Nastavení šifrovacího algoritmu nástroje BitLocker pro zařízení Autopilot

BitLocker automaticky šifruje interní jednotky během počátečního nastavení počítače (OOBE) pro zařízení, která podporují moderní úsporný režim nebo splňují specifikace testovatelnosti zabezpečení hardwaru (HSTI). BitLocker používá ve výchozím nastavení 128bitové místo XTS-AES jenom pro automatické šifrování.

Pomocí Windows Autopilotu můžete nakonfigurovat nastavení šifrování nástrojem BitLocker tak, aby se použilo před spuštěním automatického šifrování. Tato konfigurace zajistí, že se výchozí šifrovací algoritmus nebo typ automaticky nepoužije. Zařízení, které obdrží tato nastavení po automatickém šifrování, bude potřeba před změnou šifrovacího algoritmu dešifrovat.

Šifrovací algoritmus

Šifrovací algoritmus nástroje BitLocker se používá při prvním povolení nástroje BitLocker. Během Autopilotu se nástroj BitLocker povolí po nastavení zařízení na stránce stavu registrace. K dispozici jsou následující šifrovací algoritmy:

  • AES-CBC (128bitová verze)
  • AES-CBC (256bitová verze)
  • XTS-AES 128 bitů (výchozí)
  • XTS-AES 256 bitů

Další informace o doporučených šifrovacích algoritmech, které se mají použít, najdete v tématu BitLocker CSP.

Ujistěte se, že je před automatickým šifrováním zařízení Autopilot nastavený požadovaný šifrovací algoritmus nástroje BitLocker:

  1. Nakonfigurujte nastavení metody šifrování v zásadách šifrování disků zabezpečení koncového bodu. Nastavení jsou k dispozici v částiŠifrování> disku zabezpečení> koncového boduVytvoření zásady>Platform = Windows 10 a novější typ profilu = BitLocker.

  2. Přiřaďte zásadu ke skupině zařízení Autopilot. Zásady šifrování musí být přiřazené zařízením ve skupině, ne uživatelům.

  3. Povolte pro tato zařízení stránku stavu registrace Autopilotu. Pokud tuto funkci nepovolíte, zásada se před zahájením šifrování nepoužije.

Šifrování plného disku nebo jen využitého místa

Existují dva typy šifrování: plný disk nebo jen využité místo. Typ šifrování je automaticky určen konfigurací tichého povolení a podporou hardwaru pro moderní pohotovostní režim. Můžete ho vynutit konfigurací nastavení SystemDrivesEncryptionType . Podobně jako šifrovací algoritmus se typ šifrování používá při prvním povolení nástroje BitLocker. Další informace o očekávaném chování typu šifrování najdete v tématu Správa zásad nástroje BitLocker.

Vynucení použitého typu šifrování jednotky:

  1. Nakonfigurujte nastavení Vynutit typ šifrování jednotek na jednotkách operačního systému v katalogu nastavení. Toto nastavení je k dispozici v kategorii Jednotky operačního systému BitLocker Drive Encryption > Součásti pro správu Součásti >> systému Windows v nástroji pro výběr nastavení.

  2. Přiřaďte zásadu ke skupině zařízení Autopilot. Zásady šifrování musí být přiřazené zařízením ve skupině, ne uživatelům.

  3. Povolte pro tato zařízení stránku stavu registrace Autopilotu. Pokud tuto funkci nepovolíte, zásada se před zahájením šifrování nepoužije.

Požadavky

Podporovaná verze Windows.

Další kroky