Szyfrowanie danych odzyskiwaniaEncrypt recovery data

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Podczas tworzenia zasad zarządzania funkcją BitLocker Configuration Manager wdraża usługę odzyskiwania w punkcie zarządzania.When you create a BitLocker management policy, Configuration Manager deploys the recovery service to a management point. Na stronie Zarządzanie klientem zasad zarządzania funkcją BitLocker w przypadku konfigurowania usług zarządzania funkcją BitLockerklient tworzy kopię zapasową informacji o odzyskiwaniu klucza do bazy danych lokacji.On the Client Management page of the BitLocker management policy, when you Configure BitLocker Management Services, the client backs up key recovery information to the site database. Te informacje obejmują klucze odzyskiwania funkcji BitLocker, pakiety odzyskiwania i skróty haseł modułu TPM.This information includes BitLocker recovery keys, recovery packages, and TPM password hashes. Gdy użytkownicy są Zablokowani na chronionym urządzeniu, możesz użyć tych informacji, aby ułatwić im odzyskanie dostępu do urządzenia.When users are locked out of their protected device, you can use this information to help them recover access to the device.

Uwaga

Configuration Manager nigdy nie usuwa ani nie usuwa informacji o odzyskiwaniu dla urządzeń z bazy danych, nawet jeśli klient jest nieaktywny lub usunięty.Configuration Manager never removes or deletes recovery information for devices from the database, even if the client is inactive or deleted. To zachowanie jest ze względów bezpieczeństwa.This behavior is for security reasons. Ułatwia ona scenariusze, w których urządzenie jest skradzione, ale później odzyskiwane.It helps with scenarios where a device is stolen but later recovered. W przypadku dużych środowisk wpływ na rozmiar bazy danych dotyczy 9KB danych na zaszyfrowany wolumin.For large environments, the impact to the database size is about 9KB of data per encrypted volume.

Uwzględniając poufny charakter tych informacji, należy chronić go w następujących okolicznościach:Given the sensitive nature of this information, you need to protect it in the following circumstances:

  • Configuration Manager wymaga połączenia HTTPS między klientem a usługą odzyskiwania, aby szyfrować dane przesyłane przez sieć.Configuration Manager requires an HTTPS connection between the client and the recovery service to encrypt the data in transit across the network. Dostępne są dwie opcje:There are two options:

    • HTTPS — Włącz witrynę sieci Web usług IIS w punkcie zarządzania, który obsługuje usługę odzyskiwania, a nie całą rolą punktu zarządzania.HTTPS-enable the IIS website on the management point that hosts the recovery service, not the entire management point role. Ta opcja dotyczy tylko Configuration Manager wersji 2002.This option only applies to Configuration Manager version 2002.

    • Skonfiguruj punkt zarządzania dla protokołu HTTPS.Configure the management point for HTTPS. We właściwościach punktu zarządzania ustawienie połączenia klienta musi być typu https.On the properties of the management point, the Client connections setting must be HTTPS. Ta opcja ma zastosowanie do Configuration Manager wersji 1910 lub 2002.This option applies to Configuration Manager versions 1910 or 2002.

      Uwaga

      Obecnie nie obsługuje rozszerzonego protokołu HTTP.It currently doesn't support Enhanced HTTP.

  • Należy rozważyć również szyfrowanie tych danych, gdy są one przechowywane w bazie danych lokacji.Consider also encrypting this data when stored in the site database. W przypadku zainstalowania SQL Server certyfikat Configuration Manager szyfruje dane w SQL.If you install a SQL Server certificate, Configuration Manager encrypts your data in SQL.

    Jeśli nie chcesz tworzyć certyfikatu szyfrowania zarządzania funkcją BitLocker, Zezwól na przechowywanie danych odzyskiwania w postaci zwykłego tekstu.If you don't want to create a BitLocker management encryption certificate, opt-in to plain-text storage of the recovery data. Podczas tworzenia zasad zarządzania funkcją BitLocker należy włączyć opcję zezwalania na przechowywanie informacji o odzyskiwaniu w postaci zwykłego tekstu.When you create a BitLocker management policy, enable the option to Allow recovery information to be stored in plain text.

    Uwaga

    Inną warstwą zabezpieczeń jest zaszyfrowanie całej bazy danych lokacji.Another layer of security is to encrypt the entire site database. Włączenie szyfrowania bazy danych nie obejmuje żadnych problemów funkcjonalnych w programie Configuration Manager.If you enable encryption on the database, there aren't any functional issues in Configuration Manager.

