Планирование требований групповой политики MBAM 2.0

Статья
03/13/2023

Для управления клиентскими компьютерами администрирования и мониторинга Microsoft BitLocker (MBAM) необходимо рассмотреть типы средств защиты BitLocker, которые вы хотите поддерживать в организации, а затем настроить соответствующие параметры групповая политика, которые вы хотите применить. В этом разделе описываются групповая политика, доступные для использования при использовании администрирования и мониторинга Microsoft BitLocker для управления шифрованием дисков BitLocker на предприятии.

MBAM поддерживает следующие типы средств защиты BitLocker для дисков операционной системы: доверенный платформенный модуль (TPM), TPM + PIN, TPM + USB-ключ и TPM + ПИН-код и USB-ключ, пароль, числовой пароль и агент восстановления данных. Система защиты паролей поддерживается только для устройств Windows To Go и Windows 8 устройств без доверенного платформенного модуля. MBAM поддерживает TPM + USB-ключ и TPM + PIN+USB-ключи, только если том операционной системы зашифрован до установки MBAM.

MBAM поддерживает следующие типы предопределенных дисков с данными BitLocker: пароль, автоматическая разблокировка, числовой пароль и агент восстановления данных.

Защита числовых паролей применяется автоматически в рамках шифрования томов и не требует настройки.

Важно.
Параметры шифрования диска Windows BitLocker по умолчанию групповая политика объекта (GPO) не используются MBAM и могут привести к конфликтующим поведением, если они включены. Чтобы разрешить MBAM управлять BitLocker, необходимо определить параметры групповая политика MBAM только после установки групповая политика MBAM.

Расширенные ПИН-коды запуска могут содержать символы, такие как прописные и строчные буквы, и цифры. В отличие от BitLocker, MBAM не поддерживает использование символов и пробелов для расширенных ПИН-кодов.

Установите шаблон MBAM групповая политика на компьютере, который может запускать консоль управления групповая политика (GPMC) или технологию MDOP advanced групповая политика Management (AGPM). Чтобы изменить параметры объекта групповой политики, которые обеспечивают функциональность MBAM, необходимо сначала установить шаблон MBAM групповая политика, открыть GPMC или AGPM, чтобы изменить применимый объект групповой политики, а затем перейти к следующему узлуGPO:\\\ Административные шаблоны политик конфигурации компьютеровmDOP\MBAM windows (управление BitLocker).

Узел групповой политики MDOP MBAM (BitLocker Management) содержит четыре глобальных параметра политики и четыре дочерних узла параметров GPO: "Управление клиентами", "Фиксированный диск", "Диск операционной системы" и "Съемный диск". В следующих разделах приведены определения политик и предлагаемые параметры политики, которые помогут вам при планировании требований к настройке политики объектов групповой политики MBAM.

Примечание.
Дополнительные сведения о настройке минимальных рекомендуемых параметров объектов групповой политики, позволяющих MBAM управлять шифрованием BitLocker, см. в разделе "Изменение параметров объекта групповой политики MBAM 2.0".

Определения глобальной политики

В этом разделе описываются определения глобальной политики MBAM, найденные на следующем узле групповой политики:\\\ административные шаблоны политик конфигурации компьютеровWindows\MDOP MBAM (управление BitLocker).

Имя политики	Общие сведения и рекомендуемые параметры политики
Выбор метода шифрования диска и стойкость шифра	Рекомендуемая конфигурация: не настроено Настройте эту политику для использования определенного метода шифрования и стойких шифров. Если эта политика не настроена, BitLocker использует 128-разрядный метод шифрования AES по умолчанию с Диффузором или метод шифрования, указанный скриптом установки.
Предотвращение перезаписи памяти при перезапуске	Рекомендуемая конфигурация: не настроено Настройте эту политику для повышения производительности перезапуска без перезаписи секретов BitLocker в памяти при перезапуске. Если эта политика не настроена, секреты BitLocker удаляются из памяти при перезапуске компьютера.
Проверка правила использования сертификата смарт-карты	Рекомендуемая конфигурация: не настроено Настройте эту политику для использования защиты BitLocker на основе сертификата смарт-карты. Если эта политика не настроена, для указания сертификата используется идентификатор объекта по умолчанию 1.3.6.1.4.1.311.67.1.1.
Укажите уникальные идентификаторы для организации.	Рекомендуемая конфигурация: не настроено Настройте эту политику для использования агента восстановления данных на основе сертификатов или средства чтения BitLocker To Go. Если эта политика не настроена, поле " Идентификация" не используется. Если вашей компании требуются более высокие показатели безопасности, может потребоваться настроить поле идентификации, чтобы убедиться, что все USB-устройства имеют этот набор полей и что они соответствуют этому групповая политика параметру.

