共用方式為


MBAM 1.0 群組原則需求規劃

適用於: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) 用戶端管理需要套用自訂群組原則設定。 本主題說明當您在企業中使用 MBAM 管理 BitLocker 磁碟機加密時,可用的群組原則物件 (GPO) 原則選項。

重要

MBAM 不會使用 Windows BitLocker 磁碟機加密的預設 GPO 設定。 如果啟用預設設定,可能會導致衝突行為。 若要讓 MBAM 管理 BitLocker,您必須在安裝 MBAM 群組原則範本之後定義 GPO 原則設定。

安裝 MBAM 群組原則範本之後,您可以檢視並修改可用的自訂 MBAM GPO 原則設定,這些設定可讓 MBAM 管理企業 BitLocker 加密。 MBAM 群組原則範本必須安裝在能夠執行群組原則管理主控台 (GPMC) 或進階群組原則管理 (AGPM) MDOP 技術的電腦上。 接下來,若要編輯適用的 GPO,請開啟 GPMC 或 AGPM,然後瀏覽到下列 GPO 節點: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management)

MDOP MBAM (BitLocker 管理) GPO 節點分別包含四個全域原則設定和四個子 GPO 設定節點。 四個 GPO 全域原則設定如下: 用戶端管理、固定磁碟機、作業系統磁碟機和卸除式磁碟機。 下面幾節提供原則定義和建議的原則設定,協助您規劃 MBAM GPO 原則設定需求。

注意

如需如何設定最低建議 GPO 設定以讓 MBAM 管理 BitLocker 加密的詳細資訊,請參閱如何編輯 MBAM 1.0 GPO 設定

全域原則定義

本節說明 MBAM 全域原則定義,這些定義可以在下列 GPO 節點找到: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management)

原則名稱 概觀與建議的原則設定

選擇磁碟機加密方法與加密強度

建議的組態: 尚未設定

設定此原則以使用特定加密方法和加密強度。

若未設定此原則,BitLocker 會使用預設加密方法 (具有 Diffuser 的 AES 128 位元),或是安裝指令碼指定的加密方法。

重新啟動時防止記憶體覆寫

建議的組態: 尚未設定

設定此原則可改善重新啟動效能,但不會在重新啟動時覆寫記憶體中的 BitLocker 密碼。

若未設定此原則,當電腦重新啟動時,BitLocker 密碼便會從記憶體移除。

驗證智慧卡憑證使用規則

建議的組態: 尚未設定

設定此原則可使用以智慧卡憑證為基礎的 BitLocker 保護。

若未設定此原則,系統會使用預設物件識別碼 1.3.6.1.4.1.311.67.1.1 來指定憑證。

為組織提供唯一識別碼

建議的組態: 尚未設定

設定此原則可使用憑證式資料修復代理或 BitLocker To Go 讀取裝置。

若未設定此原則,則不會使用 [識別碼] 欄位。

如果貴公司需要更高的安全機制,您可以設定 [識別碼] 欄位,以確定所有 USB 裝置均設定此欄位,而且符合這項群組原則設定。

用戶端管理原則定義

本節說明 MBAM 的用戶端管理原則定義,這些定義可以在下列 GPO 節點找到: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management) \ 用戶端管理

原則名稱 概觀與建議的原則設定

設定 MBAM 服務

建議的組態: 啟用

  • MBAM Recovery and Hardware 服務端點。 這是啟用 MBAM 用戶端 BitLocker 加密管理時必須設定的第一個原則設定。 請針對此設定,輸入與下列範例類似的端點位置: http://<MBAM Administration and Monitoring Server 名稱>:<Web 服務繫結的連接埠>/MBAMRecoveryAndHardwareService/CoreService.svc

