BitLocker-felügyelet üzembe helyezése

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az Configuration Manager BitLocker-felügyelete a következő összetevőket tartalmazza:

• BitLocker felügyeleti ügynök: Configuration Manager engedélyezi ezt az ügynököt egy eszközön, amikor létrehoz egy szabályzatot, és üzembe helyezi azt egy gyűjteményben.

• Helyreállítási szolgáltatás: Az a kiszolgálói összetevő, amely BitLocker helyreállítási adatokat fogad az ügyfelektől. További információ: Helyreállítási szolgáltatás.

A BitLocker felügyeleti szabályzatok létrehozása és telepítése előtt:

• Az előfeltételek áttekintése

• Ha szükséges, titkosítsa a helyreállítási kulcsokat a helyadatbázisban

Szabályzat létrehozása

A házirend létrehozásakor és telepítésekor a Configuration Manager-ügyfél engedélyezi a BitLocker felügyeleti ügynököt az eszközön.

Megjegyzés:

BitLocker felügyeleti szabályzat létrehozásához a Teljes rendszergazda szerepkörrel kell Configuration Manager.

1. Az Configuration Manager-konzolon lépjen az Eszközök és megfelelőség munkaterületre, bontsa ki az Endpoint Protection elemet, és válassza a BitLocker felügyeleti csomópontot.

2. A menüszalagon válassza a BitLocker felügyeleti vezérlőszabályzat létrehozása lehetőséget.

3. Az Általános lapon adja meg a nevet és az opcionális leírást. Válassza ki azokat az összetevőket, amelyeket engedélyezni szeretne az ügyfeleken ezzel a szabályzattal:

   • Operációsrendszer-meghajtó: Annak kezelése, hogy az operációs rendszer meghajtója titkosítva van-e

   • Rögzített meghajtó: Más adatmeghajtók titkosításának kezelése az eszközön

   • Cserélhető meghajtó: Az eszközről eltávolítható meghajtók, például usb-kulcsok titkosításának kezelése

   • Ügyfélkezelés: A BitLocker meghajtótitkosítás helyreállítási adatainak kulcs-helyreállítási szolgáltatásbeli biztonsági mentésének kezelése

4. A Beállítás lapon konfigurálja a következő globális beállításokat a BitLocker meghajtótitkosításhoz:

   Megjegyzés:

   Configuration Manager alkalmazza ezeket a beállításokat a BitLocker engedélyezésekor. Ha a meghajtó már titkosítva van vagy folyamatban van, a házirend-beállítások módosítása nem módosítja a meghajtótitkosítást az eszközön.

   Ha letiltja vagy nem konfigurálja ezeket a beállításokat, a BitLocker az alapértelmezett titkosítási módszert (AES 128 bites) használja.

   • Windows 8.1-eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége beállítást. Ezután válassza ki a titkosítási módszert.

   • Windows 10 vagy újabb eszközök esetén engedélyezze a Meghajtótitkosítási módszer és a titkosítás erőssége (Windows 10 vagy újabb) beállítást. Ezután egyenként válassza ki az operációsrendszer-meghajtók, a rögzített adatmeghajtók és a cserélhető adatmeghajtók titkosítási módját.

   Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referenciája – Beállítás című témakörben talál.

5. Az Operációs rendszer meghajtója lapon adja meg a következő beállításokat:

   • Operációs rendszer meghajtótitkosítási beállításai: Ha engedélyezi ezt a beállítást, a felhasználónak védenie kell az operációsrendszer-meghajtót, és a BitLocker titkosítja a meghajtót. Ha letiltja, a felhasználó nem tudja megvédeni a meghajtót.

   A kompatibilis TPM-et használó eszközökön indításkor kétféle hitelesítési módszer használható a titkosított adatok további védelmének biztosításához. Amikor a számítógép elindul, csak a TPM-et használhatja a hitelesítéshez, vagy megkövetelheti egy személyes azonosító szám (PIN-kód) megadását is. Konfigurálja a következő beállításokat:

   • Válassza ki a védelmi modult az operációsrendszer-meghajtóhoz: Konfigurálja úgy, hogy TPM-et és PIN-kódot használjon, vagy csak a TPM-et.

   • Pin-kód minimális hosszának konfigurálása indításhoz: Ha PIN-kódot igényel, ez az érték a felhasználó által megadható legrövidebb hossz. A felhasználó akkor adja meg ezt a PIN-kódot, amikor a számítógép elindul a meghajtó zárolásának feloldásához. Alapértelmezés szerint a PIN-kód minimális hossza 4.

   Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Operációsrendszer-meghajtó című témakörben talál.

6. A Rögzített meghajtó lapon adja meg a következő beállításokat:

   • Rögzített adatmeghajtó-titkosítás: Ha engedélyezi ezt a beállítást, a BitLocker megköveteli a felhasználóktól, hogy minden rögzített adatmeghajtót védelem alá helyezzenek. Ezután titkosítja az adatmeghajtókat. Ha engedélyezi ezt a házirendet, engedélyezze az automatikus feloldást, vagy a Rögzített adatmeghajtó jelszóházirend beállításait.

   • Automatikus zárolásfeloldás konfigurálása rögzített adatmeghajtóhoz: Engedélyezi vagy megköveteli, hogy a BitLocker automatikusan feloldja a titkosított adatmeghajtók zárolását. Az automatikus zárolásfeloldás használatához a BitLockernek is szüksége van az operációsrendszer-meghajtó titkosítására.

   Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Rögzített meghajtó című témakörben talál.

7. A Cserélhető meghajtó lapon adja meg a következő beállításokat:

   • Cserélhető adatmeghajtók titkosítása: Ha engedélyezi ezt a beállítást, és engedélyezi a felhasználók számára a BitLocker-védelem alkalmazását, a Configuration Manager-ügyfél a felügyeleti ponton menti a cserélhető meghajtók helyreállítási adatait a helyreállítási szolgáltatásba. Ez a viselkedés lehetővé teszi a felhasználók számára a meghajtó helyreállítását, ha elfelejtik vagy elveszítik a védőt (jelszót).

   • BitLocker-védelem alkalmazásának engedélyezése a cserélhető adatmeghajtókon: A felhasználók bekapcsolhatják a BitLocker-védelmet a cserélhető meghajtókon.

   • Cserélhető adatmeghajtó jelszóházirendje: Ezekkel a beállításokkal megadhatja a jelszókorlátozásokat a BitLocker által védett cserélhető meghajtók feloldásához.

   Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Cserélhető meghajtó című témakörben talál.

8. Az Ügyfélkezelés lapon adja meg a következő beállításokat:

   Fontos

   Ha a Configuration Manager 2103 előtti verzióiban nem rendelkezik HTTPS-kompatibilis webhelytel rendelkező felügyeleti ponttal, ne konfigurálja ezt a beállítást. További információ: Helyreállítási szolgáltatás.

   • A BitLocker felügyeleti szolgáltatásainak konfigurálása: Ha engedélyezi ezt a beállítást, Configuration Manager automatikusan és csendesen biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ha letiltja vagy nem konfigurálja ezt a beállítást, Configuration Manager nem menti a kulcs helyreállítási adatait.

     • Válassza a Tárolni kívánt BitLocker helyreállítási adatokat: Konfigurálja úgy, hogy helyreállítási jelszót és kulcscsomagot vagy csak helyreállítási jelszót használjon.

     • A helyreállítási adatok egyszerű szövegben való tárolásának engedélyezése: A BitLocker felügyeleti titkosítási tanúsítványa nélkül Configuration Manager egyszerű szöveges formátumban tárolja a kulcs helyreállítási adatait. További információ: Helyreállítási adatok titkosítása az adatbázisban.

   Ezekről és az ezen a lapon található egyéb beállításokról további információt a Beállítások referencia – Ügyfélkezelés című témakörben talál.

9. Fejezze be a varázslót.

Meglévő szabályzat beállításainak módosításához válassza ki a listában, majd válassza a Tulajdonságok lehetőséget.

Ha több szabályzatot hoz létre, konfigurálhatja azok relatív prioritását. Ha több szabályzatot telepít egy ügyfélen, az a prioritási értéket használja a beállításainak meghatározásához.

A 2006-os verziótól kezdődően ehhez a feladathoz Windows PowerShell parancsmagokat használhat. További információ: New-CMBlmSetting.

Szabályzat üzembe helyezése

1. Válasszon ki egy meglévő szabályzatot a BitLocker felügyeleti csomópontjában. A menüszalagon válassza az Üzembe helyezés lehetőséget.

2. Válasszon ki egy eszközgyűjteményt az üzembe helyezés céljaként.

3. Ha azt szeretné, hogy az eszköz bármikor titkosíthassa vagy visszafejthesse a meghajtóit, válassza a Szervizelés engedélyezése a karbantartási időszakon kívül beállítást. Ha a gyűjtemény rendelkezik karbantartási időszakokkal, akkor is szervizeli ezt a BitLocker-házirendet.

4. Egyszerű vagy egyéni ütemezés konfigurálása. Az ügyfél az ütemezésben megadott beállítások alapján értékeli ki a megfelelőséget.

5. Kattintson az OK gombra a szabályzat üzembe helyezéséhez.

Ugyanannak a szabályzatnak több üzemelő példánya is létrehozható. Az egyes üzemelő példányokkal kapcsolatos további információk megtekintéséhez válassza ki a házirendet a BitLocker felügyeleti csomópontjában, majd a részletek panelen váltson az Üzemelő példányok lapra. Ehhez a feladathoz Windows PowerShell parancsmagokat is használhat. További információ: New-CMSettingDeployment.

Fontos

Ha egy távoli asztali protokoll (RDP) kapcsolata aktív, az MBAM-ügyfél nem indítja el a BitLocker meghajtótitkosítási műveleteket. Zárja be az összes távoli konzolkapcsolatot, és jelentkezzen be egy konzolmunkamenetbe egy tartományi felhasználói fiókkal. Ezután elindul a BitLocker meghajtótitkosítás, és az ügyfél feltölti a helyreállítási kulcsokat és csomagokat. Ha helyi felhasználói fiókkal jelentkezik be, a BitLocker meghajtótitkosítás nem indul el.

RdP használatával távolról csatlakozhat az eszköz konzolmunkamenetéhez a /admin kapcsolóval. Például: mstsc.exe /admin /v:<IP address of device>

A konzolmunkamenet akkor lehet, ha a számítógép fizikai konzolján van, vagy olyan távoli kapcsolat, amely megegyezik a számítógép fizikai konzoljával.

Figyelés

Tekintse meg a szabályzat telepítésének alapvető megfelelőségi statisztikáit a BitLocker felügyeleti csomópontjának részletek ablaktábláján:

• Megfelelőségek száma
• Hibák száma
• Meg nem felelés száma

Váltson az Üzemelő példányok lapra a megfelelőség százalékos arányának és a javasolt műveletnek a megtekintéséhez. Válassza ki az üzemelő példányt, majd a menüszalagon válassza az Állapot megtekintése lehetőséget. Ez a művelet átváltja a nézetet a Figyelés munkaterület Üzembe helyezések csomópontjára . A többi konfigurációs szabályzat központi telepítéséhez hasonlóan ebben a nézetben részletesebb megfelelőségi állapotot is láthat.

Annak megértéséhez, hogy az ügyfelek miért nem felelnek meg a BitLocker felügyeleti szabályzatának, tekintse meg a nem megfelelőségi kódokat.

További hibaelhárítási információkért lásd: A BitLocker hibaelhárítása.

A monitorozáshoz és a hibaelhárításhoz használja az alábbi naplókat:

Ügyfélnaplók

• MBAM eseménynapló: a Windows Eseménynapló keresse meg az Alkalmazások és szolgáltatások>Microsoft>Windows>MBAM elemet. További információ: About BitLocker event logs and Client event logs (Tudnivalók a BitLocker eseménynaplóiról és az ügyfélesemény-naplókról).

• BitlockerManagementHandler.log és BitlockerManagement_GroupPolicyHandler.log az ügyfélnaplók elérési útján %WINDIR%\CCM\Logs alapértelmezés szerint

Felügyeleti pont naplói (helyreállítási szolgáltatás)

• Helyreállítási szolgáltatás eseménynaplója: a Windows Eseménynapló keresse meg az Alkalmazások és szolgáltatások>Microsoft>Windows>MBAM-Web elemet. További információ: About BitLocker event logs and Server event logs (Tudnivalók a BitLocker eseménynaplóiról és a kiszolgálói eseménynaplókról).

• Helyreállítási szolgáltatás nyomkövetési naplói: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Migrálási szempontok

Ha jelenleg a Microsoft BitLocker felügyelete és figyelése (MBAM) szolgáltatást használja, zökkenőmentesen migrálhatja a felügyeletet Configuration Manager. Amikor BitLocker felügyeleti szabályzatokat telepít Configuration Manager, az ügyfelek automatikusan feltöltik a helyreállítási kulcsokat és csomagokat a Configuration Manager helyreállítási szolgáltatásba.

Fontos

Ha a különálló MBAM-ról Configuration Manager BitLocker-felügyeletre migrál, ha a különálló MBAM meglévő funkcióira van szüksége, ne használja újra az önálló MBAM-kiszolgálókat vagy -összetevőket Configuration Manager BitLocker-felügyelettel. Ha újra felhasználja ezeket a kiszolgálókat, a különálló MBAM működése leáll, ha Configuration Manager BitLocker-felügyelet telepíti az összetevőket ezekre a kiszolgálókra. Ne futtassa a MBAMWebSiteInstaller.ps1 szkriptet a BitLocker-portálok önálló MBAM-kiszolgálókon való beállításához. A BitLocker Configuration Manager beállításakor használjon különálló kiszolgálókat.

Csoportházirend

• A BitLocker felügyeleti beállításai teljes mértékben kompatibilisek az MBAM csoportházirend-beállításaival. Ha az eszközök csoportházirend-beállításokat és Configuration Manager szabályzatokat is megkapnak, konfigurálja őket egyezésre.