Определения политик управления клиентами

В этом разделе описываются определения политики управления клиентами для администрирования и мониторинга Microsoft BitLocker, найденные на следующем узле объекта групповой политики:\\\ административные шаблоны политик конфигурации компьютеров, компонентыWindows\MDOP MBAM (управление BitLocker)\Client Management.

Имя политики	Общие сведения и рекомендуемые параметры политики
Настройка служб MBAM	Рекомендуемая конфигурация: включена Конечная точка службы восстановления и оборудования MBAM. Используйте этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http://<MBAM Administration and Monitoring Server Name>:<port the web service is bound to>/MBAMRecoveryAndHardwareService/CoreService.svc. Выберите сведения о восстановлении BitLocker для хранения. Этот параметр политики позволяет настроить службу восстановления ключей для резервного копирования сведений о восстановлении BitLocker. Она также позволяет настроить службу отчетов о состоянии для сбора отчетов о соответствии и аудите. Политика предоставляет административный метод восстановления данных, зашифрованных BitLocker, чтобы предотвратить потерю данных из-за отсутствия ключей. Отчет о состоянии и действие восстановления ключей автоматически и автоматически отправляются в настроенное расположение сервера отчетов. Если вы не настроите или отключите этот параметр политики, данные о восстановлении ключей не будут сохранены, а отчет о состоянии и действия восстановления ключей не будут переданы на сервер. Если для этого параметра задано значение "Пароль восстановления и пакет ключей", пароль восстановления и пакет ключей будут автоматически и автоматически выполнять резервное копирование в настроенное расположение сервера восстановления ключей. Введите частоту проверки состояния клиента в минутах. Этот параметр политики управляет частотой проверки клиентом политик защиты и состояния BitLocker на клиентском компьютере. Эта политика также управляет частотой сохранения состояния соответствия клиента на сервере. Клиент проверяет политики защиты и состояние BitLocker на клиентском компьютере, а также создает резервную копию ключа восстановления клиента с заданной частотой. Задайте эту частоту на основе требований, задаваемых вашей компанией, о частоте проверки состояния соответствия компьютера и частоте резервного копирования ключа восстановления клиента. Конечная точка службы отчетов о состоянии MBAM. Необходимо настроить этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http://<MBAM Administration and Monitoring Server Name>:<port the web service is bound to>/MBAMComplianceStatusService/StatusReportingService.svc.
Настройка политики исключения пользователей	Рекомендуемая конфигурация: не настроено Этот параметр политики позволяет настроить адрес веб-сайта, адрес электронной почты или номер телефона, который будет предписывать пользователю запрашивать исключение из шифрования BitLocker. Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, пользователи будут видеть диалоговое окно с инструкциями по применению исключения из защиты BitLocker. Дополнительные сведения о включении исключений шифрования BitLocker для пользователей см. в разделе "Управление исключениями шифрования BitLocker для пользователей". Если этот параметр политики отключен или не настроен, инструкции по запросу на исключение не будут представлены пользователям. Примечание. Исключение пользователей управляется для каждого пользователя, а не для каждого компьютера. Если несколько пользователей войдите на один компьютер и один пользователь не исключен, компьютер будет зашифрован.
Настройка программы улучшения качества программного обеспечения	Этот параметр политики позволяет настроить способ присоединения пользователей MBAM к программе улучшения качества программного обеспечения. Эта программа собирает сведения о компьютерном оборудовании и о том, как пользователи используют MBAM без прерывания работы. Эти сведения помогают корпорации Майкрософт определить, какие функции MBAM следует улучшить. Корпорация Майкрософт не будет использовать эти сведения для идентификации или связи с пользователями MBAM. Если этот параметр политики включен, пользователи смогут присоединиться к программе улучшения качества программного обеспечения. Если этот параметр политики отключен, пользователи не смогут присоединиться к программе улучшения качества программного обеспечения. Если этот параметр политики не настроен, пользователи смогут присоединиться к программе улучшения качества программного обеспечения.

Настройка служб MBAM

Рекомендуемая конфигурация: включена

Конечная точка службы восстановления и оборудования MBAM. Используйте этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http://<MBAM Administration and Monitoring Server Name>:<port the web service is bound to>/MBAMRecoveryAndHardwareService/CoreService.svc.
Выберите сведения о восстановлении BitLocker для хранения. Этот параметр политики позволяет настроить службу восстановления ключей для резервного копирования сведений о восстановлении BitLocker. Она также позволяет настроить службу отчетов о состоянии для сбора отчетов о соответствии и аудите. Политика предоставляет административный метод восстановления данных, зашифрованных BitLocker, чтобы предотвратить потерю данных из-за отсутствия ключей. Отчет о состоянии и действие восстановления ключей автоматически и автоматически отправляются в настроенное расположение сервера отчетов.

Если вы не настроите или отключите этот параметр политики, данные о восстановлении ключей не будут сохранены, а отчет о состоянии и действия восстановления ключей не будут переданы на сервер. Если для этого параметра задано значение "Пароль восстановления и пакет ключей", пароль восстановления и пакет ключей будут автоматически и автоматически выполнять резервное копирование в настроенное расположение сервера восстановления ключей.
Введите частоту проверки состояния клиента в минутах. Этот параметр политики управляет частотой проверки клиентом политик защиты и состояния BitLocker на клиентском компьютере. Эта политика также управляет частотой сохранения состояния соответствия клиента на сервере. Клиент проверяет политики защиты и состояние BitLocker на клиентском компьютере, а также создает резервную копию ключа восстановления клиента с заданной частотой.

Задайте эту частоту на основе требований, задаваемых вашей компанией, о частоте проверки состояния соответствия компьютера и частоте резервного копирования ключа восстановления клиента.
Конечная точка службы отчетов о состоянии MBAM. Необходимо настроить этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http://<MBAM Administration and Monitoring Server Name>:<port the web service is bound to>/MBAMComplianceStatusService/StatusReportingService.svc.

Настройка политики исключения пользователей

Рекомендуемая конфигурация: не настроено

Этот параметр политики позволяет настроить адрес веб-сайта, адрес электронной почты или номер телефона, который будет предписывать пользователю запрашивать исключение из шифрования BitLocker.

Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, пользователи будут видеть диалоговое окно с инструкциями по применению исключения из защиты BitLocker. Дополнительные сведения о включении исключений шифрования BitLocker для пользователей см. в разделе "Управление исключениями шифрования BitLocker для пользователей".

Если этот параметр политики отключен или не настроен, инструкции по запросу на исключение не будут представлены пользователям.

Примечание.

Исключение пользователей управляется для каждого пользователя, а не для каждого компьютера. Если несколько пользователей войдите на один компьютер и один пользователь не исключен, компьютер будет зашифрован.

Настройка программы улучшения качества программного обеспечения

Этот параметр политики позволяет настроить способ присоединения пользователей MBAM к программе улучшения качества программного обеспечения. Эта программа собирает сведения о компьютерном оборудовании и о том, как пользователи используют MBAM без прерывания работы. Эти сведения помогают корпорации Майкрософт определить, какие функции MBAM следует улучшить. Корпорация Майкрософт не будет использовать эти сведения для идентификации или связи с пользователями MBAM.

Если этот параметр политики включен, пользователи смогут присоединиться к программе улучшения качества программного обеспечения.

