Zalecane przez firmę Dell zasady dotyczące Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (dawniej Dell Data Protection | BitLocker Manager) zapewnia ochronę i zabezpieczenia dzięki wykorzystaniu zintegrowanego protokołu szyfrowania pełnego woluminu firmy Microsoft, powszechnie określanego jako BitLocker. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotyczy produktów:

  • Dell Encryption Enterprise BitLocker Manager
  • Dell Data Protection | BitLocker Manager

Oferują one mechanizm szyfrowania całego woluminu i wiele scenariuszy zabezpieczania systemu operacyjnego oraz ochrony cyklu rozruchowego przed atakami.

Firma Dell zapewnia pojedynczy panel do zarządzania urządzeniami chronionymi za funkcją BitLocker oraz szerokie możliwości raportowania o ochronie tych urządzeń.

Uwaga: Aby wyświetlić bieżący stan ochrony środowiska, użyj wpisu na pulpicie nawigacyjnym w aplikacji Dell Encryption (dawniej Dell Data Protection | Szyfrowanie).

Aby ustawić zasady szyfrowania funkcją BitLocker na zalecane przez firmę Dell:

  1. Przejdź do Enterprise.
  2. Kliknij opcję BitLocker Encryption.
    Kliknij opcję BitLocker Encryption (Szyfrowanie funkcją BitLocker)
  3. Aby wyświetlić wszystkie ustawienia, kliknij przycisk Show advanced settings (Pokaż ustawienia zaawansowane).
    Kliknij przycisk Show advanced settings (Pokaż ustawienia zaawansowane)

Poniżej przedstawiono sugerowane ustawienia:

Uwaga: Ten artykuł został ostatnio zaktualizowany w listopadzie 2019 r. Zasady dotyczą programu Dell Security Management Server 10.2.9.
Zasada Zalecane ustawienie firmy Dell Objaśnienie zasad
BitLocker Encryption (Szyfrowanie funkcją BitLocker) Włączone Umożliwia włączanie i wyłączanie wtyczki BitLocker Manager (wtyczka ta jest wymagana do prawidłowego zastosowania wszystkich zasad programu Dell BitLocker Manager)
TPM Manager Enabled (Włączony TPM Manager) Włączone Włącza i wyłącza wtyczkę do zarządzania modułem TPM (ta wtyczka aktywuje moduł TPM, jeśli jest włączony, ale nie jest prawidłowo aktywowany)
Disable Sleep Mode (Wyłącz tryb uśpienia) Wyłączony Jeśli ta opcja jest włączona, podczas szyfrowania urządzenie nie może przejść w stan uśpienia.
Encrypt System Drive (Zaszyfruj dysk systemowy) Turn On Encryption (Włącz szyfrowanie) Po ustawieniu opcji Do Not Manage (Nie zarządzaj) lokalni administratorzy urządzeń mogą modyfikować BitLocker.
Ustawienie tej opcji na Włącz szyfrowanie wymusza szyfrowanie woluminu, a administratorzy lokalni nie mogą go modyfikować.
Ustawienie tej opcji na Wyłącz szyfrowanie wymusza odszyfrowanie woluminu, a administratorzy lokalni nie będą mogli go modyfikować.
Encrypt Fixed Drives (Zaszyfruj dyski stałe) Do Not Manage (Nie zarządzaj) Po ustawieniu opcji Do Not Manage (Nie zarządzaj) lokalni administratorzy urządzeń mogą modyfikować BitLocker.
Ustawienie tej opcji na Włącz szyfrowanie wymusza szyfrowanie woluminu, a administratorzy lokalni nie mogą go modyfikować.
Ustawienie tej opcji na Wyłącz szyfrowanie wymusza odszyfrowanie woluminu, a administratorzy lokalni nie będą mogli go modyfikować.
Encrypt Removable Drives (Zaszyfruj dyski wymienne) Do Not Manage (Nie zarządzaj) Po ustawieniu opcji Do Not Manage (Nie zarządzaj) lokalni administratorzy urządzeń mogą modyfikować BitLocker.
Ustawienie tej opcji na Włącz szyfrowanie wymusza szyfrowanie woluminu, a administratorzy lokalni nie mogą go modyfikować.
Ustawienie tej opcji na Wyłącz szyfrowanie wymusza odszyfrowanie woluminu, a administratorzy lokalni nie będą mogli go modyfikować.
Require other Authentication at System Startup (Wymagaj innego uwierzytelniania przy uruchamianiu systemu). Enabled Ta właściwość włącza pięć następnych zasad i umożliwia włączenie zdefiniowanych zabezpieczeń na zarządzanych punktach końcowych.
Allow BitLocker Encryption Without a Compatible TPM (Zezwalaj na szyfrowanie funkcją BitLocker bez zgodnego modułu TPM). Enabled Włączenie zapewnia obsługę starszych modeli TPM i umożliwia przekazanie kluczy BitLocker na USB w urządzeniach bez modułów TPM.
Configure TPM Startup (Konfiguruj uruchomienie modułu TPM) Wymagane Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Configure TPM Startup PIN (Konfiguruj numer PIN uruchomienia modułu TPM) Do Not Allow (Nie zezwalaj) Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Configure TPM Startup Key (Konfiguruj klucz uruchomienia modułu TPM) Do Not Allow (Nie zezwalaj) Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Configure TPM Startup Key and PIN (Konfiguruj klucz i numer PIN uruchomienia modułu TPM) Do Not Allow (Nie zezwalaj) Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Disable BitLocker on Self-Encrypting Drives (Wyłącz BitLocker na dyskach samoszyfrujących) Disabled Po ustawieniu wartości Enable (Włącz), jeżeli wykryty zostanie dysk samoszyfrujący (SED), BitLocker nie chroni punktu końcowego.
