BitLocker yönetimini dağıtma
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager'da BitLocker yönetimi aşağıdaki bileşenleri içerir:
BitLocker yönetim aracısı: İlke oluşturup bir koleksiyona dağıttığınızda Configuration Manager bu aracıyı bir cihazda etkinleştirir.
Kurtarma hizmeti: İstemcilerden BitLocker kurtarma verilerini alan sunucu bileşeni. Daha fazla bilgi için bkz . Kurtarma hizmeti.
BitLocker yönetim ilkelerini oluşturmadan ve dağıtmadan önce:
Önkoşulları gözden geçirin
Gerekirse, site veritabanında kurtarma anahtarlarını şifreleyin
İlke oluşturma
Bu ilkeyi oluşturduğunuzda ve dağıttığınızda Configuration Manager istemcisi cihazda BitLocker yönetim aracısını etkinleştirir.
Not
BitLocker yönetim ilkesi oluşturmak için Configuration Manager'da Tam Yönetici rolüne sahip olmanız gerekir.
Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin, Endpoint Protection'ı genişletin ve BitLocker Yönetim düğümünü seçin.
Şeritte BitLocker Yönetim Denetimi İlkesi Oluştur'u seçin.
Genel sayfasında, bir ad ve isteğe bağlı bir açıklama belirtin. Bu ilkeye sahip istemcilerde etkinleştirecek bileşenleri seçin:
İşletim Sistemi Sürücüsü: İşletim sistemi sürücüsünün şifrelenip şifrelenmediğini yönetme
Sabit Sürücü: Bir cihazdaki diğer veri sürücüleri için şifrelemeyi yönetme
Çıkarılabilir Sürücü: USB anahtarı gibi bir cihazdan kaldırabileceğiniz sürücüler için şifrelemeyi yönetme
İstemci Yönetimi: BitLocker Sürücü Şifrelemesi kurtarma bilgilerinin anahtar kurtarma hizmeti yedeklemesini yönetme
Kurulum sayfasında BitLocker Sürücü Şifrelemesi için aşağıdaki genel ayarları yapılandırın:
Not
Configuration Manager, BitLocker'ı etkinleştirdiğinizde bu ayarları uygular. Sürücü zaten şifrelenmişse veya devam ediyorsa, bu ilke ayarlarında yapılan herhangi bir değişiklik cihazda sürücü şifrelemesini değiştirmez.
Bu ayarları devre dışı bırakır veya yapılandırmazsanız BitLocker varsayılan şifreleme yöntemini (AES 128 bit) kullanır.
Windows 8.1 cihazları için Sürücü şifreleme yöntemi ve şifreleme gücü seçeneğini etkinleştirin. Ardından şifreleme yöntemini seçin.
Windows 10 veya üzeri cihazlarda Sürücü şifreleme yöntemi ve şifreleme gücü (Windows 10 veya üzeri) seçeneğini etkinleştirin. Ardından işletim sistemi sürücüleri, sabit veri sürücüleri ve çıkarılabilir veri sürücüleri için şifreleme yöntemini tek tek seçin.
Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz . Ayarlar başvurusu - Kurulum.
İşletim Sistemi Sürücüsü sayfasında aşağıdaki ayarları belirtin:
- İşletim Sistemi Sürücüsü Şifreleme Ayarları: Bu ayarı etkinleştirirseniz, kullanıcının işletim sistemi sürücüsünü koruması gerekir ve BitLocker sürücüyü şifreler. Devre dışı bırakırsanız, kullanıcı sürücüyü koruyamaz.
Uyumlu bir TPM'ye sahip cihazlarda, şifrelenmiş veriler için ek koruma sağlamak üzere başlangıçta iki tür kimlik doğrulama yöntemi kullanılabilir. Bilgisayar başlatıldığında, kimlik doğrulaması için yalnızca TPM kullanabilir veya kişisel kimlik numarası (PIN) girişini de gerektirebilir. Aşağıdaki ayarları yapılandırın:
İşletim sistemi sürücüsü için koruyucu seçin: TPM ve PIN kullanacak şekilde veya yalnızca TPM'yi kullanacak şekilde yapılandırın.
Başlangıç için en düşük PIN uzunluğunu yapılandırma: PIN gerekiyorsa, bu değer kullanıcının belirtebileceği en kısa uzunluk olur. Bilgisayar sürücünün kilidini açmak için önyükleme yaptığında kullanıcı bu PIN'i girer. Varsayılan olarak, en düşük PIN uzunluğu şeklindedir
4
.
Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - İşletim sistemi sürücüsü.
