Dokumentacja ustawień funkcji BitLocker

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Zasady zarządzania funkcją BitLocker w Configuration Manager zawierają następujące grupy zasad:

  • Konfigurowanie
  • Dysk systemu operacyjnego
  • Dysk stały
  • Dysk wymienny
  • Zarządzanie klientami

W poniższych sekcjach opisano i sugerujemy konfiguracje ustawień w każdej grupie.

Konfigurowanie

Ustawienia na tej stronie umożliwiają skonfigurowanie globalnych opcji szyfrowania funkcją BitLocker.

Metoda szyfrowania dysku i siła szyfrowania

Sugerowana konfiguracja: włączona przy użyciu domyślnej lub większej metody szyfrowania.

Uwaga

Strona Właściwości konfiguracji zawiera dwie grupy ustawień dla różnych wersji systemu Windows. W tej sekcji opisano oba te elementy.

urządzenia Windows 8.1

W przypadku urządzeń Windows 8.1 włącz opcję Metoda szyfrowania dysków i siła szyfrowania, a następnie wybierz jedną z następujących metod szyfrowania:

  • 128-bitowa wersja AES z dyfuzorem
  • 256-bitowy AES z dyfuzorem
  • AES 128-bitowy (domyślny)
  • AES 256-bitowy

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMBLEncryptionMethodPolicy.

urządzenia Windows 10 lub nowsze

W przypadku urządzeń Windows 10 lub nowszych włącz opcję Metody szyfrowania dysków i siły szyfrowania (Windows 10 lub nowszych). Następnie wybierz jedną z następujących metod szyfrowania dysków systemu operacyjnego, stałych dysków danych i wymiennych dysków danych:

  • AES-CBC 128-bitowy
  • AES-CBC 256-bitowy
  • XTS-AES 128-bitowy (domyślnie)
  • XTS-AES 256-bitowy

Porada

Funkcja BitLocker używa standardu Advanced Encryption Standard (AES) jako algorytmu szyfrowania z konfigurowalnymi długościami kluczy 128 lub 256 bitów. Na urządzeniach Windows 10 lub nowszych szyfrowanie AES obsługuje łańcuch bloków szyfrowania (CBC) lub kradzież tekstu szyfru (XTS).

Jeśli musisz użyć dysku wymiennego na urządzeniach, które nie działają Windows 10, użyj funkcji AES-CBC.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMBLEncryptionMethodWithXts.

Ogólne informacje o użyciu dotyczące szyfrowania dysków i siły szyfrowania

  • Jeśli te ustawienia zostaną wyłączone lub nie zostaną skonfigurowane, funkcja BitLocker użyje domyślnej metody szyfrowania.

  • Configuration Manager stosuje te ustawienia po włączeniu funkcji BitLocker.

  • Jeśli dysk jest już zaszyfrowany lub jest w toku, wszelkie zmiany tych ustawień zasad nie zmieniają szyfrowania dysków na urządzeniu.

  • Jeśli używasz wartości domyślnej, raport Zgodność komputera funkcji BitLocker może wyświetlać siłę szyfrowania jako nieznaną. Aby obejść ten problem, włącz to ustawienie i ustaw jawną wartość siły szyfrowania.

Zapobieganie zastępowaniu pamięci podczas ponownego uruchamiania

Sugerowana konfiguracja: Nie skonfigurowano

Skonfiguruj te zasady, aby zwiększyć wydajność ponownego uruchamiania bez zastępowania wpisów tajnych funkcji BitLocker w pamięci podczas ponownego uruchamiania.

Jeśli te zasady nie zostaną skonfigurowane, funkcja BitLocker usunie swoje wpisy tajne z pamięci po ponownym uruchomieniu komputera.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMNoOverwritePolicy.

Weryfikowanie zgodności reguł użycia certyfikatu karty inteligentnej

Sugerowana konfiguracja: Nie skonfigurowano

Skonfiguruj te zasady tak, aby korzystały z funkcji BitLocker opartej na certyfikatach karty inteligentnej. Następnie określ identyfikator obiektu certyfikatu.

Jeśli te zasady nie zostaną skonfigurowane, funkcja BitLocker użyje domyślnego identyfikatora 1.3.6.1.4.1.311.67.1.1 obiektu do określenia certyfikatu.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMScCompliancePolicy.

Unikatowe identyfikatory organizacji

Sugerowana konfiguracja: Nie skonfigurowano

Skonfiguruj te zasady tak, aby używały agenta odzyskiwania danych opartego na certyfikatach lub czytnika funkcji BitLocker To Go.

Jeśli te zasady nie zostaną skonfigurowane, funkcja BitLocker nie używa pola Identyfikacja .

Jeśli Organizacja wymaga wyższych pomiarów zabezpieczeń, skonfiguruj pole Identyfikacja . Ustaw to pole na wszystkich docelowych urządzeniach USB i wyrównaj go do tego ustawienia.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMUidPolicy.

Dysk systemu operacyjnego

Ustawienia na tej stronie umożliwiają skonfigurowanie ustawień szyfrowania dysku, na którym jest zainstalowany system Windows.

Ustawienia szyfrowania dysków systemu operacyjnego

Sugerowana konfiguracja: włączona

Jeśli to ustawienie zostanie włączone, użytkownik musi chronić dysk systemu operacyjnego, a funkcja BitLocker szyfruje dysk. Jeśli ją wyłączysz, użytkownik nie będzie mógł chronić dysku. Jeśli te zasady nie zostaną skonfigurowane, ochrona funkcji BitLocker nie jest wymagana na dysku systemu operacyjnego.

Uwaga

Jeśli dysk jest już zaszyfrowany i to ustawienie zostanie wyłączone, funkcja BitLocker odszyfruje dysk.

Jeśli masz urządzenia bez modułu TPM (Trusted Platform Module), użyj opcji Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM (wymaga hasła). To ustawienie umożliwia funkcji BitLocker szyfrowanie dysku systemu operacyjnego, nawet jeśli urządzenie nie ma modułu TPM. Jeśli zezwolisz na tę opcję, system Windows monituje użytkownika o podanie hasła funkcji BitLocker.

Na urządzeniach ze zgodnym modułem TPM podczas uruchamiania można użyć dwóch typów metod uwierzytelniania, aby zapewnić dodatkową ochronę zaszyfrowanych danych. Po uruchomieniu komputera może używać tylko modułu TPM do uwierzytelniania lub może również wymagać wprowadzenia osobistego numeru identyfikacyjnego (PIN). Skonfiguruj następujące ustawienia:

  • Wybierz funkcję ochrony dla dysku systemu operacyjnego: skonfiguruj go do używania modułu TPM i numeru PIN lub po prostu modułu TPM.

  • Skonfiguruj minimalną długość numeru PIN na potrzeby uruchamiania: jeśli potrzebujesz numeru PIN, ta wartość jest najkrótszą długością, którą użytkownik może określić. Użytkownik wprowadza ten numer PIN, gdy komputer uruchamia się w celu odblokowania dysku. Domyślnie minimalna długość numeru PIN to 4.

Porada

Aby uzyskać większe bezpieczeństwo, po włączeniu urządzeń z modułem TPM i ochroną numeru PIN rozważ wyłączenie następujących ustawień zasad grupy wustawieniach uśpieniausługi System>Power Management>:

  • Zezwalaj na stany wstrzymania (S1-S3) podczas uśpienia (podłączone)

  • Zezwalaj na stany wstrzymania (S1-S3) podczas uśpienia (na baterii)

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMBMSOSDEncryptionPolicy.

Zezwalaj na rozszerzone numery PIN na potrzeby uruchamiania

Sugerowana konfiguracja: Nie skonfigurowano

Skonfiguruj funkcję BitLocker do używania rozszerzonych numerów PIN uruchamiania. Te numery PIN umożliwiają używanie większej liczby znaków, takich jak wielkie i małe litery, symbole, cyfry i spacje. To ustawienie ma zastosowanie po włączeniu funkcji BitLocker.

Ważna

Nie wszystkie komputery mogą obsługiwać rozszerzone numery PIN w środowisku przed rozruchem. Przed włączeniem jego użycia oceń, czy urządzenia są zgodne z tą funkcją.

Jeśli to ustawienie zostanie włączone, wszystkie nowe numery PIN uruchamiania funkcji BitLocker umożliwiają użytkownikowi tworzenie rozszerzonych numerów PIN.

  • Wymagaj numerów PIN tylko dla interfejsu ASCII: Pomóż zwiększyć zgodność rozszerzonych numerów PIN z komputerami, które ograniczają typ lub liczbę znaków, które można wprowadzić w środowisku przed rozruchem.

Jeśli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, funkcja BitLocker nie będzie używać rozszerzonych numerów PIN.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMEnhancedPIN.

Zasady haseł dysków systemu operacyjnego

Sugerowana konfiguracja: Nie skonfigurowano

Użyj tych ustawień, aby ustawić ograniczenia dotyczące haseł w celu odblokowania dysków systemu operacyjnego chronionych przez funkcję BitLocker. Jeśli zezwalasz na ochronę innych niż TPM na dyskach systemu operacyjnego, skonfiguruj następujące ustawienia:

  • Konfigurowanie złożoności hasła dla dysków systemu operacyjnego: aby wymusić wymagania dotyczące złożoności hasła, wybierz pozycję Wymagaj złożoności hasła.

  • Minimalna długość hasła dla dysku systemu operacyjnego: domyślnie minimalna długość to 8.

  • Wymagaj haseł tylko dla interfejsu ASCII dla wymiennych dysków systemu operacyjnego

Jeśli to ustawienie zasad zostanie włączone, użytkownicy będą mogli skonfigurować hasło spełniające zdefiniowane wymagania.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMOSPassphrase.

Ogólne informacje o użyciu zasad haseł dysków systemu operacyjnego

  • Aby te ustawienia wymagań dotyczących złożoności były skuteczne, włącz również ustawienie zasad grupy Hasło musi spełniać wymagania dotyczące złożoności w zasadach hasełustawień zabezpieczeń ustawień>>>systemu Windowskonfiguracji> komputera.

  • Funkcja BitLocker wymusza te ustawienia po włączeniu, a nie podczas odblokowywania woluminu. Funkcja BitLocker umożliwia odblokowywanie dysku za pomocą dowolnego z funkcji ochrony, które są dostępne na dysku.

  • Jeśli używasz zasad grupy do włączania algorytmów zgodnych ze standardem FIPS na potrzeby szyfrowania, skrótów i podpisywania, nie możesz zezwalać na hasła jako funkcję ochrony funkcji BitLocker.

Resetowanie danych weryfikacji platformy po odzyskaniu funkcji BitLocker

Sugerowana konfiguracja: Nie skonfigurowano

Określ, czy system Windows odświeża dane walidacji platformy po ich uruchomieniu po odzyskaniu funkcji BitLocker.

Jeśli to ustawienie zostanie włączone lub nie zostanie skonfigurowane, system Windows odświeży dane walidacji platformy w tej sytuacji.

Jeśli to ustawienie zasad zostanie wyłączone, system Windows nie odświeży danych walidacji platformy w tej sytuacji.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMTpmAutoResealPolicy.

Komunikat i adres URL odzyskiwania przed rozruchem

Sugerowana konfiguracja: Nie skonfigurowano

Gdy funkcja BitLocker blokuje dysk systemu operacyjnego, użyj tego ustawienia, aby wyświetlić niestandardowy komunikat odzyskiwania lub adres URL na ekranie odzyskiwania funkcji BitLocker przed rozruchem. To ustawienie dotyczy tylko urządzeń Windows 10 lub nowszych.

Po włączeniu tego ustawienia wybierz jedną z następujących opcji komunikatu odzyskiwania przed rozruchem:

  • Użyj domyślnego komunikatu odzyskiwania i adresu URL: wyświetl domyślny komunikat odzyskiwania funkcji BitLocker i adres URL na ekranie odzyskiwania funkcji BitLocker przed rozruchem. Jeśli wcześniej skonfigurowano niestandardowy komunikat odzyskiwania lub adres URL, użyj tej opcji, aby przywrócić domyślny komunikat.

  • Użyj niestandardowego komunikatu odzyskiwania: dołącz komunikat niestandardowy na ekranie odzyskiwania funkcji BitLocker przed rozruchem.

    • Opcja niestandardowego komunikatu odzyskiwania: wpisz komunikat niestandardowy do wyświetlenia. Jeśli chcesz również określić adres URL odzyskiwania, dołącz go jako część tego niestandardowego komunikatu odzyskiwania. Maksymalna długość ciągu to 32 768 znaków.

  • Użyj niestandardowego adresu URL odzyskiwania: zastąp domyślny adres URL wyświetlany na ekranie odzyskiwania funkcji BitLocker przed rozruchem.

    • Opcja niestandardowego adresu URL odzyskiwania: wpisz adres URL do wyświetlenia. Maksymalna długość ciągu to 32 768 znaków.

Uwaga

Nie wszystkie znaki i języki są obsługiwane przed rozruchem. Najpierw przetestuj niestandardowy komunikat lub adres URL, aby upewnić się, że jest on poprawnie wyświetlany na ekranie odzyskiwania funkcji BitLocker przed rozruchem.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMPrebootRecoveryInfo.

Ustawienia wymuszania zasad szyfrowania (dysk systemu operacyjnego)

Sugerowana konfiguracja: włączona

Skonfiguruj liczbę dni, przez które użytkownicy mogą odroczyć zgodność funkcji BitLocker dla dysku systemu operacyjnego. Okres prolongaty niezgodności rozpoczyna się, gdy Configuration Manager po raz pierwszy wykrywa go jako niezgodny. Po wygaśnięciu tego okresu prolongaty użytkownicy nie mogą odroczyć wymaganej akcji ani zażądać wykluczenia.

Jeśli proces szyfrowania wymaga danych wejściowych użytkownika, w systemie Windows zostanie wyświetlone okno dialogowe, których użytkownik nie może zamknąć, dopóki nie poda wymaganych informacji. Przyszłe powiadomienia o błędach lub stanie nie będą miały tego ograniczenia.

Jeśli funkcja BitLocker nie wymaga interakcji użytkownika w celu dodania ochrony, po upływie okresu prolongaty funkcja BitLocker uruchamia szyfrowanie w tle.

Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, Configuration Manager nie będzie wymagać od użytkowników przestrzegania zasad funkcji BitLocker.

Aby natychmiast wymusić zasady, ustaw okres prolongaty na wartość 0.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMUseOsEnforcePolicy.

Dysk stały

Ustawienia na tej stronie umożliwiają skonfigurowanie szyfrowania dla innych dysków danych na urządzeniu.

Stałe szyfrowanie dysku danych

Sugerowana konfiguracja: włączona

Zarządzanie wymaganiami dotyczącymi szyfrowania stałych dysków danych. Jeśli to ustawienie zostanie włączone, funkcja BitLocker wymaga od użytkowników umieszczenia wszystkich stałych dysków danych pod ochroną. Następnie szyfruje dyski danych.

Po włączeniu tych zasad włącz automatyczne odblokowywanie lub ustawienia zasad haseł stałego dysku danych.

  • Konfigurowanie automatycznego odblokowywania dla stałego dysku danych: zezwalaj na automatyczne odblokowywanie zaszyfrowanego dysku danych lub wymagaj od funkcji BitLocker. Aby użyć automatycznego odblokowywania, należy również użyć funkcji BitLocker do szyfrowania dysku systemu operacyjnego.

Jeśli to ustawienie nie zostanie skonfigurowane, funkcja BitLocker nie wymaga od użytkowników umieszczania stałych dysków danych pod ochroną.

Jeśli to ustawienie zostanie wyłączone, użytkownicy nie będą mogli umieścić swoich stałych dysków danych pod ochroną funkcji BitLocker. Jeśli te zasady zamiast funkcji BitLocker szyfrują stałe dyski danych, funkcja BitLocker odszyfruje stałe dyski danych.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMBMSFDVEncryptionPolicy.

Odmowa dostępu do zapisu na dyskach stałych, które nie są chronione przez funkcję BitLocker

Sugerowana konfiguracja: Nie skonfigurowano

Wymagaj ochrony funkcji BitLocker dla systemu Windows, aby zapisywać dane na dyskach stałych na urządzeniu. Funkcja BitLocker stosuje te zasady po jej włączeniu.

Po włączeniu tego ustawienia:

  • Jeśli funkcja BitLocker chroni stały dysk danych, system Windows zainstaluje go z dostępem do odczytu i zapisu.

  • W przypadku dowolnego stałego dysku danych, który nie jest chroniony przez funkcję BitLocker, system Windows zainstaluje go jako tylko do odczytu.

Jeśli to ustawienie nie zostanie skonfigurowane, system Windows zainstaluje wszystkie stałe dyski danych z dostępem do odczytu i zapisu.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMFDVDenyWriteAccessPolicy.

Stałe zasady haseł dysków danych

Sugerowana konfiguracja: Nie skonfigurowano

Użyj tych ustawień, aby ustawić ograniczenia dotyczące haseł w celu odblokowania dysków danych stałych chronionych przez funkcję BitLocker.

Jeśli to ustawienie zostanie włączone, użytkownicy będą mogli skonfigurować hasło spełniające zdefiniowane wymagania.

Aby uzyskać większe bezpieczeństwo, włącz to ustawienie, a następnie skonfiguruj następujące ustawienia:

  • Wymagaj hasła dla stałego dysku danych: użytkownicy muszą określić hasło, aby odblokować dysk danych stałych chroniony przez funkcję BitLocker.

  • Konfigurowanie złożoności hasła dla stałych dysków danych: aby wymusić wymagania dotyczące złożoności hasła, wybierz pozycję Wymagaj złożoności hasła.

  • Minimalna długość hasła dla stałego dysku danych: domyślnie minimalna długość to 8.

Jeśli to ustawienie zostanie wyłączone, użytkownicy nie będą mogli skonfigurować hasła.

Jeśli zasady nie są skonfigurowane, funkcja BitLocker obsługuje hasła z ustawieniami domyślnymi. Ustawienia domyślne nie obejmują wymagań dotyczących złożoności hasła i wymagają tylko ośmiu znaków.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMFDVPassPhrasePolicy.

Ogólne informacje o użyciu dla zasad haseł stałych dysków danych

  • Aby te ustawienia wymagań dotyczących złożoności były skuteczne, włącz również ustawienie zasad grupy Hasło musi spełniać wymagania dotyczące złożoności w zasadach hasełustawień zabezpieczeń ustawień>>>systemu Windowskonfiguracji> komputera.

  • Funkcja BitLocker wymusza te ustawienia po włączeniu, a nie podczas odblokowywania woluminu. Funkcja BitLocker umożliwia odblokowywanie dysku za pomocą dowolnego z funkcji ochrony, które są dostępne na dysku.

  • Jeśli używasz zasad grupy do włączania algorytmów zgodnych ze standardem FIPS na potrzeby szyfrowania, skrótów i podpisywania, nie możesz zezwalać na hasła jako funkcję ochrony funkcji BitLocker.

Ustawienia wymuszania zasad szyfrowania (stały dysk danych)

Sugerowana konfiguracja: włączona

Skonfiguruj liczbę dni, przez które użytkownicy mogą odroczyć zgodność funkcji BitLocker dla stałych dysków danych. Okres prolongaty niezgodności rozpoczyna się, gdy Configuration Manager po raz pierwszy wykrywa stały dysk danych jako niezgodny. Zasady stałego dysku danych nie są wymuszane, dopóki dysk systemu operacyjnego nie będzie zgodny. Po upływie okresu prolongaty użytkownicy nie mogą odroczyć wymaganej akcji ani zażądać wykluczenia.

Jeśli proces szyfrowania wymaga danych wejściowych użytkownika, w systemie Windows zostanie wyświetlone okno dialogowe, których użytkownik nie może zamknąć, dopóki nie poda wymaganych informacji. Przyszłe powiadomienia o błędach lub stanie nie będą miały tego ograniczenia.

Jeśli funkcja BitLocker nie wymaga interakcji użytkownika w celu dodania ochrony, po upływie okresu prolongaty funkcja BitLocker uruchamia szyfrowanie w tle.

Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, Configuration Manager nie będzie wymagać od użytkowników przestrzegania zasad funkcji BitLocker.

Aby natychmiast wymusić zasady, ustaw okres prolongaty na wartość 0.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMUseFddEnforcePolicy.

Dysk wymienny

Ustawienia na tej stronie umożliwiają skonfigurowanie szyfrowania dysków wymiennych, takich jak klucze USB.

Szyfrowanie wymiennych dysków danych

Sugerowana konfiguracja: włączona

To ustawienie steruje użyciem funkcji BitLocker na dyskach wymiennych.

  • Zezwalaj użytkownikom na stosowanie ochrony funkcji BitLocker na wymiennych dyskach danych: użytkownicy mogą włączyć ochronę funkcji BitLocker dla dysku wymiennego.

  • Zezwalaj użytkownikom na zawieszanie i odszyfrowywanie funkcji BitLocker na wymiennych dyskach danych: użytkownicy mogą usunąć lub tymczasowo zawiesić szyfrowanie dysków funkcji BitLocker z dysku wymiennego.

Po włączeniu tego ustawienia i umożliwieniu użytkownikom stosowania ochrony funkcji BitLocker klient Configuration Manager zapisuje informacje odzyskiwania dotyczące dysków wymiennych w usłudze odzyskiwania w punkcie zarządzania. To zachowanie pozwala użytkownikom odzyskać dysk, jeśli zapomną lub utracą ochronę (hasło).

Po włączeniu tego ustawienia:

  • Włączanie ustawień zasad haseł wymiennych dysków danych

  • Wyłącz następujące ustawienia zasad grupy wsystemie Dostęp do magazynu wymiennego> dla obu użytkowników & konfiguracji komputera:

    • Wszystkie klasy magazynu wymiennego: odmowa dostępu
    • Dyski wymienne: odmowa dostępu do zapisu
    • Dyski wymienne: odmowa dostępu do odczytu

Jeśli to ustawienie zostanie wyłączone, użytkownicy nie będą mogli używać funkcji BitLocker na dyskach wymiennych.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMRDVConfigureBDEPolicy.

Odmowa dostępu do zapisu na dyskach wymiennych, które nie są chronione przez funkcję BitLocker

Sugerowana konfiguracja: Nie skonfigurowano

Wymagaj ochrony funkcji BitLocker dla systemu Windows, aby zapisywać dane na dyskach wymiennych na urządzeniu. Funkcja BitLocker stosuje te zasady po jej włączeniu.

Po włączeniu tego ustawienia:

  • Jeśli funkcja BitLocker chroni dysk wymienny, system Windows zainstaluje go z dostępem do odczytu i zapisu.

  • W przypadku każdego dysku wymiennego, który nie jest chroniony przez funkcję BitLocker, system Windows zainstaluje go jako tylko do odczytu.

  • Jeśli włączysz opcję Odmowa dostępu do zapisu do urządzeń skonfigurowanych w innej organizacji, funkcja BitLocker zapewnia dostęp do zapisu tylko dyskom wymiennym z polami identyfikacyjnymi zgodnymi z dozwolonymi polami identyfikacji. Zdefiniuj te pola przy użyciu unikatowych ustawień globalnych identyfikatorów organizacji na stronie Konfiguracja .

Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, system Windows zainstaluje wszystkie dyski wymienne z dostępem do odczytu i zapisu.

Uwaga

To ustawienie można zastąpić ustawieniami zasad grupy w obszarze System>Wymienny dostęp do magazynu. Jeśli włączysz ustawienie zasad grupy Dyski wymienne: Odmowa dostępu do zapisu, funkcja BitLocker zignoruje to ustawienie Configuration Manager.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMRDVDenyWriteAccessPolicy.

Zasady haseł wymiennych dysków danych

Sugerowana konfiguracja: włączona

Te ustawienia umożliwiają ustawienie ograniczeń haseł w celu odblokowania dysków wymiennych chronionych przez funkcję BitLocker.

Jeśli to ustawienie zostanie włączone, użytkownicy będą mogli skonfigurować hasło spełniające zdefiniowane wymagania.

Aby uzyskać większe bezpieczeństwo, włącz to ustawienie, a następnie skonfiguruj następujące ustawienia:

  • Wymagaj hasła dla wymiennego dysku danych: użytkownicy muszą określić hasło do odblokowania dysku wymiennego chronionego przez funkcję BitLocker.

  • Konfigurowanie złożoności hasła dla wymiennych dysków danych: aby wymusić wymagania dotyczące złożoności hasła, wybierz pozycję Wymagaj złożoności hasła.

  • Minimalna długość hasła dla wymiennego dysku danych: domyślnie minimalna długość to 8.

Jeśli to ustawienie zostanie wyłączone, użytkownicy nie będą mogli skonfigurować hasła.

Jeśli zasady nie są skonfigurowane, funkcja BitLocker obsługuje hasła z ustawieniami domyślnymi. Ustawienia domyślne nie obejmują wymagań dotyczących złożoności hasła i wymagają tylko ośmiu znaków.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMRDVPassPhrasePolicy.

Ogólne informacje o użyciu dla zasad haseł wymiennych dysków danych

  • Aby te ustawienia wymagań dotyczących złożoności były skuteczne, włącz również ustawienie zasad grupy Hasło musi spełniać wymagania dotyczące złożoności w zasadach hasełustawień zabezpieczeń ustawień>>>systemu Windowskonfiguracji> komputera.

  • Funkcja BitLocker wymusza te ustawienia po włączeniu, a nie podczas odblokowywania woluminu. Funkcja BitLocker umożliwia odblokowywanie dysku za pomocą dowolnego z funkcji ochrony, które są dostępne na dysku.

  • Jeśli używasz zasad grupy do włączania algorytmów zgodnych ze standardem FIPS na potrzeby szyfrowania, skrótów i podpisywania, nie możesz zezwalać na hasła jako funkcję ochrony funkcji BitLocker.

Zarządzanie klientami

Ustawienia na tej stronie konfigurują usługi zarządzania funkcją BitLocker i klientów.

Usługi zarządzania funkcją BitLocker

Sugerowana konfiguracja: włączona

Po włączeniu tego ustawienia Configuration Manager automatycznie i dyskretnie tworzy kopie zapasowe informacji odzyskiwania kluczy w bazie danych lokacji. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, Configuration Manager nie zapisze informacji odzyskiwania klucza.

  • Wybierz pozycję Informacje odzyskiwania funkcji BitLocker do przechowywania: skonfiguruj usługę odzyskiwania kluczy, aby utworzyć kopię zapasową informacji odzyskiwania funkcji BitLocker. Udostępnia ona metodę administracyjną odzyskiwania danych zaszyfrowanych przez funkcję BitLocker, która pomaga zapobiegać utracie danych z powodu braku kluczowych informacji.

