BitLockerin konfigurointi
Yleiset asetukset |
||
Vaadi laitteen salaus | Pyydä käyttäjiä ottamaan laitteen salaus käyttöön.Windows-versiosta ja järjestelmän kokoonpanosta riippuen käyttäjiä voidaan pyytää: – Voit varmistaa, että toisen palveluntarjoajan salaus ei ole käytössä. – BitLocker Drive Encryptionin poistaminen käytöstä ja sen jälkeen BitLockerin ottaminen uudelleen käyttöön. |
|
Salausmenetelmät |
||
Käyttöjärjestelmän asemien salausmenetelmä | ||
Kiinteiden levyasemien salausmenetelmä | ||
Salausmenetelmä siirrettäviä tietolevyjä varten | ||
Kolmannen osapuolen levyn salauksesta varoituksen poistaminen käytöstä | Poista varoituskehote pois käytöstä laitteessa käytössä olevasta kolmannen osapuolen levynsalauspalvelusta. Windows 10:n versiosta 1803 alkaen tätä asetusta tuetaan vain Azure Active Directoryyn liitetyille laitteille. |
|
Salli salauksen suorittaminen, kun muu kuin järjestelmänvalvojan käyttäjä on kirjautuneena sisään. | Tuettu vain Azure Active Directoryyn liitetyille laitteille |
|
AppTec360-laajennukset |
||
Hiljainen salaus | Jos tämä valitaan yhdessä ”Vaadi laitteen salaus” -vaihtoehdon kanssa, AppTec360-hallintapalvelu suorittaa laitteen asemien automaattisen äänettömän salauksen. |
|
Luo automaattisesti käyttäjätunnukset | Salattu käyttöjärjestelmäasema suojataan automaattisesti luoduilla käyttäjätunnuksilla. Joko TPM PIN-koodi, jos TPM on käytettävissä, tai 6-numeroinen tekstimuotoinen salasana. Luodut tunnistetiedot lähetetään kyseiselle laitteelle rekisteröityyn sähköpostiosoitteeseen. Jos tämä vaihtoehto on pois käytöstä, ainoa mahdollinen suojaus äänetöntä salausta varten on TPM:n käyttö. Tällöin hiljainen salaus ei onnistu laitteissa, joissa ei ole TPM-moduulia. |
|
Kiinteiden asemien salaus | Kaikki käytettävissä olevat kiinteät tietolevyasemat salataan ja suojataan automaattisella lukituksen avauksella käyttöjärjestelmäasemalle tallennetun avaimen avulla. |
|
Käyttöjärjestelmän aseman asetukset |
Vaadi lisätodennus käynnistyksen yhteydessä | Tämän asetuksen avulla voit määrittää, vaatiiko BitLocker todennuksen aina, kun tietokone käynnistetään. Tätä asetusta käytetään BitLockerin asennuksen aikana. Jos otat tämän asetuksen käyttöön, käyttäjät voivat määrittää BitLockerin ohjatussa asennusohjelmassa edistyneet käynnistysasetukset. |
|
BitLockerin estäminen ilman yhteensopivaa TPM:ää |
||
Vain TPM |
||
TPM ja PIN-koodi |
||
TPM ja avain |
||
TPM, avain ja PIN-koodi | Jos haluat vaatia PIN-koodin ja USB-muistitikun (avaimen) käyttöä, käyttäjän on asennettava BitLocker käyttämällä komentorivityökalua ”manage-bde” ohjatun BitLocker Drive Encryption -asennusohjelman sijasta. |
|
Vaadi PIN-koodin vähimmäispituus |
|
Vähimmäismerkit |
|
Käynnistystä edeltävän palautusviestin ja URL-osoitteen määrittäminen | Määritä koko palautusviesti tai korvaa olemassa oleva URL-osoite, joka näytetään käynnistystä edeltävässä avaimen palautusnäytössä, kun käyttöjärjestelmän asema on lukittu. Huomautus: Kaikki merkit ja kielet eivät ole tuettuja esikäynnistyksessä. On erittäin suositeltavaa testata, että käyttämäsi merkit näkyvät oikein esikäynnistyksen palautusnäytössä. |
|
Käynnistystä edeltävän palautusviestin valinta |
||
Mukautettu palautusviesti |
||
Mukautettu palautuksen URL-osoite |
||
Käyttöjärjestelmän aseman palautusvaihtoehdot | Tämän asetuksen avulla voit hallita sitä, miten BitLocker-suojatut käyttöjärjestelmän asemat palautetaan, jos vaadittuja tunnistetietoja ei ole. Tätä asetusta käytetään BitLockerin asennuksen aikana. Oletusarvoisesti sallitaan sertifikaattipohjainen tietojen palautusagentti, käyttäjä voi määrittää palautusvaihtoehdot, mukaan lukien palautussalasana ja palautusavain, eikä palautustietoja varmuuskopioida AD DS:ään. |
|
Lohko-varmenteeseen perustuva tietojen palautusagentti | Määritä, voidaanko tietojen palautusagenttia käyttää BitLocker-suojattujen käyttöjärjestelmäasemien kanssa. Ennen kuin tietojen palautusagenttia voidaan käyttää, se on lisättävä joko ryhmäkäytäntöjen hallintakonsolin tai paikallisen ryhmäkäytäntöeditorin Julkiset avainkäytännöt-kohdasta. Lisätietoja tietojen palautusagenttien lisäämisestä on Microsoft TechNetin BitLocker Drive Encryption Deployment Guide -oppaassa. |
|
BitLockerin palautussalasanan asetukset |
||
BitLockerin palautusavaimen asetukset |
||
Tallenna BitLockerin palautustiedot Active Directory -toimialuepalveluihin. |
||
AD DS BitLocker -palautustallennuksen tallennuskonfiguraatio | Avainpaketin tallentaminen tukee tietojen palauttamista fyysisesti vioittuneesta asemasta. |
|
Vaaditaan palautustietojen tallentaminen AD DS:ään | Estä käyttäjiä ottamasta BitLockeria käyttöön, ellei tietokonetta ole liitetty toimialueeseen, ja |
|
Kiinteät aseman asetukset |
||
Kiinteät asemat palautusvaihtoehdot | Tämän asetuksen avulla voit hallita sitä, miten BitLocker-suojatut kiinteät asemat palautetaan, jos vaadittuja tunnistetietoja ei ole. Tätä asetusta käytetään BitLockerin asennuksen aikana. Oletusarvoisesti sallitaan sertifikaattipohjainen tietojen palautusagentti, käyttäjä voi määrittää palautusvaihtoehdot, mukaan lukien palautussalasana ja palautusavain, eikä palautustietoja varmuuskopioida AD DS:ään. |
|
Lohko-varmenteeseen perustuva tietojen palautusagentti |
||
BitLockerin palautussalasanan asetukset |
||
BitLockerin palautusavaimen asetukset |
||
Tallenna BitLockerin palautustiedot Active Directory -toimialuepalveluihin. |
||
AD DS BitLocker -palautustallennuksen tallennuskonfiguraatio | Avainpaketin tallentaminen tukee tietojen palauttamista fyysisesti vioittuneesta asemasta. |
|
Vaaditaan palautustietojen tallentaminen AD DS:ään | Estä käyttäjiä ottamasta BitLockeria käyttöön, ellei tietokone ole liitetty toimialueeseen ja ellei BitLockerin palautustietojen varmuuskopiointi AD DS:ään onnistu. Huomautus: Palautussalasana luodaan automaattisesti. |
|
Suojaamattomien kiinteiden asemien kirjoitusoikeuden epääminen |
||
Irrotettavan aseman asetukset |
|
Suojaamattomien siirrettävien asemien kirjoitusoikeuden epääminen | Kiellä kirjoitusoikeudet siirrettäviin levyasemiin, joita ei ole suojattu Bitlockerilla. Huomautus: Jos ”Irrotettavat levyt: Deny write access” (Kiellä kirjoitusoikeus) on käytössä ryhmäkäytännössä, tämä käytäntöasetus jätetään huomiotta. |
Kielletään kirjoitusoikeus toisessa organisaatiossa määritetyille laitteille. | Kirjoitusoikeus annetaan vain asemille, joiden tunnistekentät vastaavat tietokoneen tunnistekenttiä. Nämä kentät määritellään ryhmäkäytäntöasetuksella ”Provide the unique identifiers for your organization”. |