Konfigurácia nástroja BitLocker
Všeobecné nastavenia |
||
Vyžadovať šifrovanie zariadenia | V závislosti od vydania systému Windows a konfigurácie systému sa používateľom môže zobraziť výzva na zapnutie šifrovania zariadenia: – Potvrdenie, že šifrovanie od iného poskytovateľa nie je povolené. – Vypnutie funkcie BitLocker Drive Encryption a následné zapnutie funkcie BitLocker. |
|
Metódy šifrovania |
||
Metóda šifrovania diskov operačného systému | ||
Metóda šifrovania pevných dátových jednotiek | ||
Metóda šifrovania vymeniteľných dátových diskov | ||
Zakázanie upozornenia na šifrovanie disku treťou stranou | Zakázanie výstražného hlásenia o službe šifrovania disku tretej strany, ktorá sa používa v zariadení. Od verzie 1803 systému Windows 10 je toto nastavenie podporované len pre zariadenia pripojené k službe Azure Active Directory. |
|
Povolenie spúšťania šifrovania, keď je prihlásený používateľ, ktorý nie je správcom | Podporované len pre zariadenia pripojené k službe Azure Active Directory |
|
Rozšírenia AppTec360 |
||
Tiché šifrovanie | Ak sa vyberie možnosť „Vyžadovať šifrovanie zariadenia“, služba AppTec360 Management Service spustí automatické tiché šifrovanie diskov zariadenia. |
|
Automatické generovanie poverení používateľa | Šifrovaný disk operačného systému bude chránený automaticky generovanými povereniami používateľa. Buď kód PIN čipu TPM, ak je čip TPM k dispozícii, alebo 6-miestne textové heslo. Vygenerované poverenia sa odošlú na e-mailovú adresu registrovanú pre dané zariadenie. Ak je táto možnosť vypnutá, jedinou možnou ochranou pre tiché šifrovanie je použitie TPM. V takom prípade sa v prípade zariadení bez čipu TPM tiché šifrovanie nepodarí. |
|
Šifrovanie pevných diskov | Všetky dostupné pevné dátové disky budú tiež zašifrované a chránené funkciou „Automatické odomknutie“ pomocou kľúča uloženého na disku operačného systému. |
|
Nastavenia jednotky OS |
Vyžadovanie dodatočného overenia pri spustení | Toto nastavenie umožňuje nakonfigurovať, či nástroj BitLocker vyžaduje overenie pri každom spustení počítača. Toto nastavenie sa použije počas nastavenia nástroja BitLocker. Ak toto nastavenie povolíte, používatelia môžu v sprievodcovi nastavením nástroja BitLocker konfigurovať rozšírené možnosti spúšťania. |
|
Blokovanie nástroja BitLocker bez kompatibilného čipu TPM |
||
Len TPM |
||
TPM a PIN |
||
TPM a kľúč |
||
TPM, kľúč a PIN | Ak chcete vyžadovať používanie kódu PIN a USB flash disku (kľúča), používateľ musí nastaviť nástroj BitLocker pomocou nástroja príkazového riadka „manage-bde“ namiesto sprievodcu nastavením nástroja BitLocker Drive Encryption. |
|
Vyžadovať minimálnu dĺžku kódu PIN |
|
Minimálny počet znakov |
|
Konfigurácia správy o obnovení pred spustením a adresy URL | Nakonfigurujte celú správu o obnovení alebo nahraďte existujúcu adresu URL, ktorá sa zobrazuje na obrazovke obnovenia pred zavedením kľúča, keď je jednotka OS uzamknutá. Poznámka: Nie všetky znaky a jazyky sú podporované v režime pred spustením systému. Dôrazne sa odporúča otestovať, či sa znaky, ktoré používate, zobrazujú na obrazovke obnovy pred spustením systému správne. |
|
Možnosť správy o obnovení pred spustením systému |
||
Vlastná správa o obnovení |
||
Vlastná adresa URL na obnovenie |
||
Možnosti obnovy jednotky OS | Toto nastavenie umožňuje ovládať spôsob obnovy diskov operačného systému chránených nástrojom BitLocker v prípade, že nie sú k dispozícii požadované poverenia. Toto nastavenie sa použije počas nastavenia nástroja BitLocker. V predvolenom nastavení je povolený agent na obnovu údajov založený na certifikáte, možnosti obnovy môže určiť používateľ vrátane hesla na obnovu a kľúča na obnovu a informácie o obnove sa nezálohujú do služby AD DS. |
|
Agent na obnovu údajov založený na blokovom certifikáte | Určite, či sa agent na obnovu údajov môže používať s diskami operačného systému chránenými nástrojom BitLocker. Pred použitím agenta na obnovu údajov ho treba pridať z položky Zásady verejného kľúča v konzole na správu zásad skupiny alebo v editore miestnych zásad skupiny. Ďalšie informácie o pridávaní agentov na obnovu údajov nájdete v príručke BitLocker Drive Encryption Deployment Guide na stránke Microsoft TechNet. |
|
Nastavenia hesla pre obnovenie nástroja BitLocker |
||
Nastavenia kľúča na obnovenie nástroja BitLocker |
||
Uloženie informácií o obnovení nástroja BitLocker do služby Active Directory Domain Services |
||
Konfigurácia úložiska na obnovenie nástroja AD DS BitLocker | Uloženie balíka kľúčov podporuje obnovu údajov z jednotky, ktorá bola fyzicky poškodená. |
|
Požiadavka na ukladanie údajov o obnove do služby AD DS | Zabráňte používateľom zapnúť nástroj BitLocker, pokiaľ počítač nie je pripojený k doméne a |
|
Pevné nastavenia pohonu |
||
Možnosti obnovy pevných diskov | Toto nastavenie umožňuje ovládať spôsob obnovy pevných diskov chránených nástrojom BitLocker v prípade, že nie sú k dispozícii požadované poverenia. Toto nastavenie sa použije počas nastavenia nástroja BitLocker. V predvolenom nastavení je povolený agent na obnovu údajov založený na certifikáte, možnosti obnovy môže určiť používateľ vrátane hesla na obnovu a kľúča na obnovu a informácie o obnove sa nezálohujú do služby AD DS. |
|
Agent na obnovu údajov založený na blokovom certifikáte |
||
Nastavenia hesla pre obnovenie nástroja BitLocker |
||
Nastavenia kľúča na obnovenie nástroja BitLocker |
||
Uloženie informácií o obnovení nástroja BitLocker do služby Active Directory Domain Services |
||
Konfigurácia úložiska na obnovenie nástroja AD DS BitLocker | Uloženie balíka kľúčov podporuje obnovu údajov z jednotky, ktorá bola fyzicky poškodená. |
|
Požiadavka na ukladanie údajov o obnove do služby AD DS | Zabráňte používateľom zapnúť nástroj BitLocker, pokiaľ počítač nie je pripojený k doméne a pokiaľ sa nepodarí zálohovať informácie o obnovení nástroja BitLocker do služby AD DS. Poznámka: Heslo na obnovenie sa generuje automaticky. |
|
Odmietnutie prístupu k nechráneným pevným diskom |
||
Nastavenia vymeniteľného disku |
|
Odmietnutie prístupu k zápisu na nechránené vymeniteľné jednotky | Odmietnutie prístupu k vymeniteľným dátovým jednotkám, ktoré nie sú chránené programom Bitlocker. Poznámka: Ak „Vymeniteľné disky: Odmietnuť prístup k zápisu“ je v zásadách skupiny povolená, toto nastavenie zásad sa bude ignorovať. |
Odmietnutie prístupu k zápisu do zariadení nakonfigurovaných v inej organizácii | Prístup na zápis budú mať len jednotky s identifikačnými poľami zhodnými s identifikačnými poľami počítača. Tieto polia sú definované nastavením zásad skupiny „Poskytnúť jedinečné identifikátory pre vašu organizáciu“. |