  • Zezwalaj na przechowywanie informacji odzyskiwania w postaci zwykłego tekstu: bez certyfikatu szyfrowania zarządzania funkcją BitLocker dla SQL Server Configuration Manager przechowuje informacje odzyskiwania klucza w postaci zwykłego tekstu. Aby uzyskać więcej informacji, zobacz Encrypt recovery data in the database (Szyfrowanie danych odzyskiwania w bazie danych).

  • Częstotliwość sprawdzania stanu klienta (w minutach): ze skonfigurowaną częstotliwością klient sprawdza zasady ochrony i stan funkcji BitLocker na komputerze, a także tworzy kopię zapasową klucza odzyskiwania klienta. Domyślnie klient Configuration Manager sprawdza stan funkcji BitLocker co 90 minut.

    Ważna

    Nie ustawiaj tej wartości na mniej niż 60. Mniejsza wartość częstotliwości może spowodować, że klient krótko zgłosi niedokładne stany zgodności.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz:

Zasady wykluczania użytkowników

Sugerowana konfiguracja: Nie skonfigurowano

Skonfiguruj metodę kontaktu dla użytkowników, aby zażądać wykluczenia z szyfrowania funkcją BitLocker.

Jeśli to ustawienie zasad zostanie włączone, podaj następujące informacje:

  • Maksymalna liczba dni do odroczenia: ile dni użytkownik może odroczyć wymuszone zasady. Domyślnie ta wartość to 7 dni (jeden tydzień).

  • Metoda kontaktu: określ, w jaki sposób użytkownicy mogą zażądać wykluczenia: adres URL, adres e-mail lub numer telefonu.

  • Kontakt: określ adres URL, adres e-mail lub numer telefonu. Gdy użytkownik zażąda wykluczenia z ochrony funkcji BitLocker, zobaczy okno dialogowe systemu Windows z instrukcjami dotyczącymi stosowania. Configuration Manager nie weryfikuje wprowadzonych informacji.

    • Adres URL: użyj standardowego formatu adresu URL. https://website.domain.tld System Windows wyświetla adres URL jako hiperłącze.

    • adres Email: użyj standardowego formatu adresu e-mail. user@domain.tld System Windows wyświetla adres jako następujące hiperłącze: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Numer telefonu: określ numer, pod który użytkownicy mają dzwonić. System Windows wyświetla numer z następującym opisem: Please call <your number> for applying exemption.

Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, system Windows nie wyświetli użytkownikom instrukcji żądania wykluczenia.

Uwaga

Funkcja BitLocker zarządza wykluczeniami na użytkownika, a nie na komputerze. Jeśli wielu użytkowników loguje się na tym samym komputerze, a jeden użytkownik nie jest wykluczony, funkcja BitLocker szyfruje komputer.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMBMSUserExemptionPolicy.

Sugerowana konfiguracja: włączona

Określ adres URL do wyświetlenia użytkownikom jako zasady zabezpieczeń firmy w systemie Windows. Użyj tego linku, aby udostępnić użytkownikom informacje o wymaganiach dotyczących szyfrowania. Jest on wyświetlany, gdy funkcja BitLocker monituje użytkownika o zaszyfrowanie dysku.

Jeśli to ustawienie zostanie włączone, skonfiguruj adres URL linku zasad zabezpieczeń.

Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, funkcja BitLocker nie wyświetli linku zasad zabezpieczeń.

Aby uzyskać więcej informacji na temat tworzenia tych zasad za pomocą Windows PowerShell, zobacz New-CMMoreInfoUrlPolicy.

Następne kroki

Jeśli używasz Windows PowerShell do tworzenia tych obiektów zasad, użyj polecenia cmdlet New-CMBlmSetting. To polecenie cmdlet tworzy obiekt ustawień zasad zarządzania funkcją BitLocker, który zawiera wszystkie określone zasady. Aby wdrożyć ustawienia zasad w kolekcji, użyj polecenia cmdlet New-CMSettingDeployment .