Развертывание управления BitLocker

Относится к Configuration Manager (Current Branch)

Управление BitLocker в Configuration Manager включает следующие компоненты:

• Агент управления BitLocker: Configuration Manager включает этот агент на устройстве при создании политики и ее развертывании в коллекции.

• Служба восстановления: серверный компонент, получающий данные восстановления BitLocker от клиентов. Дополнительные сведения см. в разделе Служба восстановления.

Перед созданием и развертыванием политик управления BitLocker:

• Просмотр предварительных требований

• При необходимости шифруйте ключи восстановления в базе данных сайта.

Создать политику

При создании и развертывании этой политики клиент Configuration Manager включает агент управления BitLocker на устройстве.

Примечание.

Чтобы создать политику управления BitLocker, вам потребуется роль "Полный администратор" в Configuration Manager.

1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Endpoint Protection и выберите узел Управление BitLocker.

2. На ленте выберите Создать политику управления BitLocker.

3. На странице Общие укажите имя и необязательное описание. Выберите компоненты для включения на клиентах с помощью следующей политики:

   • Диск операционной системы: управление шифрованием диска ОС

   • Исправление диска: управление шифрованием для других дисков с данными на устройстве

   • Съемный диск: управление шифрованием дисков, которые можно удалить с устройства, например USB-ключ

   • Управление клиентами. Управление резервной копией службы восстановления ключей сведений о восстановлении шифрования диска BitLocker

4. На странице Настройка настройте следующие глобальные параметры для шифрования диска BitLocker:

   Примечание.

   Configuration Manager применяет эти параметры при включении BitLocker. Если диск уже зашифрован или выполняется, любое изменение этих параметров политики не изменяет шифрование диска на устройстве.

   Если эти параметры отключены или не настроены, BitLocker использует метод шифрования по умолчанию (128-разрядный AES).

   • Для Windows 8.1 устройств включите параметр Метод шифрования диска и надежность шифра. Затем выберите метод шифрования.

   • Для устройств с Windows 10 или более поздних версий включите параметр Метод шифрования диска и надежность шифра (Windows 10 или более поздней версии). Затем по отдельности выберите метод шифрования для дисков ОС, фиксированных дисков с данными и съемных дисков с данными.

   Дополнительные сведения об этих и других параметрах на этой странице см. в разделе Справочник по параметрам — настройка.

5. На странице Диск операционной системы укажите следующие параметры:

   • Параметры шифрования дисков операционной системы. Если этот параметр включен, пользователь должен защитить диск ОС, а BitLocker зашифрует диск. Если отключить его, пользователь не сможет защитить диск.

   На устройствах с совместимым TPM при запуске можно использовать два типа методов проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. При запуске компьютера он может использовать только доверенный платформенный модуль для проверки подлинности или может потребовать ввода личного идентификационного номера (ПИН-кода). Настройте указанные ниже параметры.

   • Выберите предохранитель для диска операционной системы. Настройте его для использования доверенного платформенного модуля и ПИН-кода или только доверенного платформенного модуля.

   • Настройка минимальной длины ПИН-кода для запуска. Если требуется ПИН-код, это значение является самой короткой длиной, указанной пользователем. Пользователь вводит этот ПИН-код при загрузке компьютера, чтобы разблокировать диск. По умолчанию минимальная длина ПИН-кода — 4.

   Дополнительные сведения об этих и других параметрах на этой странице см. в разделе Справочник по параметрам — диск ОС.

6. На странице Фиксированный диск укажите следующие параметры:

   • Исправлено шифрование диска данных. Если этот параметр включен, BitLocker требует, чтобы пользователи поместили все фиксированные диски с данными под защиту. Затем он шифрует диски с данными. При включении этой политики включите автоматическую разблокировку или параметры для фиксированной политики паролей диска с данными.

   • Настройка автоматической разблокировки для фиксированного диска с данными. Разрешите или требуете BitLocker, чтобы автоматически разблокировать любой зашифрованный диск с данными. Чтобы использовать автоматическую разблокировку, также требуется BitLocker для шифрования диска ОС.

   Дополнительные сведения об этих и других параметрах на этой странице см. в разделе Справочник по параметрам — фиксированный диск.

7. На странице Съемный диск укажите следующие параметры:

   • Шифрование съемных дисков данных. Если включить этот параметр и разрешить пользователям применять защиту BitLocker, клиент Configuration Manager сохраняет сведения о восстановлении съемных дисков в службе восстановления в точке управления. Это позволяет пользователям восстановить диск, если они забыли или потеряли предохранитель (пароль).

   • Разрешить пользователям применять защиту BitLocker на съемных дисках с данными. Пользователи могут включить защиту BitLocker для съемного диска.

   • Политика паролей съемных дисков данных. Используйте эти параметры, чтобы задать ограничения для паролей, чтобы разблокировать съемные диски, защищенные BitLocker.

   Дополнительные сведения об этих и других параметрах на этой странице см. в разделе Справочник по параметрам — съемный диск.

8. На странице Управление клиентами укажите следующие параметры:

   Важно!

   Для версий Configuration Manager, предшествующих 2103, если у вас нет точки управления с веб-сайтом с поддержкой HTTPS, не настраивайте этот параметр. Дополнительные сведения см. в разделе Служба восстановления.

   • Настройка служб управления BitLocker. Если этот параметр включен, Configuration Manager автоматически и автоматически создает резервные копии сведений о восстановлении ключей в базе данных сайта. Если этот параметр отключен или не настроен, Configuration Manager не сохраняет сведения о восстановлении ключа.

     • Выберите Сведения о восстановлении BitLocker для хранения. Настройте его для использования пароля восстановления и пакета ключей или просто пароля восстановления.

     • Разрешить хранение сведений о восстановлении в виде обычного текста. Без сертификата шифрования управления BitLocker Configuration Manager хранит сведения о восстановлении ключей в виде обычного текста. Дополнительные сведения см. в разделе Шифрование данных восстановления в базе данных.

   Дополнительные сведения об этих и других параметрах на этой странице см. в разделе Справочник по параметрам — управление клиентами.

9. Завершите работу мастера.

Чтобы изменить параметры существующей политики, выберите ее в списке и выберите Свойства.

При создании нескольких политик можно настроить их относительный приоритет. При развертывании нескольких политик на клиенте для определения параметров используется значение приоритета.

Начиная с версии 2006 для этой задачи можно использовать командлеты Windows PowerShell. Дополнительные сведения см. в разделе New-CMBlmSetting.

Развертывание политики

1. Выберите существующую политику в узле Управление BitLocker . На ленте выберите Развернуть.

2. Выберите коллекцию устройств в качестве целевого объекта развертывания.

3. Если вы хотите, чтобы устройство в любое время потенциально зашифровывать или расшифровывать диски, выберите параметр Разрешить исправление вне периода обслуживания. Если коллекция имеет какие-либо периоды обслуживания, она по-прежнему исправляет эту политику BitLocker.

4. Настройка простого или настраиваемого расписания. Клиент оценивает свое соответствие на основе параметров, указанных в расписании.

5. Нажмите кнопку ОК , чтобы развернуть политику.

Можно создать несколько развертываний одной политики. Чтобы просмотреть дополнительные сведения о каждом развертывании, выберите политику в узле Управление BitLocker, а затем в области сведений перейдите на вкладку Развертывания. Для этой задачи можно также использовать командлеты Windows PowerShell. Дополнительные сведения см. в разделе New-CMSettingDeployment.

Важно!

Если подключение по протоколу удаленного рабочего стола (RDP) активно, клиент MBAM не запускает действия шифрования диска BitLocker. Закройте все подключения к удаленной консоли и войдите в сеанс консоли с учетной записью пользователя домена. Затем начинается шифрование диска BitLocker, и клиент отправляет ключи восстановления и пакеты. При входе с учетной записью локального пользователя шифрование диска BitLocker не запускается.

Вы можете использовать протокол RDP для удаленного подключения к сеансу консоли устройства с помощью коммутатора /admin . Пример: mstsc.exe /admin /v:<IP address of device>

Сеанс консоли — это либо когда вы находитесь на физической консоли компьютера, либо при удаленном подключении, которое совпадает с физической консолью компьютера.

Отслеживать

Просмотрите базовую статистику соответствия требованиям о развертывании политики в области сведений узла Управление BitLocker :

• Количество соответствия требованиям
• Количество сбоев
• Число несоответствий

Перейдите на вкладку Развертывания , чтобы просмотреть процент соответствия требованиям и рекомендуемое действие. Выберите развертывание, а затем на ленте выберите Просмотреть состояние. Это действие переключит представление в рабочую область Мониторинг , узел Развертывания . Как и при развертывании других развертываний политики конфигурации, в этом представлении можно просмотреть более подробное состояние соответствия.

Чтобы понять, почему клиенты отчеты не соответствуют политике управления BitLocker, см. в статье Коды несоответствия.

Дополнительные сведения об устранении неполадок см. в разделе Устранение неполадок BitLocker.

Используйте следующие журналы для мониторинга и устранения неполадок:

Журналы клиентов

• Журнал событий MBAM: в Просмотр событий Windows перейдите в раздел Приложения и службы>Microsoft>Windows>MBAM. Дополнительные сведения см. в разделе Сведения о журналах событий BitLocker и журналах событий клиента.

• BitlockerManagementHandler.log и BitlockerManagement_GroupPolicyHandler.log в пути к журналам клиента по %WINDIR%\CCM\Logs умолчанию

Журналы точек управления (служба восстановления)

• Журнал событий службы восстановления: в Просмотр событий Windows перейдите к разделу Приложения и службы>Microsoft>Windows>MBAM-Web. Дополнительные сведения см. в разделе Сведения о журналах событий BitLocker и журналах событий сервера.

• Журналы трассировки службы восстановления: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Рекомендации по перемещению

Если в настоящее время вы используете Microsoft BitLocker Administration and Monitoring (MBAM), вы можете легко перенести управление в Configuration Manager. При развертывании политик управления BitLocker в Configuration Manager клиенты автоматически отправляют ключи и пакеты восстановления в службу восстановления Configuration Manager.

Важно!

При переходе с автономного MBAM на Configuration Manager управление BitLocker, если вам требуются существующие функции автономного MBAM, не используйте автономные серверы ИЛИ компоненты MBAM с Configuration Manager управления BitLocker. При повторном использовании этих серверов автономный MBAM перестанет работать, когда Configuration Manager управление BitLocker установит свои компоненты на этих серверах. Не запускайте скрипт MBAMWebSiteInstaller.ps1 для настройки порталов BitLocker на автономных серверах MBAM. При настройке Configuration Manager управления BitLocker используйте отдельные серверы.

Групповая политика

• Параметры управления BitLocker полностью совместимы с параметрами групповой политики MBAM. Если устройства получают параметры групповой политики и политики Configuration Manager, настройте их для сопоставления.

  Примечание.

  Если для автономного MBAM существует параметр групповой политики, он переопределит эквивалентный параметр, предпринятую Configuration Manager. Автономный MBAM использует групповую политику домена, а Configuration Manager задает локальные политики для управления BitLocker. Политики домена переопределяют локальные Configuration Manager политики управления BitLocker. Если автономная политика домена MBAM не соответствует политике Configuration Manager, управление BitLocker Configuration Manager завершится ошибкой. Например, если групповая политика домена задает автономный сервер MBAM для служб восстановления ключей, Configuration Manager управление BitLocker не может задать тот же параметр для точки управления. Это приводит к тому, что клиенты не сообщают о своих ключах восстановления в службу восстановления ключей управления BitLocker Configuration Manager в точке управления.

• Configuration Manager реализует не все параметры групповой политики MBAM. При настройке дополнительных параметров в групповой политике агент управления BitLocker на Configuration Manager клиентах учитывает эти параметры.

  Важно!

  Не устанавливайте групповую политику для параметра, который Configuration Manager управление BitLocker уже указывает. Задайте только групповые политики для параметров, которые в настоящее время не существуют в Configuration Manager управления BitLocker. Configuration Manager версии 2002 имеет четность функций с автономным MBAM. В Configuration Manager версии 2002 и более поздних в большинстве случаев не должно быть причин задавать политики групп домена для настройки политик BitLocker. Чтобы предотвратить конфликты и проблемы, избегайте использования групповых политик для BitLocker. Настройте все параметры с помощью политик управления BitLocker Configuration Manager.

Хэш паролей доверенного платформенного модуля

• Предыдущие клиенты MBAM не передают хэш пароля доверенного платформенного модуля в Configuration Manager. Клиент отправляет хэш пароля доверенного платформенного модуля только один раз.

• Если вам нужно перенести эти сведения в службу восстановления Configuration Manager, очистите TPM на устройстве. После перезапуска он отправляет новый хэш пароля доверенного платформенного модуля в службу восстановления.

Примечание.

Передача хэша паролей доверенного платформенного модуля в основном относится к версиям Windows до Windows 10. Windows 10 или более поздней версии по умолчанию не сохраняет хэш пароля доверенного платформенного модуля, поэтому эти устройства обычно не передают его. Дополнительные сведения см. в разделе Сведения о пароле владельца доверенного платформенного модуля.

Повторное шифрование

Configuration Manager не выполняет повторное шифрование дисков, которые уже защищены с помощью шифрования диска BitLocker. При развертывании политики управления BitLocker, которая не соответствует текущей защите диска, она будет считаться несоответствующей. Диск по-прежнему защищен.

Например, вы использовали MBAM для шифрования диска с помощью алгоритма шифрования AES-XTS 128, но для политики Configuration Manager требуется AES-XTS 256. Диск не соответствует политике, даже если диск зашифрован.

Чтобы обойти это поведение, сначала отключите BitLocker на устройстве. Затем разверните новую политику с новыми параметрами.

Совместное управление и Intune

Обработчик клиента Configuration Manager для BitLocker учитывает совместное управление. Если устройство управляется совместно и вы переключите рабочую нагрузку Endpoint Protection на Intune, клиент Configuration Manager игнорирует свою политику BitLocker. Устройство получает политику шифрования Windows из Intune.

Примечание.

Переключение центров управления шифрованием при сохранении требуемого алгоритма шифрования не требует дополнительных действий с клиентом. Однако при переключении центров управления шифрованием и изменении требуемого алгоритма шифрования потребуется запланировать повторное шифрование.

Дополнительные сведения об управлении BitLocker с помощью Intune см. в следующих статьях:

• Использование шифрования устройства с Intune
• Устранение неполадок с политиками BitLocker в Microsoft Intune

Дальнейшие действия

Сведения о службе восстановления BitLocker

Настройка отчетов и порталов BitLocker