Ustawianie algorytmu szyfrowania funkcji BitLocker dla urządzeń z rozwiązaniem Autopilot

Funkcja BitLocker automatycznie szyfruje dyski wewnętrzne w środowisku out-of-box (OOBE) dla urządzeń, które obsługują nowoczesną rezerwę lub spełniają specyfikację hsti (Hardware Security Testability Specification). Domyślnie funkcja BitLocker używa 128-bitowego używanego miejsca XTS-AES tylko do automatycznego szyfrowania.

Za pomocą rozwiązania Windows Autopilot można skonfigurować ustawienia szyfrowania funkcji BitLocker do zastosowania przed rozpoczęciem automatycznego szyfrowania. Ta konfiguracja zapewnia, że domyślny algorytm lub typ szyfrowania nie jest stosowany automatycznie. Urządzenie, które odbiera te ustawienia po automatycznym szyfrowaniu, musi zostać odszyfrowane przed zmianą algorytmu szyfrowania.

Algorytm szyfrowania

Funkcja BitLocker używa określonego algorytmu szyfrowania funkcji BitLocker po pierwszym włączeniu funkcji BitLocker. Podczas rozwiązania Autopilot funkcja BitLocker zostanie włączona po części dotyczącej konfiguracji urządzenia na stronie stanu rejestracji. Dostępne są następujące algorytmy szyfrowania:

  • AES-CBC 128-bitowy.
  • AES-CBC 256-bitowy.
  • XTS-AES 128-bitowy (domyślny).
  • XTS-AES 256-bitowy.

Aby uzyskać więcej informacji na temat zalecanych algorytmów szyfrowania do użycia, zobacz Dostawca usług konfiguracji funkcji BitLocker (CSP).

Aby upewnić się, że żądany algorytm szyfrowania funkcji BitLocker jest ustawiony przed automatycznym szyfrowaniem dla urządzeń rozwiązania Autopilot:

  1. Skonfiguruj ustawienia metody szyfrowania w zasadach szyfrowania dysków zabezpieczeń punktu końcowego. Ustawienia są dostępne w obszarzeSzyfrowanie>dysków zabezpieczeń> punktu końcowegoUtwórz zasady>Platforma = Windows 10 i nowsze, Typ profilu = Funkcja BitLocker.

  2. Przypisz zasady do grupy urządzeń rozwiązania Autopilot. Zasady szyfrowania muszą być przypisane do urządzeń w grupie, a nie do użytkowników.

  3. Włącz stronę stanu rejestracji rozwiązania Autopilot dla tych urządzeń. Jeśli ta funkcja nie jest włączona, zasady nie są stosowane przed rozpoczęciem szyfrowania.

Pełny dysk lub używane szyfrowanie tylko do miejsca

Istnieją dwa typy szyfrowania, pełny dysk lub używany tylko miejsce. Konfiguracja włączania w trybie dyskretnym i obsługa sprzętu dla nowoczesnej rezerwy automatycznie określa typ używanego szyfrowania. Typ używanego szyfrowania można wymusić, konfigurując ustawienie SystemDrivesEncryptionType . Podobnie jak w przypadku algorytmu szyfrowania funkcja BitLocker używa typu szyfrowania po pierwszym włączeniu funkcji BitLocker. Aby uzyskać więcej informacji na temat oczekiwanego zachowania typu szyfrowania, zobacz Zarządzanie zasadami funkcji BitLocker.

Aby wymusić typ używanego szyfrowania dysków:

  1. Skonfiguruj ustawienie Wymuszaj szyfrowanie dysków na dyskach systemu operacyjnego w katalogu ustawień. To ustawienie jest dostępne w kategorii Szablony administracyjne Składniki > systemu Windows Dyski systemu operacyjnego szyfrowania > dysków > funkcji BitLocker z selektora ustawień.

  2. Przypisz zasady do grupy urządzeń rozwiązania Autopilot. Zasady szyfrowania muszą być przypisane do urządzeń w grupie, a nie do użytkowników.

  3. Włącz stronę stanu rejestracji rozwiązania Autopilot dla tych urządzeń. Jeśli ta funkcja nie jest włączona, zasady nie są stosowane przed rozpoczęciem szyfrowania.