Share via

Ustawienia zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w Intune

  • Artykuł

Wyświetl ustawienia, które można skonfigurować w profilach zasad szyfrowania dysków w węźle Zabezpieczenia punktu końcowego Intune w ramach zasad zabezpieczeń punktu końcowego.

Dotyczy:

  • macOS
  • Windows 10
  • Windows 11

Obsługiwane platformy i profile:

  • macOS:
    • Profil: FileVault
  • Windows 10 i nowsze:
    • Profil: Funkcja BitLocker

FileVault

Szyfrowanie

Włączanie programu FileVault

  • Nie skonfigurowano (wartość domyślna)

  • Tak — włącz szyfrowanie pełnego dysku przy użyciu protokołu XTS-AES 128 z programem FileVault na urządzeniach z systemem macOS 10.13 lub nowszym. Program FileVault jest włączony, gdy użytkownik wylogowuje się z urządzenia.

    Po ustawieniu opcji Tak można skonfigurować więcej ustawień dla programu FileVault.

    • Typ klucza odzyskiwaniaKlucz osobisty klucza odzyskiwania są tworzone dla urządzeń. Skonfiguruj następujące ustawienia dla klucza osobistego:

      • Rotacja osobistego klucza odzyskiwania
        Określ częstotliwość rotacji osobistego klucza odzyskiwania dla urządzenia. Możesz wybrać wartość domyślną Nieskonfigurowane lub wartość od 1 do 12 miesięcy.
      • Opis lokalizacji escrow osobistego klucza odzyskiwania
        Określ krótki komunikat do użytkownika, który wyjaśnia, w jaki sposób może pobrać swój osobisty klucz odzyskiwania. Użytkownik widzi tę wiadomość na ekranie logowania po wyświetleniu monitu o wprowadzenie osobistego klucza odzyskiwania, jeśli hasło zostanie zapomniane.

    • Liczba dozwolonych czasów obejścia
      Ustaw, ile razy użytkownik może ignorować monity o włączenie programu FileVault, zanim program FileVault będzie wymagany do zalogowania się użytkownika.

      • Nie skonfigurowano (ustawienie domyślne) — szyfrowanie na urządzeniu jest wymagane przed zezwoleniem na następne logowanie.
      • Od 1 do 10 — umożliwia użytkownikowi zignorowanie monitu od 1 do 10 razy przed wymaganiem szyfrowania na urządzeniu.
      • Bez limitu, zawsze monituj — użytkownik jest monitowany o włączenie usługi FileVault, ale szyfrowanie nigdy nie jest wymagane.

    • Zezwalaj na odroczenie do momentu wylogowywania

      • Nie skonfigurowano (wartość domyślna)
      • Tak — odrocz monit, aby włączyć program FileVault, dopóki użytkownik się nie wyloguje.

    • Wyłącz monit podczas wylogowywania
      Uniemożliwiaj monit użytkownikowi, który żąda włączenia programu FileVault podczas wylogowywania się. Po ustawieniu opcji Wyłącz monit podczas wylogowywania jest wyłączony, a zamiast tego użytkownik jest monitowany po zalogowaniu się.

      • Nie skonfigurowano (wartość domyślna)
      • Tak — wyłącz monit, aby włączyć funkcję FileVault wyświetlaną podczas wylogowywania.

    • Ukryj klucz odzyskiwania
      Ukryj osobisty klucz odzyskiwania przed użytkownikiem urządzenia z systemem macOS podczas szyfrowania. Po zaszyfrowanym dysku użytkownik może użyć dowolnego urządzenia do wyświetlenia osobistego klucza odzyskiwania za pośrednictwem witryny internetowej Intune — Portal firmy lub aplikacji portalu firmy na obsługiwanej platformie.

      • Nie skonfigurowano (wartość domyślna)
      • Tak — ukryj osobisty klucz odzyskiwania podczas szyfrowania urządzenia.