  • 選取要儲存的 BitLocker 修復資訊。 此原則設定可讓您設定金鑰修復服務以備份 BitLocker 修復資訊。 此外,還可讓您設定狀態報告服務,以收集符合性與稽核報告。 此原則提供的系統管理方式可修復以 BitLocker 加密的資料,有助於避免因缺少金鑰資訊而導致資料遺失。 狀態報告和金鑰修復活動會自動以無訊息的方式傳送到設定的報告伺服器位置。

    如果您未設定此原則設定或將它停用,則不會儲存金鑰修復資訊,而且也不會將狀態報告和金鑰修復活動回報至伺服器。 當此設定設為 [修復密碼和金鑰封裝] 時,修復密碼和金鑰封裝自動以無訊息的方式備份到設定的金鑰修復伺服器位置。

  • 輸入用戶端檢查狀態頻率 (分鐘)。 此原則設定可管理用戶端檢查用戶端電腦上的 BitLocker 保護原則和狀態的頻率。 此原則也可管理用戶端符合性狀態儲存到伺服器的頻率。 用戶端會檢查用戶端電腦上的 BitLocker 保護原則和狀態,也會按照設定的頻率備份用戶端修復金鑰。

    請根據貴公司針對檢查電腦符合性狀態的頻率以及備份用戶端修復金鑰的頻率所制訂的需求設定此頻率。

  • MBAM 狀態報告服務端點。 這是啟用 MBAM 用戶端 BitLocker 加密管理時必須設定的第二個原則設定。 請針對此設定,使用下列範例輸入端點位置: http://<MBAM Administration and Monitoring Server 名稱>:<Web 服務繫結的連接埠>/MBAMComplianceStatusService/StatusReportingService. svc

允許硬體相容性檢查

建議的組態: 啟用

此原則設定可讓您在 MBAM 用戶端電腦的磁碟機上啟用 BitLocker 保護之前,管理硬體相容性的驗證作業。

如果您的企業有不支援信賴平台模組 (TPM) 的舊型電腦硬體或電腦,就應啟用此原則選項。 如果上述任一條件成立,請啟用硬體相容性驗證,以確定 MBAM 只套用到支援 BitLocker 的電腦型號。 如果組織中的所有電腦都支援 BitLocker,就不需要部署硬體相容性功能,而且可以將此原則設定為 [尚未設定]。

如果啟用此原則設定,在原則對電腦磁碟機啟用 BitLocker 保護之前,系統會每 24 小時根據硬體相容性清單驗證電腦的型號。

注意

啟用此原則設定之前,請確定您已在 [設定 MBAM 服務] 原則選項中設定 [MBAM Recovery and Hardware 服務端點] 設定。

如果停用或未設定此原則設定,系統就不會根據硬體相容性清單驗證電腦型號。

設定使用者豁免原則

建議的組態: 尚未設定

此原則設定可讓您設定網站位址、電子郵件地址或電話號碼,透過這些方式指示使用者提出豁免 BitLocker 加密的要求。

如果您啟用此原則設定並提供網站位址、電子郵件地址或電話號碼,使用者會看到對話方塊,其中提供如何申請 BitLocker 保護豁免的指示。 如需如何啟用使用者 BitLocker 加密豁免的詳細資訊,請參閱如何管理使用者 BitLocker 加密豁免

如果停用或未設定此原則設定,使用者就看不到如何申請豁免要求的指示。

注意

使用者豁免是依照個別使用者管理,而非依照個別電腦。 如果有多個使用者登入同一部電腦,只要其中一個使用者未豁免,電腦就會加密。

固定磁碟機原則定義

本節說明 MBAM 的固定磁碟機原則定義,這些定義可以在下列 GPO 節點找到: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management) \ 固定磁碟機

