kombinacji numeru PIN.
W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.
Wyłączanie funkcji BitLocker na urządzeniach, na których moduł TPM jest niezgodny
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthenticationJeśli moduł TPM nie jest obecny, funkcja BitLocker wymaga hasła lub dysku USB do uruchomienia.
To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.
- Nie skonfigurowano (wartość domyślna)
- Tak — zablokuj konfigurowanie funkcji BitLocker bez zgodnego mikroukładu modułu TPM.
Włączanie preboot recovery message and url (Włączanie preboot recovery message and url)
Zasady zabezpieczeń zawartości: Funkcja BitLocker — konfiguracja usługi SystemDrivesRecoveryMessage- Nie skonfigurowano (ustawienie domyślne) — użyj domyślnych informacji odzyskiwania przed rozruchem funkcji BitLocker.
- Tak — włącz konfigurację niestandardowego komunikatu odzyskiwania przed rozruchem i adresu URL, aby ułatwić użytkownikom zrozumienie sposobu znajdowania hasła odzyskiwania. Komunikat i adres URL przed rozruchem są widoczne dla użytkowników po zablokowaniu komputera w trybie odzyskiwania.
Po ustawieniu wartości Tak można skonfigurować następujące ustawienia:
Preboot recovery message (Preboot recovery message)
Określ niestandardowy komunikat odzyskiwania przed rozruchem.Adres URL odzyskiwania preboot
Określ niestandardowy adres URL odzyskiwania przed rozruchem.
Odzyskiwanie dysku systemowego
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRecoveryOptions- Nie skonfigurowano (wartość domyślna)
- Konfigurowanie — włącz konfigurację dodatkowych ustawień.
Po ustawieniu opcji Skonfiguruj dostępne są następujące ustawienia:
Tworzenie klucza odzyskiwania przez użytkownika
- Zablokowane (ustawienie domyślne)
- Wymagany
- Dozwolone
Konfigurowanie pakietu odzyskiwania funkcji BitLocker
- Hasło i klucz (domyślnie) — uwzględnij zarówno hasło odzyskiwania funkcji BitLocker używane przez administratorów, jak i użytkowników do odblokowywania dysków chronionych, oraz pakiety kluczy odzyskiwania używane przez administratorów do odzyskiwania danych) w usłudze Active Directory.
- Tylko hasło — pakiety kluczy odzyskiwania mogą być niedostępne w razie potrzeby.
Wymaganie od urządzenia tworzenia kopii zapasowej informacji odzyskiwania w usłudze Microsoft Entra
- Nie skonfigurowano (ustawienie domyślne) — włączenie funkcji BitLocker zakończy się, nawet jeśli kopia zapasowa klucza odzyskiwania w identyfikatorze Microsoft Entra zakończy się niepowodzeniem. Może to spowodować, że żadne informacje odzyskiwania nie będą przechowywane zewnętrznie.
- Tak — funkcja BitLocker nie zakończy włączania, dopóki klucze odzyskiwania nie zostaną pomyślnie zapisane w usłudze Microsoft Entra.
Tworzenie hasła odzyskiwania przez użytkownika
- Zablokowane (ustawienie domyślne)
- Wymagany
- Dozwolone
Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker
- Nie skonfigurowano (ustawienie domyślne) — zezwala użytkownikowi na dostęp do dodatkowych opcji odzyskiwania.
- Tak — zablokuj użytkownikowi końcowemu możliwość wybierania dodatkowych opcji odzyskiwania, takich jak drukowanie kluczy odzyskiwania w kreatorze instalacji funkcji BitLocker.
Włączanie funkcji BitLocker po zapisaniu informacji odzyskiwania
- Nie skonfigurowano (wartość domyślna)
- Tak — ustawiając wartość Tak, informacje odzyskiwania funkcji BitLocker zostaną zapisane w usługach Active Directory Domain Services.
Blokowanie korzystania z agenta odzyskiwania danych opartego na certyfikatach (DRA)
- Nie skonfigurowano (ustawienie domyślne) — umożliwia skonfigurowanie użycia funkcji DRA. Skonfigurowanie funkcji DRA wymaga infrastruktury kluczy publicznych przedsiębiorstwa i obiektów zasad grupy do wdrożenia agenta i certyfikatów DRA.
- Tak — zablokuj możliwość korzystania z agenta odzyskiwania danych (DRA) do odzyskiwania dysków z włączoną funkcją BitLocker.
Minimalna długość numeru PIN
Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesMinimumPINLengthOkreśl minimalną długość numeru PIN uruchamiania, gdy podczas włączania funkcji BitLocker wymagany jest moduł TPM + numer PIN. Długość numeru PIN musi wynosić od 4 do 20 cyfr.
Jeśli to ustawienie nie zostanie skonfigurowane, użytkownicy mogą skonfigurować numer PIN uruchamiania o dowolnej długości (od 4 do 20 cyfr)
To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.
Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveTypeSkonfiguruj metodę szyfrowania i siłę szyfrowania dla dysków systemu operacyjnego. XTS — 128-bitowa wersja AES to domyślna metoda szyfrowania systemu Windows i zalecana wartość.
- Nie skonfigurowano (wartość domyślna)
- AES 128bit CBC
- AES 256-bitowe CBC
- AES 128-bitowy XTS
- AES 256bit XTS
BitLocker — ustawienia dysku wymiennego
Zasady dysków wymiennych funkcji BitLocker
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType- Nie skonfigurowano (wartość domyślna)
- Konfiguruj
Po ustawieniu opcji Konfiguruj można skonfigurować następujące ustawienia.
Konfigurowanie metody szyfrowania dla wymiennych dysków danych
Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveTypeWybierz żądaną metodę szyfrowania dla dysków wymiennych dysków danych.
- Nie skonfigurowano (wartość domyślna)
- AES 128bit CBC
- AES 256-bitowe CBC
- AES 128-bitowy XTS
- AES 256bit XTS
Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker
Zasady zabezpieczeń zawartości: Funkcja BitLocker — RemovableDrivesRequireEncryption- Nieskonfigurowane (ustawienie domyślne) — dane mogą być zapisywane na dyskach wymiennych bez szyfrowania.
- Tak — system Windows nie zezwala na zapisywanie danych na dyskach wymiennych, które nie są chronione przez funkcję BitLocker. Jeśli wstawiony dysk wymienny nie jest zaszyfrowany, użytkownik musi ukończyć kreatora konfiguracji funkcji BitLocker przed udzieleniem dostępu do zapisu na dysku.
Blokowanie dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji
Zasady zabezpieczeń zawartości: Funkcja BitLocker — RemovableDrivesRequireEncryption- Nie skonfigurowano (ustawienie domyślne) — można użyć dowolnego dysku zaszyfrowanego za pomocą funkcji BitLocker.
- Tak — zablokuj dostęp do zapisu na dyskach wymiennych, chyba że zostały one zaszyfrowane na komputerze należącym do Organizacji.
Następne kroki
Zasady zabezpieczeń punktu końcowego na potrzeby szyfrowania dysków