Funkcją bitlocker

Uwaga

W tym artykule szczegółowo opisano ustawienia, które można znaleźć w profilach funkcji BitLocker utworzonych przed 19 czerwca 2023 r. dla Windows 10 i nowszej platformy dla zasad szyfrowania dysków zabezpieczeń punktu końcowego. 19 czerwca 2023 r. Windows 10 i nowsze profile zostały zaktualizowane w celu użycia nowego formatu ustawień, jak pokazano w katalogu ustawień. Dzięki tej zmianie nie można już tworzyć nowych wersji starego profilu i nie są one już opracowywane. Mimo że nie można już tworzyć nowych wystąpień starszego profilu, możesz nadal edytować i używać utworzonych wcześniej wystąpień.

W przypadku profilów korzystających z nowego formatu ustawień Intune nie obsługuje już listy poszczególnych ustawień według nazwy. Zamiast tego nazwa każdego ustawienia, jego opcje konfiguracji i tekst objaśnienia widoczne w centrum administracyjnym Microsoft Intune są pobierane bezpośrednio z zawartości autorytatywnej ustawień. Ta zawartość może dostarczyć więcej informacji na temat korzystania z ustawienia w jego odpowiednim kontekście. Podczas wyświetlania tekstu informacji o ustawieniach możesz użyć linku Dowiedz się więcej , aby otworzyć tę zawartość.

Poniższe szczegóły ustawień profilów systemu Windows dotyczą tych przestarzałych profilów.

BitLocker — ustawienia podstawowe

  • Włączanie pełnego szyfrowania dysków dla systemów operacyjnych i stałych dysków danych
    Dostawca usług kryptograficznych: BitLocker — RequireDeviceEncryption

    Jeśli dysk został zaszyfrowany przed zastosowaniem tych zasad, nie są podejmowane żadne dodatkowe działania. Jeśli metoda szyfrowania i opcje są zgodne z tą zasadą, konfiguracja powinna zwrócić powodzenie. Jeśli opcja konfiguracji funkcji BitLocker w miejscu nie jest zgodna z tą zasadą, konfiguracja prawdopodobnie zwróci błąd.

    Aby zastosować te zasady do dysku już zaszyfrowanego, odszyfruj dysk i ponownie zastosuj zasady MDM. Domyślnie system Windows nie wymaga szyfrowania dysków funkcją BitLocker. Jednak w przypadku Microsoft Entra sprzężenia i automatycznego szyfrowania rejestracji/logowania konta Microsoft (MSA) można zastosować włączanie funkcji BitLocker przy szyfrowaniu 128-bitowym XTS-AES.

    • Nie skonfigurowano (ustawienie domyślne) — nie jest wykonywane wymuszanie funkcji BitLocker.
    • Tak — wymusza użycie funkcji BitLocker.

  • Wymagaj szyfrowania kart pamięci (tylko urządzenia przenośne)
    Dostawca usług kryptograficznych: BitLocker — RequireStorageCardEncryption

    To ustawienie dotyczy tylko urządzeń ZUS z systemami Windows Mobile i Mobile Enterprise.

    • Nieskonfigurowane (ustawienie domyślne) — ustawienie powraca do domyślnego ustawienia systemu operacyjnego, czyli nie wymaga szyfrowania kartą magazynu.
    • Tak — szyfrowanie na kartach pamięci jest wymagane dla urządzeń przenośnych.

    Uwaga

    Wsparcie dla Windows 10 Mobile i Windows Phone 8.1 zakończyło się w sierpniu 2020 r.

  • Ukryj monit o szyfrowanie innych firm
    Dostawca usług kryptograficznych: BitLocker — AllowWarningForOtherDiskEncryption

    Jeśli funkcja BitLocker jest włączona w systemie, który jest już zaszyfrowany przez produkt szyfrowania innej firmy, może spowodować, że urządzenie będzie bezużyteczne. Może wystąpić utrata danych i może być konieczne ponowne zainstalowanie systemu Windows. Zdecydowanie zaleca się, aby nigdy nie włączać funkcji BitLocker na urządzeniu z zainstalowanym lub włączonym szyfrowaniem innych firm.

    Domyślnie kreator konfiguracji funkcji BitLocker monituje użytkowników o potwierdzenie, że nie istnieje żadne szyfrowanie innych firm.

    • Nie skonfigurowano (ustawienie domyślne) — kreator konfiguracji funkcji BitLocker wyświetla ostrzeżenie i monituje użytkowników o potwierdzenie braku szyfrowania innych firm.
    • Tak — ukryj monit kreatorów konfiguracji funkcji BitLocker przed użytkownikami.

    Jeśli funkcje włączania funkcji BitLocker w trybie dyskretnym są wymagane, ostrzeżenie o szyfrowaniu innych firm musi być ukryte, ponieważ dowolny wymagany monit przerywa przepływy pracy włączania dyskretnego.

    Po ustawieniu wartości Tak możesz skonfigurować następujące ustawienie:

    • Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas rozwiązania Autopilot
      Dostawca usług kryptograficznych: BitLocker — AllowStandardUserEncryption

      • Nie skonfigurowano (ustawienie domyślne) — ustawienie pozostaje domyślne dla klienta, czyli wymaganie dostępu administratora lokalnego w celu włączenia funkcji BitLocker.
      • Tak — podczas Microsoft Entra dołączania do scenariuszy włączania dyskretnego użytkownicy nie muszą być administratorami lokalnymi, aby włączyć funkcję BitLocker.

      W przypadku scenariuszy włączania bez milczenia i rozwiązania Autopilot użytkownik musi być administratorem lokalnym, aby ukończyć pracę kreatora instalacji funkcji BitLocker.

  • Konfigurowanie rotacji haseł odzyskiwania opartej na kliencie
    Zasady zabezpieczeń zawartości: Funkcja BitLocker — ConfigureRecoveryPasswordRotation

    Dodawanie urządzeń z kontem służbowym (AWA, formalnie przyłączonych do miejsca pracy) nie jest obsługiwane w przypadku rotacji kluczy.

    • Nie skonfigurowano (wartość domyślna) — klient nie będzie obracał kluczy odzyskiwania funkcji BitLocker.
    • Wyłączona
    • urządzenia przyłączone Microsoft Entra
    • Microsoft Entra urządzeń przyłączonych hybrydowo

Funkcja BitLocker — ustawienia dysku stałego

  • Zasady dysków stałych funkcji BitLocker
    Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

    • Odzyskiwanie dysku stałego
      Zasady zabezpieczeń zawartości: Funkcja BitLocker — FixedDrivesRecoveryOptions

      Kontrolowanie sposobu odzyskiwania stałych dysków danych chronionych przez funkcję BitLocker w przypadku braku wymaganych informacji o kluczu uruchamiania.

      • Nie skonfigurowano (ustawienie domyślne) — obsługiwane są domyślne opcje odzyskiwania, w tym agent odzyskiwania danych (DRA). Użytkownik końcowy może określić opcje odzyskiwania, a informacje odzyskiwania nie są kopią zapasową Microsoft Entra.
      • Konfigurowanie — umożliwia dostęp do konfigurowania różnych technik odzyskiwania dysków.

      Po ustawieniu opcji Skonfiguruj dostępne są następujące ustawienia:

      • Tworzenie klucza odzyskiwania przez użytkownika

        • Zablokowane (ustawienie domyślne)
        • Wymagany
        • Dozwolone

      • Konfigurowanie pakietu odzyskiwania funkcji BitLocker

        • Hasło i klucz (domyślnie) — uwzględnij zarówno hasło odzyskiwania funkcji BitLocker używane przez administratorów, jak i użytkowników do odblokowywania dysków chronionych, oraz pakiety kluczy odzyskiwania używane przez administratorów do odzyskiwania danych w usłudze Active Directory.
        • Tylko hasło — pakiety kluczy odzyskiwania mogą być niedostępne w razie potrzeby.

      • Wymaganie od urządzenia tworzenia kopii zapasowej informacji odzyskiwania w celu Microsoft Entra

        • Nie skonfigurowano (ustawienie domyślne) — włączenie funkcji BitLocker zakończy się nawet wtedy, gdy kopia zapasowa klucza odzyskiwania Tożsamość Microsoft Entra zakończy się niepowodzeniem. Może to spowodować, że żadne informacje odzyskiwania nie będą przechowywane zewnętrznie.
        • Tak — funkcja BitLocker nie zakończy włączania, dopóki klucze odzyskiwania nie zostaną pomyślnie zapisane w Microsoft Entra.