Если этот параметр политики отключен, пользователи не смогут присоединиться к программе улучшения качества программного обеспечения.

Если этот параметр политики не настроен, пользователи смогут присоединиться к программе улучшения качества программного обеспечения.

Определения политик фиксированного диска

В этом разделе описываются определения политик фиксированного диска для администрирования и мониторинга Microsoft BitLocker, найденные на следующем узле групповой политики:\\\ административные шаблоны политик конфигурации компьютеровWindows MDOP\MBAM (управление BitLocker)\Fixed Drive.

Имя политики	Общие сведения и рекомендуемые параметры политики
Исправлены параметры шифрования диска данных	Рекомендуемая конфигурация: включена Этот параметр политики позволяет управлять необходимостью шифрования фиксированных дисков. Если требуется шифрование тома операционной системы, выберите параметр "Включить автоматическое разблокировку фиксированного диска данных ". При включении этой политики не следует отключать настройку использования пароля для фиксированных дисков данных, если только не разрешено или не требуется использовать автоматическую разблокировку для фиксированных дисков данных. Если для фиксированных дисков с данными требуется использовать автоматическую разблокировку, необходимо настроить шифрование томов операционной системы. Если этот параметр политики включен, пользователи должны поместить все фиксированные диски под защиту BitLocker, и диски будут зашифрованы. Если этот параметр политики не настроен, пользователям не нужно помещать фиксированные диски под защиту BitLocker. Если применить эту политику после шифрования фиксированных дисков данных, агент MBAM расшифрует зашифрованные фиксированные диски. Если этот параметр политики отключен, пользователи не смогут помещать фиксированные диски данных под защиту BitLocker.
Запретить запись на фиксированные диски, не защищенные BitLocker	Рекомендуемая конфигурация: не настроено Этот параметр политики определяет, требуется ли защита BitLocker для записи фиксированных дисков на компьютере. Этот параметр политики применяется при включении BitLocker. Если политика не настроена, все фиксированные диски данных на компьютере подключаются с доступом на чтение и запись.
Разрешение доступа к фиксированным дискам, защищенным BitLocker, из более ранних версий Windows	Рекомендуемая конфигурация: не настроено Эта политика позволяет разблокировать и просмотреть фиксированные диски с файловой системой FAT на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Если политика включена или не настроена, фиксированные диски, отформатированные с файловой системой FAT, можно разблокировать, а их содержимое можно просмотреть на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Эти операционные системы имеют доступ только для чтения к дискам, защищенным BitLocker. Если политика отключена, фиксированные диски, отформатированные с файловой системой FAT, не могут быть разблокированными, а их содержимое невозможно просмотреть на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).
Настройка использования пароля для фиксированных дисков	Рекомендуемая конфигурация: не настроено Используйте эту политику, чтобы указать, требуется ли пароль для разблокировки фиксированных дисков данных, защищенных BitLocker. Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий определенным требованиям. BitLocker позволит пользователям разблокировать диск с помощью любого из средств защиты, доступных на диске. Эти параметры применяются при включении BitLocker, а не при разблокировке тома. Если этот параметр политики отключен, пользователям не разрешается использовать пароль. Если политика не настроена, пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и требуют только восемь символов. Для повышения безопасности включите эту политику и выберите "Требовать пароль для фиксированного диска данных", выберите "Требовать сложность пароля" и задайте требуемую минимальную длину пароля. Если этот параметр политики отключен, пользователям не разрешается использовать пароль. Если этот параметр политики не настроен, пароли будут поддерживаться с параметрами по умолчанию, которые не включают требования к сложности пароля и для которых требуется всего восемь символов.
Выберите способы восстановления фиксированных дисков с защитой BitLocker	Рекомендуемая конфигурация: не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменные службы Active Directory (AD DS). Если политика не настроена, агент восстановления данных BitLocker разрешен, а сведения о восстановлении не архивируются в AD DS. MBAM не требует резервного копирования сведений о восстановлении в AD DS.