  Megjegyzés:

  Ha a különálló MBAM-hez létezik csoportházirend-beállítás, az felülbírálja a Configuration Manager által megkísérelt ezzel egyenértékű beállítást. Az önálló MBAM tartományi csoportházirendet használ, míg Configuration Manager beállítja a helyi házirendeket a BitLocker felügyeletéhez. A tartományi szabályzatok felülbírálják a helyi Configuration Manager BitLocker felügyeleti házirendeket. Ha a különálló MBAM tartományi csoportházirend nem felel meg a Configuration Manager szabályzatnak, Configuration Manager BitLocker kezelése meghiúsul. Ha például egy tartományi csoportházirend beállítja a különálló MBAM-kiszolgálót a kulcs-helyreállítási szolgáltatásokhoz, Configuration Manager BitLocker-felügyelet nem tudja beállítani ugyanazt a beállítást a felügyeleti ponthoz. Ez a viselkedés miatt az ügyfelek nem jelentik a helyreállítási kulcsaikat a Configuration Manager BitLocker felügyeletikulcs-helyreállítási szolgáltatásnak a felügyeleti ponton.

• Configuration Manager nem implementálja az MBAM összes csoportházirend-beállítását. Ha további beállításokat konfigurál a csoportházirendben, a BitLocker felügyeleti ügynöke Configuration Manager ügyfeleken figyelembe veszi ezeket a beállításokat.

  Fontos

  Ne állítson be csoportházirendet olyan beállításhoz, amelyet Configuration Manager BitLocker kezelése már megad. Csak olyan beállításokhoz állítson be csoportházirendeket, amelyek jelenleg nem léteznek Configuration Manager BitLocker-felügyeletben. Configuration Manager 2002-es verzió funkcióparitása önálló MBAM-tal rendelkezik. A Configuration Manager 2002-es és újabb verzióiban a legtöbb esetben nincs ok arra, hogy tartománycsoport-házirendeket állítson be a BitLocker-házirendek konfigurálásához. Az ütközések és problémák elkerülése érdekében kerülje a BitLocker csoportházirendjeinek használatát. Konfigurálja az összes beállítást Configuration Manager BitLocker felügyeleti szabályzatokkal.

TPM-jelszókivonat

• A korábbi MBAM-ügyfelek nem töltik fel a TPM jelszókivonatát a Configuration Manager. Az ügyfél csak egyszer tölti fel a TPM jelszókivonatát.

• Ha át kell telepítenie ezeket az adatokat a Configuration Manager helyreállítási szolgáltatásba, törölje a TPM-et az eszközön. Az újraindítás után feltölti az új TPM-jelszókivonatot a helyreállítási szolgáltatásba.

Megjegyzés:

A TPM-jelszókivonat feltöltése elsősorban a Windows Windows 10 előtti verzióira vonatkozik. Windows 10 vagy újabb verzió alapértelmezés szerint nem menti a TPM jelszókivonatát, így ezek az eszközök általában nem töltik fel. További információ: Tudnivalók a TPM-tulajdonos jelszaváról.

Újratitkosítás

Configuration Manager nem titkosítja újra a BitLocker meghajtótitkosítással már védett meghajtókat. Ha olyan BitLocker felügyeleti házirendet telepít, amely nem felel meg a meghajtó aktuális védelmének, akkor nem megfelelőnek minősül. A meghajtó továbbra is védett.

Az MBAM használatával például az AES-XTS 128 titkosítási algoritmussal titkosította a meghajtót, de a Configuration Manager szabályzathoz az AES-XTS 256 szükséges. A meghajtó nem felel meg a szabályzatnak, annak ellenére, hogy a meghajtó titkosítva van.

A viselkedés megkerüléséhez először tiltsa le a BitLockert az eszközön. Ezután helyezzen üzembe egy új szabályzatot az új beállításokkal.

Közös felügyelet és Intune

A BitLocker Configuration Manager ügyfélkezelője tisztában van a társfelügyelettel. Ha az eszköz közösen van felügyelve, és az Endpoint Protection számítási feladatát Intune- ra váltja, akkor a Configuration Manager-ügyfél figyelmen kívül hagyja a BitLocker-szabályzatát. Az eszköz lekéri a Windows titkosítási szabályzatát Intune.

Megjegyzés:

A titkosításkezelő hatóságoknak a kívánt titkosítási algoritmus fenntartása mellett történő váltásához nincs szükség további műveletekre az ügyfélen. Ha azonban átvált a titkosításkezelő hatóságokra, és a kívánt titkosítási algoritmus is megváltozik, újra kell terveznie a titkosítást.

A BitLocker Intune való kezeléséről az alábbi cikkekben talál további információt:

• Eszköztitkosítás használata Intune
• BitLocker-szabályzatok hibaelhárítása a Microsoft Intune-ben

Következő lépések

A BitLocker helyreállítási szolgáltatás ismertetése

BitLocker-jelentések és -portálok beállítása