      • Tworzenie hasła odzyskiwania przez użytkownika

        • Zablokowane (ustawienie domyślne)
        • Wymagany
        • Dozwolone

      • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker

        • Nie skonfigurowano (ustawienie domyślne) — zezwala użytkownikowi na dostęp do dodatkowych opcji odzyskiwania.
        • Tak — zablokuj użytkownikowi końcowemu możliwość wybierania dodatkowych opcji odzyskiwania, takich jak drukowanie kluczy odzyskiwania w kreatorze instalacji funkcji BitLocker.

      • Włączanie funkcji BitLocker po zapisaniu informacji odzyskiwania

        • Nie skonfigurowano (wartość domyślna)
        • Tak — ustawiając wartość Tak, informacje odzyskiwania funkcji BitLocker zostaną zapisane w Active Directory Domain Services.

      • Blokowanie korzystania z agenta odzyskiwania danych opartego na certyfikatach (DRA)

        • Nie skonfigurowano (ustawienie domyślne) — umożliwia skonfigurowanie użycia funkcji DRA. Skonfigurowanie funkcji DRA wymaga infrastruktury kluczy publicznych przedsiębiorstwa i obiektów zasady grupy w celu wdrożenia agenta i certyfikatów USŁUGI DRA.
        • Tak — zablokuj możliwość korzystania z agenta odzyskiwania danych (DRA) do odzyskiwania dysków z włączoną funkcją BitLocker.

    • Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker
      Dostawca usług kryptograficznych: BitLocker — FixedDrivesRequireEncryption
      To ustawienie jest dostępne, gdy zasady dysków stałych funkcji BitLocker mają ustawioną wartość Konfiguruj.

      • Nie skonfigurowano (ustawienie domyślne) — dane mogą być zapisywane na nieszyfrowanych dyskach stałych.
      • Tak — system Windows nie zezwala na zapisywanie żadnych danych na dyskach stałych, które nie są chronione przez funkcję BitLocker. Jeśli dysk stały nie jest zaszyfrowany, użytkownik musi ukończyć kreatora konfiguracji funkcji BitLocker dla dysku przed udzieleniem dostępu do zapisu.

    • Konfigurowanie metody szyfrowania dla stałych dysków danych
      Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

      Skonfiguruj metodę szyfrowania i siłę szyfrowania dla dysków z stałymi dyskami danych. XTS — 128-bitowa wersja AES to domyślna metoda szyfrowania systemu Windows i zalecana wartość.

      • Nie skonfigurowano (wartość domyślna)
      • AES 128bit CBC
      • AES 256-bitowe CBC
      • AES 128-bitowy XTS
      • AES 256bit XTS

BitLocker — ustawienia dysku systemu operacyjnego

  • Zasady dysków systemowych funkcji BitLocker
    Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

    • Konfigurowanie (domyślne)
    • Nie skonfigurowano

    Po ustawieniu opcji Konfiguruj można skonfigurować następujące ustawienia:

    • Wymagane jest uwierzytelnianie uruchamiania
      Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

      • Nie skonfigurowano (wartość domyślna)
      • Tak — skonfiguruj dodatkowe wymagania dotyczące uwierzytelniania podczas uruchamiania systemu, w tym użycie modułu TPM (Trusted Platform Module) lub wymagania dotyczące numeru PIN uruchamiania.

      Po ustawieniu wartości Tak można skonfigurować następujące ustawienia:

      • Uruchamianie zgodnego modułu TPM
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

        Zalecane jest wymaganie modułu TPM dla funkcji BitLocker. To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.

        • Zablokowane (ustawienie domyślne) — funkcja BitLocker nie używa modułu TPM.
        • Wymagane — funkcja BitLocker jest włączona tylko wtedy, gdy moduł TPM jest obecny i można go używać.
        • Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny.

      • Numer PIN uruchamiania zgodnego modułu TPM
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

        • Zablokowane (ustawienie domyślne) — zablokuj użycie numeru PIN.
        • Wymagane — wymagaj podania numeru PIN i modułu TPM, aby włączyć funkcję BitLocker.
        • Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia skonfigurowanie numeru PIN uruchamiania przez użytkownika.

        W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.

      • Zgodny klucz uruchamiania modułu TPM
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

        • Zablokowane (ustawienie domyślne) — zablokuj użycie kluczy uruchamiania.
        • Wymagane — wymagaj obecności klucza uruchamiania i modułu TPM w celu włączenia funkcji BitLocker.
        • Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia odblokowywanie dysków za pomocą klucza uruchamiania (takiego jak dysk USB).