原則名稱 概觀與建議的原則設定

固定資料磁碟機加密設定

建議的組態: [啟用],且如果作業系統磁碟區需要加密,請選取 [啟用自動解除鎖定固定資料磁碟機] 核取方塊。

此原則設定可讓您管理是否要加密固定磁碟機。

當您啟用此原則時,請不要停用 [設定固定資料磁碟機的密碼使用方式] 原則。

如果選取 [啟用自動解除鎖定固定資料磁碟機] 核取方塊,作業系統磁碟區必須加密。

如果啟用此原則設定,使用者就必須將所有固定磁碟機置於 BitLocker 保護之下,而這將會加密磁碟機。

如果未設定此原則或停用此原則,使用者就不需要將固定磁碟機置於 BitLocker 保護之下。

如果停用此原則,MBAM 代理程式會解密任何已加密的固定磁碟機。

如果不需要加密作業系統磁碟區,請清除 [啟用自動解除鎖定固定資料磁碟機] 核取方塊。

拒絕未受 BitLocker 保護之固定磁碟機的「寫入」存取權

建議的組態: 尚未設定

此原則設定決定電腦上的固定磁碟機是否需要 BitLocker 保護才能寫入。 當您開啟 BitLocker 時,即會套用此原則設定。

若未設定此原則,電腦上的所有固定磁碟機都會以讀取/寫入權限的方式掛接。

允許從舊版 Windows 存取受 BitLocker 保護的固定資料磁碟機

建議的組態: 尚未設定

啟用此原則可在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定及檢視以檔案配置表 (FAT) 檔案系統格式化的固定磁碟機。

這些作業系統對受 BitLocker 保護的磁碟機具有唯讀權限。

停用此原則時,就無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定使用 FAT 檔案系統格式化的固定磁碟機以及檢視其內容。

設定固定資料磁碟機的密碼使用方式

建議的組態: 尚未設定

啟用此原則可在固定磁碟機上設定密碼保護。

若未設定此原則,則會支援具有預設值的密碼,也就是不包含密碼複雜性需求,而且只需要八個字元。

為提高安全性,請啟用此原則並選取 [固定資料磁碟機需要密碼]、選取 [需要密碼複雜性],然後設定需要的 [最小密碼長度]。

選擇如何修復受 BitLocker 保護的固定磁碟機

建議的組態: 尚未設定

設定此原則可啟用 BitLocker 資料修復代理或將 BitLocker 修復資訊儲存到 Active Directory 網域服務 (AD DS)。

若未設定此原則,系統將允許 BitLocker 資料修復代理,而修復資訊不會備份到 AD DS。MBAM 不需要將修復資訊備份到 AD DS。

作業系統磁碟機原則定義

本節說明 MBAM 的作業系統磁碟機原則定義,這些定義可以在下列 GPO 節點找到: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management) \ 作業系統磁碟機

原則名稱 概觀與建議的原則設定

作業系統磁碟機加密設定

建議的組態: 啟用

此原則設定決定是否要加密作業系統磁碟機。

設定此原則的作用如下:

  • 對作業系統磁碟機強制執行 BitLocker 保護。

  • 設定 PIN 使用方式,以使用信賴平台模組 (TPM) PIN 來保護作業系統。

  • 設定增強式啟動 PIN,以允許大小寫字母和數字等字元。 雖然 BitLocker 支援符號和空格,但 MBAM 並不支援在增強式 PIN 中使用符號和空格。

如果啟用此原則設定,使用者必須使用 BitLocker 保護作業系統磁碟機。

如果未設定或停用設定,則使用者不需要使用 BitLocker 保護作業系統磁碟機。

如果停用此原則,MBAM 代理程式會解密已加密的作業系統磁碟區。

當啟用此原則設定時,使用者必須使用 BitLocker 保護來保護作業系統的安全,而且磁碟機會加密。 根據您的加密需求而定,您可以選擇作業系統磁碟機的保護方式。

若安全性需求較高,請使用 TPM + PIN、允許增強式 PIN,並將 PIN 最小長度設為八個字元。

當以 TPM + PIN 保護裝置啟用此原則時,您可以考慮停用 [系統]/[電源管理]/[睡眠設定] 下方的下列原則:

  • 睡眠時允許待命狀態 (S1-S3) (一般電源)

  • 睡眠時允許待命狀態 (S1-S3) (使用電池)

設定 TPM 平台驗證設定檔

建議的組態: 尚未設定

此原則設定可讓您設定電腦上的 TPM 安全性硬體保護 BitLocker 加密金鑰的方式。 如果電腦沒有相容的 TPM,或是 BitLocker 已啟用 TPM 保護,則不適用此原則設定。

若未設定此原則,TPM 會使用預設的平台驗證設定檔,或是安裝指令碼所指定的平台驗證設定檔。

選擇如何修復受 BitLocker 保護的作業系統磁碟機

建議的組態: 尚未設定

設定此原則可啟用 BitLocker 資料修復代理或將 BitLocker 修復資訊儲存到 Active Directory 網域服務 (AD DS)。

若未設定此原則,系統將允許資料修復代理,而修復資訊不會備份到 AD DS。

MBAM 操作不需要修復資訊即可備份到 AD DS。

卸除式磁碟機原則定義

本節說明 MBAM 的卸除式磁碟機原則定義,這些定義可以在下列 GPO 節點找到: 電腦設定\系統管理範本\Windows 元件\MDOP MBAM (BitLocker Management) \ 卸除式磁碟機

原則名稱 概觀與建議的原則設定

控制卸除式磁碟機上 BitLocker 的使用方式

建議的組態: 啟用

此原則會控制卸除式資料磁碟機上 BitLocker 的使用方式。

啟用 [允許使用者在卸除式資料磁碟機上套用 BitLocker 保護] 選項可讓使用者在卸除式資料磁碟機上執行 BitLocker 安裝精靈。

啟用 [允許使用者在卸除式資料磁碟機上暫停和解密 BitLocker] 選項可讓使用者將 BitLocker 磁碟機加密從磁碟機中移除,或在執行維護工作時暫停加密。

當啟用此原則並選取 [允許使用者在卸除式資料磁碟機上套用 BitLocker 保護] 選項時,MBAM 用戶端會將卸除式磁碟機的修復資訊儲存到 MBAM 金鑰修復伺服器,而且允許使用者在遺失密碼時修復磁碟機。

拒絕未受 BitLocker 保護之卸除式磁碟機的「寫入」存取權

建議的組態: 尚未設定

啟用此原則可提供對受 BitLocker 保護之磁碟機的唯寫權限。

啟用此原則時,電腦上的所有卸除式資料磁碟機必須先加密,才能允許寫入權限。

允許從舊版 Windows 存取受 BitLocker 保護的卸除式資料磁碟機

建議的組態: 尚未設定

啟用此原則可在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定及檢視以 (FAT) 檔案系統格式化的卸除式磁碟機。

這些作業系統對受 BitLocker 保護的磁碟機具有唯讀權限。

停用此原則時,就無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定使用 FAT 檔案系統格式化的卸除式磁碟機以及檢視其內容。

設定卸除式資料磁碟機的密碼使用方式

建議的組態: 尚未設定

啟用此原則可在卸除式資料磁碟機上設定密碼保護。

若未設定此原則,則會支援具有預設值的密碼,也就是不包含密碼複雜性需求,而且只需要八個字元。

為提高安全性,請啟用此原則並選取 [卸除式資料磁碟機需要密碼]、選取 [需要密碼複雜性],然後設定所需的 [最小密碼長度]。

選擇如何修復受 BitLocker 保護的卸除式磁碟機

建議的組態: 尚未設定

您可以設定此原則以啟用 BitLocker 資料修復代理或將 BitLocker 修復資訊儲存到 Active Directory 網域服務 (AD DS)。

若將此原則設定為 [尚未設定],系統將允許資料修復代理,而修復資訊不會備份到 AD DS。

MBAM 操作不需要修復資訊即可備份到 AD DS。

另請參閱

其他資源

MBAM 1.0 的環境準備

-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 FacebookTwitter 追蹤我們的動態。
-----