Sabit Sürücü sayfasında aşağıdaki ayarları belirtin:
Sabit veri sürücüsü şifrelemesi: Bu ayarı etkinleştirirseniz, BitLocker kullanıcıların tüm sabit veri sürücülerini koruma altına almasını gerektirir. Ardından veri sürücülerini şifreler. Bu ilkeyi etkinleştirdiğinizde otomatik kilidi açmayı veya Sabit veri sürücüsü parola ilkesi ayarlarını etkinleştirin.
Sabit veri sürücüsü için otomatik kilidi açmayı yapılandırma: BitLocker'ın şifrelenmiş herhangi bir veri sürücüsünün kilidini otomatik olarak açmasına izin verin veya gerekli kılabilir. Otomatik kilidi açmayı kullanmak için BitLocker'ın işletim sistemi sürücüsünü şifrelemesini de gerekli kılar.
Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - Sabit sürücü.
Çıkarılabilir Sürücü sayfasında aşağıdaki ayarları belirtin:
Çıkarılabilir veri sürücüsü şifrelemesi: Bu ayarı etkinleştirdiğinizde ve kullanıcıların BitLocker koruması uygulamasına izin verdiğinizde, Configuration Manager istemcisi çıkarılabilir sürücüler hakkındaki kurtarma bilgilerini yönetim noktasındaki kurtarma hizmetine kaydeder. Bu davranış, kullanıcıların koruyucuyu (parola) unutması veya kaybetmesi durumunda sürücüyü kurtarmasına olanak tanır.
Kullanıcıların çıkarılabilir veri sürücülerine BitLocker koruması uygulamasına izin ver: Kullanıcılar çıkarılabilir bir sürücü için BitLocker korumasını açabilir.
Çıkarılabilir veri sürücüsü parola ilkesi: BitLocker korumalı çıkarılabilir sürücülerin kilidini açmak için parola kısıtlamalarını ayarlamak için bu ayarları kullanın.
Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - Çıkarılabilir sürücü.
İstemci Yönetimi sayfasında aşağıdaki ayarları belirtin:
Önemli
Configuration Manager'ın 2103 öncesi sürümlerinde, HTTPS özellikli bir web sitesine sahip bir yönetim noktanız yoksa bu ayarı yapılandırmayın. Daha fazla bilgi için bkz . Kurtarma hizmeti.
BitLocker Yönetim Hizmetleri'ni yapılandırma: Bu ayarı etkinleştirdiğinizde, Configuration Manager site veritabanındaki anahtar kurtarma bilgilerini otomatik olarak ve sessizce yedekler. Bu ayarı devre dışı bırakır veya yapılandırmazsanız, Configuration Manager anahtar kurtarma bilgilerini kaydetmez.
Depolamak için BitLocker kurtarma bilgilerini seçin: Kurtarma parolası ve anahtar paketi kullanacak şekilde yapılandırın veya yalnızca bir kurtarma parolası kullanın.
Kurtarma bilgilerinin düz metin olarak depolanmasına izin ver: Configuration Manager, BitLocker yönetim şifreleme sertifikası olmadan anahtar kurtarma bilgilerini düz metin olarak depolar. Daha fazla bilgi için bkz . Veritabanında kurtarma verilerini şifreleme.
Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz . Ayarlar başvurusu - İstemci yönetimi.
Sihirbazı tamamlayın.
Var olan bir ilkenin ayarlarını değiştirmek için, listeden ilkeyi seçin ve Özellikler'i seçin.
Birden fazla ilke oluşturduğunuzda, göreli önceliğini yapılandırabilirsiniz. Bir istemciye birden çok ilke dağıtırsanız, ayarlarını belirlemek için öncelik değerini kullanır.
Sürüm 2006'dan başlayarak, bu görev için Windows PowerShell cmdlet'lerini kullanabilirsiniz. Daha fazla bilgi için bkz. New-CMBlmSetting.
İlke dağıtma
BitLocker Yönetim düğümünde var olan bir ilkeyi seçin. Şeritte Dağıt'ı seçin.
Dağıtımın hedefi olarak bir cihaz koleksiyonu seçin.
Cihazın herhangi bir zamanda sürücülerini şifrelemesini veya şifresini çözmesini istiyorsanız bakım penceresinin dışında Düzeltmeye izin ver seçeneğini belirleyin. Koleksiyonun bakım pencereleri varsa, bu BitLocker ilkesini düzeltmeye devam eder.
Basit veya Özel bir zamanlama yapılandırın. İstemci, uyumluluğunu zamanlamada belirtilen ayarlara göre değerlendirir.
İlkeyi dağıtmak için Tamam'ı seçin.
Aynı ilkenin birden çok dağıtımını oluşturabilirsiniz. Her dağıtımla ilgili ek bilgileri görüntülemek için BitLocker Yönetim düğümünde ilkeyi seçin ve ayrıntılar bölmesinde Dağıtımlar sekmesine geçin. Bu görev için Windows PowerShell cmdlet'lerini de kullanabilirsiniz. Daha fazla bilgi için bkz. New-CMSettingDeployment.
Önemli
Uzak masaüstü protokolü (RDP) bağlantısı etkinse, MBAM istemcisi BitLocker Sürücü Şifrelemesi eylemlerini başlatmaz. Tüm uzak konsol bağlantılarını kapatın ve bir etki alanı kullanıcı hesabıyla konsol oturumunda oturum açın. Ardından BitLocker Sürücü Şifrelemesi başlar ve istemci kurtarma anahtarlarını ve paketlerini karşıya yükler. Yerel bir kullanıcı hesabıyla oturum açarsanız BitLocker Sürücü Şifrelemesi başlatılmaz.
RDP kullanarak cihazın konsol oturumuna anahtarla /admin
uzaktan bağlanabilirsiniz. Örneğin: mstsc.exe /admin /v:<IP address of device>
Konsol oturumu, bilgisayarın fiziksel konsolunda olduğunuzda veya bilgisayarın fiziksel konsolunda olmanızla aynı olan uzak bir bağlantıdır.
Monitör
BitLocker Yönetim düğümünün ayrıntılar bölmesinde ilke dağıtımıyla ilgili temel uyumluluk istatistiklerini görüntüleyin:
- Uyumluluk sayısı
- Hata sayısı
- Uyumsuzluk sayısı
Uyumluluk yüzdesini ve önerilen eylemi görmek için Dağıtımlar sekmesine geçin. Dağıtımı seçin, ardından şeritte Durumu Görüntüle'yi seçin. Bu eylem görünümü İzleme çalışma alanı olan Dağıtımlar düğümüne geçirir. Diğer yapılandırma ilkesi dağıtımlarına benzer şekilde, bu görünümde daha ayrıntılı uyumluluk durumu görebilirsiniz.
İstemcilerin neden BitLocker yönetim ilkesiyle uyumlu olmadığını bildirdiğini anlamak için bkz . Uyumsuzluk kodları.
Daha fazla sorun giderme bilgisi için bkz. BitLocker sorunlarını giderme.
İzlemek ve sorun gidermek için aşağıdaki günlükleri kullanın:
İstemci günlükleri
MBAM olay günlüğü: Windows Olay Görüntüleyicisi'nde Uygulamalar ve Hizmetler>Microsoft>Windows>MBAM'ye göz atın. Daha fazla bilgi için bkz. BitLocker olay günlükleri ve İstemci olay günlükleri hakkında.
varsayılan olarak istemci günlükleri yolunda
%WINDIR%\CCM\Logs
BitlockerManagementHandler.log ve BitlockerManagement_GroupPolicyHandler.log
Yönetim noktası günlükleri (kurtarma hizmeti)
Kurtarma hizmeti olay günlüğü: Windows Olay Görüntüleyicisi'nde Uygulamalar ve Hizmetler>Microsoft>Windows>MBAM-Web'e göz atın. Daha fazla bilgi için bkz. BitLocker olay günlükleri ve Sunucu olay günlükleri hakkında.
Kurtarma hizmeti izleme günlükleri:
<Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl
Geçişle ilgili dikkat edilmesi gerekenler
Şu anda Microsoft BitLocker Yönetim ve İzleme (MBAM) kullanıyorsanız, yönetimi Configuration Manager'a sorunsuz bir şekilde geçirebilirsiniz. Configuration Manager'da BitLocker yönetim ilkelerini dağıttığınızda, istemciler kurtarma anahtarlarını ve paketlerini Configuration Manager kurtarma hizmetine otomatik olarak yükler.
Önemli
Tek başına MBAM'den Configuration Manager BitLocker yönetimine geçiş yaparken, mevcut tek başına MBAM işlevselliğine ihtiyacınız varsa, Configuration Manager BitLocker yönetimiyle tek başına MBAM sunucularını veya bileşenlerini yeniden kullanma. Bu sunucuları yeniden kullandığınızda, Configuration Manager BitLocker yönetimi bileşenlerini bu sunuculara yüklediğinde tek başına MBAM çalışmayı durdurur. BitLocker portallarını tek başına MBAM sunucularında ayarlamak için MBAMWebSiteInstaller.ps1 betiğini çalıştırmayın. Configuration Manager BitLocker yönetimini ayarlarken ayrı sunucular kullanın.
Grup ilkesi
BitLocker yönetim ayarları MBAM grup ilkesi ayarlarıyla tamamen uyumludur. Cihazlar hem grup ilkesi ayarlarını hem de Configuration Manager ilkelerini alıyorsa, bunları eşleşecek şekilde yapılandırın.