        W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.

      • Zgodny klucz startowy modułu TPM i numer PIN
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

        • Zablokowane (ustawienie domyślne) — zablokuj użycie kombinacji klucza uruchamiania i numeru PIN.
        • Wymagane — wymagaj, aby funkcja BitLocker miała klucz startowy i numer PIN, aby zostały włączone.
        • Dozwolone — funkcja BitLocker używa modułu TPM, jeśli jest obecny i umożliwia użycie klucza startowego) i kombinacji numeru PIN.

        W przypadku scenariuszy włączania dyskretnego należy ustawić tę opcję na wartość Zablokowane. Scenariusze włączania dyskretnego (w tym rozwiązania Autopilot) nie powiedzie się, gdy wymagana jest interakcja z użytkownikiem.

      • Wyłączanie funkcji BitLocker na urządzeniach, na których moduł TPM jest niezgodny
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRequireStartupAuthentication

        Jeśli moduł TPM nie jest obecny, funkcja BitLocker wymaga hasła lub dysku USB do uruchomienia.

        To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.

        • Nie skonfigurowano (wartość domyślna)
        • Tak — zablokuj konfigurowanie funkcji BitLocker bez zgodnego mikroukładu modułu TPM.

      • Włączanie preboot recovery message and url (Włączanie preboot recovery message and url)
        Zasady zabezpieczeń zawartości: Funkcja BitLocker — konfiguracja usługi SystemDrivesRecoveryMessage

        • Nie skonfigurowano (ustawienie domyślne) — użyj domyślnych informacji odzyskiwania przed rozruchem funkcji BitLocker.
        • Tak — włącz konfigurację niestandardowego komunikatu odzyskiwania przed rozruchem i adresu URL, aby ułatwić użytkownikom zrozumienie sposobu znajdowania hasła odzyskiwania. Komunikat i adres URL przed rozruchem są widoczne dla użytkowników po zablokowaniu komputera w trybie odzyskiwania.

        Po ustawieniu wartości Tak można skonfigurować następujące ustawienia:

        • Preboot recovery message (Preboot recovery message)
          Określ niestandardowy komunikat odzyskiwania przed rozruchem.

        • Adres URL odzyskiwania preboot
          Określ niestandardowy adres URL odzyskiwania przed rozruchem.

      • Odzyskiwanie dysku systemowego
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesRecoveryOptions

        • Nie skonfigurowano (wartość domyślna)
        • Konfigurowanie — włącz konfigurację dodatkowych ustawień.

        Po ustawieniu opcji Skonfiguruj dostępne są następujące ustawienia:

        • Tworzenie klucza odzyskiwania przez użytkownika

          • Zablokowane (ustawienie domyślne)
          • Wymagany
          • Dozwolone

        • Konfigurowanie pakietu odzyskiwania funkcji BitLocker

          • Hasło i klucz (domyślnie) — uwzględnij zarówno hasło odzyskiwania funkcji BitLocker używane przez administratorów, jak i użytkowników do odblokowywania dysków chronionych, oraz pakiety kluczy odzyskiwania używane przez administratorów do odzyskiwania danych) w usłudze Active Directory.
          • Tylko hasło — pakiety kluczy odzyskiwania mogą być niedostępne w razie potrzeby.

        • Wymaganie od urządzenia tworzenia kopii zapasowej informacji odzyskiwania w celu Microsoft Entra

          • Nie skonfigurowano (ustawienie domyślne) — włączenie funkcji BitLocker zakończy się nawet wtedy, gdy kopia zapasowa klucza odzyskiwania Tożsamość Microsoft Entra zakończy się niepowodzeniem. Może to spowodować, że żadne informacje odzyskiwania nie będą przechowywane zewnętrznie.
          • Tak — funkcja BitLocker nie zakończy włączania, dopóki klucze odzyskiwania nie zostaną pomyślnie zapisane w Microsoft Entra.

        • Tworzenie hasła odzyskiwania przez użytkownika

          • Zablokowane (ustawienie domyślne)
          • Wymagany
          • Dozwolone

        • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker

          • Nie skonfigurowano (ustawienie domyślne) — zezwala użytkownikowi na dostęp do dodatkowych opcji odzyskiwania.
          • Tak — zablokuj użytkownikowi końcowemu możliwość wybierania dodatkowych opcji odzyskiwania, takich jak drukowanie kluczy odzyskiwania w kreatorze instalacji funkcji BitLocker.

        • Włączanie funkcji BitLocker po zapisaniu informacji odzyskiwania

          • Nie skonfigurowano (wartość domyślna)
          • Tak — ustawiając wartość Tak, informacje odzyskiwania funkcji BitLocker zostaną zapisane w Active Directory Domain Services.

        • Blokowanie korzystania z agenta odzyskiwania danych opartego na certyfikatach (DRA)

          • Nie skonfigurowano (ustawienie domyślne) — umożliwia skonfigurowanie użycia funkcji DRA. Skonfigurowanie funkcji DRA wymaga infrastruktury kluczy publicznych przedsiębiorstwa i obiektów zasady grupy w celu wdrożenia agenta i certyfikatów USŁUGI DRA.
          • Tak — zablokuj możliwość korzystania z agenta odzyskiwania danych (DRA) do odzyskiwania dysków z włączoną funkcją BitLocker.

      • Minimalna długość numeru PIN
        Zasady zabezpieczeń zawartości: BitLocker — SystemDrivesMinimumPINLength

        Określ minimalną długość numeru PIN uruchamiania, gdy podczas włączania funkcji BitLocker wymagany jest moduł TPM + numer PIN. Długość numeru PIN musi wynosić od 4 do 20 cyfr.

        Jeśli to ustawienie nie zostanie skonfigurowane, użytkownicy mogą skonfigurować numer PIN uruchamiania o dowolnej długości (od 4 do 20 cyfr)

        To ustawienie ma zastosowanie tylko w przypadku pierwszego włączenia funkcji BitLocker i nie ma wpływu, jeśli funkcja BitLocker jest już włączona.

    • Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego
      Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

      Skonfiguruj metodę szyfrowania i siłę szyfrowania dla dysków systemu operacyjnego. XTS — 128-bitowa wersja AES to domyślna metoda szyfrowania systemu Windows i zalecana wartość.

      • Nie skonfigurowano (wartość domyślna)
      • AES 128bit CBC
      • AES 256-bitowe CBC
      • AES 128-bitowy XTS
      • AES 256bit XTS

BitLocker — ustawienia dysku wymiennego

  • Zasady dysków wymiennych funkcji BitLocker
    Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

    • Nie skonfigurowano (wartość domyślna)
    • Konfiguruj

    Po ustawieniu opcji Konfiguruj można skonfigurować następujące ustawienia.

    • Konfigurowanie metody szyfrowania dla wymiennych dysków danych
      Dostawca usług kryptograficznych: BitLocker — EncryptionMethodByDriveType

      Wybierz żądaną metodę szyfrowania dla dysków wymiennych dysków danych.

      • Nie skonfigurowano (wartość domyślna)
      • AES 128bit CBC
      • AES 256-bitowe CBC
      • AES 128-bitowy XTS
      • AES 256bit XTS

    • Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker
      Zasady zabezpieczeń zawartości: Funkcja BitLocker — RemovableDrivesRequireEncryption

      • Nieskonfigurowane (ustawienie domyślne) — dane mogą być zapisywane na dyskach wymiennych bez szyfrowania.
      • Tak — system Windows nie zezwala na zapisywanie danych na dyskach wymiennych, które nie są chronione przez funkcję BitLocker. Jeśli wstawiony dysk wymienny nie jest zaszyfrowany, użytkownik musi ukończyć kreatora konfiguracji funkcji BitLocker przed udzieleniem dostępu do zapisu na dysku.

    • Blokowanie dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji
      Zasady zabezpieczeń zawartości: Funkcja BitLocker — RemovableDrivesRequireEncryption

      • Nie skonfigurowano (ustawienie domyślne) — można użyć dowolnego dysku zaszyfrowanego za pomocą funkcji BitLocker.
      • Tak — zablokuj dostęp do zapisu na dyskach wymiennych, chyba że zostały one zaszyfrowane na komputerze należącym do Organizacji.

Następne kroki

Zasady zabezpieczeń punktu końcowego na potrzeby szyfrowania dysków