A BitLocker titkosítási algoritmus beállítása Autopilot-eszközökhöz
A BitLocker automatikusan titkosítja a belső meghajtókat a kezdőélmény (OOBE) során olyan eszközök esetében, amelyek támogatják a modern készenlétet, vagy megfelelnek a hardveres biztonsági tesztelhetőségi specifikációnak (HSTI). A BitLocker alapértelmezés szerint csak az automatikus titkosításhoz használ 128 bites XTS-AES-lemezterületet.
A Windows Autopilot segítségével a BitLocker titkosítási beállításait úgy konfigurálhatja, hogy az az automatikus titkosítás megkezdése előtt érvényesüljenek. Ez a konfiguráció gondoskodik arról, hogy az alapértelmezett titkosítási algoritmus vagy típus ne legyen automatikusan alkalmazva. A titkosítás után automatikusan megkapó eszközöket vissza kell fejteni a titkosítási algoritmus módosítása előtt.
Titkosítási algoritmus
A BitLocker titkosítási algoritmust a BitLocker első engedélyezésekor használja a rendszer. Az Autopilot során a BitLocker engedélyezve lesz a regisztrációs állapotlap eszközbeállítási része után. A következő titkosítási algoritmusok érhetők el:
- AES-CBC 128 bites
- 256 bites AES-CBC
- XTS-AES 128 bites (alapértelmezett)
- XTS-AES 256 bites
A javasolt titkosítási algoritmusokkal kapcsolatos további információkért lásd: BitLocker CSP.
Annak ellenőrzése, hogy a kívánt BitLocker titkosítási algoritmus be van-e állítva az Autopilot-eszközök automatikus titkosítása előtt:
Konfigurálja a titkosítási módszer beállításait az Endpoint Security lemeztitkosítási szabályzatában. A beállítások az Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 és újabb, a Profil típusa = BitLocker területen érhetők el.
Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.
Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha nem engedélyezi ezt a funkciót, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.
Teljes lemez vagy csak helyalapú titkosítás
A titkosításnak két típusa van: teljes lemez vagy csak felhasznált hely. A titkosítás típusát automatikusan a csendes engedélyezés konfigurációja és a modern készenlét hardveres támogatása határozza meg. Ezt a SystemDrivesEncryptionType beállítás konfigurálásával kényszerítheti ki. A titkosítási algoritmushoz hasonlóan a titkosítási típust is a BitLocker első engedélyezésekor használja a rendszer. A titkosítás várható viselkedésével kapcsolatos további információkért lásd: BitLocker-szabályzat kezelése.
A használt meghajtótitkosítás típusának kényszerítése:
Konfigurálja a Meghajtótitkosítási típus kényszerítése operációsrendszer-meghajtókon beállítást a beállításkatalógusban. Ez a beállítás a Felügyeleti sablonok > Windows-összetevők BitLocker meghajtótitkosítás >> operációsrendszer-meghajtók kategóriájában érhető el a beállításválasztóban.
Rendelje hozzá a szabályzatot az Autopilot-eszközcsoporthoz. A titkosítási szabályzatot a csoportban lévő eszközökhöz kell hozzárendelni, nem a felhasználókhoz.
Engedélyezze az Autopilot regisztrációs állapotoldalát ezeken az eszközökön. Ha nem engedélyezi ezt a funkciót, a szabályzat nem lesz érvényes a titkosítás megkezdése előtt.
Követelmények
A Windows támogatott verziója.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: