Конфигурация на BitLocker
Общи настройки |
||
Изискване за криптиране на устройството | Поискайте от потребителите да разрешат криптирането на устройството.В зависимост от изданието на Windows и системната конфигурация, потребителите може да бъдат помолени: – За да потвърдите, че криптирането от друг доставчик не е разрешено. – Изключване на функцията BitLocker Drive Encryption и повторно включване на функцията BitLocker. |
|
Методи за криптиране |
||
Метод за криптиране на дискове на операционната система | ||
Метод за криптиране на фиксирани дискове с данни | ||
Метод за криптиране на преносими дискове с данни | ||
Деактивиране на предупреждението за криптиране на дискове от трети страни | Деактивиране на предупредителния сигнал за услугата за криптиране на дискове на трета страна, която се използва на устройството. От версия 1803 на Windows 10 тази настройка се поддържа само за устройства, присъединени към Azure Active Directory. |
|
Разрешаване на стартирането на криптиране, докато потребител, който не е администратор, е влязъл в системата | Поддържа се само за устройства, присъединени към Azure Active Directory |
|
AppTec360 разширения |
||
Безшумно криптиране | Ако е избрано заедно с „Изискване за криптиране на устройствата“, услугата за управление на AppTec360 ще стартира автоматично безшумно криптиране на дисковете на устройствата. |
|
Автоматично генериране на потребителски пълномощия | Криптираният диск на операционната система ще бъде защитен с автоматично генерирани потребителски данни. Или TPM PIN код, когато е наличен TPM, или шестцифрена текстова парола. Генерираните идентификационни данни се изпращат на имейл адреса, регистриран за дадено устройство. Ако тази опция е изключена, единствената възможна защита за безшумно криптиране е използването на TPM. В този случай за устройства без TPM тихото криптиране ще се провали. |
|
Криптиране на фиксирани дискове | Всички налични фиксирани дискове с данни също ще бъдат криптирани и защитени с „Автоматично отключване“, като се използва ключ, съхранен на диска на операционната система. |
|
Настройки на диска на операционната система |
Изискване за допълнително удостоверяване при стартиране | Тази настройка ви позволява да конфигурирате дали BitLocker да изисква удостоверяване при всяко стартиране на компютъра. Тази настройка се прилага по време на настройката на BitLocker. Ако разрешите тази настройка, потребителите могат да конфигурират разширени опции за стартиране в съветника за настройка на BitLocker. |
|
Блокиране на BitLocker без съвместим TPM |
||
Само TPM |
||
TPM и PIN |
||
TPM и ключ |
||
TPM, ключ и PIN | Ако искате да изисквате използването на ПИН код и USB флаш устройство (ключ), потребителят трябва да конфигурира BitLocker, като използва инструмента за команден ред „manage-bde“ вместо съветника за конфигуриране на BitLocker Drive Encryption. |
|
Изискване за минимална дължина на ПИН кода |
|
Минимален брой символи |
|
Конфигуриране на съобщението и URL адреса за възстановяване преди зареждане | Конфигурирайте цялото съобщение за възстановяване или заменете съществуващия URL адрес, който се показва на екрана за възстановяване с ключ преди стартиране, когато устройството на операционната система е заключено. Забележка: Не всички знаци и езици се поддържат при предварително зареждане. Силно се препоръчва да проверите дали използваните от вас символи се появяват правилно на екрана за възстановяване преди стартиране на системата. |
|
Опция за съобщение за възстановяване преди стартиране на системата |
||
Потребителско съобщение за възстановяване |
||
Потребителски URL адрес за възстановяване |
||
Опции за възстановяване на дискове с операционна система | Тази настройка ви позволява да контролирате начина, по който се възстановяват защитени с BitLocker дискове на операционни системи при липса на необходимите пълномощия. Тази настройка се прилага по време на настройката на BitLocker. По подразбиране е разрешен агент за възстановяване на данни, базиран на сертификат, като опциите за възстановяване могат да бъдат зададени от потребителя, включително паролата за възстановяване и ключа за възстановяване, а информацията за възстановяване не се архивира в AD DS. |
|
Агент за възстановяване на данни, базиран на блок сертификат | Посочете дали агентът за възстановяване на данни може да се използва със защитени с BitLocker дискове на операционната система. Преди да може да се използва агент за възстановяване на данни, той трябва да бъде добавен от елемента Политики на публичния ключ в Конзолата за управление на групови политики или в редактора на локални групови политики. За повече информация относно добавянето на агенти за възстановяване на данни направете справка с Ръководството за внедряване на BitLocker Drive Encryption в Microsoft TechNet. |
|
Настройки на паролата за възстановяване на BitLocker |
||
Настройки на ключа за възстановяване на BitLocker |
||
Записване на информация за възстановяване на BitLocker в Active Directory Domain Services |
||
Конфигурация на хранилището за възстановяване на AD DS BitLocker | Съхраняването на пакета с ключове подпомага възстановяването на данни от диск, който е бил физически повреден. |
|
Изискване за съхранение на данни за възстановяване в AD DS | Предотвратяване на активирането на BitLocker от потребителите, освен ако компютърът не е свързан към домейна и |
|
Фиксирани настройки на задвижването |
||
Опции за възстановяване на фиксирани дискове | Тази настройка ви позволява да контролирате начина, по който защитените с BitLocker фиксирани дискове се възстановяват при липса на необходимите пълномощия. Тази настройка се прилага по време на настройката на BitLocker. По подразбиране е разрешен агент за възстановяване на данни, базиран на сертификат, като опциите за възстановяване могат да бъдат зададени от потребителя, включително паролата за възстановяване и ключа за възстановяване, а информацията за възстановяване не се архивира в AD DS. |
|
Агент за възстановяване на данни, базиран на блок сертификат |
||
Настройки на паролата за възстановяване на BitLocker |
||
Настройки на ключа за възстановяване на BitLocker |
||
Записване на информация за възстановяване на BitLocker в Active Directory Domain Services |
||
Конфигурация на хранилището за възстановяване на AD DS BitLocker | Съхраняването на пакета с ключове подпомага възстановяването на данни от диск, който е бил физически повреден. |
|
Изискване за съхранение на данни за възстановяване в AD DS | Предотвратете активирането на BitLocker от потребителите, освен ако компютърът не е свързан с домейна и архивирането на информацията за възстановяване на BitLocker в AD DS е успешно. Забележка: Паролата за възстановяване се генерира автоматично. |
|
Отказване на достъп за запис до незащитени фиксирани дискове |
||
Настройки на преносимо устройство |
|
Отказване на достъп за запис до незащитени сменяеми дискове | Отказване на достъп за запис до сменяеми дискове с данни, които не са защитени от Bitlocker. Забележка: Ако „Removable Disks: Deny write access“ е разрешена в груповата политика, тази настройка на политиката ще бъде пренебрегната. |
Отказване на достъп за запис до устройства, конфигурирани в друга организация | Само на дискове с идентификационни полета, които съвпадат с идентификационните полета на компютъра, ще бъде предоставен достъп за запис. Тези полета се определят от настройката на груповата политика „Предоставяне на уникални идентификатори за вашата организация“. |