BitLocker ayarları başvurusu

  • Makale

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager'daki BitLocker yönetim ilkeleri aşağıdaki ilke gruplarını içerir:

  • Kurulum
  • İşletim sistemi sürücüsü
  • Sabit sürücü
  • Çıkarılabilir sürücü
  • Müşteri yönetimi

Aşağıdaki bölümlerde her gruptaki ayarlar için yapılandırmalar açıklanmaktadır ve önerilmektedir.

Kurulum

Bu sayfadaki ayarlar genel BitLocker şifreleme seçeneklerini yapılandırdı.

Sürücü şifreleme yöntemi ve şifreleme gücü

Önerilen yapılandırma: Varsayılan veya daha büyük şifreleme yöntemiyle etkinleştirilir .

Not

Kurulum özellikleri sayfası, Windows'un farklı sürümleri için iki ayar grubu içerir. Bu bölümde her ikisi de açıklanmaktadır.

cihazları Windows 8.1

Windows 8.1 cihazlar için Sürücü şifreleme yöntemi ve şifreleme gücü seçeneğini etkinleştirin ve aşağıdaki şifreleme yöntemlerinden birini seçin:

  • Difüzör ile AES 128 bit
  • Difüzör ile AES 256 bit
  • AES 128 bit (varsayılan)
  • AES 256 bit

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMBLEncryptionMethodPolicy.

Windows 10 veya üzeri cihazlar

Windows 10 veya sonraki cihazlar için Sürücü şifreleme yöntemi ve şifreleme gücü (Windows 10 veya üzeri) seçeneğini etkinleştirin. Ardından işletim sistemi sürücüleri, sabit veri sürücüleri ve çıkarılabilir veri sürücüleri için aşağıdaki şifreleme yöntemlerinden birini tek tek seçin:

  • AES-CBC 128 bit
  • AES-CBC 256 bit
  • XTS-AES 128 bit (varsayılan)
  • XTS-AES 256 bit

İpucu

BitLocker, 128 veya 256 bit yapılandırılabilir anahtar uzunluklarına sahip şifreleme algoritması olarak Gelişmiş Şifreleme Standardı (AES) kullanır. AES şifrelemesi, Windows 10 veya sonraki cihazlarda şifre blok zincirlemesine (CBC) veya şifreleme metni çalmayı (XTS) destekler.

Windows 10 çalışmayan cihazlarda çıkarılabilir bir sürücü kullanmanız gerekiyorsa AES-CBC kullanın.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMBLEncryptionMethodWithXts.

Sürücü şifrelemesi ve şifreleme gücü için genel kullanım notları

  • Bu ayarları devre dışı bırakır veya yapılandırmazsanız BitLocker varsayılan şifreleme yöntemini kullanır.

  • Configuration Manager BitLocker'ı açtığınızda bu ayarları uygular.

  • Sürücü zaten şifrelenmişse veya devam ediyorsa, bu ilke ayarlarında yapılan herhangi bir değişiklik cihazda sürücü şifrelemesini değiştirmez.

  • Varsayılan değeri kullanırsanız, BitLocker Bilgisayar Uyumluluğu raporu şifreleme gücünü bilinmiyor olarak görüntüleyebilir. Bu sorunu geçici olarak çözmek için bu ayarı etkinleştirin ve şifreleme gücü için açık bir değer ayarlayın.

Yeniden başlatmada belleğin üzerine yazılmasını engelle

Önerilen yapılandırma: Yapılandırılmadı

Yeniden başlatmada bellekteki BitLocker gizli dizilerinin üzerine yazmadan yeniden başlatma performansını geliştirmek için bu ilkeyi yapılandırın.

Bu ilkeyi yapılandırmadığınızda BitLocker, bilgisayar yeniden başlatıldığında gizli dizilerini bellekten kaldırır.

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMNoOverwritePolicy.

Akıllı kart sertifikası kullanım kuralı uyumluluğunu doğrulama

Önerilen yapılandırma: Yapılandırılmadı

Bu ilkeyi akıllı kart sertifika tabanlı BitLocker koruması kullanacak şekilde yapılandırın. Ardından sertifika Nesne tanımlayıcısını belirtin.

Bu ilkeyi yapılandırmadığınızda, BitLocker bir sertifika belirtmek için varsayılan nesne tanımlayıcısını 1.3.6.1.4.1.311.67.1.1 kullanır.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMScCompliancePolicy.

Kuruluş benzersiz tanımlayıcıları

Önerilen yapılandırma: Yapılandırılmadı

Bu ilkeyi sertifika tabanlı bir veri kurtarma aracısı veya BitLocker To Go okuyucu kullanacak şekilde yapılandırın.

Bu ilkeyi yapılandırmadığınızda, BitLocker Tanımlama alanını kullanmaz.

Kuruluşunuz daha yüksek güvenlik ölçümleri gerektiriyorsa , Tanımlama alanını yapılandırın. Bu alanı tüm hedeflenen USB cihazlarında ayarlayın ve bu ayarla hizalayın.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMUidPolicy.

İşletim sistemi sürücüsü

Bu sayfadaki ayarlar, Windows'un yüklü olduğu sürücü için şifreleme ayarlarını yapılandırılır.

İşletim sistemi sürücüsü şifreleme ayarları

Önerilen yapılandırma: Etkin

Bu ayarı etkinleştirirseniz, kullanıcının işletim sistemi sürücüsünü koruması gerekir ve BitLocker sürücüyü şifreler. Devre dışı bırakırsanız, kullanıcı sürücüyü koruyamaz. Bu ilkeyi yapılandırmazsanız, işletim sistemi sürücüsünde BitLocker koruması gerekmez.

Not

Sürücü zaten şifrelenmişse ve bu ayarı devre dışı bırakırsanız BitLocker sürücünün şifresini çözer.

Güvenilir Platform Modülü (TPM) olmayan cihazlarınız varsa, Uyumlu bir TPM olmadan BitLocker'a izin ver (parola gerektirir) seçeneğini kullanın. Bu ayar, cihazda TPM olmasa bile BitLocker'ın işletim sistemi sürücüsünü şifrelemesine olanak tanır. Bu seçeneğe izin verirseniz, Windows kullanıcıdan bir BitLocker parolası belirtmesini ister.

Uyumlu bir TPM'ye sahip cihazlarda, şifrelenmiş veriler için ek koruma sağlamak üzere başlangıçta iki tür kimlik doğrulama yöntemi kullanılabilir. Bilgisayar başlatıldığında, kimlik doğrulaması için yalnızca TPM kullanabilir veya kişisel kimlik numarası (PIN) girişini de gerektirebilir. Aşağıdaki ayarları yapılandırın:

  • İşletim sistemi sürücüsü için koruyucu seçin: TPM ve PIN kullanacak şekilde veya yalnızca TPM'yi kullanacak şekilde yapılandırın.

  • Başlangıç için en düşük PIN uzunluğunu yapılandırma: PIN gerekiyorsa, bu değer kullanıcının belirtebileceği en kısa uzunluk olur. Bilgisayar sürücünün kilidini açmak için önyükleme yaptığında kullanıcı bu PIN'i girer. Varsayılan olarak, en düşük PIN uzunluğu şeklindedir 4.

İpucu

Daha yüksek güvenlik için, CIHAZLARı TPM + PIN koruyucusu ile etkinleştirdiğinizde Sistem>Güç Yönetimi>Uyku Ayarları'nda aşağıdaki grup ilkesi ayarlarını devre dışı bırakmayı göz önünde bulundurun:

  • Uyku Modunda Bekleme Durumlarını (S1-S3) İzin Ver (prize takılı)

  • Uyku Sırasında Bekleme Durumlarına (S1-S3) İzin Ver (Pille)

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMBMSOSDEncryptionPolicy.

Başlangıç için gelişmiş PIN'lere izin ver

Önerilen yapılandırma: Yapılandırılmadı

BitLocker'ı gelişmiş başlangıç PIN'lerini kullanacak şekilde yapılandırın. Bu PIN'ler büyük ve küçük harfler, simgeler, sayılar ve boşluklar gibi daha fazla karakterin kullanılmasına izin verir. Bu ayar, BitLocker'i açtığınızda geçerlidir.

Önemli

Tüm bilgisayarlar önyükleme öncesi ortamda gelişmiş PIN'leri desteklemez. Kullanımını etkinleştirmeden önce cihazlarınızın bu özellik ile uyumlu olup olmadığını değerlendirin.

Bu ayarı etkinleştirirseniz, tüm yeni BitLocker başlangıç PIN'leri kullanıcının gelişmiş PIN'ler oluşturmasına izin verir.

  • Yalnızca ASCII PIN'leri gerektir: Gelişmiş PIN'lerin önyükleme öncesi ortamda girebileceğiniz karakter türünü veya sayısını sınırlayan bilgisayarlarla daha uyumlu hale getirmesine yardımcı olun.

Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, BitLocker gelişmiş PIN'leri kullanmaz.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMEnhancedPIN.

İşletim sistemi sürücüsü parola ilkesi

Önerilen yapılandırma: Yapılandırılmadı

BitLocker korumalı işletim sistemi sürücülerinin kilidini açmak için parola kısıtlamalarını ayarlamak için bu ayarları kullanın. İşletim sistemi sürücülerinde TPM olmayan koruyuculara izin verirseniz aşağıdaki ayarları yapılandırın:

  • İşletim sistemi sürücüleri için parola karmaşıklığını yapılandırma: Parolada karmaşıklık gereksinimlerini zorunlu kılmak için Parola karmaşıklığını gerektir'i seçin.

  • İşletim sistemi sürücüsü için en düşük parola uzunluğu: Varsayılan olarak, minimum uzunluk şeklindedir 8.

  • Çıkarılabilir işletim sistemi sürücüleri için yalnızca ASCII parolaları gerektir

Bu ilke ayarını etkinleştirirseniz, kullanıcılar tanımladığınız gereksinimleri karşılayan bir parola yapılandırabilir.

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMOSPassphrase.

İşletim sistemi sürücüsü parola ilkesi için genel kullanım notları

  • Bu karmaşıklık gereksinimi ayarlarının etkili olması için Parola, Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Hesap İlkeleri>Parola İlkesi'ndekarmaşıklık gereksinimlerini karşılamalıdır grup ilkesi ayarını da etkinleştirin.

  • BitLocker, bir birimin kilidini açtığınızda değil, açtığınızda bu ayarları zorlar. BitLocker, sürücüde bulunan koruyuculardan herhangi biriyle bir sürücünün kilidini açmanıza olanak tanır.

  • Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları etkinleştirmek için grup ilkesi kullanırsanız, parolalara BitLocker koruyucusu olarak izin vermezsiniz.

BitLocker kurtarmadan sonra platform doğrulama verilerini sıfırlama

Önerilen yapılandırma: Yapılandırılmadı

Windows'un BitLocker kurtarmadan sonra başlatıldığında platform doğrulama verilerini yenileyip yenilemediğini kontrol edin.

Bu ayarı etkinleştirir veya yapılandırmazsanız, Windows bu durumda platform doğrulama verilerini yeniler.

Bu ilke ayarını devre dışı bırakırsanız, Windows bu durumda platform doğrulama verilerini yenilemez.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMTpmAutoResealPolicy.

Önyükleme öncesi kurtarma iletisi ve URL

Önerilen yapılandırma: Yapılandırılmadı

BitLocker işletim sistemi sürücüsünü kilitlediğinde, önyükleme öncesi BitLocker kurtarma ekranında özel bir kurtarma iletisi veya URL görüntülemek için bu ayarı kullanın. Bu ayar yalnızca Windows 10 veya sonraki cihazlar için geçerlidir.

Bu ayarı etkinleştirdiğinizde önyükleme öncesi kurtarma iletisi için aşağıdaki seçeneklerden birini belirleyin:

  • Varsayılan kurtarma iletisini ve URL'yi kullanın: Önyükleme öncesi BitLocker kurtarma ekranında varsayılan BitLocker kurtarma iletisini ve URL'sini görüntüleyin. Daha önce özel bir kurtarma iletisi veya URL yapılandırdıysanız, varsayılan iletiye geri dönmek için bu seçeneği kullanın.

  • Özel kurtarma iletisi kullanma: Önyükleme öncesi BitLocker kurtarma ekranına özel bir ileti ekleyin.

    • Özel kurtarma iletisi seçeneği: Görüntülenecek özel iletiyi yazın. Kurtarma URL'sini de belirtmek istiyorsanız, bu özel kurtarma iletisinin bir parçası olarak ekleyin. En fazla dize uzunluğu 32.768 karakterdir.

  • Özel kurtarma URL'sini kullanma: Önyükleme öncesi BitLocker kurtarma ekranında görüntülenen varsayılan URL'yi değiştirin.

    • Özel kurtarma URL'si seçeneği: Görüntülenecek URL'yi yazın. En fazla dize uzunluğu 32.768 karakterdir.

Not

Ön önyüklemede tüm karakterler ve diller desteklenmez. Önyükleme öncesi BitLocker kurtarma ekranında doğru göründüğünden emin olmak için önce özel iletinizi veya URL'nizi test edin.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMPrebootRecoveryInfo.

Şifreleme ilkesi zorlama ayarları (işletim sistemi sürücüsü)

Önerilen yapılandırma: Etkin

Kullanıcıların işletim sistemi sürücüsü için BitLocker uyumluluğunu erteleyebileceği gün sayısını yapılandırın. Uyumsuzluk yetkisiz kullanım süresi, Configuration Manager ilk kez uyumsuz olarak algıladığında başlar. Bu yetkisiz kullanım süresi dolduktan sonra kullanıcılar gerekli eylemi erteleyemez veya muafiyet isteyemez.

Şifreleme işlemi için kullanıcı girişi gerekiyorsa, Windows'ta kullanıcının gerekli bilgileri sağlayana kadar kapatamadığını belirten bir iletişim kutusu görüntülenir. Gelecekteki hata veya durum bildirimleri bu kısıtlamaya sahip olmayacaktır.

BitLocker bir koruyucu eklemek için kullanıcı etkileşimi gerektirmiyorsa, yetkisiz kullanım süresi dolduktan sonra BitLocker arka planda şifrelemeyi başlatır.

Bu ayarı devre dışı bırakır veya yapılandırmazsanız, Configuration Manager kullanıcıların BitLocker ilkelerine uymasını gerektirmez.

İlkeyi hemen zorlamak için bir yetkisiz kullanım süresi 0ayarlayın.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMUseOsEnforcePolicy.

Sabit sürücü

Bu sayfadaki ayarlar, bir cihazdaki diğer veri sürücüleri için şifrelemeyi yapılandırılır.

Veri sürücüsü şifrelemesi düzeltildi

Önerilen yapılandırma: Etkin

Sabit veri sürücülerini şifreleme gereksiniminizi yönetin. Bu ayarı etkinleştirirseniz BitLocker, kullanıcıların tüm sabit veri sürücülerini koruma altına almasını gerektirir. Ardından veri sürücülerini şifreler.

Bu ilkeyi etkinleştirdiğinizde otomatik kilidi açmayı veya Sabit veri sürücüsü parola ilkesi ayarlarını etkinleştirin.

  • Sabit veri sürücüsü için otomatik kilidi açmayı yapılandırma: BitLocker'ın şifrelenmiş herhangi bir veri sürücüsünün kilidini otomatik olarak açmasına izin verin veya gerekli kılabilir. Otomatik kilidi açmayı kullanmak için BitLocker'ın işletim sistemi sürücüsünü şifrelemesini de gerekli kılar.

Bu ayarı yapılandırmazsanız BitLocker, kullanıcıların sabit veri sürücülerini koruma altına almalarını gerektirmez.

Bu ayarı devre dışı bırakırsanız, kullanıcılar sabit veri sürücülerini BitLocker koruması altına koyamaz. BitLocker sabit veri sürücülerini şifreledikten sonra bu ilkeyi devre dışı bırakırsanız, BitLocker sabit veri sürücülerinin şifresini çözer.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMBMSFDVEncryptionPolicy.

BitLocker tarafından korunmayan sabit sürücülere yazma erişimini reddetme

Önerilen yapılandırma: Yapılandırılmadı

Cihazdaki sabit sürücülere veri yazmak için Windows için BitLocker koruması gerektir. BitLocker bu ilkeyi açtığınızda uygular.

Bu ayarı etkinleştirdiğinizde:

  • BitLocker sabit bir veri sürücüsünü koruyorsa, Windows bunu okuma ve yazma erişimiyle bağlar.

  • BitLocker'ın korumadığı herhangi bir sabit veri sürücüsü için Windows bunu salt okunur olarak bağlar.

Bu ayarı yapılandırmadığınızda, Windows tüm sabit veri sürücülerini okuma ve yazma erişimiyle bağlar.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMFDVDenyWriteAccessPolicy.

Veri sürücüsü parola ilkesi düzeltildi

Önerilen yapılandırma: Yapılandırılmadı

BitLocker korumalı sabit veri sürücülerinin kilidini açmak için parola kısıtlamalarını ayarlamak için bu ayarları kullanın.

Bu ayarı etkinleştirirseniz, kullanıcılar tanımlı gereksinimlerinizi karşılayan bir parola yapılandırabilir.

Daha yüksek güvenlik için bu ayarı etkinleştirin ve ardından aşağıdaki ayarları yapılandırın:

  • Sabit veri sürücüsü için parola gerektir: Kullanıcıların BitLocker korumalı sabit veri sürücüsünün kilidini açmak için parola belirtmesi gerekir.

  • Sabit veri sürücüleri için parola karmaşıklığını yapılandırma: Parolada karmaşıklık gereksinimlerini zorunlu kılmak için Parola karmaşıklığını gerektir'i seçin.

  • Sabit veri sürücüsü için en düşük parola uzunluğu: Varsayılan olarak, minimum uzunluk şeklindedir 8.

Bu ayarı devre dışı bırakırsanız, kullanıcılar parola yapılandıramaz.

İlke yapılandırılmadığında, BitLocker varsayılan ayarlara sahip parolaları destekler. Varsayılan ayarlar parola karmaşıklığı gereksinimlerini içermez ve yalnızca sekiz karakter gerektirir.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMFDVPassPhrasePolicy.

Sabit veri sürücüsü parola ilkesi için genel kullanım notları

  • Bu karmaşıklık gereksinimi ayarlarının etkili olması için Parola, Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Hesap İlkeleri>Parola İlkesi'ndekarmaşıklık gereksinimlerini karşılamalıdır grup ilkesi ayarını da etkinleştirin.

  • BitLocker, bir birimin kilidini açtığınızda değil, açtığınızda bu ayarları zorlar. BitLocker, sürücüde bulunan koruyuculardan herhangi biriyle bir sürücünün kilidini açmanıza olanak tanır.

  • Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları etkinleştirmek için grup ilkesi kullanırsanız, parolalara BitLocker koruyucusu olarak izin vermezsiniz.

Şifreleme ilkesi zorlama ayarları (sabit veri sürücüsü)

Önerilen yapılandırma: Etkin

Kullanıcıların sabit veri sürücüleri için BitLocker uyumluluğunu erteleyebileceği gün sayısını yapılandırın. Uyumsuzluk yetkisiz kullanım süresi, Configuration Manager sabit veri sürücüsünü uyumsuz olarak ilk algıladığında başlar. İşletim sistemi sürücüsü uyumlu olana kadar sabit veri sürücüsü ilkesini zorlamaz. Yetkisiz kullanım süresi dolduktan sonra kullanıcılar gerekli eylemi erteleyemez veya muafiyet isteyemez.