Определения политик дисков операционной системы

В этом разделе описываются определения политик дисков операционной системы для администрирования и мониторинга Microsoft BitLocker, найденные на следующем узле объекта групповой политики:\\\ административные шаблоны политик конфигурации компьютеровWindows MDOP\MBAM (bitLocker Management)\Operating System Drive.

Имя политики	Общие сведения и рекомендуемые параметры политики
Параметры шифрования дисков операционной системы	Рекомендуемая конфигурация: включена Этот параметр политики позволяет управлять необходимостью шифрования диска операционной системы. Для повышения безопасности рассмотрите возможность отключения следующих параметров политики в system /Power Management/Sleep Settings при включении их с помощью TPM +PIN-защиты: Разрешить резервные состояния (S1-S3) в спящем режиме (подключено) Разрешить резервные состояния (S1-S3) во время спящего режима (от батареи) Если вы используете Microsoft Windows 8 или более поздней версии и хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок "Разрешить BitLocker" без совместимого доверенного платформенного модуля. В этом режиме для запуска требуется пароль. Если вы забыли пароль, для доступа к диску необходимо использовать один из вариантов восстановления BitLocker. На компьютере с совместимым TPM при запуске можно использовать два типа методов проверки подлинности для обеспечения защиты зашифрованных данных. При запуске компьютера он может использовать только TPM для проверки подлинности или требовать ввода личного идентификационный номер (PIN-код). Если этот параметр политики включен, пользователи должны поместить диск операционной системы под защиту BitLocker, и диск будет зашифрован. Если отключить эту политику, пользователи не смогут поместить диск операционной системы под защиту BitLocker. Если применить эту политику после шифрования диска операционной системы, диск будет расшифровываться. Если вы не настроите эту политику, диск операционной системы не должен быть помещен под защиту BitLocker.
Настройка профиля проверки платформы TPM	Рекомендуемая конфигурация: не настроено Этот параметр политики позволяет настроить, как оборудование безопасности доверенного платформенного модуля на компьютере защищает ключ шифрования BitLocker. Этот параметр политики не применяется, если компьютер не имеет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля. Если этот параметр политики не настроен, TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный скриптом установки.
Выберите способы восстановления дисков операционной системы с защитой BitLocker	Рекомендуемая конфигурация: не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменные службы Active Directory (AD DS). Если эта политика не настроена, агент восстановления данных разрешен, а сведения о восстановлении не архивируются в AD DS. Операция MBAM не требует резервного копирования сведений о восстановлении в AD DS.

Параметры шифрования дисков операционной системы

Рекомендуемая конфигурация: включена

Этот параметр политики позволяет управлять необходимостью шифрования диска операционной системы.

Для повышения безопасности рассмотрите возможность отключения следующих параметров политики в system /Power Management/Sleep Settings при включении их с помощью TPM +PIN-защиты:

Разрешить резервные состояния (S1-S3) в спящем режиме (подключено)
Разрешить резервные состояния (S1-S3) во время спящего режима (от батареи)

Если вы используете Microsoft Windows 8 или более поздней версии и хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок "Разрешить BitLocker" без совместимого доверенного платформенного модуля. В этом режиме для запуска требуется пароль. Если вы забыли пароль, для доступа к диску необходимо использовать один из вариантов восстановления BitLocker.

На компьютере с совместимым TPM при запуске можно использовать два типа методов проверки подлинности для обеспечения защиты зашифрованных данных. При запуске компьютера он может использовать только TPM для проверки подлинности или требовать ввода личного идентификационный номер (PIN-код).

Если этот параметр политики включен, пользователи должны поместить диск операционной системы под защиту BitLocker, и диск будет зашифрован.

Если отключить эту политику, пользователи не смогут поместить диск операционной системы под защиту BitLocker. Если применить эту политику после шифрования диска операционной системы, диск будет расшифровываться.

Если вы не настроите эту политику, диск операционной системы не должен быть помещен под защиту BitLocker.

