Konfiguracja funkcji BitLocker
Ustawienia ogólne |
||
Wymóg szyfrowania urządzeń | W zależności od wersji systemu Windows i konfiguracji systemu, użytkownicy mogą zostać poproszeni o włączenie szyfrowania urządzenia: – Aby potwierdzić, że szyfrowanie od innego dostawcy nie jest włączone. – Aby wyłączyć szyfrowanie dysków funkcją BitLocker, a następnie włączyć ją ponownie. |
|
Metody szyfrowania |
||
Metoda szyfrowania dysków systemu operacyjnego | ||
Metoda szyfrowania dla stacjonarnych dysków danych | ||
Metoda szyfrowania dysków wymiennych | ||
Wyłączenie ostrzeżenia o szyfrowaniu dysku przez firmę trzecią | Wyłączenie monitu ostrzegawczego o usłudze szyfrowania dysków innej firmy używanej na urządzeniu. Począwszy od Windows 10, wersja 1803, to ustawienie jest obsługiwane tylko dla urządzeń połączonych z Azure Active Directory. |
|
Zezwalaj na uruchomienie szyfrowania, gdy zalogowany jest użytkownik niebędący administratorem | Obsługiwane tylko dla urządzeń połączonych z Azure Active Directory |
|
Rozszerzenia AppTec360 |
||
Ciche szyfrowanie | Jeśli zostanie wybrana wraz z opcją „Wymagaj szyfrowania urządzenia”, usługa zarządzania AppTec360 uruchomi automatyczne ciche szyfrowanie dysków urządzenia. |
|
Automatyczne generowanie poświadczeń użytkownika | Zaszyfrowany dysk systemu operacyjnego będzie chroniony automatycznie wygenerowanymi poświadczeniami użytkownika. PIN TPM, jeśli moduł TPM jest dostępny, lub 6-cyfrowe hasło tekstowe. Wygenerowane dane uwierzytelniające są wysyłane na adres e-mail zarejestrowany dla danego urządzenia. Jeśli ta opcja jest wyłączona, jedynym możliwym zabezpieczeniem dla cichego szyfrowania jest użycie TPM. W takim przypadku, w przypadku urządzeń bez modułu TPM, ciche szyfrowanie nie powiedzie się. |
|
Szyfrowanie dysków stałych | Wszelkie dostępne stałe dyski danych zostaną również zaszyfrowane i zabezpieczone za pomocą funkcji „Automatyczne odblokowanie” przy użyciu klucza przechowywanego na dysku systemu operacyjnego. |
|
Ustawienia dysku systemu operacyjnego |
Wymagaj dodatkowego uwierzytelniania podczas uruchamiania | To ustawienie pozwala skonfigurować, czy funkcja BitLocker wymaga uwierzytelnienia przy każdym uruchomieniu komputera. To ustawienie jest stosowane podczas konfiguracji funkcji BitLocker. Po włączeniu tego ustawienia użytkownicy mogą skonfigurować zaawansowane opcje uruchamiania w kreatorze konfiguracji funkcji BitLocker. |
|
Blokowanie funkcji BitLocker bez kompatybilnego modułu TPM |
||
Tylko TPM |
||
TPM i PIN |
||
TPM i klucz |
||
TPM, klucz i PIN | Jeśli chcesz wymagać użycia kodu PIN i pamięci flash USB (klucza), użytkownik musi skonfigurować funkcję BitLocker za pomocą narzędzia wiersza poleceń „manage-bde” zamiast kreatora konfiguracji szyfrowania dysków BitLocker. |
|
Wymagana minimalna długość kodu PIN |
|
Minimalna liczba znaków |
|
Konfiguracja komunikatu i adresu URL odzyskiwania przed uruchomieniem komputera | Skonfiguruj cały komunikat odzyskiwania lub zastąp istniejący adres URL, który jest wyświetlany na ekranie odzyskiwania klucza przed uruchomieniem, gdy dysk systemu operacyjnego jest zablokowany. Uwaga: Nie wszystkie znaki i języki są obsługiwane w trybie pre-boot. Zdecydowanie zaleca się sprawdzenie, czy używane znaki są prawidłowo wyświetlane na ekranie odzyskiwania przed uruchomieniem systemu. |
|
Opcja komunikatu odzyskiwania przed uruchomieniem komputera |
||
Niestandardowy komunikat odzyskiwania |
||
Niestandardowy adres URL odzyskiwania |
||
Opcje odzyskiwania systemu operacyjnego | To ustawienie pozwala kontrolować sposób odzyskiwania dysków systemu operacyjnego chronionych funkcją BitLocker w przypadku braku wymaganych poświadczeń. To ustawienie jest stosowane podczas konfiguracji funkcji BitLocker. Domyślnie dozwolony jest agent odzyskiwania danych oparty na certyfikatach, opcje odzyskiwania mogą być określone przez użytkownika, w tym hasło odzyskiwania i klucz odzyskiwania, a informacje o odzyskiwaniu nie są archiwizowane w usługach AD DS. |
|
Agent odzyskiwania danych oparty na certyfikacie blokowym | Określenie, czy agent odzyskiwania danych może być używany z dyskami systemu operacyjnego chronionymi funkcją BitLocker. Przed użyciem agenta odzyskiwania danych należy go dodać z pozycji Zasady klucza publicznego w Konsoli zarządzania zasadami grupy lub Edytorze lokalnych zasad grupy. Więcej informacji na temat dodawania agentów odzyskiwania danych można znaleźć w Przewodniku wdrażania szyfrowania dysków funkcją BitLocker w witrynie Microsoft TechNet. |
|
Ustawienia hasła odzyskiwania funkcji BitLocker |
||
Ustawienia klucza odzyskiwania BitLocker |
||
Zapisywanie informacji o odzyskiwaniu funkcji BitLocker w Usługach domenowych w usłudze Active Directory |
||
Konfiguracja magazynu odzyskiwania AD DS BitLocker | Przechowywanie pakietu kluczy wspomaga odzyskiwanie danych z dysku, który został fizycznie uszkodzony. |
|
Wymóg przechowywania danych odzyskiwania w usługach AD DS | Uniemożliwienie użytkownikom włączenia funkcji BitLocker, chyba że komputer jest podłączony do domeny i |
|
Stałe ustawienia napędu |
||
Opcje odzyskiwania danych z dysków stałych | To ustawienie pozwala kontrolować sposób odzyskiwania dysków stałych chronionych funkcją BitLocker w przypadku braku wymaganych poświadczeń. To ustawienie jest stosowane podczas konfiguracji funkcji BitLocker. Domyślnie dozwolony jest agent odzyskiwania danych oparty na certyfikatach, opcje odzyskiwania mogą być określone przez użytkownika, w tym hasło odzyskiwania i klucz odzyskiwania, a informacje o odzyskiwaniu nie są archiwizowane w usługach AD DS. |
|
Agent odzyskiwania danych oparty na certyfikacie blokowym |
||
Ustawienia hasła odzyskiwania funkcji BitLocker |
||
Ustawienia klucza odzyskiwania BitLocker |
||
Zapisywanie informacji o odzyskiwaniu funkcji BitLocker w Usługach domenowych w usłudze Active Directory |
||
Konfiguracja magazynu odzyskiwania AD DS BitLocker | Przechowywanie pakietu kluczy wspomaga odzyskiwanie danych z dysku, który został fizycznie uszkodzony. |
|
Wymóg przechowywania danych odzyskiwania w usługach AD DS | Zapobieganie włączaniu funkcji BitLocker przez użytkowników, chyba że komputer jest podłączony do domeny, a kopia zapasowa informacji odzyskiwania funkcji BitLocker w usługach AD DS powiedzie się. Uwaga: Hasło odzyskiwania jest generowane automatycznie. |
|
Odmowa dostępu do zapisu na niezabezpieczonych dyskach stałych |
||
Ustawienia dysku wymiennego |
|
Odmowa dostępu do zapisu na niezabezpieczonych dyskach wymiennych | Odmowa dostępu do zapisu na wymiennych dyskach danych, które nie są chronione przez Bitlocker. Uwaga: Jeśli opcja „Dyski wymienne: Odmów dostępu do zapisu” jest włączona w zasadach grupy, to ustawienie zasad zostanie zignorowane. |
Odmowa dostępu do zapisu na urządzeniach skonfigurowanych w innej organizacji | Tylko dyski z polami identyfikacyjnymi pasującymi do pól identyfikacyjnych komputera otrzymają dostęp do zapisu. Pola te są definiowane przez ustawienie zasad grupy „Podaj unikatowe identyfikatory dla organizacji”. |