Şifreleme işlemi için kullanıcı girişi gerekiyorsa, Windows'ta kullanıcının gerekli bilgileri sağlayana kadar kapatamadığını belirten bir iletişim kutusu görüntülenir. Gelecekteki hata veya durum bildirimleri bu kısıtlamaya sahip olmayacaktır.

BitLocker bir koruyucu eklemek için kullanıcı etkileşimi gerektirmiyorsa, yetkisiz kullanım süresi dolduktan sonra BitLocker arka planda şifrelemeyi başlatır.

Bu ayarı devre dışı bırakır veya yapılandırmazsanız, Configuration Manager kullanıcıların BitLocker ilkelerine uymasını gerektirmez.

İlkeyi hemen zorlamak için bir yetkisiz kullanım süresi 0ayarlayın.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMUseFddEnforcePolicy.

Çıkarılabilir sürücü

Bu sayfadaki ayarlar, USB anahtarları gibi çıkarılabilir sürücüler için şifrelemeyi yapılandırılır.

Çıkarılabilir veri sürücüsü şifrelemesi

Önerilen yapılandırma: Etkin

Bu ayar, çıkarılabilir sürücülerde BitLocker kullanımını denetler.

  • Kullanıcıların çıkarılabilir veri sürücülerine BitLocker koruması uygulamasına izin ver: Kullanıcılar çıkarılabilir bir sürücü için BitLocker korumasını açabilir.

  • Kullanıcıların çıkarılabilir veri sürücülerinde BitLocker'ı askıya almasına ve şifresini çözmesine izin ver: Kullanıcılar çıkarılabilir bir sürücüden BitLocker sürücü şifrelemesini kaldırabilir veya geçici olarak askıya alabilir.

Bu ayarı etkinleştirdiğinizde ve kullanıcıların BitLocker koruması uygulamasına izin verdiğinizde, Configuration Manager istemcisi çıkarılabilir sürücüler hakkındaki kurtarma bilgilerini yönetim noktasındaki kurtarma hizmetine kaydeder. Bu davranış, kullanıcıların koruyucuyu (parola) unutması veya kaybetmesi durumunda sürücüyü kurtarmasına olanak tanır.

Bu ayarı etkinleştirdiğinizde:

  • Çıkarılabilir veri sürücüsü parola ilkesi ayarlarını etkinleştirme

  • Her iki kullanıcı & bilgisayar yapılandırması için Sistem>Çıkarılabilir Depolama Birimi Erişimi'nde aşağıdaki grup ilkesi ayarlarını devre dışı bırakın:

    • Tüm çıkarılabilir depolama sınıfları: Tüm erişimi reddet
    • Çıkarılabilir diskler: Yazma erişimini reddet
    • Çıkarılabilir diskler: Okuma erişimini reddet

Bu ayarı devre dışı bırakırsanız, kullanıcılar çıkarılabilir sürücülerde BitLocker kullanamaz.

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMRDVConfigureBDEPolicy.

BitLocker tarafından korunmayan çıkarılabilir sürücülere yazma erişimini reddetme

Önerilen yapılandırma: Yapılandırılmadı

Cihazdaki çıkarılabilir sürücülere veri yazmak için Windows için BitLocker koruması gerektir. BitLocker bu ilkeyi açtığınızda uygular.

Bu ayarı etkinleştirdiğinizde:

  • BitLocker çıkarılabilir bir sürücüyü koruyorsa, Windows bu sürücüyü okuma ve yazma erişimiyle bağlar.

  • BitLocker'ın korumadığı çıkarılabilir sürücüler için Windows bunu salt okunur olarak bağlar.

  • Başka bir kuruluşta yapılandırılan cihazlara yazma erişimini reddet seçeneğini etkinleştirirseniz, BitLocker yalnızca izin verilen tanımlama alanlarıyla eşleşen tanımlama alanları olan çıkarılabilir sürücülere yazma erişimi verir. Bu alanları Kurulum sayfasındaki Kuruluş benzersiz tanımlayıcıları genel ayarlarıyla tanımlayın.

