Шифрование данных восстановления по сети
Относится к Configuration Manager (Current Branch)
При создании политики управления BitLocker Configuration Manager развертывает службу восстановления в точке управления. На странице Управление клиентами политики управления BitLocker при настройке служб управления BitLocker клиент выполняет резервное копирование сведений о восстановлении ключей в базе данных сайта. Эта информация включает ключи восстановления BitLocker, пакеты восстановления и хэши паролей доверенного платформенного модуля. Когда пользователи заблокированы на защищенном устройстве, вы можете использовать эти сведения, чтобы помочь им восстановить доступ к устройству.
Учитывая конфиденциальный характер этой информации, необходимо защитить ее.
Важно!
Начиная с версии 2103 реализация службы восстановления изменилась. Он больше не использует устаревшие компоненты MBAM, но по-прежнему концептуально называется службой восстановления. Все клиенты версии 2103 используют компонент подсистемы обработки сообщений точки управления в качестве службы восстановления. Они передают ключи восстановления по безопасному каналу уведомлений клиента. С помощью этого изменения вы можете включить Configuration Manager сайт для расширенного http. Эта конфигурация не влияет на функциональность управления BitLocker в Configuration Manager.
Когда сайт и клиенты работают Configuration Manager версии 2103 или более поздней, клиенты отправляют ключи восстановления в точку управления через защищенный канал уведомлений клиента. Если какие-либо клиенты работают в версии 2010 или более ранней, им требуется служба восстановления с поддержкой HTTPS в точке управления для депонирования ключей.
Требования к сертификатам HTTPS
Примечание.
Эти требования применяются только в том случае, если сайт имеет версию 2010 или более раннюю версию или если вы развертываете политики управления BitLocker на устройствах с клиентом Configuration Manager версии 2010 или более ранней.
Configuration Manager требуется безопасное подключение между клиентом и службой восстановления для шифрования данных, передаваемых по сети. Используйте один из следующих вариантов:
HttpS включает веб-сайт IIS в точке управления, где размещается служба восстановления, а не на всей роли точки управления.
Настройте точку управления для HTTPS. В свойствах точки управления параметр подключения клиента должен иметь значение HTTPS.
Примечание.
Если на сайте есть несколько точек управления, включите ПРОТОКОЛ HTTPS на всех точках управления сайта, с которыми потенциально может взаимодействовать клиент, управляемый BitLocker. Если точка управления HTTPS недоступна, клиент может выполнить отработку отказа на точку управления HTTP, а затем не выполнить депонирования ключа восстановления.
Эта рекомендация относится к обоим вариантам: включить точку управления для HTTPS или включить веб-сайт IIS, на котором размещена служба восстановления в точке управления.
Настройка точки управления для HTTPS
В более ранних версиях Configuration Manager текущей ветви для интеграции службы восстановления BitLocker необходимо было включить точку управления по протоколу HTTPS. HttpS-подключение необходимо для шифрования ключей восстановления по сети от клиента Configuration Manager до точки управления. Настройка точки управления и всех клиентов для HTTPS может оказаться сложной задачей для многих клиентов.
Включение HTTPS на веб-сайте IIS
Требование HTTPS теперь предназначено для веб-сайта IIS, на котором размещена служба восстановления, а не для всей роли точки управления. Эта конфигурация ослабляет требования к сертификату и по-прежнему шифрует ключи восстановления при передаче.
Свойство Клиентские подключения точки управления может иметь значение HTTP или HTTPS. Если точка управления настроена для HTTP, для поддержки службы восстановления BitLocker:
Получите сертификат проверки подлинности сервера. Привяжите сертификат к веб-сайту IIS в точке управления, где размещается служба восстановления BitLocker.
Настройте клиенты для доверия сертификату проверки подлинности сервера. Существует два метода для достижения этого доверия:
Используйте сертификат от общедоступного и глобально доверенного поставщика сертификатов. Клиенты Windows включают доверенные корневые центры сертификации (ЦС) этих поставщиков. Используя сертификат проверки подлинности сервера, выданный одним из этих поставщиков, клиенты должны автоматически доверять ему.
Используйте сертификат, выданный ЦС из инфраструктуры открытых ключей (PKI) вашей организации. Большинство реализаций PKI добавляют доверенные корневые ЦС в клиенты Windows. Например, использование служб сертификатов Active Directory с групповой политикой. Если вы выдаете сертификат проверки подлинности сервера из ЦС, которому клиенты не доверяют автоматически, добавьте доверенный корневой сертификат ЦС для клиентов.
Совет
Единственными клиентами, которые должны взаимодействовать со службой восстановления, являются клиенты, для которых вы планируете использовать политику управления BitLocker и включает правило управления клиентами .
Устранение неполадок с подключением
На клиенте используйте BitLockerManagementHandler.log для устранения неполадок этого подключения. Для подключения к службе восстановления в журнале отображается URL-адрес, который использует клиент. Найдите запись в журнале на основе версии Configuration Manager:
- В версии 2103 и более поздних запись начинается с
Recovery keys escrowed to MP - В версии 2010 и более ранних версиях запись начинается с
Checking for Recovery Service at
Дальнейшие действия
Шифрование данных восстановления в базе данных является необязательным предварительным условием перед первым развертыванием политики.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по