    Szyfruj z zachowaniem ostrożności, szczególnie w środowiskach o dużej skali.Encrypt with caution, especially in large-scale environments. W zależności od zaszyfrowanej tabeli i wersji programu SQL można zauważyć spadek wydajności do 25%.Depending upon the tables you encrypt and the version of SQL, you may notice up to a 25% performance degradation. Zaktualizuj plany tworzenia kopii zapasowych i odzyskiwania, aby umożliwić pomyślne odzyskanie zaszyfrowanych danych.Update your backup and recovery plans, so that you can successfully recover the encrypted data.

Wymagania certyfikatuCertificate requirements

Certyfikat uwierzytelniania serwera HTTPSHTTPS server authentication certificate

W Configuration Manager Current Branch w wersji 1910, aby zintegrować usługę odzyskiwania funkcji BitLocker z protokołem HTTPS, Włącz punkt zarządzania.In Configuration Manager current branch version 1910, to integrate the BitLocker recovery service you had to HTTPS-enable a management point. Połączenie HTTPS jest niezbędne do szyfrowania kluczy odzyskiwania w sieci z poziomu klienta Configuration Manager do punktu zarządzania.The HTTPS connection is necessary to encrypt the recovery keys across the network from the Configuration Manager client to the management point. Konfigurowanie punktu zarządzania i wszystkich klientów protokołu HTTPS może być trudne dla wielu klientów.Configuring the management point and all clients for HTTPS can be challenging for many customers.

Począwszy od wersji 2002, wymaganie HTTPS dotyczy witryny sieci Web usług IIS, która hostuje usługę odzyskiwania, a nie całą rolę punktu zarządzania.Starting in version 2002, the HTTPS requirement is for the IIS website that hosts the recovery service, not the entire management point role. Ta zmiana powoduje złagodzenie wymagań dotyczących certyfikatów i nadal szyfruje klucze odzyskiwania podczas przesyłania.This change relaxes the certificate requirements, and still encrypts the recovery keys in transit.

Teraz Właściwość połączenia klienta punktu zarządzania może mieć wartość http lub https.Now the Client connections property of the management point can be HTTP or HTTPS. Jeśli punkt zarządzania jest skonfigurowany do obsługi protokołu HTTP, aby można było obsługiwać usługę odzyskiwania funkcji BitLocker:If the management point is configured for HTTP, to support the BitLocker recovery service:

  1. Uzyskaj certyfikat uwierzytelniania serwera.Acquire a server authentication certificate. Powiąż certyfikat z witryną sieci Web usług IIS w punkcie zarządzania, który obsługuje usługę odzyskiwania funkcji BitLocker.Bind the certificate to the IIS website on the management point that hosts the BitLocker recovery service.

  2. Skonfiguruj klientów, aby ufać certyfikatowi uwierzytelniania serwera.Configure clients to trust the server authentication certificate. Istnieją dwie metody do osiągnięcia tego zaufania:There are two methods to accomplish this trust:

    • Użyj certyfikatu od publicznego i globalnego dostawcy certyfikatów zaufanych.Use a certificate from a public and globally trusted certificate provider. Na przykład, ale nie ograniczone do, DigiCert, Thawte lub VeriSign.For example, but not limited to, DigiCert, Thawte, or VeriSign. Klienci z systemem Windows zawierają Zaufane główne urzędy certyfikacji od tych dostawców.Windows clients include trusted root certificate authorities (CAs) from these providers. Przy użyciu certyfikatu uwierzytelniania serwera wystawionego przez jednego z tych dostawców klienci powinni automatycznie ufać.By using a server authentication certificate that's issued by one of these providers, your clients should automatically trust it.

    • Użyj certyfikatu wystawionego przez urząd certyfikacji w infrastrukturze kluczy publicznych (PKI) organizacji.Use a certificate issued by a CA from your organization's public key infrastructure (PKI). Większość implementacji infrastruktury PKI powoduje dodanie zaufanych głównych urzędów certyfikacji do klientów z systemem Windows.Most PKI implementations add the trusted root CAs to Windows clients. Na przykład przy użyciu Active Directory usług certyfikatów i zasad grupy.For example, using Active Directory Certificate Services with group policy. W przypadku wystawiania certyfikatu uwierzytelniania serwera z urzędu certyfikacji, którego klienci nie ufają automatycznie, Dodaj zaufany certyfikat główny urzędu certyfikacji do klientów.If you issue the server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to clients.

Porada

Jedyni Klienci, którzy muszą komunikować się z usługą Recovery Service, są tymi klientami, których planujesz kierować przy użyciu zasad zarządzania funkcją BitLocker, a także zawierają regułę zarządzania klientami .The only clients that need to communicate with the recovery service are those clients that you plan to target with a BitLocker management policy and includes a Client Management rule.

Na kliencie Użyj dziennika BitLockerManagementHandler. log , aby rozwiązać problem z tym połączeniem.On the client, use the BitLockerManagementHandler.log to troubleshoot this connection. W przypadku połączenia z usługą Recovery log wyświetla adres URL używany przez klienta.For connectivity to the recovery service, the log shows the URL that the client is using. Znajdź wpis, który rozpoczyna się od Checking for Recovery Service at .Locate an entry that starts with Checking for Recovery Service at.

Uwaga

Jeśli lokacja ma więcej niż jeden punkt zarządzania, należy włączyć protokół HTTPS we wszystkich punktach zarządzania w lokacji, z którymi klient zarządzany przez funkcję BitLocker może potencjalnie komunikować się.If your site has more than one management point, enable HTTPS on all management points at the site with which a BitLocker-managed client could potentially communicate. Jeśli punkt zarządzania HTTPS jest niedostępny, klient może przechodzić w tryb failover do punktu zarządzania HTTP, a następnie nie może zawieść jego klucza odzyskiwania.If the HTTPS management point is unavailable, the client could fail over to an HTTP management point, and then fail to escrow its recovery key.

To zalecenie dotyczy obu opcji: Włącz punkt zarządzania dla protokołu HTTPS lub Włącz witrynę sieci Web usług IIS, która hostuje usługę odzyskiwania w punkcie zarządzania.This recommendation applies to both options: enable the management point for HTTPS, or enable the IIS website that hosts the recovery service on the management point.

SQL Server certyfikat szyfrowaniaSQL Server encryption certificate

Użyj tego certyfikatu SQL Server, aby Configuration Manager szyfrować dane odzyskiwania funkcji BitLocker w bazie danych lokacji.Use this SQL Server certificate for Configuration Manager to encrypt BitLocker recovery data in the site database. Możesz użyć własnego procesu, aby utworzyć i wdrożyć certyfikat szyfrowania zarządzania funkcją BitLocker, o ile spełnia on następujące wymagania:You can use your own process to create and deploy the BitLocker management encryption certificate, as long as it meets the following requirements:

  • Wymagana jest nazwa certyfikatu szyfrowania zarządzania funkcją BitLocker BitLockerManagement_CERT .The name of the BitLocker management encryption certificate must be BitLockerManagement_CERT.

  • Zaszyfruj ten certyfikat przy użyciu klucza głównego bazy danych.Encrypt this certificate with a database master key.

  • Następujący SQL Server użytkownicy muszą mieć uprawnienia do kontroli certyfikatu:The following SQL Server users need Control permissions on the certificate:

    • RecoveryAndHardwareCoreRecoveryAndHardwareCore
    • RecoveryAndHardwareReadRecoveryAndHardwareRead
    • RecoveryAndHardwareWriteRecoveryAndHardwareWrite
  • Wdróż ten sam certyfikat w każdej bazie danych lokacji w hierarchii.Deploy the same certificate at every site database in your hierarchy.

  • Utwórz certyfikat z najnowszą wersją SQL Server w danym środowisku.Create the certificate with the latest version of SQL Server in your environment. Na przykład:For example:

    • Certyfikaty utworzone przy użyciu SQL Server 2016 lub nowszych są zgodne z SQL Server 2014 lub wcześniejszym.Certificates created with SQL Server 2016 or later are compatible with SQL Server 2014 or earlier.
    • Certyfikaty utworzone przy użyciu SQL Server 2014 lub wcześniejszych nie są zgodne z SQL Server 2016 lub nowszym.Certificates created with SQL Server 2014 or earlier aren't compatible with SQL Server 2016 or later.