Not
Tek başına MBAM için bir grup ilkesi ayarı varsa, Configuration Manager tarafından denenen eşdeğer ayarı geçersiz kılar. Tek başına MBAM etki alanı grup ilkesini kullanırken Configuration Manager, BitLocker yönetimi için yerel ilkeler ayarlar. Etki alanı ilkeleri yerel Configuration Manager BitLocker yönetim ilkelerini geçersiz kılar. Tek başına MBAM etki alanı grup ilkesi Configuration Manager ilkesiyle eşleşmiyorsa Configuration Manager BitLocker yönetimi başarısız olur. Örneğin, bir etki alanı grubu ilkesi anahtar kurtarma hizmetleri için tek başına MBAM sunucusunu ayarlarsa, Configuration Manager BitLocker yönetimi yönetim noktası için aynı ayarı ayarlayamaz. Bu davranış istemcilerin kurtarma anahtarlarını yönetim noktasındaki Configuration Manager BitLocker yönetim anahtarı kurtarma hizmetine bildirmemelerine neden olur.
Configuration Manager tüm MBAM grup ilkesi ayarlarını uygulamaz. Grup ilkesinde daha fazla ayar yapılandırıyorsanız, Configuration Manager istemcilerindeki BitLocker yönetim aracısı bu ayarları kabul eder.
Önemli
Configuration Manager BitLocker yönetiminin önceden belirttiği bir ayar için grup ilkesi ayarlamayın. Yalnızca Configuration Manager BitLocker yönetiminde mevcut olmayan ayarlar için grup ilkelerini ayarlayın. Configuration Manager sürüm 2002, tek başına MBAM ile özellik eşliğine sahiptir. Configuration Manager sürüm 2002 ve üzeri ile, çoğu durumda BitLocker ilkelerini yapılandırmak için etki alanı grubu ilkeleri ayarlamak için bir neden olmamalıdır. Çakışmaları ve sorunları önlemek için BitLocker için grup ilkelerini kullanmaktan kaçının. Configuration Manager BitLocker yönetim ilkeleri aracılığıyla tüm ayarları yapılandırın.
TPM parola karması
Önceki MBAM istemcileri TPM parola karması Configuration Manager'a yüklenmez. İstemci TPM parola karması yalnızca bir kez karşıya yükler.
Bu bilgileri Configuration Manager kurtarma hizmetine geçirmeniz gerekiyorsa cihazdaki TPM'yi temizleyin. Yeniden başlatıldıktan sonra yeni TPM parola karması kurtarma hizmetine yüklenir.
Not
TPM parola karması çoğunlukla Windows 10'un önceki sürümlerine yüklenir. Windows 10 veya üzeri varsayılan olarak TPM parola karması kaydetmez, bu nedenle bu cihazlar normalde karşıya yüklemez. Daha fazla bilgi için bkz . TPM sahip parolası hakkında.
Yeniden şifreleme
Configuration Manager, BitLocker Sürücü Şifrelemesi ile korunan sürücüleri yeniden şifrelemez. Sürücünün geçerli korumasıyla eşleşmeyen bir BitLocker yönetim ilkesi dağıtırsanız, bu ilke uyumsuz olarak rapor eder. Sürücü hala korunuyor.
Örneğin, AES-XTS 128 şifreleme algoritmasıyla sürücüyü şifrelemek için MBAM kullandınız, ancak Configuration Manager ilkesi AES-XTS 256 gerektirir. Sürücü şifrelenmiş olsa bile, sürücü ilkeyle uyumlu değildir.
Bu davranışı geçici olarak çözmek için önce cihazda BitLocker'ı devre dışı bırakın. Ardından yeni ayarlarla yeni bir ilke dağıtın.
Ortak yönetim ve Intune
BitLocker için Configuration Manager istemci işleyicisi ortak yönetime duyarlıdır. Cihaz birlikte yönetiliyorsa ve Endpoint Protection iş yükünü Intune'a geçirirseniz Configuration Manager istemcisi BitLocker ilkesini yoksayar. Cihaz, Intune'dan Windows şifreleme ilkesi alır.
Not
İstenen şifreleme algoritmasını korurken şifreleme yönetimi yetkililerinin değiştirilmesi, istemcide ek eylemler gerektirmez. Ancak, şifreleme yönetimi yetkililerini değiştirirseniz ve istenen şifreleme algoritması da değişirse , yeniden şifrelemeyi planlamanız gerekir.
BitLocker'ı Intune ile yönetme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Intune ile cihaz şifrelemesi kullanma
- Microsoft Intune'da BitLocker ilkeleriyle ilgili sorunları giderme