Konfigurasi BitLocker
Pengaturan Umum |
||
Memerlukan enkripsi perangkat | Meminta pengguna untuk mengaktifkan enkripsi perangkat Tergantung pada edisi Windows dan konfigurasi sistem, pengguna mungkin akan ditanya: – Untuk mengonfirmasi bahwa enkripsi dari penyedia lain tidak diaktifkan. – Untuk mematikan Enkripsi Drive BitLocker, lalu nyalakan kembali BitLocker. |
|
Metode enkripsi |
||
Metode enkripsi untuk drive sistem operasi | ||
Metode enkripsi untuk drive data tetap | ||
Metode enkripsi untuk drive data yang dapat dilepas | ||
Menonaktifkan peringatan tentang enkripsi disk pihak ketiga | Nonaktifkan prompt peringatan tentang layanan enkripsi disk pihak ketiga yang digunakan pada perangkat. Mulai Windows 10, versi 1803, pengaturan ini hanya didukung untuk perangkat yang bergabung dengan Azure Active Directory. |
|
Izinkan menjalankan enkripsi saat pengguna non-administrator masuk | Hanya didukung untuk perangkat yang bergabung dengan Azure Active Directory |
|
Ekstensi AppTec360 |
||
Enkripsi senyap | Jika dipilih bersama dengan “Require device encryption” (Memerlukan enkripsi perangkat), Layanan Manajemen AppTec360 akan menjalankan enkripsi senyap otomatis pada drive perangkat. |
|
Secara otomatis menghasilkan kredensial pengguna | Drive OS yang dienkripsi akan dilindungi dengan kredensial pengguna yang dibuat secara otomatis. Baik PIN TPM, jika tersedia TPM atau kata sandi tekstual 6 digit. Kredensial yang dihasilkan akan dikirim ke alamat email yang terdaftar untuk perangkat tertentu. Jika opsi ini dimatikan, satu-satunya perlindungan yang memungkinkan untuk enkripsi senyap adalah menggunakan TPM. Dalam hal ini, untuk perangkat tanpa TPM, enkripsi senyap akan gagal. |
|
Mengenkripsi drive tetap | Drive data tetap yang tersedia juga akan dienkripsi dan dilindungi dengan “Buka Kunci Otomatis” menggunakan kunci yang tersimpan pada drive OS. |
|
Pengaturan Drive OS |
Memerlukan autentikasi tambahan saat memulai | Pengaturan ini memungkinkan Anda untuk mengonfigurasi apakah BitLocker memerlukan autentikasi setiap kali komputer dinyalakan. Pengaturan ini diterapkan selama penyiapan BitLocker. Jika Anda mengaktifkan pengaturan ini, pengguna dapat mengonfigurasi opsi pengaktifan lanjutan di wizard penyiapan BitLocker. |
|
Blokir BitLocker tanpa TPM yang kompatibel |
||
Hanya TPM |
||
TPM dan PIN |
||
TPM dan kunci |
||
TPM, kunci dan PIN | Jika Anda ingin mewajibkan penggunaan PIN dan USB flash drive (kunci), pengguna harus menyiapkan BitLocker menggunakan alat baris perintah “manage-bde” dan bukannya wizard penyiapan Enkripsi Drive BitLocker. |
|
Memerlukan panjang PIN minimum |
|
Karakter minimum |
|
Mengonfigurasi pesan dan URL pemulihan pra-boot | Konfigurasikan seluruh pesan pemulihan atau ganti URL yang ada yang ditampilkan pada layar pemulihan tombol pra-boot saat drive OS terkunci. Catatan: Tidak semua karakter dan bahasa didukung dalam pra-boot. Sangat disarankan agar Anda menguji apakah karakter yang Anda gunakan muncul dengan benar pada layar pemulihan pra-boot. |
|
Opsi pesan pemulihan pra-boot |
||
Pesan pemulihan khusus |
||
URL pemulihan khusus |
||
Opsi pemulihan drive OS | Pengaturan ini memungkinkan Anda untuk mengontrol bagaimana drive sistem operasi yang dilindungi BitLocker dipulihkan tanpa adanya kredensial yang diperlukan. Pengaturan ini diterapkan selama penyiapan BitLocker. Secara default, agen pemulihan data berbasis sertifikat diizinkan, opsi pemulihan dapat ditentukan oleh pengguna termasuk kata sandi pemulihan dan kunci pemulihan dan informasi pemulihan tidak dicadangkan ke AD DS. |
|
Agen pemulihan data berbasis Sertifikat Blokir | Tentukan apakah agen pemulihan data dapat digunakan dengan drive sistem operasi yang dilindungi BitLocker. Sebelum agen pemulihan data dapat digunakan, agen tersebut harus ditambahkan dari item Kebijakan Kunci Publik di Konsol Manajemen Kebijakan Grup atau Editor Kebijakan Grup Lokal. Baca Panduan Penerapan Enkripsi Drive BitLocker di Microsoft TechNet untuk informasi lebih lanjut tentang cara menambahkan agen pemulihan data. |
|
Pengaturan kata sandi pemulihan BitLocker |
||
Pengaturan kunci pemulihan BitLocker |
||
Menyimpan informasi pemulihan BitLocker ke Layanan Domain Direktori Aktif |
||
Konfigurasi penyimpanan pemulihan AD DS BitLocker | Menyimpan paket kunci mendukung pemulihan data dari drive yang telah rusak secara fisik. |
|
Memerlukan penyimpanan data pemulihan ke AD DS | Mencegah pengguna mengaktifkan BitLocker kecuali jika komputer terhubung ke domain dan |
|
Pengaturan Drive Tetap |
||
Opsi pemulihan drive tetap | Pengaturan ini memungkinkan Anda untuk mengontrol bagaimana drive tetap yang dilindungi BitLocker dipulihkan tanpa adanya kredensial yang diperlukan. Pengaturan ini diterapkan selama penyiapan BitLocker. Secara default, agen pemulihan data berbasis sertifikat diizinkan, opsi pemulihan dapat ditentukan oleh pengguna termasuk kata sandi pemulihan dan kunci pemulihan dan informasi pemulihan tidak dicadangkan ke AD DS. |
|
Agen pemulihan data berbasis Sertifikat Blokir |
||
Pengaturan kata sandi pemulihan BitLocker |
||
Pengaturan kunci pemulihan BitLocker |
||
Menyimpan informasi pemulihan BitLocker ke Layanan Domain Direktori Aktif |
||
Konfigurasi penyimpanan pemulihan AD DS BitLocker | Menyimpan paket kunci mendukung pemulihan data dari drive yang telah rusak secara fisik. |
|
Memerlukan penyimpanan data pemulihan ke AD DS | Mencegah pengguna mengaktifkan BitLocker kecuali jika komputer terhubung ke domain dan cadangan informasi pemulihan BitLocker ke AD DS berhasil. Catatan: Kata sandi pemulihan dibuat secara otomatis. |
|
Menolak akses tulis ke drive tetap yang tidak dilindungi |
||
Pengaturan Drive yang Dapat Dilepas |
|
Menolak akses tulis ke drive lepasan yang tidak dilindungi | Menolak akses tulis ke drive data yang dapat dilepas yang tidak dilindungi oleh Bitlocker. Catatan: Jika “Disk yang dapat dilepas: Tolak akses tulis” diaktifkan dalam kebijakan grup, pengaturan kebijakan ini akan diabaikan. |
Menolak akses tulis ke perangkat yang dikonfigurasi di organisasi lain | Hanya drive dengan bidang identifikasi yang sesuai dengan bidang identifikasi komputer yang akan diberikan akses tulis. Bidang-bidang ini ditentukan oleh pengaturan kebijakan grup “Berikan pengidentifikasi unik untuk organisasi Anda”. |