Bu ayarı devre dışı bırakır veya yapılandırmazsanız, Windows tüm çıkarılabilir sürücüleri okuma ve yazma erişimiyle bağlar.

Not

Bu ayarı Sistem>Çıkarılabilir Depolama Birimi Erişimi'ndeki grup ilkesi ayarlarıyla geçersiz kılabilirsiniz. Çıkarılabilir diskler: Yazma erişimini reddet grup ilkesi ayarını etkinleştirirseniz, BitLocker bu Configuration Manager ayarını yoksayar.

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMRDVDenyWriteAccessPolicy.

Çıkarılabilir veri sürücüsü parola ilkesi

Önerilen yapılandırma: Etkin

BitLocker korumalı çıkarılabilir sürücülerin kilidini açmak için parola kısıtlamalarını ayarlamak için bu ayarları kullanın.

Bu ayarı etkinleştirirseniz, kullanıcılar tanımlı gereksinimlerinizi karşılayan bir parola yapılandırabilir.

Daha yüksek güvenlik için bu ayarı etkinleştirin ve ardından aşağıdaki ayarları yapılandırın:

  • Çıkarılabilir veri sürücüsü için parola gerektir: Kullanıcıların BitLocker korumalı çıkarılabilir sürücünün kilidini açmak için parola belirtmesi gerekir.

  • Çıkarılabilir veri sürücüleri için parola karmaşıklığını yapılandırma: Parolada karmaşıklık gereksinimlerini zorunlu kılmak için Parola karmaşıklığı gerektir'i seçin.

  • Çıkarılabilir veri sürücüsü için en düşük parola uzunluğu: Varsayılan olarak, minimum uzunluk şeklindedir 8.

Bu ayarı devre dışı bırakırsanız, kullanıcılar parola yapılandıramaz.

İlke yapılandırılmadığında, BitLocker varsayılan ayarlara sahip parolaları destekler. Varsayılan ayarlar parola karmaşıklığı gereksinimlerini içermez ve yalnızca sekiz karakter gerektirir.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMRDVPassPhrasePolicy.

Çıkarılabilir veri sürücüsü parola ilkesi için genel kullanım notları

  • Bu karmaşıklık gereksinimi ayarlarının etkili olması için Parola, Bilgisayar Yapılandırması>Windows AyarlarıGüvenlik Ayarları>>Hesap İlkeleri>Parola İlkesi'ndekarmaşıklık gereksinimlerini karşılamalıdır grup ilkesi ayarını da etkinleştirin.

  • BitLocker, bir birimin kilidini açtığınızda değil, açtığınızda bu ayarları zorlar. BitLocker, sürücüde bulunan koruyuculardan herhangi biriyle bir sürücünün kilidini açmanıza olanak tanır.

  • Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları etkinleştirmek için grup ilkesi kullanırsanız, parolalara BitLocker koruyucusu olarak izin vermezsiniz.

Müşteri yönetimi

Bu sayfadaki ayarlar BitLocker yönetim hizmetlerini ve istemcilerini yapılandırdı.

BitLocker Yönetim Hizmetleri

Önerilen yapılandırma: Etkin

Bu ayarı etkinleştirdiğinizde Configuration Manager site veritabanındaki anahtar kurtarma bilgilerini otomatik ve sessizce yedekler. Bu ayarı devre dışı bırakır veya yapılandırmazsanız Configuration Manager anahtar kurtarma bilgilerini kaydetmez.

  • Depolamak için BitLocker kurtarma bilgilerini seçin: BitLocker kurtarma bilgilerini yedeklemek için anahtar kurtarma hizmetini yapılandırın. BitLocker tarafından şifrelenen verileri kurtarmak için bir yönetim yöntemi sağlar. Bu yöntem, önemli bilgilerin olmaması nedeniyle veri kaybını önlemeye yardımcı olur.

  • Kurtarma bilgilerinin düz metin olarak depolanmasına izin ver: SQL Server için BitLocker yönetim şifreleme sertifikası olmadan Configuration Manager anahtar kurtarma bilgilerini düz metin olarak depolar. Daha fazla bilgi için bkz . Veritabanında kurtarma verilerini şifreleme.

