BitLocker-konfiguration
Generelle indstillinger |
||
Kræv kryptering af enheder | Spørg brugerne, om de vil aktivere enhedskryptering Afhængigt af Windows-udgaven og systemkonfigurationen kan brugerne blive spurgt: – For at bekræfte, at kryptering fra en anden udbyder ikke er aktiveret. – For at slå BitLocker Drive Encryption fra og derefter slå BitLocker til igen. |
|
Krypteringsmetoder |
||
Krypteringsmetode til operativsystemdrev | ||
Krypteringsmetode til faste datadrev | ||
Krypteringsmetode til flytbare datadrev | ||
Slå advarsel om tredjeparts diskkryptering fra | Deaktiver advarslen om en tredjeparts diskkrypteringstjeneste, der bruges på enheden. Fra og med Windows 10, version 1803, understøttes denne indstilling kun for Azure Active Directory-tilsluttede enheder. |
|
Tillad at køre kryptering, mens en ikke-administratorbruger er logget ind | Understøttes kun for Azure Active Directory-tilsluttede enheder |
|
AppTec360-udvidelser |
||
Lydløs kryptering | Hvis det vælges sammen med “Kræv enhedskryptering”, vil AppTec360 Management Service køre automatisk lydløs kryptering af enhedens drev. |
|
Generer automatisk brugeroplysninger | Det krypterede OS-drev bliver beskyttet med automatisk genererede brugeroplysninger. Enten en TPM-pinkode, når en TPM er tilgængelig, eller en 6-cifret tekstadgangskode. De genererede legitimationsoplysninger sendes til den e-mailadresse, der er registreret for den givne enhed. Hvis denne indstilling er slået fra, er den eneste mulige beskyttelse af lydløs kryptering at bruge TPM. I så fald vil lydløs kryptering mislykkes for enheder uden TPM. |
|
Krypter faste drev | Alle tilgængelige faste datadrev bliver også krypteret og beskyttet med “automatisk oplåsning” ved hjælp af en nøgle, der er gemt på OS-drevet. |
|
Indstillinger for OS-drev |
Kræv yderligere godkendelse ved opstart | Denne indstilling giver dig mulighed for at konfigurere, om BitLocker kræver en godkendelse, hver gang computeren starter. Denne indstilling anvendes under opsætningen af BitLocker. Hvis du aktiverer denne indstilling, kan brugerne konfigurere avancerede opstartsindstillinger i BitLocker-opsætningsguiden. |
|
Bloker BitLocker uden en kompatibel TPM |
||
Kun TPM |
||
TPM og PIN-kode |
||
TPM og nøgle |
||
TPM, nøgle og PIN-kode | Hvis du vil kræve brug af en pinkode og et USB-flashdrev (nøgle), skal brugeren konfigurere BitLocker ved hjælp af kommandolinjeværktøjet “manage-bde” i stedet for installationsguiden til BitLocker Drive Encryption. |
|
Kræver minimum PIN-længde |
|
Minimum tegn |
|
Konfigurer pre-boot recovery-meddelelse og URL | Konfigurer hele gendannelsesmeddelelsen, eller erstat den eksisterende URL, der vises på gendannelsesskærmen før startnøglen, når OS-drevet er låst. Bemærk: Ikke alle tegn og sprog understøttes i pre-boot. Det anbefales på det kraftigste, at du tester, at de tegn, du bruger, vises korrekt på pre-boot recovery-skærmen. |
|
Mulighed for besked før opstart af gendannelse |
||
Brugerdefineret genoprettelsesmeddelelse |
||
Brugerdefineret URL til gendannelse |
||
Muligheder for gendannelse af OS-drev | Denne indstilling giver dig mulighed for at styre, hvordan BitLocker-beskyttede operativsystemdrev gendannes, hvis du ikke har de nødvendige legitimationsoplysninger. Denne indstilling anvendes under opsætningen af BitLocker. Som standard er en certifikatbaseret datagendannelsesagent tilladt, gendannelsesmulighederne kan specificeres af brugeren, herunder gendannelsesadgangskode og gendannelsesnøgle, og gendannelsesoplysningerne sikkerhedskopieres ikke til AD DS. |
|
Blokcertifikat-baseret datagendannelsesagent | Angiv, om en datagendannelsesagent kan bruges med BitLocker-beskyttede operativsystemdrev. Før en datagendannelsesagent kan bruges, skal den tilføjes fra Public Key Policies-elementet i enten Group Policy Management Console eller Local Group Policy Editor. Se BitLocker Drive Encryption Deployment Guide på Microsoft TechNet for at få flere oplysninger om tilføjelse af datagendannelsesagenter. |
|
Indstillinger for BitLocker-genoprettelsesadgangskode |
||
Indstillinger for BitLocker-genoprettelsesnøgle |
||
Gem oplysninger om BitLocker-gendannelse i Active Directory Domain Services |
||
Konfiguration af AD DS BitLocker-gendannelseslager | Opbevaring af nøglepakken understøtter gendannelse af data fra et drev, der er blevet fysisk beskadiget. |
|
Kræv lagring af gendannelsesdata i AD DS | Forhindrer brugere i at aktivere BitLocker, medmindre computeren er forbundet til domænet og |
|
Faste drevindstillinger |
||
Muligheder for gendannelse af faste drev | Denne indstilling giver dig mulighed for at styre, hvordan BitLocker-beskyttede faste drev gendannes, hvis du ikke har de nødvendige legitimationsoplysninger. Denne indstilling anvendes under opsætningen af BitLocker. Som standard er en certifikatbaseret datagendannelsesagent tilladt, gendannelsesmulighederne kan specificeres af brugeren, herunder gendannelsesadgangskode og gendannelsesnøgle, og gendannelsesoplysningerne sikkerhedskopieres ikke til AD DS. |
|
Blokcertifikat-baseret datagendannelsesagent |
||
Indstillinger for BitLocker-genoprettelsesadgangskode |
||
Indstillinger for BitLocker-genoprettelsesnøgle |
||
Gem oplysninger om BitLocker-gendannelse i Active Directory Domain Services |
||
Konfiguration af AD DS BitLocker-gendannelseslager | Opbevaring af nøglepakken understøtter gendannelse af data fra et drev, der er blevet fysisk beskadiget. |
|
Kræv lagring af gendannelsesdata i AD DS | Forhindr brugere i at aktivere BitLocker, medmindre computeren er forbundet til domænet, og sikkerhedskopieringen af BitLocker-gendannelsesoplysninger til AD DS lykkes. Bemærk: Adgangskoden til gendannelse genereres automatisk. |
|
Nægt skriveadgang til ubeskyttede faste drev |
||
Indstillinger for flytbare drev |
|
Nægt skriveadgang til ubeskyttede flytbare drev | Nægt skriveadgang til flytbare datadrev, som ikke er beskyttet af Bitlocker. Bemærk: Hvis “Flytbare diske: Nægt skriveadgang” er aktiveret i gruppepolitikken, vil denne politikindstilling blive ignoreret. |
Nægt skriveadgang til enheder, der er konfigureret i en anden organisation | Kun drev med identifikationsfelter, der matcher computerens identifikationsfelter, får skriveadgang. Disse felter er defineret af gruppepolitikindstillingen “Angiv de unikke identifikatorer for din organisation”. |