Przykładowe skryptyExample scripts

Te skrypty SQL są przykładami do tworzenia i wdrażania certyfikatu szyfrowania zarządzania funkcją BitLocker w bazie danych Configuration Manager lokacji.These SQL scripts are examples to create and deploy a BitLocker management encryption certificate in the Configuration Manager site database.

Utwórz certyfikatCreate certificate

Ten przykładowy skrypt wykonuje następujące czynności:This sample script does the following actions:

  • Tworzy certyfikatCreates a certificate
  • Ustawia uprawnieniaSets the permissions
  • Tworzy klucz główny bazy danychCreates a database master key

Przed użyciem tego skryptu w środowisku produkcyjnym należy zmienić następujące wartości:Before you use this script in a production environment, change the following values:

  • Nazwa bazy danych lokacji ( CM_ABC )Site database name (CM_ABC)
  • Hasło do utworzenia klucza głównego ( MyMasterKeyPassword )Password to create the master key (MyMasterKeyPassword)
  • Data wygaśnięcia certyfikatu ( 20391022 )Certificate expiry date (20391022)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
    CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
    WITH SUBJECT = 'BitLocker Management',
    EXPIRY_DATE = '20391022'

    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Tworzenie kopii zapasowej certyfikatuBack up certificate

Ten przykładowy skrypt tworzy kopię zapasową certyfikatu.This sample script backs up a certificate. Po zapisaniu certyfikatu w pliku można go przywrócić do innych baz danych lokacji w hierarchii.When you save the certificate to a file, you can then restore it to other site databases in the hierarchy.

Przed użyciem tego skryptu w środowisku produkcyjnym należy zmienić następujące wartości:Before you use this script in a production environment, change the following values:

  • Nazwa bazy danych lokacji ( CM_ABC )Site database name (CM_ABC)
  • Ścieżka i nazwa pliku ( C:\BitLockerManagement_CERT_KEY )File path and name (C:\BitLockerManagement_CERT_KEY)
  • Hasło klucza eksportu ( MyExportKeyPassword )Export key password (MyExportKeyPassword)
USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')

Ważne

Zapisz wyeksportowany plik certyfikatu i skojarzone hasło w bezpiecznej lokalizacji.Store the exported certificate file and associated password in a secure location.

Przywróć certyfikatRestore certificate

Ten przykładowy skrypt przywraca certyfikat z pliku.This sample script restores a certificate from a file. Ten proces służy do wdrażania certyfikatu utworzonego w innej bazie danych lokacji.Use this process to deploy a certificate that you created on another site database.

Przed użyciem tego skryptu w środowisku produkcyjnym należy zmienić następujące wartości:Before you use this script in a production environment, change the following values:

  • Nazwa bazy danych lokacji ( CM_ABC )Site database name (CM_ABC)
  • Hasło klucza głównego ( MyMasterKeyPassword )Master key password (MyMasterKeyPassword)
  • Ścieżka i nazwa pliku ( C:\BitLockerManagement_CERT_KEY )File path and name (C:\BitLockerManagement_CERT_KEY)
  • Hasło klucza eksportu ( MyExportKeyPassword )Export key password (MyExportKeyPassword)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN

CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
FROM FILE  = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        DECRYPTION BY PASSWORD = 'MyExportKeyPassword')

GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Weryfikuj certyfikatVerify certificate

Użyj tego skryptu SQL, aby sprawdzić, czy SQL Server pomyślnie utworzył certyfikat z wymaganymi uprawnieniami.Use this SQL script to verify that SQL Server successfully created the certificate with the required permissions.

USE CM_ABC
declare @count int
select @count = count(distinct u.name) from sys.database_principals u
join sys.database_permissions p on p.grantee_principal_id = u.principal_id or p.grantor_principal_id = u.principal_id
join sys.certificates c on c.certificate_id = p.major_id
where u.name in('RecoveryAndHardwareCore', 'RecoveryAndHardwareRead', 'RecoveryAndHardwareWrite') and
c.name = 'BitLockerManagement_CERT' and p.permission_name like 'CONTROL'
if(@count >= 3) select 1
else select 0

Jeśli certyfikat jest prawidłowy, skrypt zwraca wartość 1 .If the certificate is valid, the script returns a value of 1.

Zobacz teżSee also

Aby uzyskać więcej informacji na temat tych poleceń SQL, zobacz następujące artykuły:For more information on these SQL commands, see the following articles: