Szyfrowanie danych odzyskiwania za pośrednictwem sieci
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Podczas tworzenia zasad zarządzania funkcją BitLocker Configuration Manager wdraża usługę odzyskiwania w punkcie zarządzania. Na stronie Zarządzanie klientem zasad zarządzania funkcją BitLocker podczas konfigurowania usług zarządzania funkcją BitLocker klient tworzy kopię zapasową informacji odzyskiwania kluczy w bazie danych lokacji. Te informacje obejmują klucze odzyskiwania funkcji BitLocker, pakiety odzyskiwania i skróty haseł modułu TPM. Gdy użytkownicy są zablokowani na chronionym urządzeniu, możesz użyć tych informacji, aby pomóc im odzyskać dostęp do urządzenia.
Biorąc pod uwagę poufny charakter tych informacji, należy je chronić.
Ważna
Począwszy od wersji 2103, implementacja usługi odzyskiwania została zmieniona. Nie używa już starszych składników MBAM, ale nadal jest koncepcyjnie określana jako usługa odzyskiwania. Wszyscy klienci w wersji 2103 używają składnika aparatu przetwarzania komunikatów punktu zarządzania jako usługi odzyskiwania. Deponują klucze odzyskiwania za pośrednictwem bezpiecznego kanału powiadomień klienta. Dzięki tej zmianie można włączyć witrynę Configuration Manager dla rozszerzonego protokołu HTTP. Ta konfiguracja nie wpływa na funkcjonalność zarządzania funkcją BitLocker w Configuration Manager.
Gdy zarówno lokacja, jak i klienci działają Configuration Manager wersji 2103 lub nowszej, klienci wysyłają klucze odzyskiwania do punktu zarządzania za pośrednictwem bezpiecznego kanału powiadomień klienta. Jeśli klienci są w wersji 2010 lub starszej, potrzebują usługi odzyskiwania z obsługą protokołu HTTPS w punkcie zarządzania, aby deponować klucze.
Wymagania dotyczące certyfikatu HTTPS
Uwaga
Te wymagania mają zastosowanie tylko wtedy, gdy lokacja jest w wersji 2010 lub starszej lub jeśli wdrażasz zasady zarządzania funkcją BitLocker na urządzeniach z Configuration Manager klienta w wersji 2010 lub starszej.
Configuration Manager wymaga bezpiecznego połączenia między klientem a usługą odzyskiwania, aby zaszyfrować dane przesyłane przez sieć. Użyj jednej z następujących opcji:
Protokół HTTPS włącza witrynę internetową usług IIS w punkcie zarządzania hostującym usługę odzyskiwania, a nie całą rolę punktu zarządzania.
Skonfiguruj punkt zarządzania dla protokołu HTTPS. We właściwościach punktu zarządzania ustawienie Połączenia klienta musi mieć wartość HTTPS.
Uwaga
Jeśli witryna ma więcej niż jeden punkt zarządzania, włącz protokół HTTPS we wszystkich punktach zarządzania w lokacji, z którymi klient zarządzany przez funkcję BitLocker może potencjalnie komunikować się. Jeśli punkt zarządzania HTTPS jest niedostępny, klient może przełączyć się w tryb failover do punktu zarządzania HTTP, a następnie nie może skasować klucza odzyskiwania.
To zalecenie dotyczy obu opcji: włącz punkt zarządzania dla protokołu HTTPS lub włącz witrynę internetową usług IIS hostującą usługę odzyskiwania w punkcie zarządzania.
Konfigurowanie punktu zarządzania dla protokołu HTTPS
We wcześniejszych wersjach Configuration Manager bieżącej gałęzi, aby zintegrować usługę odzyskiwania funkcji BitLocker, trzeba było włączyć punkt zarządzania https. Połączenie HTTPS jest niezbędne do szyfrowania kluczy odzyskiwania w sieci z klienta Configuration Manager do punktu zarządzania. Konfigurowanie punktu zarządzania i wszystkich klientów dla protokołu HTTPS może być trudne dla wielu klientów.
Włączanie protokołu HTTPS w witrynie internetowej usług IIS
Wymaganie protokołu HTTPS dotyczy teraz witryny internetowej usług IIS hostującej usługę odzyskiwania, a nie całej roli punktu zarządzania. Ta konfiguracja powoduje złagodzenie wymagań dotyczących certyfikatów i nadal szyfruje klucze odzyskiwania podczas przesyłania.
Właściwość Połączenia klienta punktu zarządzania może mieć wartość HTTP lub HTTPS. Jeśli punkt zarządzania jest skonfigurowany dla protokołu HTTP, aby obsługiwać usługę odzyskiwania funkcji BitLocker:
Uzyskiwanie certyfikatu uwierzytelniania serwera. Powiąż certyfikat z witryną internetową usług IIS w punkcie zarządzania hostującym usługę odzyskiwania funkcji BitLocker.
Skonfiguruj klientów, aby ufali certyfikatowi uwierzytelniania serwera. Istnieją dwie metody realizacji tego zaufania:
Użyj certyfikatu od publicznego i globalnie zaufanego dostawcy certyfikatów. Klienci systemu Windows obejmują zaufane główne urzędy certyfikacji (CA) od tych dostawców. Używając certyfikatu uwierzytelniania serwera wystawionego przez jednego z tych dostawców, klienci powinni automatycznie ufać temu certyfikatowi.
Użyj certyfikatu wystawionego przez urząd certyfikacji z infrastruktury kluczy publicznych (PKI) organizacji. Większość implementacji infrastruktury kluczy publicznych dodaje zaufane główne urzędy certyfikacji do klientów systemu Windows. Na przykład przy użyciu usług certyfikatów Active Directory z zasadami grupy. Jeśli wystawisz certyfikat uwierzytelniania serwera z urzędu certyfikacji, któremu klienci nie ufają automatycznie, dodaj zaufany certyfikat główny urzędu certyfikacji do klientów.
Porada
Jedynymi klientami, którzy muszą komunikować się z usługą odzyskiwania, są klienci, których docelowe elementy mają być objęte zasadami zarządzania funkcją BitLocker i zawierają regułę zarządzania klientami .
Rozwiązywanie problemów z połączeniem
Na kliencie użyj pliku BitLockerManagementHandler.log , aby rozwiązać problemy z tym połączeniem. W przypadku łączności z usługą odzyskiwania dziennik pokazuje adres URL używany przez klienta. Znajdź wpis w dzienniku na podstawie wersji Configuration Manager:
- W wersji 2103 lub nowszej wpis rozpoczyna się od
Recovery keys escrowed to MP - W wersji 2010 lub starszej wpis rozpoczyna się od
Checking for Recovery Service at
Następne kroki
Szyfrowanie danych odzyskiwania w bazie danych jest opcjonalnym wymaganiem wstępnym przed pierwszym wdrożeniem zasad.