Konfigurace nástroje BitLocker
Obecná nastavení |
||
Vyžadovat šifrování zařízení | V závislosti na edici systému Windows a konfiguraci systému mohou být uživatelé vyzváni k povolení šifrování zařízení: – Potvrzení, že šifrování od jiného poskytovatele není povoleno. – Vypnutí nástroje BitLocker Drive Encryption a jeho opětovné zapnutí. |
|
Metody šifrování |
||
Metoda šifrování jednotek operačního systému | ||
Metoda šifrování pevných datových jednotek | ||
Metoda šifrování vyměnitelných datových jednotek | ||
Zakázat upozornění na šifrování disku třetí stranou | Zakázat upozornění na službu šifrování disku třetí strany, která je v zařízení používána. Od verze 1803 systému Windows 10 je toto nastavení podporováno pouze pro zařízení připojená k Azure Active Directory. |
|
Povolit spuštění šifrování, když je přihlášen uživatel, který není správcem | Podporováno pouze pro zařízení připojená k Azure Active Directory |
|
Rozšíření AppTec360 |
||
Tiché šifrování | Pokud je vybrána možnost „Vyžadovat šifrování zařízení“, spustí služba AppTec360 Management Service automatické tiché šifrování disků zařízení. |
|
Automatické generování pověření uživatele | Zašifrovaná jednotka operačního systému bude chráněna automaticky vygenerovanými přihlašovacími údaji uživatele. Buď kód PIN čipu TPM, pokud je čip TPM k dispozici, nebo šestimístné textové heslo. Vygenerované pověření se odešle na e-mailovou adresu registrovanou pro dané zařízení. Pokud je tato možnost vypnutá, jedinou možnou ochranou pro tiché šifrování je použití čipu TPM. V takovém případě u zařízení bez čipu TPM tiché šifrování selže. |
|
Šifrování pevných disků | Všechny dostupné pevné datové jednotky budou rovněž zašifrovány a chráněny funkcí „Automatické odemykání“ pomocí klíče uloženého na jednotce operačního systému. |
|
Nastavení jednotky OS |
Vyžadování dalšího ověření při spuštění | Toto nastavení umožňuje nakonfigurovat, zda bude nástroj BitLocker vyžadovat ověření při každém spuštění počítače. Toto nastavení se použije při nastavení nástroje BitLocker. Pokud toto nastavení povolíte, mohou uživatelé v průvodci nastavením nástroje BitLocker konfigurovat pokročilé možnosti spouštění. |
|
Blokování nástroje BitLocker bez kompatibilního čipu TPM |
||
Pouze TPM |
||
TPM a PIN |
||
TPM a klíč |
||
TPM, klíč a PIN | Pokud chcete vyžadovat použití kódu PIN a jednotky USB flash (klíče), musí uživatel nastavit nástroj BitLocker pomocí nástroje příkazového řádku „manage-bde“ namísto průvodce nastavením nástroje BitLocker Drive Encryption. |
|
Požadavek na minimální délku kódu PIN |
|
Minimální počet znaků |
|
Konfigurace zprávy a adresy URL pro obnovení před spuštěním systému | Nakonfigurujte celou zprávu pro obnovení nebo nahraďte stávající adresu URL, která se zobrazuje na obrazovce pro obnovení před spuštěním systému, když je jednotka OS uzamčena. Poznámka: Ne všechny znaky a jazyky jsou podporovány v režimu před spuštěním systému. Důrazně doporučujeme vyzkoušet, zda se znaky, které používáte, zobrazují na obrazovce obnovení před spuštěním správně. |
|
Možnost zprávy před spuštěním systému obnovení |
||
Vlastní zpráva o obnovení |
||
Vlastní adresa URL pro obnovení |
||
Možnosti obnovy jednotky OS | Toto nastavení umožňuje řídit způsob obnovení jednotek operačního systému chráněných nástrojem BitLocker v případě, že nejsou k dispozici požadované pověření. Toto nastavení se použije při nastavení nástroje BitLocker. Ve výchozím nastavení je povolen agent pro obnovení dat založený na certifikátu, možnosti obnovení může určit uživatel, včetně hesla pro obnovení a klíče pro obnovení, a informace o obnovení nejsou zálohovány do služby AD DS. |
|
Agent pro obnovu dat založený na blokovém certifikátu | Určete, zda lze agent pro obnovu dat použít s jednotkami operačního systému chráněnými nástrojem BitLocker. Před použitím agenta pro obnovení dat je třeba jej přidat z položky Zásady veřejných klíčů v Konzole pro správu zásad skupiny nebo v Editoru místních zásad skupiny. Další informace o přidávání agentů pro obnovení dat naleznete v příručce BitLocker Drive Encryption Deployment Guide na webu Microsoft TechNet. |
|
Nastavení hesla pro obnovení nástroje BitLocker |
||
Nastavení klíče pro obnovení nástroje BitLocker |
||
Uložení informací o obnovení nástroje BitLocker do služby Active Directory Domain Services |
||
Konfigurace úložiště pro obnovení nástroje AD DS BitLocker | Uložení balíčku klíčů podporuje obnovu dat z jednotky, která byla fyzicky poškozena. |
|
Požadavek na ukládání dat pro obnovení do služby AD DS | Zabránit uživatelům zapnout nástroj BitLocker, pokud počítač není připojen k doméně a |
|
Pevné nastavení pohonu |
||
Možnosti obnovy pevných disků | Toto nastavení umožňuje řídit způsob obnovení pevných disků chráněných nástrojem BitLocker v případě, že nejsou k dispozici požadované pověření. Toto nastavení se použije při nastavení nástroje BitLocker. Ve výchozím nastavení je povolen agent pro obnovení dat založený na certifikátu, možnosti obnovení může určit uživatel, včetně hesla pro obnovení a klíče pro obnovení, a informace o obnovení nejsou zálohovány do služby AD DS. |
|
Agent pro obnovu dat založený na blokovém certifikátu |
||
Nastavení hesla pro obnovení nástroje BitLocker |
||
Nastavení klíče pro obnovení nástroje BitLocker |
||
Uložení informací o obnovení nástroje BitLocker do služby Active Directory Domain Services |
||
Konfigurace úložiště pro obnovení nástroje AD DS BitLocker | Uložení balíčku klíčů podporuje obnovu dat z jednotky, která byla fyzicky poškozena. |
|
Požadavek na ukládání dat pro obnovení do služby AD DS | Zabránit uživatelům v povolení nástroje BitLocker, pokud počítač není připojen k doméně a pokud se nepodaří zálohovat informace o obnovení nástroje BitLocker do služby AD DS. Poznámka: Heslo pro obnovení se generuje automaticky. |
|
Odepření přístupu k zápisu na nechráněné pevné jednotky |
||
Nastavení vyměnitelné jednotky |
|
Odepření přístupu k zápisu na nechráněné vyměnitelné jednotky | Odepření přístupu k vyměnitelným datovým jednotkám, které nejsou chráněny nástrojem Bitlocker. Poznámka: Pokud „Vyměnitelné disky: Odepřít přístup k zápisu“ je v zásadách skupiny povoleno, bude toto nastavení zásad ignorováno. |
Odepření přístupu k zápisu do zařízení nakonfigurovaných v jiné organizaci | Přístup k zápisu bude umožněn pouze jednotkám s identifikačními poli shodnými s identifikačními poli počítače. Tato pole jsou definována nastavením zásad skupiny „Poskytnout jedinečné identifikátory pro vaši organizaci“. |