  • İstemci denetim durumu sıklığı (dakika):Yapılandırılan sıklıkta, istemci bilgisayardaki BitLocker koruma ilkelerini ve durumunu denetler ve ayrıca istemci kurtarma anahtarını yedekler. Varsayılan olarak, Configuration Manager istemcisi BitLocker durumunu 90 dakikada bir denetler.

    Önemli

    Bu değeri 60'tan küçük olarak ayarlamayın. Daha küçük bir sıklık değeri, istemcinin kısa bir süre için yanlış uyumluluk durumlarını bildirmesine neden olabilir.

Windows PowerShell ile bu ilkeleri oluşturma hakkında daha fazla bilgi için bkz:

Kullanıcı muafiyeti ilkesi

Önerilen yapılandırma: Yapılandırılmadı

Kullanıcıların BitLocker şifrelemesinden muafiyet istemesi için bir iletişim yöntemi yapılandırın.

Bu ilke ayarını etkinleştirirseniz aşağıdaki bilgileri sağlayın:

  • Ertelenecek en fazla gün sayısı: Kullanıcının zorunlu ilkeyi kaç gün erteleyebileceği. Varsayılan olarak, bu değer gün değeridir 7 (bir hafta).

  • İletişim yöntemi: Kullanıcıların nasıl muafiyet isteyebileceğini belirtin: URL, e-posta adresi veya telefon numarası.

  • Kişi: URL'yi, e-posta adresini veya telefon numarasını belirtin. Bir kullanıcı BitLocker korumasından muafiyet istediğinde, uygulama yönergelerini içeren bir Windows iletişim kutusu görür. Configuration Manager girdiğiniz bilgileri doğrulamaz.

    • URL: Standart URL biçimini kullanın. https://website.domain.tld Windows URL'yi köprü olarak görüntüler.

    • Email adresi: Standart e-posta adresi biçimini kullanın. user@domain.tld Windows adresi şu köprü olarak görüntüler: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Telefon numarası: Kullanıcılarınızın aramasını istediğiniz numarayı belirtin. Windows, numarayı şu açıklamayla görüntüler: Please call <your number> for applying exemption.

Bu ayarı devre dışı bırakır veya yapılandırmazsanız, Windows kullanıcılara muafiyet isteği yönergelerini görüntülemez.

Not

BitLocker, bilgisayar başına değil kullanıcı başına muafiyetleri yönetir. Aynı bilgisayarda birden çok kullanıcı oturum açarsa ve herhangi bir kullanıcı muaf değilse, BitLocker bilgisayarı şifreler.

Windows PowerShell ile bu ilkeyi oluşturma hakkında daha fazla bilgi için bkz. New-CMBMSUserExemptionPolicy.

Önerilen yapılandırma: Etkin

Kullanıcılara Windows'ta Şirket Güvenlik İlkesi olarak görüntülenecek bir URL belirtin. Kullanıcılara şifreleme gereksinimleri hakkında bilgi sağlamak için bu bağlantıyı kullanın. BitLocker'ın kullanıcıdan bir sürücüyü şifrelemesini istemesi gösterilir.

Bu ayarı etkinleştirirseniz güvenlik ilkesi bağlantı URL'sini yapılandırın.

Bu ayarı devre dışı bırakır veya yapılandırmazsanız, BitLocker güvenlik ilkesi bağlantısını göstermez.

bu ilkeyi Windows PowerShell ile oluşturma hakkında daha fazla bilgi için bkz. New-CMMoreInfoUrlPolicy.

Sonraki adımlar

Bu ilke nesnelerini oluşturmak için Windows PowerShell kullanıyorsanız New-CMBlmSetting cmdlet'ini kullanın. Bu cmdlet, belirtilen tüm ilkeleri içeren bir BitLocker yönetim ilkesi ayarları nesnesi oluşturur. İlke ayarlarını bir koleksiyona dağıtmak için New-CMSettingDeployment cmdlet'ini kullanın.