BitLockeri konfiguratsioon
Üldised seaded |
||
Nõuab seadme krüpteerimist | Sõltuvalt Windowsi versioonist ja süsteemi konfiguratsioonist võidakse kasutajatelt küsida seadme krüpteerimise lubamist: – Kinnitada, et teise teenusepakkuja krüpteerimine ei ole lubatud. – BitLocker Drive Encryptioni väljalülitamine ja seejärel BitLockeri taaskäivitamine. |
|
Krüpteerimismeetodid |
||
Krüpteerimismeetod operatsioonisüsteemi draivide jaoks | ||
Fikseeritud andmekandjate krüpteerimismeetod | ||
Krüpteerimismeetod eemaldatavate andmekandjate jaoks | ||
Lülita hoiatus kolmanda osapoole ketta krüpteerimise kohta välja | Lülitage hoiatus hoiatus kolmanda osapoole ketta krüpteerimisteenuse kasutamise kohta seadmes välja. Alates Windows 10 versioonist 1803 on see seade toetatud ainult Azure Active Directoryga ühendatud seadmete puhul. |
|
Luba krüpteerimise käivitamine, kui sisse on logitud mitte-administraatori kasutaja | Toetatakse ainult Azure Active Directoryga ühendatud seadmeid |
|
AppTec360 laiendused |
||
Vaikne krüpteerimine | Kui see on valitud koos valikuga “Nõua seadme krüpteerimist”, rakendab AppTec360 juhtimisteenus seadme draivide automaatset vaikivat krüpteerimist. |
|
Automaatselt genereerida kasutaja volitused | Krüpteeritud operatsioonisüsteemi ketas on kaitstud automaatselt genereeritud kasutajatunnustega. Kas TPM PIN-kood, kui TPM on olemas, või 6-kohaline tekstiline parool. Genereeritud volitused saadetakse antud seadme jaoks registreeritud e-posti aadressile. Kui see valik on välja lülitatud, on ainus võimalik kaitse vaikiva krüpteerimise puhul TPM-i kasutamine. Sellisel juhul ei õnnestu TPM-ita seadmetel vaikne krüpteerimine. |
|
Fikseeritud draivide krüpteerimine | Kõik olemasolevad fikseeritud andmekettad krüpteeritakse samuti ja kaitstakse “Automaatse avamise” abil, kasutades operatsioonisüsteemi kettale salvestatud võtit. |
|
OS Drive seaded |
Nõuab täiendavat autentimist käivitamisel | Selle seadistusega saate määrata, kas BitLocker nõuab autentimist iga kord arvuti käivitamisel. Seda seadistust rakendatakse BitLockeri seadistamise ajal. Kui lubate selle seadistuse, saavad kasutajad BitLockeri seadistamisviisardis konfigureerida täiustatud käivitussätteid. |
|
BitLockeri blokeerimine ilma ühilduva TPM-ita |
||
Ainult TPM |
||
TPM ja PIN-kood |
||
TPM ja võti |
||
TPM, võti ja PIN-kood | Kui soovite nõuda PIN-koodi ja USB-mäluseadme (võtme) kasutamist, peab kasutaja BitLockeri seadistama käsurea tööriista “manage-bde” abil, mitte BitLocker Drive Encryption’i seadistusviisardiga. |
|
Nõuab minimaalset PIN-koodi pikkust |
|
Minimaalsed tähemärgid |
|
Käivituseelse taastamise sõnumi ja URL-i konfigureerimine | Konfigureerige kogu taastamise sõnum või asendage olemasolev URL, mis kuvatakse käivitamiseelse võtme taastamise ekraanil, kui operatsioonisüsteemi ketas on lukustatud. Märkus: Kõik tähemärgid ja keeled ei ole eelkäivituses toetatud. On tungivalt soovitatav testida, et kasutatavad tähemärgid ilmuksid õigesti taaskäivitamise eelsel ekraanil. |
|
Käivituseelse taastamise sõnumi valik |
||
Kohandatud taastamise sõnum |
||
Kohandatud taastamise URL |
||
OS draivi taastamise võimalused | See seade võimaldab teil kontrollida, kuidas BitLockeriga kaitstud operatsioonisüsteemi kettad taastatakse nõutavate volituste puudumisel. Seda seadistust rakendatakse BitLockeri seadistamise ajal. Vaikimisi on lubatud sertifikaadipõhine andmete taastamise agent, taastamisvõimalusi saab kasutaja määrata, sealhulgas taastamisparooli ja taastamisvõtme, ning taastamisandmeid ei varundata AD DS-i. |
|
Blokeeritud sertifikaadil põhinev andmete taastamise agent | Määrake, kas andmete taastamise agenti saab kasutada BitLockeriga kaitstud operatsioonisüsteemi ketaste puhul. Enne andmete taastamise agendi kasutamist tuleb see lisada kas grupipoliitika halduskonsooli või kohaliku grupipoliitika redaktori Public Key Policies (avalike võtmete poliitikad) punktist. Lisateavet andmete taastamise agentide lisamise kohta leiate Microsoft TechNet’i BitLocker Drive Encryption Deployment Guide (BitLocker Drive Encryption kasutuselevõtu juhend). |
|
BitLockeri taastamise parooli seaded |
||
BitLockeri taastamisvõtme seaded |
||
BitLockeri taastamise teabe salvestamine Active Directory domeeniteenustesse |
||
AD DS BitLocker taastamise salvestusruumi konfiguratsioon | Võtmepaketi salvestamine toetab andmete taastamist füüsiliselt rikutud kettalt. |
|
Nõuab taastamisandmete salvestamist AD DS-i | Takistada kasutajatel BitLockeri aktiveerimist, kui arvuti ei ole ühendatud domeeniga ja |
|
Fikseeritud draivi seaded |
||
Fikseeritud draivide taastamise võimalused | See seade võimaldab kontrollida, kuidas BitLockeriga kaitstud fikseeritud kettaid taastatakse nõutavate volituste puudumisel. Seda seadistust rakendatakse BitLockeri seadistamise ajal. Vaikimisi on lubatud sertifikaadipõhine andmete taastamise agent, taastamisvõimalusi saab kasutaja määrata, sealhulgas taastamisparooli ja taastamisvõtme, ning taastamisandmeid ei varundata AD DS-i. |
|
Blokeeritud sertifikaadil põhinev andmete taastamise agent |
||
BitLockeri taastamise parooli seaded |
||
BitLockeri taastamisvõtme seaded |
||
BitLockeri taastamise teabe salvestamine Active Directory domeeniteenustesse |
||
AD DS BitLocker taastamise salvestusruumi konfiguratsioon | Võtmepaketi salvestamine toetab andmete taastamist füüsiliselt rikutud kettalt. |
|
Nõuab taastamisandmete salvestamist AD DS-i | Keelake kasutajatel BitLockeri aktiveerimine, kui arvuti ei ole ühendatud domeeniga ja BitLockeri taastamisandmete varundamine AD DS-i ei õnnestu. Märkus: taastamise parool genereeritakse automaatselt. |
|
Keelata kirjutamisjuurdepääs kaitsmata püsikettadele |
||
Eemaldatava ketta seaded |
|
Keelata kirjutusjuurdepääs kaitsmata eemaldatavatele ketastele | Keelata kirjutusjuurdepääs eemaldatavatele andmeketastele, mis ei ole Bitlockeriga kaitstud. Märkus: Kui “Eemaldatavad kettad: keelata kirjutamisjuurdepääs” on grupipoliitikas lubatud, ignoreeritakse seda poliitika seadistust. |
Keelata kirjutamisjuurdepääs teises organisatsioonis konfigureeritud seadmetele | Kirjutamisõigust antakse ainult nendele draividele, mille identifitseerimisväljad vastavad arvuti identifitseerimisväljadele. Need väljad on määratletud grupipoliitika seadistusega “Provide the unique identifiers for your organization”. |