BitLocker-konfigurasjon
Generelle innstillinger |
||
Krev kryptering av enheten | Avhengig av Windows-utgaven og systemkonfigurasjonen kan brukerne bli bedt om å aktivere enhetskryptering: – For å bekrefte at kryptering fra en annen leverandør ikke er aktivert. – Slik slår du av BitLocker Drive Encryption og deretter på BitLocker igjen. |
|
Krypteringsmetoder |
||
Krypteringsmetode for operativsystemstasjoner | ||
Krypteringsmetode for faste datastasjoner | ||
Krypteringsmetode for flyttbare dataenheter | ||
Deaktiver advarsel om tredjeparts diskkryptering | Deaktiver advarselen om at en tredjeparts diskkrypteringstjeneste brukes på enheten. Fra og med Windows 10, versjon 1803, støttes denne innstillingen bare for enheter som er koblet til Azure Active Directory. |
|
Tillat kjøring av kryptering mens en ikke-administratorbruker er logget inn | Støttes kun for enheter som er tilknyttet Azure Active Directory |
|
AppTec360-utvidelser |
||
Lydløs kryptering | Hvis dette velges sammen med «Krev enhetskryptering», vil AppTec360 Management Service kjøre automatisk lydløs kryptering av enhetens stasjoner. |
|
Automatisk generering av brukerlegitimasjon | Den krypterte OS-stasjonen blir beskyttet med automatisk generert brukerlegitimasjon. Enten en TPM-PIN-kode, når en TPM er tilgjengelig, eller et sekssifret tekstpassord. Den genererte legitimasjonen sendes til e-postadressen som er registrert for den gitte enheten. Hvis dette alternativet er slått av, er den eneste mulige beskyttelsen for stille kryptering å bruke TPM. I så fall vil stille kryptering mislykkes for enheter uten TPM. |
|
Krypter faste stasjoner | Alle tilgjengelige faste datastasjoner blir også kryptert og beskyttet med «Automatic Unlock» ved hjelp av en nøkkel som er lagret på OS-stasjonen. |
|
Innstillinger for OS-stasjon |
Krev ekstra autentisering ved oppstart | Med denne innstillingen kan du konfigurere om BitLocker skal kreve autentisering hver gang datamaskinen starter. Denne innstillingen brukes under oppsettet av BitLocker. Hvis du aktiverer denne innstillingen, kan brukerne konfigurere avanserte oppstartsalternativer i konfigurasjonsveiviseren for BitLocker. |
|
Blokker BitLocker uten en kompatibel TPM |
||
Kun TPM |
||
TPM og PIN-kode |
||
TPM og nøkkel |
||
TPM, nøkkel og PIN-kode | Hvis du ønsker å kreve bruk av en PIN-kode og en USB-minnepinne (nøkkel), må brukeren konfigurere BitLocker ved hjelp av kommandolinjeverktøyet «manage-bde» i stedet for installasjonsveiviseren for BitLocker Drive Encryption. |
|
Krev minimum PIN-lengde |
|
Minimum tegn |
|
Konfigurer melding og URL for gjenoppretting før oppstart | Konfigurer hele gjenopprettingsmeldingen eller erstatt den eksisterende URL-adressen som vises på gjenopprettingsskjermen før oppstart når OS-stasjonen er låst. Merk: Ikke alle tegn og språk støttes i pre-boot. Det anbefales på det sterkeste at du tester at tegnene du bruker, vises riktig på gjenopprettingsskjermen før oppstart. |
|
Alternativ for gjenopprettingsmelding før oppstart |
||
Tilpasset gjenopprettingsmelding |
||
Tilpasset URL for gjenoppretting |
||
Alternativer for gjenoppretting av OS-stasjoner | Med denne innstillingen kan du kontrollere hvordan BitLocker-beskyttede operativsystemstasjoner gjenopprettes hvis du ikke har den nødvendige legitimasjonen. Denne innstillingen brukes under oppsettet av BitLocker. Som standard er en sertifikatbasert datagjenopprettingsagent tillatt, gjenopprettingsalternativene kan spesifiseres av brukeren, inkludert gjenopprettingspassord og gjenopprettingsnøkkel, og gjenopprettingsinformasjon sikkerhetskopieres ikke til AD DS. |
|
Block Certificate-basert datagjenopprettingsagent | Angi om et datagjenopprettingsverktøy kan brukes med BitLocker-beskyttede operativsystemstasjoner. Før en datagjenopprettingsagent kan brukes, må den legges til fra elementet Offentlige nøkkelpolicyer i enten konsollen for gruppepolicybehandling eller i redigeringsprogrammet for lokal gruppepolicy. Se BitLocker Drive Encryption Deployment Guide på Microsoft TechNet for mer informasjon om hvordan du legger til datagjenopprettingsagenter. |
|
Innstillinger for BitLocker-gjenopprettingspassord |
||
Innstillinger for BitLocker-gjenopprettingsnøkkel |
||
Lagre informasjon om BitLocker-gjenoppretting i Active Directory Domain Services |
||
AD DS BitLocker-konfigurasjon for gjenopprettingslagring | Lagring av nøkkelpakken støtter gjenoppretting av data fra en stasjon som har blitt fysisk ødelagt. |
|
Krev lagring av gjenopprettingsdata i AD DS | Hindre brukere i å aktivere BitLocker med mindre datamaskinen er koblet til domenet og |
|
Faste stasjonsinnstillinger |
||
Alternativer for gjenoppretting av faste stasjoner | Med denne innstillingen kan du kontrollere hvordan BitLocker-beskyttede faste stasjoner gjenopprettes hvis du ikke har den nødvendige legitimasjonen. Denne innstillingen brukes under oppsettet av BitLocker. Som standard er en sertifikatbasert datagjenopprettingsagent tillatt, gjenopprettingsalternativene kan spesifiseres av brukeren, inkludert gjenopprettingspassord og gjenopprettingsnøkkel, og gjenopprettingsinformasjon sikkerhetskopieres ikke til AD DS. |
|
Block Certificate-basert datagjenopprettingsagent |
||
Innstillinger for BitLocker-gjenopprettingspassord |
||
Innstillinger for BitLocker-gjenopprettingsnøkkel |
||
Lagre informasjon om BitLocker-gjenoppretting i Active Directory Domain Services |
||
AD DS BitLocker-konfigurasjon for gjenopprettingslagring | Lagring av nøkkelpakken støtter gjenoppretting av data fra en stasjon som har blitt fysisk ødelagt. |
|
Krev lagring av gjenopprettingsdata i AD DS | Hindre brukere i å aktivere BitLocker med mindre datamaskinen er koblet til domenet og sikkerhetskopieringen av BitLocker-gjenopprettingsinformasjon til AD DS er vellykket. Merk: Gjenopprettingspassordet genereres automatisk. |
|
Nekter skrivetilgang til ubeskyttede faste stasjoner |
||
Innstillinger for flyttbare stasjoner |
|
Nekter skrivetilgang til ubeskyttede flyttbare stasjoner | Nekter skrivetilgang til flyttbare datastasjoner som ikke er beskyttet av Bitlocker. Merk: Hvis «Flyttbare disker: Nekt skrivetilgang» er aktivert i gruppepolicyen, vil denne policyinnstillingen bli ignorert. |
Nekte skrivetilgang til enheter som er konfigurert i en annen organisasjon | Bare stasjoner med identifikasjonsfelt som samsvarer med datamaskinens identifikasjonsfelt, vil få skrivetilgang. Disse feltene er definert av gruppepolicyinnstillingen «Oppgi unike identifikatorer for organisasjonen din». |