Megosztás a következőn keresztül:

Helyreállítási adatok titkosítása a hálózaton keresztül

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

BitLocker felügyeleti szabályzat létrehozásakor Configuration Manager üzembe helyezi a helyreállítási szolgáltatást egy felügyeleti ponton. A BitLocker felügyeleti házirend Ügyfélkezelés lapján a BitLocker felügyeleti szolgáltatások konfigurálásakor az ügyfél biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ezek az információk tartalmazzák a BitLocker helyreállítási kulcsait, a helyreállítási csomagokat és a TPM-jelszókivonatokat. Ha a felhasználókat kizárják a védett eszközükből, ez az információ segíthet helyreállítani az eszközhöz való hozzáférést.

Az információk bizalmas jellegéből adódóan meg kell védenie őket.

Fontos

A 2103-es verziótól kezdve a helyreállítási szolgáltatás implementációja megváltozott. Már nem használ örökölt MBAM-összetevőket, de továbbra is fogalmilag helyreállítási szolgáltatásnak nevezzük. Minden 2103-as verziójú ügyfél a felügyeleti pont üzenetfeldolgozó motor összetevőjét használja helyreállítási szolgáltatásként. A helyreállítási kulcsokat a biztonságos ügyfél-értesítési csatornán keresztül eszkesztik. Ezzel a módosítással engedélyezheti a Configuration Manager webhelyet a továbbfejlesztett HTTP-hez. Ez a konfiguráció nincs hatással a BitLocker felügyeletének működésére Configuration Manager.

Ha a hely és az ügyfelek is Configuration Manager 2103-es vagy újabb verziót futtatják, az ügyfelek a biztonságos ügyfélértesítési csatornán keresztül küldik el helyreállítási kulcsaikat a felügyeleti pontra. Ha bármelyik ügyfél a 2010-es vagy korábbi verziót használja, a kulcsok elszabadulásához HTTPS-kompatibilis helyreállítási szolgáltatásra van szüksége a felügyeleti ponton.

HTTPS-tanúsítványra vonatkozó követelmények

Megjegyzés:

Ezek a követelmények csak akkor érvényesek, ha a hely 2010-es vagy korábbi verziójú, vagy ha a BitLocker felügyeleti házirendeket Configuration Manager 2010-es vagy korábbi ügyfélverziójú eszközökre telepíti.

Configuration Manager biztonságos kapcsolatot igényel az ügyfél és a helyreállítási szolgáltatás között az átvitt adatok hálózaton keresztüli titkosításához. Használja az alábbi lehetőségek egyikét:

Megjegyzés:

Ha a hely több felügyeleti ponttal is rendelkezik, engedélyezze a HTTPS-t azon a helyen található összes felügyeleti ponton, amellyel a BitLocker által felügyelt ügyfél esetleg kommunikálhat. Ha a HTTPS felügyeleti pont nem érhető el, az ügyfél átveheti a feladatátvételt egy HTTP-felügyeleti pontra, majd nem tudja megszabadíthatja a helyreállítási kulcsát.

Ez a javaslat mindkét beállításra vonatkozik: engedélyezze a https felügyeleti pontot, vagy engedélyezze a helyreállítási szolgáltatást a felügyeleti ponton üzemeltető IIS-webhelyet.

A HTTPS felügyeleti pontjának konfigurálása

Az aktuális ág Configuration Manager korábbi verzióiban a BitLocker helyreállítási szolgáltatás integrálásához HTTPS-sel kellett engedélyeznie egy felügyeleti pontot. A HTTPS-kapcsolat szükséges a helyreállítási kulcsok hálózaton belüli titkosításához az Configuration Manager-ügyféltől a felügyeleti pontig. A felügyeleti pont és az összes ügyfél HTTPS-hez való konfigurálása sok ügyfél számára kihívást jelenthet.

HTTPS-engedélyezés az IIS-webhelyen

A HTTPS-követelmény most már a helyreállítási szolgáltatást üzemeltető IIS-webhelyre vonatkozik, nem pedig a teljes felügyeletipont-szerepkörre. Ez a konfiguráció ellazítja a tanúsítványra vonatkozó követelményeket, és továbbra is titkosítja az átvitel alatt álló helyreállítási kulcsokat.

A felügyeleti pont Ügyfélkapcsolatok tulajdonsága HTTP vagy HTTPS lehet. Ha a felügyeleti pont HTTP-hez van konfigurálva, a BitLocker helyreállítási szolgáltatás támogatásához:

  1. Szerezzen be egy kiszolgálóhitelesítő tanúsítványt. Kösse a tanúsítványt a BitLocker helyreállítási szolgáltatást üzemeltető felügyeleti pont IIS-webhelyéhez.

  2. Konfigurálja az ügyfeleket úgy, hogy megbízzanak a kiszolgáló hitelesítési tanúsítványában. A megbízhatóság kétféleképpen valósítható meg:

    • Használjon nyilvános és globálisan megbízható tanúsítványszolgáltatótól származó tanúsítványt. A Windows-ügyfelek megbízható legfelső szintű hitelesítésszolgáltatókat (CA-kat) tartalmaznak ezektől a szolgáltatóktól. Ezen szolgáltatók egyike által kiadott kiszolgálóhitelesítő tanúsítvány használatával az ügyfeleknek automatikusan megbízhatónak kell lennie.

    • Használjon egy hitelesítésszolgáltató által a szervezet nyilvános kulcsú infrastruktúrájából (PKI) kibocsátott tanúsítványt. A legtöbb PKI-implementáció hozzáadja a megbízható legfelső szintű hitelesítésszolgáltatókat a Windows-ügyfelekhez. Például az Active Directory tanúsítványszolgáltatások használata csoportházirenddel. Ha olyan hitelesítésszolgáltatótól adja ki a kiszolgálóhitelesítő tanúsítványt, amelyet az ügyfelek nem bíznak meg automatikusan, adja hozzá a hitelesítésszolgáltató megbízható főtanúsítványát az ügyfelekhez.

Tipp

A helyreállítási szolgáltatással csak azok az ügyfelek kommunikálhatnak, amelyeket BitLocker felügyeleti házirenddel kíván megcélozni, és tartalmaz egy ügyfélkezelési szabályt.

A kapcsolat hibaelhárítása

Az ügyfélen használja a BitLockerManagementHandler.log fájlt a kapcsolat hibaelhárításához. A helyreállítási szolgáltatáshoz való csatlakozáshoz a naplóban az ügyfél által használt URL-cím látható. Keressen egy bejegyzést a naplóban a Configuration Manager verziója alapján:

  • A 2103-es és újabb verziókban a bejegyzés a következővel kezdődik: Recovery keys escrowed to MP
  • A 2010-es és korábbi verziókban a bejegyzés a következővel kezdődik: Checking for Recovery Service at

Következő lépések

Az adatbázisban lévő helyreállítási adatok titkosítása nem kötelező előfeltétel a szabályzat első üzembe helyezése előtt.

A BitLocker felügyeleti ügyfél üzembe helyezése