Настройка профиля проверки платформы TPM

Рекомендуемая конфигурация: не настроено

Этот параметр политики позволяет настроить, как оборудование безопасности доверенного платформенного модуля на компьютере защищает ключ шифрования BitLocker. Этот параметр политики не применяется, если компьютер не имеет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля.

Если этот параметр политики не настроен, TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный скриптом установки.

Выберите способы восстановления дисков операционной системы с защитой BitLocker

Рекомендуемая конфигурация: не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменные службы Active Directory (AD DS).

Если эта политика не настроена, агент восстановления данных разрешен, а сведения о восстановлении не архивируются в AD DS.

Операция MBAM не требует резервного копирования сведений о восстановлении в AD DS.

Определения политики съемных дисков

В этом разделе описываются определения политики съемных дисков для администрирования и мониторинга Microsoft BitLocker, найденные на следующем узле объекта групповой политики:\\\ административные шаблоны политик конфигурации компьютеров, компоненты Windows\MDOP MBAM (управление BitLocker) \ Съемный диск.

Имя политики	Общие сведения и рекомендуемые параметры политики
Управление использованием BitLocker на съемных дисках	Рекомендуемая конфигурация: включена Эта политика управляет использованием BitLocker на съемных дисках с данными. Включите параметр "Разрешить пользователям применять защиту BitLocker к съемным дискам данных", чтобы разрешить пользователям запускать мастер установки BitLocker на съемном диске данных. Включите параметр "Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках данных", чтобы разрешить пользователям удалять шифрование диска BitLocker с диска или приостанавливать шифрование во время обслуживания. Если эта политика включена и выбран параметр "Разрешить пользователям применять защиту BitLocker к съемным дискам с данными", клиент MBAM сохраняет сведения о восстановлении съемных дисков на сервере восстановления ключей MBAM и позволяет пользователям восстанавливать диск в случае потери пароля.
Запретить запись на съемные диски, не защищенные BitLocker	Рекомендуемая конфигурация: не настроено Включите эту политику, чтобы разрешить доступ только для записи к защищенным дискам BitLocker. Если эта политика включена, все съемные диски данных на компьютере требуют шифрования, прежде чем будет разрешен доступ на запись.
Разрешение доступа к съемным дискам, защищенным BitLocker, из более ранних версий Windows	Рекомендуемая конфигурация: не настроено Включите эту политику, чтобы разрешить разблокирование и просмотр фиксированных дисков с файловой системой FAT на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Если эта политика не настроена, съемные диски с данными, отформатированные с файловой системой FAT, можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), а их содержимое можно просмотреть. Эти операционные системы имеют доступ только для чтения к дискам, защищенным BitLocker. Если политика отключена, съемные диски, отформатированные с файловой системой FAT, не могут быть разблокированными, а их содержимое невозможно просмотреть на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).
Настройка использования пароля для съемных дисков с данными	Рекомендуемая конфигурация: не настроено Включите эту политику, чтобы настроить защиту паролем на съемных дисках с данными. Если эта политика не настроена, пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и для которых требуется всего восемь символов. Для повышения безопасности можно включить эту политику и установить флажок "Требовать пароль для съемного диска с данными", выбрать "Требовать сложность пароля" и задать предпочтительную минимальную длину пароля.
Выберите, как можно восстановить съемные диски с защитой BitLocker	Рекомендуемая конфигурация: не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменные службы Active Directory (AD DS). Если задано значение "Не настроено", агент восстановления данных разрешен, а сведения о восстановлении не архивируются в AD DS. Операция MBAM не требует резервного копирования сведений о восстановлении в AD DS.

Необходимые условия для развертывания MBAM 2.0

Share via

Планирование требований групповой политики MBAM 2.0

Определения глобальной политики

Определения политик управления клиентами

Определения политик фиксированного диска

Определения политик дисков операционной системы

Определения политики съемных дисков

Дополнительные ресурсы

Share via

Планирование требований групповой политики MBAM 2.0

Определения глобальной политики

Определения политик управления клиентами

Определения политик фиксированного диска

Определения политик дисков операционной системы

Определения политики съемных дисков

Связанные статьи

Дополнительные ресурсы