Helyreállítási adatok titkosítása a hálózaton keresztül
A következőre vonatkozik: Configuration Manager (aktuális ág)
BitLocker felügyeleti szabályzat létrehozásakor Configuration Manager üzembe helyezi a helyreállítási szolgáltatást egy felügyeleti ponton. A BitLocker felügyeleti házirend Ügyfélkezelés lapján a BitLocker felügyeleti szolgáltatások konfigurálásakor az ügyfél biztonsági másolatot készít a kulcs-helyreállítási adatokról a helyadatbázisban. Ezek az információk tartalmazzák a BitLocker helyreállítási kulcsait, a helyreállítási csomagokat és a TPM-jelszókivonatokat. Ha a felhasználókat kizárják a védett eszközükből, ez az információ segíthet helyreállítani az eszközhöz való hozzáférést.
Az információk bizalmas jellegéből adódóan meg kell védenie őket.
Fontos
A 2103-es verziótól kezdve a helyreállítási szolgáltatás implementációja megváltozott. Már nem használ örökölt MBAM-összetevőket, de továbbra is fogalmilag helyreállítási szolgáltatásnak nevezzük. Minden 2103-as verziójú ügyfél a felügyeleti pont üzenetfeldolgozó motor összetevőjét használja helyreállítási szolgáltatásként. A helyreállítási kulcsokat a biztonságos ügyfél-értesítési csatornán keresztül eszkesztik. Ezzel a módosítással engedélyezheti a Configuration Manager webhelyet a továbbfejlesztett HTTP-hez. Ez a konfiguráció nincs hatással a BitLocker felügyeletének működésére Configuration Manager.
Ha a hely és az ügyfelek is Configuration Manager 2103-es vagy újabb verziót futtatják, az ügyfelek a biztonságos ügyfélértesítési csatornán keresztül küldik el helyreállítási kulcsaikat a felügyeleti pontra. Ha bármelyik ügyfél a 2010-es vagy korábbi verziót használja, a kulcsok elszabadulásához HTTPS-kompatibilis helyreállítási szolgáltatásra van szüksége a felügyeleti ponton.
HTTPS-tanúsítványra vonatkozó követelmények
Megjegyzés:
Ezek a követelmények csak akkor érvényesek, ha a hely 2010-es vagy korábbi verziójú, vagy ha a BitLocker felügyeleti házirendeket Configuration Manager 2010-es vagy korábbi ügyfélverziójú eszközökre telepíti.
Configuration Manager biztonságos kapcsolatot igényel az ügyfél és a helyreállítási szolgáltatás között az átvitt adatok hálózaton keresztüli titkosításához. Használja az alábbi lehetőségek egyikét:
HTTPS-kapcsolattal engedélyezze az IIS-webhelyet a helyreállítási szolgáltatást üzemeltető felügyeleti ponton, ne a teljes felügyeletipont-szerepkörben.
Konfigurálja a FELÜGYELETI pontot a HTTPS-hez. A felügyeleti pont tulajdonságainál az Ügyfélkapcsolatok beállításnak HTTPS-nek kell lennie.
Megjegyzés:
Ha a hely több felügyeleti ponttal is rendelkezik, engedélyezze a HTTPS-t azon a helyen található összes felügyeleti ponton, amellyel a BitLocker által felügyelt ügyfél esetleg kommunikálhat. Ha a HTTPS felügyeleti pont nem érhető el, az ügyfél átveheti a feladatátvételt egy HTTP-felügyeleti pontra, majd nem tudja megszabadíthatja a helyreállítási kulcsát.
Ez a javaslat mindkét beállításra vonatkozik: engedélyezze a https felügyeleti pontot, vagy engedélyezze a helyreállítási szolgáltatást a felügyeleti ponton üzemeltető IIS-webhelyet.
A HTTPS felügyeleti pontjának konfigurálása
Az aktuális ág Configuration Manager korábbi verzióiban a BitLocker helyreállítási szolgáltatás integrálásához HTTPS-sel kellett engedélyeznie egy felügyeleti pontot. A HTTPS-kapcsolat szükséges a helyreállítási kulcsok hálózaton belüli titkosításához az Configuration Manager-ügyféltől a felügyeleti pontig. A felügyeleti pont és az összes ügyfél HTTPS-hez való konfigurálása sok ügyfél számára kihívást jelenthet.
HTTPS-engedélyezés az IIS-webhelyen
A HTTPS-követelmény most már a helyreállítási szolgáltatást üzemeltető IIS-webhelyre vonatkozik, nem pedig a teljes felügyeletipont-szerepkörre. Ez a konfiguráció ellazítja a tanúsítványra vonatkozó követelményeket, és továbbra is titkosítja az átvitel alatt álló helyreállítási kulcsokat.
A felügyeleti pont Ügyfélkapcsolatok tulajdonsága HTTP vagy HTTPS lehet. Ha a felügyeleti pont HTTP-hez van konfigurálva, a BitLocker helyreállítási szolgáltatás támogatásához:
Szerezzen be egy kiszolgálóhitelesítő tanúsítványt. Kösse a tanúsítványt a BitLocker helyreállítási szolgáltatást üzemeltető felügyeleti pont IIS-webhelyéhez.
Konfigurálja az ügyfeleket úgy, hogy megbízzanak a kiszolgáló hitelesítési tanúsítványában. A megbízhatóság kétféleképpen valósítható meg:
Használjon nyilvános és globálisan megbízható tanúsítványszolgáltatótól származó tanúsítványt. A Windows-ügyfelek megbízható legfelső szintű hitelesítésszolgáltatókat (CA-kat) tartalmaznak ezektől a szolgáltatóktól. Ezen szolgáltatók egyike által kiadott kiszolgálóhitelesítő tanúsítvány használatával az ügyfeleknek automatikusan megbízhatónak kell lennie.
Használjon egy hitelesítésszolgáltató által a szervezet nyilvános kulcsú infrastruktúrájából (PKI) kibocsátott tanúsítványt. A legtöbb PKI-implementáció hozzáadja a megbízható legfelső szintű hitelesítésszolgáltatókat a Windows-ügyfelekhez. Például az Active Directory tanúsítványszolgáltatások használata csoportházirenddel. Ha olyan hitelesítésszolgáltatótól adja ki a kiszolgálóhitelesítő tanúsítványt, amelyet az ügyfelek nem bíznak meg automatikusan, adja hozzá a hitelesítésszolgáltató megbízható főtanúsítványát az ügyfelekhez.
Tipp
A helyreállítási szolgáltatással csak azok az ügyfelek kommunikálhatnak, amelyeket BitLocker felügyeleti házirenddel kíván megcélozni, és tartalmaz egy ügyfélkezelési szabályt.
A kapcsolat hibaelhárítása
Az ügyfélen használja a BitLockerManagementHandler.log fájlt a kapcsolat hibaelhárításához. A helyreállítási szolgáltatáshoz való csatlakozáshoz a naplóban az ügyfél által használt URL-cím látható. Keressen egy bejegyzést a naplóban a Configuration Manager verziója alapján:
- A 2103-es és újabb verziókban a bejegyzés a következővel kezdődik:
Recovery keys escrowed to MP
- A 2010-es és korábbi verziókban a bejegyzés a következővel kezdődik:
Checking for Recovery Service at
Következő lépések
Az adatbázisban lévő helyreállítási adatok titkosítása nem kötelező előfeltétel a szabályzat első üzembe helyezése előtt.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: