Doporučené zásady společnosti Dell pro nástroj Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (dříve Dell Data Protection | BitLocker Manager) nabízí ochranu a zabezpečení pomocí integrovaného šifrovacího protokolu Full Volume Encryption společnosti Microsoft, běžně označovaného jako BitLocker. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotčené produkty:

  • Dell Encryption Enterprise BitLocker Manager
  • Dell Data Protection | BitLocker Manager

Tyto produkty nabízejí mechanismus šifrování celého svazku a několik scénářů zabezpečení operačního systému spolu se zabezpečením spouštěcího cyklu před útoky.

Společnost Dell nabízí v jediném panelu řešení pro správu zařízení chráněných nástrojem BitLocker a širokou řadu možností hlášení o ochraně těchto zařízení.

Poznámka: Chcete-li zobrazit aktuální stav ochrany prostředí, použijte položku řídicího panelu na stránce Dell Encryption (dříve Dell Data Protection | Šifrování).

Chcete-li nastavit zásady šifrování v nástroji BitLocker, společnost Dell doporučuje:

  1. Přejít do části Enterprise.
  2. Klikněte na možnost BitLocker Encryption.
    Klikněte na možnost BitLocker Encryption
  3. Chcete-li zobrazit všechna nastavení, klikněte na možnost Show advanced settings.
    Klikněte na možnost Show Advanced Settings

Níže jsou uvedena navrhovaná nastavení:

Poznámka: Tento článek byl naposledy aktualizován v listopadu 2019. Zásady platí pro nástroj Dell Security Management Server verze 10.2.9.
Zásada Nastavení doporučená společností Dell Vysvětlení zásad
BitLocker Encryption Svítí Povolí a zakáže zásuvný modul BitLocker Manager (tento doplněk je nezbytný pro správné použití všech zásad nástroje Dell BitLocker Manager)
TPM Manager Enabled Svítí Povolí a zakáže modul TPM Management Plugin (tento doplněk aktivuje modul TPM, pokud je zapnutý, ale není správně aktivován).
Disable Sleep Mode Nesvítí Je-li tato možnost povolena, nesmí zařízení během šifrování přejít do žádného režimu spánku.
Encrypt System Drive Turn On Encryption Je-li zásada nastavena na možnost Do Not Manage, místní správci zařízení mohou nástroj BitLocker upravovat.
Nastavení možnosti Zapnout šifrování vynutí šifrování svazku a místní správci jej nemohou upravovat.
Nastavení této možnosti na možnost Vypnout šifrování vynutí dešifrování svazku a místní správci jej nemohou upravovat.
Encrypt Fixed Drives Do Not Manage Je-li zásada nastavena na možnost Do Not Manage, místní správci zařízení mohou nástroj BitLocker upravovat.
Nastavení možnosti Zapnout šifrování vynutí šifrování svazku a místní správci jej nemohou upravovat.
Nastavení této možnosti na možnost Vypnout šifrování vynutí dešifrování svazku a místní správci jej nemohou upravovat.
Encrypt Removable Drives Do Not Manage Je-li zásada nastavena na možnost Do Not Manage, místní správci zařízení mohou nástroj BitLocker upravovat.
Nastavení možnosti Zapnout šifrování vynutí šifrování svazku a místní správci jej nemohou upravovat.
Nastavení této možnosti na možnost Vypnout šifrování vynutí dešifrování svazku a místní správci jej nemohou upravovat.
Require other Authentication at System Startup. Enabled Tato zásada povoluje dalších pět zásad a umožňuje na spravovaných koncových bodech povolit definované chrániče.
Allow BitLocker Encryption Without a Compatible TPM. Enabled Je-li tato zásada nastavena na hodnotu Enabled, zajistí podporu starších modelů čipů TPM a umožní vám v zařízeních bez čipů TPM odeslat klíče BitLocker na jednotku USB.
Configure TPM Startup Povinné Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Configure TPM Startup PIN Do Not Allow Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Configure TPM Startup Key Do Not Allow Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Configure TPM Startup Key and PIN Do Not Allow Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Disable BitLocker on Self-Encrypting Drives Disabled Je-li tato zásada nastavena na hodnotu Enable a je zjištěna jednotka SED (Self-Encrypting Drive), nástroj BitLocker nebude chránit koncový bod.
Nastavení této zásady na hodnotu Disabled umožňuje nástroji BitLocker chránit koncový bod bez ohledu na možnosti disku.
Zásada Nastavení doporučená společností Dell Vysvětlení zásad
Fixed Data Volume Settings
Configure the Use of Smart Cards on Fixed Data Drives Disallow Tato zásada uvádí možnosti ochrany pevného disku (mimo svazek operačního systému), když je možnost „Encrypt Fixed Disks“ nastavena na hodnotu „Turn On Encryption“.
Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Disallow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Deny Write Access to Fixed Drives Not Protected by BitLocker Disabled Pomocí tohoto nastavení zásad můžete nastavit, zda je pro zapisovatelné pevné datové disky v počítači nutná ochrana nástrojem BitLocker.
Je-li tato zásada nastavena na hodnotu Disabled, všechny pevné datové disky v počítači se připojí s přístupem pro čtení a zápis.
Je-li tato zásada nastavena na hodnotu Enabled, uživatelé při pokusu o uložení dat na nezašifrované pevné datové disky obdrží chybové zprávy „Access denied“.
Pokud je tato možnost nastavená na Povoleno pro organizaci, uživatelům se zařízeními pouze s identifikátorem organizace nastaveným v rámci zásad se při pokusu o uložení dat na nešifrované pevné datové jednotky zobrazí chybové zprávy Přístup odepřen. Všechna ostatní zařízení budou mít v počítači připojené pevné datové disky s přístupem pro čtení a zápis.
Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows Enabled Je-li tato zásada nastavena na hodnotu Enabled, datové disky formátované pomocí systému souborů FAT lze odemknout v počítačích se systémem Windows Server 2008, Windows Vista, Windows XP s aktualizací SP3 nebo Windows XP s aktualizací SP2 a je možné prohlížet jejich obsah. U disků, které jsou chráněné nástrojem BitLocker, mají tyto operační systémy přístup pouze ke čtení.
Je-li tato zásada nastavena na hodnotu Disabled, nelze datové jednotky formátované systémem souborů FAT odemknout v počítačích se staršími verzemi systému Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives Disabled Je-li vybrána tato zásada, zabrání instalaci funkce BitLocker To Go Reader, takže uživatelé se zařízeními se staršími verzemi systému Windows nebudou mít přístup k diskům chráněným nástrojem BitLocker.
Configure Use of Passwords for Fixed Data Drives Allow Tato zásada uvádí možnosti ochrany pevného disku (mimo svazek operačního systému), když je možnost „Encrypt Fixed Disks“ nastavena na hodnotu „Turn On Encryption“.
Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Disallow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Configure Password Complexity for Fixed Data Drives Required Je-li tato zásada nastavena na hodnotu Required, k ověření složitosti hesla v případě povoleného nástroje BitLocker bude potřeba připojení k řadiči domény.
Je-li tato zásada nastavena na hodnotu Allow, dojde k pokusu o připojení k řadiči domény, aby se ověřilo, zda složitost hesla je v souladu s pravidly nastavenými zásadou. Pokud však nebudou nalezeny žádné řadiče domény, heslo bude přijato bez ohledu na jeho složitost a bude použito k šifrování disku.
Je-li zásada nastavena na hodnotu Do Not Allow, nebude docházet k ověřování složitosti hesla.
Minimum Password Length for Fixed Data Drives 8 Nastaví minimální délku hesel pro pevné diskové svazky chráněné nástrojem BitLocker (toto nastavení vyžaduje, aby možnost Konfigurovat použití hesel pro pevné datové jednotky byla nastavená na Vyžadovat nebo Povolit)
Encryption Type for Fixed Data Drives Full Encryption Tato zásada řídí, zda pevné datové disky budou používat šifrování Used Space Only nebo Full Encryption. Volba Used Space Only je vyžadována pro virtuální počítače, které chrání Bit Locker.
Choose How BitLocker-protected Fixed Drives Can be Recovered Disabled Nadřazená zásada pro následujících sedm zásad.
Je-li povoleno, umožňuje konfiguraci dalších možností obnovení.
Je-li zásada nastavena na hodnotu Disabled, obnovení bude dostupné pouze prostřednictvím nástroje Dell Security Management Server nebo Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Fixed Data Drives Disabled Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be Recovered
Zaškrtávací políčko Allow Data Recovery Agent slouží k určení, zda lze u disků chráněných nástrojem BitLocker použít agenta pro obnovení dat. Před použitím agenta pro obnovení dat je nutné jej přidat ze zásad Public Key, které se nacházejí v konzoli pro správu zásad skupiny (GPMC) nebo v Editoru místních zásad skupiny.
Další informace o tom, jak lze agenta pro obnovení dat použít k obnovení zařízené chráněného nástrojem BitLocker, najdete na adrese: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/. Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit počítač chráněný nástrojem BitLocker.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit počítač chráněný nástrojem BitLocker.
Omit Recovery Options from the BitLocker Setup Wizard Disabled Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be Recovered.
Výběrem zásady Omit Recovery Options from the BitLocker Setup Wizard zabráníte uživatelům v určení možností obnovení, pokud na disku povolí nástroj BitLocker. Je-li povoleno, nastavení zásad určuje možnosti obnovení nástroje BitLocker.
Save BitLocker Recovery Information to AD DS for Fixed Data Drives Enabled Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be Recovered.
Nadřazená zásada pro následující 2 zásady:
Save BitLocker recovery information to Active Directory Domain Services, Choose which BitLocker Recovery Information to Store in Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS Recovery Passwords and Key Packages Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Fixed Data Drives.
Recovery Password and Key Packages, heslo pro obnovení nástroje BitLocker a balíček klíčů jsou uloženy ve službě AD DS. Uložení balíčku klíčů podporuje obnovení dat z disku, který je fyzicky poškozen. Pokud vyberete možnost Pouze heslo pro obnovení, bude heslo pro obnovení jedinou uloženou ve službě AD DS.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives Disabled Podřízená zásada zásady Choose How BitLocker-protected Fixed Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Fixed Data Drives.
Chcete-li zabránit uživatelům v povolení nástroje BitLocker, pokud počítač není připojený k doméně a zálohování informací o obnovení nástroje BitLocker do služby AD DS neproběhne úspěšně, zaškrtněte políčko Do not enable BitLocker until recovery information is stored in AD DS for fixed drives.
Configure Use of Hardware-Based Encryption for Fixed Data Drives Enabled Nadřazená zásada pro následující čtyři zásady.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako pevné datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use Hardware-Based Encryption for Fixed Data Drives Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako pevné datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use BitLocker Software-Based Encryption on Fixed Data Drives When Hardware Encryption is Not Available Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako pevné datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives Disabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Zásada Restrict encryption algorithms and cipher suites allowed for hardware-based encryption umožňuje omezit šifrovací algoritmy, které může nástroj BitLocker používat v případě hardwarového šifrování. Pokud algoritmus nastavený pro disk není k dispozici, nástroj BitLocker zakáže použití hardwarového šifrování.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Šifrovací algoritmy jsou určeny identifikátory objektů (OID) a oddělují se čárkami.
Příklady identifikátorů OID pro šifry:
  • Identifikátor OID Advanced Encryption Standard (AES) 128 v režimu Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • Identifikátor OID AES 256 v režimu CBC: 2.16.840.1.101.3.4.1.42
Globální nastavení
Default Folder Location to Save Recovery Password (Prázdné) Je-li nastavena tato zásada, zadejte cestu, která se použije jako výchozí umístění složky pro případ, že uživatel vybere možnost uložit heslo pro obnovení do složky. Je možné využít plně kvalifikovanou cestu nebo zahrnout do cesty proměnné prostředí cílového počítače. Pokud cesta není platná, průvodce nastavením nástroje BitLocker zobrazí nadřazenou složku počítače.
Encryption Method and Cipher Strength AES256 with Diffuser
Poznámka: Tato zásada se nevztahuje na zašifrované disky. Zašifrované disky používají vlastní algoritmus, který disk nastaví během vytváření oddílů.
Enable Organizational Unique Identifiers Disabled Nadřazená zásada pro následující dvě zásady.
Je-li zásada nastavena na hodnotu Enabled, umožňuje konfiguraci identifikačního pole na discích chráněných nástrojem BitLocker a všech povolených identifikačních polích, které organizace používá.
Tyto identifikátory se ukládají jako identifikační pole a povolené identifikační pole. Identifikační pole umožňuje přiřadit jedinečný organizační identifikátor k diskům chráněným nástrojem BitLocker. Tento identifikátor se automaticky přidá do nových disků chráněných nástrojem BitLocker a lze jej aktualizovat na stávajících discích chráněných nástrojem BitLocker pomocí nástroje příkazového řádku Manage-bde.
Identifikační pole je potřeba ke správě agentů pro obnovení dat na bázi certifikátu na discích chráněných nástrojem BitLocker a pro potenciální aktualizace funkce BitLocker To Go Reader. Nástroj BitLocker spravuje a aktualizuje agenty pro obnovení dat pouze v případě, že identifikační pole na disku odpovídá hodnotě nakonfigurované v identifikačním poli. Obdobným způsobem nástroj BitLocker aktualizuje funkci BitLocker To Go Reader pouze v případě, že identifikační pole na disku odpovídá hodnotě nakonfigurované pro identifikační pole.
Poznámka: Zásadu Enable Organizational Unique Identifiers lze použít se zásadou Deny write access to removable drives not protected by BitLocker, a pomoci tak řídit použití vyměnitelných disků ve vaší organizaci.
Set Organizational Unique Identifiers (Prázdné) Podřízená zásada zásady Enable Organizational Unique Identifiers.
Jedná se o alfanumerickou hodnotu, která umožňuje nastavit jedinečný identifikátor pro vaše zařízení, aby je mohla vaše organizace spravovat.
Tento identifikátor se automaticky přidá do nových disků chráněných nástrojem BitLocker a lze jej aktualizovat na stávajících discích chráněných nástrojem BitLocker pomocí nástroje příkazového řádku Manage-bde.
Set Allowed Organizational Unique Identifiers (Prázdné) Podřízená zásada zásady Enable Organizational Unique Identifiers.
Jedná se o alfanumerickou hodnotu, která umožňuje nastavit jedinečný identifikátor pro vaše zařízení, aby je mohla vaše organizace spravovat.
Tento identifikátor se automaticky přidá do nových disků chráněných nástrojem BitLocker a lze jej aktualizovat na stávajících discích chráněných nástrojem BitLocker pomocí nástroje příkazového řádku Manage-bde.
Poznámka: Abyste během obnovení předešli problémům, doporučujeme, aby se zásady Set Allowed Organizational Unique IdentifiersSet Organizational Unique Identifiers shodovaly.
Prevent Memory Overwrite on Restart Disabled Je-li tato zásada nastavena na hodnotu Disabled, dojde k vymazání tajných informací nástroje BitLocker z paměti. Je-li tato zásada nastavena na hodnotu Enabled, tajné informace nástroje BitLocker zůstanou v paměti, což sice může zlepšit výkon, ale tyto informace budou vystaveny zvýšenému riziku odcizení.
Enable Smart Card Certificate Identifier Disabled Je-li tato zásada nastavena na hodnotu Enabled, identifikátor objektu uvedený v nastavení Object Identifier certifikátu se musí shodovat s identifikátorem objektu v zásadě Smart Card Certificate Identifier.
Smart Card Certificate Identifier 1.3.6.1.4.1.311.67.1.1 Identifikátor objektu je specifikován v sadě EKU (Enhanced Key Usage) certifikátu. Nástroj BitLocker dokáže určit, které certifikáty lze použít k ověření uživatelského certifikátu na jednotce chráněné nástrojem BitLocker, a to porovnáním identifikátoru objektu v certifikátu s identifikátorem objektu v tomto nastavení zásady.
Výchozím identifikátorem objektu je 1.3.6.1.4.1.311.67.1.1.
Nastavení svazků operačního systému
Allow Enhanced PINs for Startup. Disabled Rozšířené kódy PIN pro spuštění umožňují používat různé znaky (včetně velkých a malých písmen, symbolů, číslic a mezer).
Poznámka: Ne všechny počítače podporují v prostředí před spuštěním rozšířené znaky kódu PIN.
Number of Characters Required in PIN 6 Definuje minimální počet znaků, které jsou požadovány pro prostředí před spuštěním.
Poznámka: Minimální délka kódu PIN nástroje BitLocker byla zvýšena na 6 znaků počínaje systémem Windows 10 verze 1703.
Allow Network Unlock at Startup on Operating System Drives Disabled Tato zásada řídí část chování funkce Network Unlock v nástroji BitLocker. Tato zásada je vyžadována k povolení funkce Network Unlock nástroje BitLocker v síti, protože klientům se spuštěným nástrojem BitLocker umožňuje během šifrování vytvořit nezbytný chránič síťového klíče.
Další informace o povolení funkce Network Unlock naleznete na adrese https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies..
Allow SecureBoot on Operating System Drives Enabled Řídí způsob, jakým jsou svazky počítače s podporou nástroje BitLocker zpracovávány pomocí funkce Secure Boot. Povolení této funkce vynutí ověření funkce Secure Boot během procesu spouštění a ověří nastavení dat konfigurace spuštění (BCD) podle zásad Secure Boot.
Disallow Standard Users from Changing the PIN on Operating System Drives Disabled Toto nastavení zásad umožňuje nakonfigurovat, zda mohou standardní uživatelé měnit kód PIN nebo heslo používané k ochraně disku operačního systému.
Je-li zásada nastavena na hodnotu Enabled, uživatelé, kteří nemají oprávnění místního správce, nemohou na koncovém bodě měnit kód PIN.
Je-li tato zásada nastavena na hodnotu Disabled, kód PIN před spuštěním mohou měnit všichni uživatelé v koncovém bodu.
Enable Use of Preboot Keyboard Input on Slates Enabled Je-li povoleno, umožňuje uživatelům povolit možnosti ověřování, které vyžadují vstup uživatele z prostředí před spuštěním, i když platforma signalizuje nedostatek možností vstupu před spuštěním.
Reset Platform Validation Data After Recovery Enabled Je-li tato zásada nastavena na hodnotu Enabled, data ověření platformy se obnoví po spuštění systému Windows, jakmile je provedeno obnovení nástroje BitLocker.
Je-li tato zásada nastavena na hodnotu Disabled, po obnovení nástroje BitLocker nedojde k obnovení dat ověření platformy. V případě změny základní konfigurace platformy to může způsobit obnovení po každém spuštění.
Choose How BitLocker-protected Operating System Drives Can be Recovered Disabled Nadřazená zásada pro následujících sedm zásad.
Je-li povoleno, umožňuje konfiguraci dalších možností obnovení.
Je-li zásada nastavena na hodnotu Disabled, obnovení bude dostupné pouze prostřednictvím nástroje Dell Security Management Server nebo Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Operating System Drives Enabled Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be Recovered.
Zaškrtávací pole Allow data recovery agent slouží k určení, zda lze použít agenta pro obnovení dat u disků operačního systému chráněných nástrojem BitLocker. Před použitím agenta pro obnovení dat je nutné jej přidat ze zásad Public Key, které se nacházejí v konzoli pro správu zásad skupiny (GPMC) nebo v Editoru místních zásad skupiny.
Další informace o použití agenta obnovování dat k obnovení zařízení chráněného nástrojem BitLocker naleznete v článku: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit počítač chráněný nástrojem BitLocker.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit počítač chráněný nástrojem BitLocker.
Omit Recovery Options from the BitLocker Setup Wizard Disabled Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be Recovered.
Výběrem zásady Omit Recovery Options from the BitLocker Setup Wizard zabráníte uživatelům v určení možností obnovení, pokud na disku povolí nástroj BitLocker.
Je-li povoleno, nastavení zásad určuje možnosti obnovení jednotky nástrojem BitLocker.
Save BitLocker Recovery Information to AD DS for Operating System Drives Enabled Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be Recovered.
Nadřazená zásada pro následující 2 zásady:
Save BitLocker recovery information to Active Directory Domain Services, Choose which BitLocker Recovery Information to Store in Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS (pouze systém Windows Server 2008) Recovery Password and Key Packages Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Operating System Data Drives.
Recovery Password and Key Packages, heslo pro obnovení nástroje BitLocker a balíček klíčů jsou uloženy ve službě AD DS. Uložení balíčku klíčů podporuje obnovení dat z disku, který je fyzicky poškozen. Pokud vyberete možnost Recovery Password Only, do služby AD DS se uloží pouze heslo pro obnovení.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives Disabled Podřízená zásada zásady Choose How BitLocker-protected Operating System Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Operating System Data Drives.
Chcete-li zabránit uživatelům v povolení nástroje BitLocker, pokud počítač není připojený k doméně a zálohování informací o obnovení nástroje BitLocker do služby AD DS neproběhne úspěšně, zaškrtněte políčko Do not enable BitLocker until recovery information is stored in AD DS for operating system drives.
Configure Use of Hardware-Based Encryption for Operating System Drives Enabled Nadřazená zásada pro následující čtyři zásady.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování.

Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use Hardware-Based Encryption for Operating System Drives Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování.

Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use BitLocker Software-Based Encryption on Operating System Drives When Hardware Encryption is Not Available Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování.

Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives Disabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Zásada Restrict encryption algorithms and cipher suites allowed for hardware-based encryption umožňuje omezit šifrovací algoritmy, které může nástroj BitLocker používat v případě hardwarového šifrování. Pokud algoritmus nastavený pro disk není k dispozici, nástroj BitLocker zakáže použití hardwarového šifrování.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Šifrovací algoritmy jsou specifikovány identifikátory objektů (OID) a odděleny čárkami
Příklady OID pro šifrovací šifry:
  • Identifikátor OID Advanced Encryption Standard (AES) 128 v režimu Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • Identifikátor OID AES 256 v režimu CBC: 2.16.840.1.101.3.4.1.42
Encryption Type for Operating System Drives Full Encryption Tato zásada řídí, zda datové disky budou používat šifrování Used Space Only nebo Full Encryption. Šifrování Used Space Only je vyžadováno pouze u virtuálních počítačů chráněných nástrojem BitLocker.
Configure Use of Passwords for Operating System Drives Not Configured Tato zásada řídí, jak mají počítače bez čipu TPM používat ochranu heslem. Tato zásada se používá se zásadou Configure Password Complexity for Operating System Drives a umožňuje správcům vyžadovat danou délku a složitost hesla pro účely ochrany. Ve výchozím nastavení musí být heslo dlouhé osm znaků.
Je-li tato zásada nastavena na hodnotu Enabled, uživatelé mohou nakonfigurovat heslo, které bude splňovat vámi stanovené požadavky.
Pokud není nakonfigurováno nebo zakázáno, výchozí omezení délky 8 znaků se vztahuje na hesla jednotek operačního systému a neprobíhají žádné kontroly složitosti.
Poznámka: Hesla nelze použít, pokud je povolen soulad s normou FIPS.
Configure Password Complexity for Operating System Drives Required Je-li tato zásada nastavena na hodnotu Required, k ověření složitosti hesla v případě povoleného nástroje BitLocker bude potřeba připojení k řadiči domény.
Je-li tato zásada nastavena na hodnotu Allow, dojde k pokusu o připojení k řadiči domény, aby se ověřilo, zda složitost hesla je v souladu s pravidly nastavenými zásadou. Pokud však nebudou nalezeny žádné řadiče domény, heslo bude přijato bez ohledu na jeho složitost a bude použito k šifrování disku.
Je-li zásada nastavena na hodnotu Do Not Allow, nebude docházet k ověřování složitosti hesla.
Minimum Password Length for Operating System Drives 8 Nastaví minimální délku hesla pro disky chráněné nástrojem BitLocker.
Poznámka: Nastavení se vynucují při zapínání nástroje BitLocker, nikoli při odemykání disku. Nástroj BitLocker umožňuje odemknout disk s jakoukoli ochranou, která je na disku k dispozici.
Require ASCII-Only Passwords for Operating System Drives Disabled Je-li povoleno, nejsou povoleny znaky Unicode ve výzvě k zadání hesla pro jednotky operačního systému.
Je-li zásada nastavena na hodnotu Disabled, lze použít všechny znaky.
Use Enhanced Boot Configuration Data Profile Nenakonfigurováno (Změna této zásady na jinou hodnotu než "Nenakonfigurováno" může způsobit, že se zobrazí výzvy k obnovení, pokud je funkce Hyper-V povolená ve Windows 10). Nadřazená zásada pro následující dvě zásady.
Toto nastavení zásad určuje ověření konkrétního nastavení dat konfigurace spouštění (BCD) během ověřování platformy. Ověření platformy využívá data v profilu ověření platformy, který se skládá z indexů PCR (Platform Configuration Register), které se pohybují v rozsahu 0–23.
Poznámka: Pokud nástroj BitLocker používá u platformy funkci Secure Boot a ověření integrity dat konfigurace spouštění, nastavení zásady skupiny Use Enhanced Boot Configuration Data Profile bude ignorováno.
Ověřte další nastavení BCD (Prázdné) Podřízená zásada zásady Use Enhanced Boot Configuration Data Profile.
Informace o přizpůsobení dat konfigurace spouštění (BCD) naleznete na adrese https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker. Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Poznámka: Nastavení, které řídí ladění spouštění (0x16000010), je vždy ověřeno a nemá žádný vliv, pokud je zahrnuto do seznamu výjimek či zahrnutí.
Vyloučit ostatní nastavení BCD (Prázdné) Podřízená zásada zásady Use Enhanced Boot Configuration Data Profile.
Informace o přizpůsobení dat konfigurace spouštění (BCD) naleznete na adrese https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker. Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Poznámka: Nastavení, které řídí ladění spouštění (0x16000010), je vždy ověřeno a nemá žádný vliv, pokud je zahrnuto do seznamu výjimek či zahrnutí.
Configure TPM Platform Validation Profile Disabled Nadřazená zásada zásady Configure Specific TPM Platform Settings.
Je-li zásada nastavena na hodnotu Enabled, může určovat, jaké hodnoty bude čip TPM měřit při ověřování součástí raného spouštění, než dojde k odemknutí disku v počítači se systémem Windows Vista, Windows Server 2008 nebo Windows 7.
Configure Specific TPM Platform Settings Pokud není vyžadováno jinak, společnost Dell Technologies doporučuje používat aktuální výchozí zásady PCR společnosti Microsoft. Podřízená zásada zásady Configure TPM Platform Validation Profile.
Profil ověření platformy se skládá z indexů PCR, které se pohybují v rozsahu 0–23. Výchozí profil ověření platformy zabezpečuje šifrovací klíč před změnami následujících položek:
  • Core root of Trust of Measurement (CRTM), systém BIOS a rozšíření platformy (PCR 0)
  • Kód volitelné paměti ROM (PCR 2)
  • Kód Master Boot Record (MBR) (PCR 4)
  • Spouštěcí sektor NTFS (PCR 8)
  • Spouštěcí blok NTFS (PCR 9)
  • Boot Manager (PCR 10)
  • Řízení přístupu nástroje BitLocker (PCR 11)
V následujícím seznamu jsou uvedeny všechny dostupné položky PCR:
  • PCR 0: Core Root-of-Trust of Measurement, spouštění EFI a služby spouštění, ovladače EFI integrované v paměti ROM počítače, statické tabulky ACPI, které jsou integrovaným kódem SMM, a kód systému BIOS
  • PCR 1: Konfigurace platformy a základní desky a data (předávací tabulky a proměnné EFI, které ovlivňují konfiguraci počítače)
  • PCR 2: Kód volitelné paměti ROM
  • PCR 3: Data a konfigurace volitelné paměti ROM
  • PCR 4: Kód Master Boot Record (MBR) nebo kód z jiných spouštěcích zařízení
  • PCR 5: Tabulka oddílů MBR (Master Boot Record). Různé proměnné EFI a tabulka GPT
  • PCR 6: Události přechodu stavu a probuzení
  • PCR 7: Počítač podle konkrétního výrobce
  • PCR 8: Spouštěcí sektor NTFS
  • PCR 9: Spouštěcí blok NTFS
  • PCR 10: Boot Manager
  • PCR 11: Řízení přístupu nástroje BitLocker
  • PCR 12–23: Rezervováno pro budoucí použití
    Varování: Změna z výchozího profilu ověřování platformy ovlivní zabezpečení a možnosti správy počítače. Citlivost nástroje BitLocker na změny platformy (škodlivé nebo autorizované) se zvyšuje nebo snižuje v závislosti na zahrnutí nebo vyloučení indexů PCR.
Configure BIOS TPM Platform Validation Profile Disabled Nadřazená zásada zásady Configure Specific BIOS TPM Platform Settings.
Je-li tato zásada nastavená na hodnotu Enabled, nastavení může určit, jaké hodnoty bude čip TPM měřit při ověřování součásti raného spuštění předtím, než dojde k odemknutí disku operačního systému v počítači s konfigurací systému BIOS nebo firmwaru UEFI s povoleným modulem CSM (Compatibility Support Module).
Configure Specific BIOS TPM Platform Settings Pokud není vyžadováno jinak, společnost Dell Technologies doporučuje používat aktuální výchozí zásady PCR společnosti Microsoft. Podřízená zásada zásady Configure TPM Platform Validation Profile.
Profil ověření platformy se skládá z indexů PCR, které se pohybují v rozsahu 0–23. Výchozí profil ověření platformy zabezpečuje šifrovací klíč před změnami následujících položek:
  • Core root of Trust of Measurement (CRTM), systém BIOS a rozšíření platformy (PCR 0)
  • Kód volitelné paměti ROM (PCR 2)
  • Kód Master Boot Record (MBR) (PCR 4)
  • Spouštěcí sektor NTFS (PCR 8)
  • Spouštěcí blok NTFS (PCR 9)
  • Boot Manager (PCR 10)
  • Řízení přístupu nástroje BitLocker (PCR 11)
V následujícím seznamu jsou uvedeny všechny dostupné položky PCR:
  • PCR 0: Core Root-of-Trust of Measurement, spouštění EFI a služby spouštění, ovladače EFI integrované v paměti ROM počítače, statické tabulky ACPI, které jsou integrovaným kódem SMM, a kód systému BIOS
  • PCR 1: Konfigurace platformy a základní desky a data (předávací tabulky a proměnné EFI, které ovlivňují konfiguraci počítače)
  • PCR 2: Kód volitelné paměti ROM
  • PCR 3: Data a konfigurace volitelné paměti ROM
  • PCR 4: Kód Master Boot Record (MBR) nebo kód z jiných spouštěcích zařízení
  • PCR 5: Tabulka oddílů MBR (Master Boot Record). Různé proměnné EFI a tabulka GPT
  • PCR 6: Události přechodu stavu a probuzení
  • PCR 7: Počítač podle konkrétního výrobce
  • PCR 8: Spouštěcí sektor NTFS
  • PCR 9: Spouštěcí blok NTFS
  • PCR 10: Boot Manager
  • PCR 11: Řízení přístupu nástroje BitLocker
  • PCR 12–23: Rezervováno pro budoucí použití
    Varování: Změna z výchozího profilu ověřování platformy ovlivní zabezpečení a možnosti správy počítače. Citlivost nástroje BitLocker na změny platformy (škodlivé nebo autorizované) se zvyšuje nebo snižuje v závislosti na zahrnutí nebo vyloučení indexů PCR.
Configure UEFI TPM Platform Validation Profile Disabled Nadřazená zásada zásady Configure Specific UEFI TPM Platform Settings.
Je-li tato zásada nastavená na hodnotu Enabled, nastavení může určit, jaké hodnoty bude čip TPM měřit při ověřování součásti raného spuštění předtím, než dojde k odemknutí disku operačního systému v počítači s nativními konfiguracemi firmwaru UEFI.
Configure Specific UEFI TPM Platform Settings Pokud není vyžadováno jinak, společnost Dell Technologies doporučuje používat aktuální výchozí zásady PCR společnosti Microsoft. Podřízená zásada zásady Configure TPM Platform Validation Profile.
Profil ověření platformy se skládá z indexů PCR, které se pohybují v rozsahu 0–23. Výchozí profil ověření platformy zabezpečuje šifrovací klíč před změnami následujících položek:
  • Core root of Trust of Measurement (CRTM), systém BIOS a rozšíření platformy (PCR 0)
  • Kód volitelné paměti ROM (PCR 2)
  • Kód Master Boot Record (MBR) (PCR 4)
  • Spouštěcí sektor NTFS (PCR 8)
  • Spouštěcí blok NTFS (PCR 9)
  • Boot Manager (PCR 10)
  • Řízení přístupu nástroje BitLocker (PCR 11)
V následujícím seznamu jsou uvedeny všechny dostupné položky PCR:
  • PCR 0: Core Root-of-Trust of Measurement, spouštění EFI a služby spouštění, ovladače EFI integrované v paměti ROM počítače, statické tabulky ACPI, které jsou integrovaným kódem SMM, a kód systému BIOS
  • PCR 1: Tabulka konfigurace a předávání dat platformy a základní desky a proměnné EFI, které ovlivňují konfiguraci počítače)
  • PCR 2: Kód volitelné paměti ROM
  • PCR 3: Data a konfigurace volitelné paměti ROM
  • PCR 4: Kód Master Boot Record (MBR) nebo kód z jiných spouštěcích zařízení
  • PCR 5: Tabulka oddílů MBR (Master Boot Record). Různé proměnné EFI a tabulka GPT
  • PCR 6: Události přechodu stavu a probuzení
  • PCR 7: Počítač podle konkrétního výrobce
  • PCR 8: Spouštěcí sektor NTFS
  • PCR 9: Spouštěcí blok NTFS
  • PCR 10: Boot Manager
  • PCR 11: Řízení přístupu nástroje BitLocker
  • PCR 12–23: Rezervováno pro budoucí použití
    Varování: Změna z výchozího profilu ověřování platformy ovlivní zabezpečení a možnosti správy počítače. Citlivost nástroje BitLocker na změny platformy (škodlivé nebo autorizované) se zvyšuje nebo snižuje v závislosti na zahrnutí nebo vyloučení indexů PCR.
     
    Poznámka: Výchozí nastavení PCR profilu ověřování čipu TPM u počítačů, které používají rozhraní EFI (Extensible Firmware Interface), jsou pouze PCR 0, 2, 4 a 11.
Nastavení vyměnitelného úložiště
Allow User to Apply BitLocker Protection on Removable Drives Enabled Je-li povoleno, umožňuje uživateli povolit nástroj BitLocker k ochraně vyměnitelných jednotek.
Pokud je tato možnost zakázána, zásada Šifrovat vyměnitelné jednotky určuje, kdy nástroj BitLocker chrání vyměnitelné jednotky.
Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives Enabled Je-li zásada nastavena na hodnotu Enabled, umožňuje uživateli odebrat z disku nástroj BitLocker nebo pozastavit šifrování při provádění údržby.
Pokud je tato možnost zakázána, zásada Šifrovat vyměnitelné jednotky určuje, kdy nástroj BitLocker chrání vyměnitelné jednotky.
Configure Use of Smart Cards on Removable Data Drives Disallow Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Deny Write Access to Removable Drives Not Protected by BitLocker Disabled Toto nastavení zásad se používá k požadavku, aby vyměnitelné jednotky byly před udělením přístupu pro zápis zašifrované, a k řízení, zda vyměnitelné jednotky chráněné nástrojem BitLocker, které byly nakonfigurovány v jiné organizaci, lze otevřít s přístupem pro zápis.
Je-li tato možnost povolena, zařízení, která nejsou chráněna nástrojem BitLocker, neumožňují zápis dat na disk, i když je lze číst.
Pokud je tato možnost zakázána, zařízení, která nejsou chráněna nástrojem BitLocker, umožňují čtení a zápis dat.
Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows Enabled Je-li tato zásada nastavena na hodnotu Enabled, datové disky formátované pomocí systému souborů FAT lze odemknout v počítačích se systémem Windows Server 2008, Windows Vista, Windows XP s aktualizací SP3 nebo Windows XP s aktualizací SP2 a je možné prohlížet jejich obsah. U disků, které jsou chráněné nástrojem BitLocker, mají tyto operační systémy přístup pouze ke čtení.
Je-li tato zásada nastavena na hodnotu Disabled, nelze datové jednotky formátované systémem souborů FAT odemknout v počítačích se staršími verzemi systému Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives Disabled Je-li vybrána tato zásada, zabrání instalaci funkce BitLocker To Go Reader, takže uživatelé se zařízeními se staršími verzemi systému Windows nebudou mít přístup k diskům chráněným nástrojem BitLocker.
Configure Use of Passwords for Removable Data Drives Allow Je-li tato zásada nastavena na hodnotu Required, koncoví uživatelé nemají jinou možnost. Koncovému uživateli na koncovém bodě se nezobrazí žádná výzva.
Je-li tato zásada nastavena na hodnotu Allow, povolte toto nastavení koncovému uživateli jako volitelnou možnost. Pokud je na hodnotu "Povolit" nastaveno více položek, zobrazí se koncovému uživateli pole pro výběr, aby mohl provést výběr.
Je-li tato možnost nastavena na hodnotu Do Not Allow, není dostupná a nelze ji vybrat v uživatelském rozhraní nástroje Dell Encryption ani v nastavení systému Windows.
Configure Password Complexity for Removable Data Drives Required Je-li tato zásada nastavena na hodnotu Required, k ověření složitosti hesla v případě povoleného nástroje BitLocker bude potřeba připojení k řadiči domény.
Je-li tato zásada nastavena na hodnotu Allow, dojde k pokusu o připojení k řadiči domény, aby se ověřilo, zda složitost hesla je v souladu s pravidly nastavenými zásadou. Pokud však nebudou nalezeny žádné řadiče domény, heslo bude přijato bez ohledu na jeho složitost a bude použito k šifrování disku.
Je-li zásada nastavena na hodnotu Do Not Allow, nebude docházet k ověřování složitosti hesla.
Minimum Password Length for Removable Data Drives 8 Nastavení minimální délky hesel pro svazky chráněné nástrojem BitLocker (toto nastavení vyžaduje, aby možnost Configure Use of Passwords for Removable Data Drives byla nastavena na hodnotu Require nebo Allow)
Encryption Type for Removable Data Drives Full Encryption Tato zásada řídí, zda datové disky budou používat šifrování Used Space Only nebo Full Encryption. Šifrování Used Space Only je vyžadováno pouze u virtuálních počítačů chráněných nástrojem BitLocker.
Choose How BitLocker-protected Removable Drives Can be Recovered Disabled Nadřazená zásada pro následujících sedm zásad.
Je-li povoleno, umožňuje konfiguraci dalších možností obnovení.
Je-li zásada nastavena na hodnotu Disabled, obnovení bude dostupné pouze prostřednictvím nástroje Dell Security Management Server nebo Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Removable Data Drives Enabled Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be Recovered.
Zaškrtávací pole Allow data recovery agent slouží k určení, zda lze použít agenta pro obnovení dat u disků chráněných nástrojem BitLocker. Před použitím agenta pro obnovení dat je nutné jej přidat ze zásad Public Key, které se nacházejí v konzoli pro správu zásad skupiny (GPMC) nebo v Editoru místních zásad skupiny.
Další informace o tom, jak lze agenta pro obnovení dat použít k obnovení zařízené chráněného nástrojem BitLocker, najdete na adrese: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/. Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit disk chráněný nástrojem BitLocker.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be Recovered.
Je-li tato zásada nastavena na hodnotu Required, je nutné vygenerovat informace o obnovení nástroje BitLocker a zpřístupnit je správcům zařízení.
Je-li tato zásada nastavena na hodnotu Allow, informace o obnovení nástroje BitLocker se vygenerují a zpřístupní správcům zařízení automaticky.
Pokud je zásada nastavena na hodnotu Do Not Allow, informace o obnovení nástroje BitLocker se nevytvoří.
Poznámka: Je-li zásada nastavena na hodnotu Do Not Allow, nemusí být možné obnovit disk chráněný nástrojem BitLocker.
Omit Recovery Options from the BitLocker Setup Wizard for Removable Media Disabled Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be Recovered.
Výběrem zásady Omit Recovery Options from the BitLocker Setup Wizard zabráníte uživatelům v určení možností obnovení, pokud na disku povolí nástroj BitLocker. Je-li povoleno, nastavení zásad určuje možnosti obnovení jednotky nástrojem BitLocker.
Save BitLocker Recovery Information to AD DS for Removable Data Drives Enabled Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be Recovered.
Nadřazená zásada pro následující dvě zásady.
Save BitLocker recovery information to Active Directory Domain Services, Choose which BitLocker Recovery Information to Store in Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS for Removable Data Drives Recovery Passwords and Key Packages Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Removable Data Drives.
Recovery Password and Key Packages, heslo pro obnovení nástroje BitLocker a balíček klíčů jsou uloženy ve službě AD DS. Uložení balíčku klíčů podporuje obnovení dat z disku, který je fyzicky poškozen. Pokud vyberete možnost Recovery Password Only, do služby AD DS se uloží pouze heslo pro obnovení.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives Disabled Podřízená zásada zásady Choose How BitLocker-protected Removable Drives Can be RecoveredSave BitLocker Recovery Information to AD DS for Removable Data Drives.
Chcete-li zabránit uživatelům v povolení nástroje BitLocker, pokud počítač není připojený k doméně a zálohování informací o obnovení nástroje BitLocker do služby AD DS neproběhne úspěšně, zaškrtněte políčko Do not enable BitLocker until recovery information is stored in AD DS for Removable drives.
Configure Use of Hardware-Based Encryption for Removable Data Drives Enabled Nadřazená zásada pro následující čtyři zásady.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use Hardware-Based Encryption for Removable Data Drives Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Removable Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available Enabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Removable Data Drives.
Tato zásada řídí, jak bude nástroj BitLocker reagovat na počítače vybavené šifrovanými disky, pokud jsou používány jako datové svazky. Použití hardwarového šifrování může zlepšit výkon operací disku, které zahrnují časté čtení nebo zápis dat na disk.
Poznámka: Nastavení zásady Choose drive encryption method and cipher strength se nevztahuje na hardwarové šifrování. Pokud máte tuto zásadu povolenou u disků se starším firmwarem, mohou se také zobrazit různé chyby CVE popsané zde: https://www.kb.cert.org/vuls/id/395981/ Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data Disabled Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Removable Data Drives.
Zásada Restrict encryption algorithms and cipher suites allowed for hardware-based encryption umožňuje omezit šifrovací algoritmy, které může nástroj BitLocker používat v případě hardwarového šifrování. Pokud algoritmus nastavený pro disk není k dispozici, nástroj BitLocker zakáže použití hardwarového šifrování.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Podřízená zásada zásady Configure Use of Hardware-Based Encryption for Removable Data Drives.
Šifrovací algoritmy jsou specifikovány identifikátory objektů (OID) a odděleny čárkami.
Příklady identifikátorů OID pro šifry:
  • Identifikátor OID Advanced Encryption Standard (AES) 128 v režimu Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • Identifikátor OID AES 256 v režimu CBC: 2.16.840.1.101.3.4.1.42
Poznámka: Další informace o těchto zásadách naleznete v příručce k zásadám nástroje BitLocker společnosti Microsoft na adrese https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies..

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.