Po ustawieniu dla tej zasady wartości Disabled (Wyłączone), BitLocker chroni punkt końcowy, niezależnie od możliwości dysku.
Zasada Zalecane ustawienie firmy Dell Objaśnienie zasad
Ustawienia stałego wolumenu danych
Configure the Use of Smart Cards on Fixed Data Drives (Konfiguruj korzystanie z kart inteligentnych na stałych dyskach danych) Disallow (Nie zezwalaj) Ta zasada wyświetla opcje ochrony dysku stałego (woluminu bez systemu operacyjnego), gdy opcja „Encrypt Fixed Disks” (Szyfruj dyski stałe) jest ustawiona na „Turn On Encryption” (Włącz szyfrowanie).
Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Deny Write Access to Fixed Drives Not Protected by BitLocker (Odmawiaj dostępu do zapisu do dysków stałych niechronionych funkcją BitLocker) Disabled Za pomocą tego ustawienia zasad można określić, czy ochrona BitLocker jest wymagana dla dysków z danymi stałymi na komputerze, aby były zapisywalne.
Gdy ustawiona jest opcja Disabled (Wyłączone), wszystkie stałe dyski danych na komputerze są montowane z dostępem do odczytu i zapisu.
W przypadku ustawienia opcji Enabled (Włączone) użytkownicy otrzymują komunikaty o błędzie „Access denied" (Odmowa dostępu), gdy próbują zapisać dane na niezaszyfrowanych dyskach stałych.
Gdy opcja ma wartość Włączone dla organizacji, użytkownicy z urządzeniami tylko z identyfikatorem organizacji ustawionym w ramach zasady otrzymują komunikaty o błędzie "Odmowa dostępu" podczas próby zapisania danych na niezaszyfrowanych stałych dyskach danych. Wszystkie dyski wszystkich innych urządzeń na komputerze są stałymi dyskami danych montowanymi z dostępem do odczytu i zapisu.
Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows (Zezwalaj na dostęp do stałych dysków danych chronionych funkcją BitLocker ze starszych wersji systemu Windows) Enabled Po ustawieniu opcji Enabled (Włączone) dyski danych sformatowane w systemie plików FAT mogą być odblokowane na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP z dodatkiem SP3 lub Windows XP z dodatkiem SP2, a ich zawartość może być przeglądana. Te systemy operacyjne mają dostęp tylko do odczytu do dysków chronionych funkcją BitLocker.
Po ustawieniu opcji Disabled (Wyłączone) dyski danych sformatowane w systemie plików FAT nie mogą być odblokowane na komputerach z wcześniejszymi wersjami systemu Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives (Nie instaluj czytnika funkcji BitLocker To Go na dyskach stałych sformatowanych za pomocą systemu plików FAT) Disabled Po wybraniu tej opcji czytnik funkcji BitLocker To Go nie zostanie instalowany, co uniemożliwi użytkownikom urządzeń ze starszymi wersjami systemu Windows dostęp do dysków chronionych przez funkcję BitLocker.
Configure Use of Passwords for Fixed Data Drives (Konfiguruj używanie haseł dla stałych dysków danych) Allow Ta zasada wyświetla opcje ochrony dysku stałego (woluminu bez systemu operacyjnego), gdy opcja „Encrypt Fixed Disks” (Szyfruj dyski stałe) jest ustawiona na „Turn On Encryption” (Włącz szyfrowanie).
Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Configure Password Complexity for Fixed Data Drives (Konfiguruj złożoność hasła dla stałych dysków danych) Require (Wymagaj) Po ustawieniu opcji Required (Wymagane) połączenie z kontrolerem Domain Controller jest niezbędne do sprawdzenia złożoności hasła, gdy funkcja BitLocker jest włączona.
Po ustawieniu opcji Allow (Zezwalaj), połączenie z kontrolerem Domain Controller jest podejmowane w celu sprawdzenia, czy złożoność hasła jest zgodna z regułami określonymi w zasadach. Jeśli jednak nie można znaleźć kontrolerów Domain Controller, hasło jest akceptowane niezależnie od jego złożoności, a dysk jest szyfrowany przy użyciu tego hasła jako zabezpieczenia.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj) nie jest przeprowadzane sprawdzanie złożoności hasła.
Minimum Password Length for Fixed Data Drives (Minimalna długość hasła do stałych dysków danych) 8 Ustawia minimalną długość haseł dla woluminów Fixed-Disk chronionych funkcją BitLocker (to ustawienie wymaga, aby opcja Configure Use of Passwords for Fixed Data Drive była ustawiona na Wymagaj lub Zezwalaj)
Encryption Type for Fixed Data Drives (Typ szyfrowania dla stałych dysków danych) Full Encryption (Pełne szyfrowanie) Ta zasada kontroluje, czy stałe dyski danych korzystają z szyfrowania tylko w trybie Used Space Only (Tylko zajęte miejsce), czy w trybie Full encryption (Pełne szyfrowanie). W przypadku maszyn wirtualnych chronionych przez funkcję Bit Locker wymagane jest pole "Tylko używane miejsce".
Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker) Disabled Zasada nadrzędna względem następnych siedmiu zasad.
Ta opcja umożliwia skonfigurowanie dodatkowych opcji odzyskiwania.
Po ustawieniu opcji Disabled (Wyłączone) odzyskiwanie jest dostępne tylko za pośrednictwem Dell Security Management Server lub Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Fixed Data Drives (Zezwalaj na używanie agenta odzyskiwania danych do chronionych stałych dysków danych) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker)
Pole wyboru Allow data recovery agent (Zezwalaj na używanie agenta odzyskiwania danych) służy do określenia, czy z dyskami chronionymi funkcją BitLocker można używać agenta odzyskiwania danych. Zanim użycie agenta odzyskiwania danych jest możliwe należy go dodać z Zasad kluczy publicznych, które znajdują się w Konsoli zarządzania zasadami grupy (GPMC) lub w Edytorze lokalnych zasad grupy.
Więcej informacji o korzystaniu z agenta odzyskiwania danych do odzyskania urządzenia chronionego funkcją BitLocker, można znaleźć na stronie: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password (Konfiguruj magazyn użytkownika dla 48-cyfrowego hasła odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z komputera chronionego funkcją BitLocker może nie być możliwe.
Configure User Storage of BitLocker 256-bit Recovery Key (Konfiguruj magazyn użytkownika dla 256-bitowego klucza odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z komputera chronionego funkcją BitLocker może nie być możliwe.
Omit Recovery Options from the BitLocker Setup Wizard (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker).
Wybierz opcję Omit recovery options from the BitLocker setup wizard (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker), aby uniemożliwić użytkownikom określenie opcji odzyskiwania po włączeniu funkcji BitLocker na dysku. Kiedy opcja Enabled jest włączona, ustawienie zasad określa opcje odzyskiwania funkcji BitLocker.
Save BitLocker Recovery Information to AD DS for Fixed Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla stałych dysków danych) Enabled Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker).
Zasada nadrzędna względem dwóch kolejnych zasad:
Opcja Save BitLocker recovery information to Active Directory Domain Services (Zapisz informacje odzyskiwania funkcji BitLocker w usługach domenowych Active Directory) służy do określenia, które informacje odzyskiwania funkcji BitLocker mają być przechowywane w usługach Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS (Informacje odzyskiwania funkcji BitLocker, które mają być przechowywane w usługach AD DS) Recovery Passwords and Key Packages (Hasła odzyskiwania i pakiety kluczy) Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Fixed Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla stałych dysków danych)
Hasło odzyskiwania i pakiety kluczy, hasło odzyskiwania funkcji BitLocker oraz pakiet kluczy są przechowywane w usługach AD DS. Przechowywanie pakietu kluczy umożliwia odzyskanie danych z fizycznie uszkodzonego dysku. W przypadku wybrania opcji Tylko hasło odzyskiwania hasło odzyskiwania jest jedyną rzeczą przechowywaną w usługach AD DS.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla wymiennych dysków danych nie będą przechowywane w usługach AD DS) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Fixed Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski stałe chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Fixed Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla stałych dysków danych)
Zaznacz pole wyboru Do not enable BitLocker until recovery information is stored in AD DS for fixed drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla stałych dysków danych nie będą przechowywane w usługach AD DS), jeśli chcesz uniemożliwić użytkownikom włączanie funkcji BitLocker, dopóki komputer nie zostanie połączony z domeną i nie zostanie pomyślnie wykonana kopia zapasowa danych odzyskiwania funkcji BitLocker w usługach AD DS.
Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla stałych dysków danych) Enabled Zasada nadrzędna względem kolejnych czterech zasad.
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako stałe woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use Hardware-Based Encryption for Fixed Data Drives (Używanie szyfrowania sprzętowego do stałych dysków danych) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla stałych dysków danych).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako stałe woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use BitLocker Software-Based Encryption on Fixed Data Drives When Hardware Encryption is Not Available (Użyj szyfrowania stałych dysków danych za pomocą oprogramowania w ramach funkcji BitLocker, jeśli szyfrowanie sprzętowe jest niedostępne) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla stałych dysków danych).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako stałe woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego stałych dysków danych) Disabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla stałych dysków danych).
Opcja Restrict encryption algorithms and cipher suites allowed for hardware-based encryption (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego) umożliwia ograniczenie algorytmów szyfrowania, których funkcja BitLocker może używać przy szyfrowaniu sprzętowym. Jeśli algorytm ustawiony dla dysku nie jest dostępny, BitLocker wyłącza szyfrowanie sprzętowe.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives (Konfiguruj określone ustawienia algorytmów i mechanizmów szyfrowania na stałych dyskach danych) 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla stałych dysków danych).
Algorytmy szyfrowania są określane przez identyfikatory OID (Object Identifier, identyfikator obiektu) i oddzielane przecinkami.
Przykładowe identyfikatory OID dla szyfrowania:
  • Identyfikator OID dla standardu AES (Advanced Encryption Standard) 128 w trybie CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • Identyfikator OID dla standardu AES 256 w trybie CBC: 2.16.840.1.101.3.4.1.42
Ustawienia globalne
Default Folder Location to Save Recovery Password (Domyślna lokalizacja folderu do zapisywania hasła odzyskiwania) (Puste) Opcja określa ścieżkę używaną jako domyślna lokalizacja folderu, jeśli użytkownik wybierze opcję zapisania hasła odzyskiwania w folderze. Można wykorzystać w pełni kwalifikowaną ścieżkę lub włączyć do ścieżki zmienne środowiskowe komputera docelowego. Jeśli ścieżka nie jest prawidłowa, Kreator instalacji funkcji BitLocker wyświetli widok folderów najwyższego poziomu komputera.
Encryption Method and Cipher Strength (Metoda szyfrowania i siła szyfrowania) AES256 with Diffuser
Uwaga: Ta zasada nie dotyczy dysków zaszyfrowanych. Dyski zaszyfrowane używają własnego algorytmu, który dysk ustawia podczas partycjonowania.
Enable Organizational Unique Identifiers (Włącz unikatowe identyfikatory organizacyjne) Disabled Zasada nadrzędna względem dwóch kolejnych zasad.
Po ustawieniu opcji Enabled (Włączone) umożliwia konfigurację pola identyfikacyjnego na dyskach chronionych funkcją BitLocker oraz dowolnego dozwolonego pola identyfikacyjnego używanego przez organizację.
Te identyfikatory są przechowywane jako pole identyfikacyjne i dozwolone pole identyfikacyjne. Pole identyfikacyjne umożliwia przypisanie do dysków chronionych funkcją BitLocker unikatowego identyfikatora organizacyjnego. Ten identyfikator jest automatycznie dodawany do nowych dysków chronionych funkcją BitLocker oraz może być aktualizowany na istniejących dyskach chronionych funkcją BitLocker za pomocą narzędzia wiersza poleceń Manage-bde.
Pole identyfikacyjne jest wymagane do zarządzania agentami odzyskiwania danych opartymi na certyfikatach na dyskach chronionych funkcją BitLocker oraz do potencjalnych aktualizacji czytnika BitLocker To Go. BitLocker zarządza i aktualizuje agentów odzyskiwania danych tylko wtedy, gdy pole identyfikacyjne na dysku odpowiada wartości skonfigurowanej w polu identyfikacyjnym. Analogicznie BitLocker aktualizuje czytnik BitLocker To Go tylko wtedy, gdy pole identyfikacyjne na dysku odpowiada wartości skonfigurowanej w polu identyfikacyjnym.
Uwaga: Ustawienie Enable Organizational Unique Identifiers (Włącz unikatowe identyfikatory organizacyjne) może być używane wraz z ustawieniem zasady Deny write access to removable drives not protected by BitLocker (Odmawiaj dostępu do zapisu do dysków wymiennych niechronionych funkcją BitLocker), aby pomóc w kontrolowaniu korzystania z dysków wymiennych w organizacji.
Set Organizational Unique Identifiers (Ustaw unikatowe identyfikatory organizacyjne) (Puste) Zasada podrzędna względem zasady Enable Organizational Unique Identifiers (Włącz unikatowe identyfikatory organizacyjne).
Jest to wartość alfanumeryczna, która pozwala ustawić unikatowy identyfikator dla urządzeń, aby zapewnić zarządzanie nimi przez firmę.
Ten identyfikator jest automatycznie dodawany do nowych dysków chronionych funkcją BitLocker oraz może być aktualizowany na istniejących dyskach chronionych funkcją BitLocker za pomocą narzędzia wiersza poleceń Manage-bde.
Set Allowed Organizational Unique Identifiers (Ustaw dozwolone unikatowe identyfikatory organizacyjne) (Puste) Zasada podrzędna względem zasady Enable Organizational Unique Identifiers (Włącz unikatowe identyfikatory organizacyjne).
Jest to wartość alfanumeryczna, która pozwala ustawić unikatowy identyfikator dla urządzeń, aby zapewnić zarządzanie nimi przez firmę.
Ten identyfikator jest automatycznie dodawany do nowych dysków chronionych funkcją BitLocker oraz może być aktualizowany na istniejących dyskach chronionych funkcją BitLocker za pomocą narzędzia wiersza poleceń Manage-bde.
Uwaga: Zaleca się, aby zasady Set Allowed Organizational Unique Identifiers (Ustaw dozwolone unikatowe identyfikatory organizacyjne) i Set Organizational Unique Identifiers (Ustaw unikatowe identyfikatory organizacyjne) były zgodne, aby uniknąć problemów podczas odzyskiwania.
Prevent Memory Overwrite on Restart (Zapobiegaj zastępowaniu pamięci podczas ponownego uruchamiania komputera) Disabled Po ustawieniu opcji Disabled (Wyłączone), klucze tajne funkcji BitLocker są wymazywane z pamięci. Po ustawieniu opcji Enabled (Włączone), klucze tajne funkcji BitLocker pozostają w pamięci, co może poprawić wydajność, ale klucze tajne funkcji BitLocker są narażone na dodatkowe ryzyko.
Enable Smart Card Certificate Identifier (Włącz identyfikator certyfikatu karty inteligentnej ) Disabled Po ustawieniu opcji Enabled (Włączone) identyfikator obiektu określony w ustawieniu Object identifier (Identyfikator obiektu) w certyfikacie musi być zgodny z identyfikatorem obiektu w zasadzie Smart Card Certificate Identifier (Identyfikator certyfikatu karty inteligentnej).
Smart Card Certificate Identifier (Identyfikator certyfikatu karty inteligentnej) 1.3.6.1.4.1.311.67.1.1 Identyfikator obiektu jest określony w rozszerzonym użyciu klucza (EKU) certyfikatu. Funkcja BitLocker może określić, które certyfikaty mogą być używane do uwierzytelniania certyfikatu użytkownika na dysku chronionym funkcją BitLocker, dopasowując identyfikator obiektu w certyfikacie do identyfikatora obiektu w tym ustawieniu zasad.
Domyślny identyfikator obiektu to 1.3.6.1.4.1.311.67.1.1.
Ustawienia woluminu systemu operacyjnego
Allow Enhanced PINs for Startup (Zezwalaj na używanie rozszerzonych numerów PIN przy uruchamianiu). Disabled Rozszerzone kody PIN przy uruchamianiu pozwalają na użycie znaków (w tym wielkich i małych liter, symboli, cyfr i spacji).
Uwaga: Nie wszystkie komputery obsługują znaki rozszerzonego kodu PIN w środowisku rozruchowym.
Number of Characters Required in PIN (Wymagana liczba znaków w kodzie PIN) 6 Określa minimalną liczbę znaków wymaganych dla środowiska rozruchowego
Uwaga: Minimalna długość kodu PIN funkcji BitLocker została zwiększona do sześciu znaków, począwszy od systemu Windows 10, wersja 1703.
Allow Network Unlock at Startup on Operating System Drives (Zezwalaj na odblokowywanie przez sieć podczas uruchamiania na dyskach z systemem operacyjnym) Disabled Ta zasada kontroluje część zachowań funkcji odblokowania przez sieć w funkcji BitLocker. Ta zasada jest wymagana do włączenia funkcji odblokowania przez sieć funkcji BitLocker, ponieważ pozwala ona klientom z aplikacją BitLocker na utworzenie niezbędnego zabezpieczenia klucza sieciowego podczas szyfrowania.
Więcej informacji na temat włączania funkcji odblokowania przez sieć można znaleźć w https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies..
Allow SecureBoot on Operating System Drives (Zezwalaj na bezpieczny rozruch na dyskach z systemem operacyjnym) Enabled Kontroluje, jak woluminy komputera z włączoną funkcją BitLocker są obsługiwane przez funkcję bezpiecznego rozruchu. Włączenie tej funkcji wymusza sprawdzanie poprawności bezpiecznego rozruchu podczas procesu rozruchu i sprawdza ustawienia Danych konfiguracji rozruchu zgodnie z zasadą Bezpiecznego rozruchu.
Disallow Standard Users from Changing the PIN on Operating System Drives (Nie zezwalaj użytkownikom standardowym na zmienianie numeru PIN na dyskach z systemem operacyjnym) Disabled To ustawienie pozwala skonfigurować, czy standardowi użytkownicy mogą zmieniać PIN lub hasło używane do ochrony dysku systemu operacyjnego.
Po ustawieniu opcji Enabled (Włączone) użytkownicy, którzy nie mają uprawnień administratora lokalnego, nie mogą zmieniać kodu PIN na punkcie końcowym.
Po ustawieniu opcji Disabled (Wyłączone) wszyscy użytkownicy na punkcie końcowym mogą modyfikować rozruchowy kod PIN.
Enable Use of Preboot Keyboard Input on Slates (Włącz korzystanie z danych wejściowych wprowadzanych z klawiatury podczas rozruchu na komputerach typu slate) Enabled Gdy ta opcja jest włączona, umożliwia włączanie opcji uwierzytelniania, które wymagają wprowadzenia danych przez użytkownika ze środowiska przed rozruchem, nawet jeśli platforma wskazuje brak możliwości wprowadzania danych przed rozruchem.
Reset Platform Validation Data After Recovery (Resetuj dane weryfikacji platformy po odzyskaniu) Enabled Po ustawieniu opcji Enabled (Włączone) dane weryfikacji platformy są odświeżane w czasie uruchomiania systemu Windows po przeprowadzeniu odzyskiwania funkcją BitLocker.
Po ustawieniu opcji Disabled (Wyłączone) dane weryfikacji platformy nie są odświeżane po przeprowadzeniu odzyskiwania funkcją BitLocker. Może to powodować konieczność odzyskiwania danych po każdym uruchomieniu systemu, jeśli konfiguracja bazowa platformy uległa zmianie.
Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker) Disabled Zasada nadrzędna względem następnych siedmiu zasad.
Ta opcja umożliwia skonfigurowanie dodatkowych opcji odzyskiwania.
Po ustawieniu opcji Disabled (Wyłączone) odzyskiwanie jest dostępne tylko za pośrednictwem Dell Security Management Server lub Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Operating System Drives (Zezwalaj na używanie agenta odzyskiwania danych w przypadku chronionych dysków z systemem operacyjnym) Enabled Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker).
Pole wyboru Allow data recovery agent (Zezwalaj na używanie agenta odzyskiwania danych) służy do określenia, czy w przypadku dysków systemu operacyjnego chronionych funkcją BitLocker można używać agenta odzyskiwania danych. Zanim użycie agenta odzyskiwania danych jest możliwe należy go dodać z Zasad kluczy publicznych, które znajdują się w Konsoli zarządzania zasadami grupy (GPMC) lub w Edytorze lokalnych zasad grupy.
Aby uzyskać więcej informacji na temat używania agenta odzyskiwania danych do odzyskiwania urządzenia chronionego funkcją BitLocker, należy zapoznać się z tematem: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password (Konfiguruj magazyn użytkownika dla 48-cyfrowego hasła odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z komputera chronionego funkcją BitLocker może nie być możliwe.
Configure User Storage of BitLocker 256-bit Recovery Key (Konfiguruj magazyn użytkownika dla 256-bitowego klucza odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z komputera chronionego funkcją BitLocker może nie być możliwe.
Omit Recovery Options from the BitLocker Setup Wizard (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker).
Wybierz opcję Omit recovery options from the BitLocker setup wizard (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker), aby uniemożliwić użytkownikom określenie opcji odzyskiwania po włączeniu funkcji BitLocker na dysku.
Kiedy opcja Włączone, ustawienie zasad określa opcje odzyskiwania funkcji BitLocker dla dysku.
Save BitLocker Recovery Information to AD DS for Operating System Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla dysków z systemem operacyjnym) Enabled Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker).
Zasada nadrzędna względem dwóch kolejnych zasad:
Opcja Save BitLocker recovery information to Active Directory Domain Services (Zapisz informacje odzyskiwania funkcji BitLocker w usługach domenowych Active Directory) służy do określenia, które informacje odzyskiwania funkcji BitLocker mają być przechowywane w usługach Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS (Informacje odzyskiwania funkcji BitLocker, które mają być przechowywane w usługach AD DS) (tylko Windows Server 2008) Recovery Password and Key Packages (Hasło odzyskiwania i pakiety kluczy) Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Operating System Data Drives (Zapisz informacje o odzyskiwaniu przez BitLocker w AD DS dla dysków z systemem operacyjnym).
Hasło odzyskiwania i pakiety kluczy, hasło odzyskiwania funkcji BitLocker oraz pakiet kluczy są przechowywane w usługach AD DS. Przechowywanie pakietu kluczy umożliwia odzyskanie danych z fizycznie uszkodzonego dysku. W przypadku wybrania opcji Recovery password only (Tylko hasło odzyskiwania), w usługach AD DS przechowywane jest tylko hasło odzyskiwania.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla dysków z systemem operacyjnym nie będą przechowywane w usługach AD DS) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Operating System Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski z systemem operacyjnym chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Operating System Data Drives (Zapisz informacje o odzyskiwaniu przez BitLocker w AD DS dla dysków z systemem operacyjnym).
Zaznacz pole wyboru Do not enable BitLocker until recovery information is stored in AD DS for operating system drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla dysków z systemem operacyjnym nie będą przechowywane w usługach AD DS), jeśli chcesz uniemożliwić użytkownikom włączanie funkcji BitLocker, dopóki komputer nie zostanie podłączony do domeny i nie zostanie pomyślnie wykonana kopia zapasowa danych odzyskiwania BitLocker w usługach AD DS.
Configure Use of Hardware-Based Encryption for Fixed Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla dysków z system operacyjnym) Enabled Zasada nadrzędna względem kolejnych czterech zasad.
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego.

Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use Hardware-Based Encryption for Operating System Drives (Użyj szyfrowania sprzętowego na dyskach z systemem operacyjnym) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Operating System Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla dysków danych z systemem operacyjnym).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego.

Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use BitLocker Software-Based Encryption on Operating System Drives When Hardware Encryption is Not Available (Użyj szyfrowania dysków z systemem operacyjnym za pomocą oprogramowania w ramach funkcji BitLocker, jeśli szyfrowanie sprzętowe jest niedostępne) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Operating System Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla dysków danych z systemem operacyjnym).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego.

Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego dysków z systemem operacyjnym) Disabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Operating System Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla dysków danych z systemem operacyjnym).
Opcja Restrict encryption algorithms and cipher suites allowed for hardware-based encryption (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego) umożliwia ograniczenie algorytmów szyfrowania, których funkcja BitLocker może używać przy szyfrowaniu sprzętowym. Jeśli algorytm ustawiony dla dysku nie jest dostępny, BitLocker wyłącza szyfrowanie sprzętowe.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives (Konfiguruj określone ustawienia algorytmów i mechanizmów szyfrowania na dyskach z systemem operacyjnym) 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Operating System Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla dysków danych z systemem operacyjnym).
Algorytmy szyfrowania są określone przez identyfikatory obiektów (OID) i oddzielone przecinkami
Przykładowe identyfikatory OID dla szyfrowania szyfrów:
  • Identyfikator OID dla standardu AES (Advanced Encryption Standard) 128 w trybie CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • Identyfikator OID dla standardu AES 256 w trybie CBC: 2.16.840.1.101.3.4.1.42
Encryption Type for Operating System Drives (Typ szyfrowania dla dysków z systemem operacyjnym) Full Encryption (Pełne szyfrowanie) Ta zasada kontroluje, czy dyski danych korzystają z szyfrowania tylko w trybie Used Space Only (Tylko zajęte miejsce), czy w trybie Full encryption (Pełne szyfrowanie). Opcja Used Space Only (Tylko zajęte miejsce) jest wymagana dla maszyn wirtualnych chronionych funkcją BitLocker.
Configure Use of Passwords for Operating System Drives (Konfiguruj używanie haseł dla dysków z systemem operacyjnym) Not Configured (Nie skonfigurowano) Ta zasada kontroluje sposób, w jaki komputery bez modułu TPM korzystają z zabezpieczenia hasłem. W połączeniu z zasadą Configure Password Complexity for Operating System Drives (Konfiguruj złożoność hasła dla dysków z systemem operacyjnym), ta zasada pozwala administratorom wymagać długości i złożoności haseł przy korzystaniu z zabezpieczenia hasłem. Domyślnie hasła muszą mieć długość ośmiu znaków.
Po ustawieniu opcji Enabled (Włączone), użytkownicy mogą skonfigurować hasło, które spełnia wymagania określone przez użytkownika.
Jeśli nie skonfigurowano lub wyłączono, domyślne ograniczenie długości wynoszące osiem znaków dotyczy haseł dysków systemu operacyjnego i nie są sprawdzane żadne kontrole złożoności.
Uwaga: Hasła nie mogą być używane, jeśli włączona jest zgodność ze standardem FIPS.
Configure Password Complexity for Operating System Drives (Konfiguruj złożoność hasła dla dysków z systemem operacyjnym) Require (Wymagaj) Po ustawieniu opcji Required (Wymagane) połączenie z kontrolerem Domain Controller jest niezbędne do sprawdzenia złożoności hasła, gdy funkcja BitLocker jest włączona.
Po ustawieniu opcji Allow (Zezwalaj), połączenie z kontrolerem Domain Controller jest podejmowane w celu sprawdzenia, czy złożoność hasła jest zgodna z regułami określonymi w zasadach. Jeśli jednak nie można znaleźć kontrolerów Domain Controller, hasło jest akceptowane niezależnie od jego złożoności, a dysk jest szyfrowany przy użyciu tego hasła jako zabezpieczenia.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj) nie jest przeprowadzane sprawdzanie złożoności hasła.
Minimum Password Length for Operating System Drives (Minimalna długość hasła do dysków z systemem operacyjnym) 8 Ustawia minimalną długość hasła dla dysków chronionych funkcją BitLocker.
Uwaga: Ustawienia te są wymuszane podczas włączania funkcji BitLocker, a nie podczas odblokowywania dysku. Funkcja BitLocker umożliwia odblokowanie dysku za pomocą dowolnego z dostępnych na nim zabezpieczeń.
Require ASCII-Only Passwords for Operating System Drives (Wymagaj haseł zawierających tylko znaki ASCII dla dysków z systemem operacyjnym) Disabled Gdy ta opcja jest włączona, znaki Unicode nie są dozwolone w monicie o hasło na dyskach z systemem operacyjnym.
Po ustawieniu opcji Disabled (Wyłączone) wszystkie znaki są akceptowane.
Use Enhanced Boot Configuration Data Profile (Użyj profilu rozszerzonych danych konfiguracji rozruchu) Nie skonfigurowano (zmiana tej zasady na wartość inną niż "Nie skonfigurowano" może spowodować pojawienie się monitów odzyskiwania, gdy funkcja Hyper-V jest włączona w systemie Windows 10). Zasada nadrzędna względem dwóch kolejnych zasad.
Ta opcja zasady określa specyficzne dane konfiguracji rozruchu do sprawdzenia podczas weryfikacji platformy. Weryfikacja platformy wykorzystuje dane zawarte w profilu weryfikacji platformy, który składa się z indeksów rejestru konfiguracji platformy w zakresie od 0 do 23.
Uwaga: Kiedy BitLocker używa funkcji bezpiecznego rozruchu do weryfikacji platformy i integralności danych konfiguracji rozruchu, ustawienie zasady grupy Use enhanced Boot Configuration Data Profile (Użyj profilu rozszerzonych danych konfiguracji rozruchu) jest ignorowane.
Sprawdź inne ustawienia BCD (Puste) Zasada podrzędna względem zasady Use Enhanced Boot Configuration Data Profile (Użyj profilu rozszerzonych danych konfiguracji rozruchu).
Informacje o dostosowywaniu ustawień danych konfiguracji rozruchu można znaleźć na stronie https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Uwaga: Ustawienie sterujące debugowaniem rozruchu (0x16000010) jest zawsze sprawdzane i nie ma znaczenia, czy znajduje się na liście włączenia czy wykluczenia.
Wykluczanie innych ustawień BCD (Puste) Zasada podrzędna względem zasady Use Enhanced Boot Configuration Data Profile (Użyj profilu rozszerzonych danych konfiguracji rozruchu).
Informacje o dostosowywaniu ustawień danych konfiguracji rozruchu można znaleźć na stronie https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Uwaga: Ustawienie sterujące debugowaniem rozruchu (0x16000010) jest zawsze sprawdzane i nie ma znaczenia, czy znajduje się na liście włączenia czy wykluczenia.
Configure TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM) Disabled Zasada nadrzędna względem zasady Configure Specific TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM).
Po ustawieniu opcji Enabled (Włączone), to ustawienie określa, jakie wartości mierzy moduł TPM podczas sprawdzania komponentów wczesnego rozruchu przed odblokowaniem dysku na komputerze z systemem Windows Vista, Windows Server 2008 lub Windows 7.
Configure Specific TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM) Firma Dell Technologies zaleca stosowanie aktualnych domyślnych PCR firmy Microsoft, chyba że wymagane jest inne rozwiązanie Zasada podrzędna względem zasady Configure TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM).
Profil weryfikacji platformy składa się z indeksów PCR w zakresie od 0 do 23. Domyślny profil weryfikacji platformy zabezpiecza klucz szyfrujący przed zmianami następujących elementów:
  • Główny aparat zaufanych pomiarów (CRTM, Root of Trust of Measurement), system BIOS i rozszerzenia platformy (PCR 0)
  • Kod ROM opcji (PCR 2)
  • Kod głównego rekordu rozruchowego (PCR 4)
  • Sektor rozruchowy NTFS (PCR 8)
  • Blok rozruchowy NTFS (PCR 9)
  • Menedżer rozruchu (PCR 10)
  • Kontrola dostępu za pomocą funkcji BitLocker (PCR 11)
Poniższa lista zawiera wszystkie dostępne PCR:
  • PCR 0: Główny aparat zaufanych pomiarów, usługi rozruchu i czasu wykonywania interfejsu EFI, sterowniki interfejsu EFI osadzone w pamięci ROM komputera, tablice statyczne ACPI, które są osadzonym kodem SMM oraz kod systemu BIOS
  • PCR 1: Konfiguracja i dane platformy i płyty głównej (tabele przekazywania danych i zmienne EFI, które mają wpływ na konfigurację komputera)
  • PCR 2: Kod ROM opcji
  • PCR 3: Dane i konfiguracja ROM opcji
  • PCR 4: Kod głównego rekordu rozruchowego lub kod z innych urządzeń rozruchowych
  • PCR 5: Tabela partycji głównego rekordu rozruchowego. Różne zmienne interfejsu EFI i tabela GPT
  • PCR 6: Zdarzenia dotyczące zmiany stanu i wznowień
  • PCR 7: Informacje specyficzne dla producenta komputerów
  • PCR 8: Sektor rozruchowy NTFS
  • PCR 9: Blok rozruchowy NTFS
  • PCR 10: Menedżer rozruchu
  • PCR 11: Kontrola dostępu za pomocą funkcji BitLocker
  • PCR 12–23: Zarezerwowane do wykorzystania w przyszłości
    Ostrzeżenie: Zmiana domyślnego profilu weryfikacji platformy wpływa na bezpieczeństwo i możliwości zarządzania komputerem. Wrażliwość funkcji BitLocker na modyfikacje platformy (złośliwe lub autoryzowane) jest większa lub mniejsza w zależności od włączenia lub wyłączenia (odpowiednio) poszczególnych PCR.
Configure BIOS TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM systemu BIOS) Disabled Zasada nadrzędna względem zasady Configure Specific BIOS TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM systemu BIOS).
Po ustawieniu opcji Enabled (Włączone) to ustawienie zasady określa, jakie wartości mierzy moduł TPM podczas sprawdzania komponentów wczesnego rozruchu przed odblokowaniem dysku systemu operacyjnego na komputerze z konfiguracją systemu BIOS lub z oprogramowaniem wewnętrznym UEFI z włączonym modułem CSM (Compatibility Support Module).
Configure Specific BIOS TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM systemu BIOS) Firma Dell Technologies zaleca stosowanie aktualnych domyślnych PCR firmy Microsoft, chyba że wymagane jest inne rozwiązanie Zasada podrzędna względem zasady Configure TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM).
Profil weryfikacji platformy składa się z indeksów PCR w zakresie od 0 do 23. Domyślny profil weryfikacji platformy zabezpiecza klucz szyfrujący przed zmianami następujących elementów:
  • Główny aparat zaufanych pomiarów (CRTM, Root of Trust of Measurement), system BIOS i rozszerzenia platformy (PCR 0)
  • Kod ROM opcji (PCR 2)
  • Kod głównego rekordu rozruchowego (PCR 4)
  • Sektor rozruchowy NTFS (PCR 8)
  • Blok rozruchowy NTFS (PCR 9)
  • Menedżer rozruchu (PCR 10)
  • Kontrola dostępu za pomocą funkcji BitLocker (PCR 11)
Poniższa lista zawiera wszystkie dostępne PCR:
  • PCR 0: Główny aparat zaufanych pomiarów, usługi rozruchu i czasu wykonywania interfejsu EFI, sterowniki interfejsu EFI osadzone w pamięci ROM komputera, tablice statyczne ACPI, które są osadzonym kodem SMM oraz kod systemu BIOS
  • PCR 1: Konfiguracja i dane platformy i płyty głównej (tabele przekazywania danych i zmienne EFI, które mają wpływ na konfigurację komputera)
  • PCR 2: Kod ROM opcji
  • PCR 3: Dane i konfiguracja ROM opcji
  • PCR 4: Kod głównego rekordu rozruchowego lub kod z innych urządzeń rozruchowych
  • PCR 5: Tabela partycji głównego rekordu rozruchowego. Różne zmienne interfejsu EFI i tabela GPT
  • PCR 6: Zdarzenia dotyczące zmiany stanu i wznowień
  • PCR 7: Informacje specyficzne dla producenta komputerów
  • PCR 8: Sektor rozruchowy NTFS
  • PCR 9: Blok rozruchowy NTFS
  • PCR 10: Menedżer rozruchu
  • PCR 11: Kontrola dostępu za pomocą funkcji BitLocker
  • PCR 12–23: Zarezerwowane do wykorzystania w przyszłości
    Ostrzeżenie: Zmiana domyślnego profilu weryfikacji platformy wpływa na bezpieczeństwo i możliwości zarządzania komputerem. Wrażliwość funkcji BitLocker na modyfikacje platformy (złośliwe lub autoryzowane) jest większa lub mniejsza w zależności od włączenia lub wyłączenia (odpowiednio) poszczególnych PCR.
Configure UEFI TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM interfejsu UEFI) Disabled Zasada nadrzędna względem zasady Configure Specific UEFI TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM interfejsu UEFI).
Po ustawieniu opcji Enabled (Włączone) to ustawienie określa, jakie wartości mierzy moduł TPM podczas weryfikacji komponentów wczesnego rozruchu przed odblokowaniem dysku systemu operacyjnego na komputerze z natywną konfiguracją oprogramowania wewnętrznego UEFI.
Configure Specific UEFI TPM Platform Settings (Konfiguruj określone ustawienia platformy modułu TPM interfejsu UEFI) Firma Dell Technologies zaleca stosowanie aktualnych domyślnych PCR firmy Microsoft, chyba że wymagane jest inne rozwiązanie Zasada podrzędna względem zasady Configure TPM Platform Validation Profile (Konfiguruj profil weryfikacji platformy modułu TPM).
Profil weryfikacji platformy składa się z indeksów PCR w zakresie od 0 do 23. Domyślny profil weryfikacji platformy zabezpiecza klucz szyfrujący przed zmianami następujących elementów:
  • Główny aparat zaufanych pomiarów (CRTM, Root of Trust of Measurement), system BIOS i rozszerzenia platformy (PCR 0)
  • Kod ROM opcji (PCR 2)
  • Kod głównego rekordu rozruchowego (PCR 4)
  • Sektor rozruchowy NTFS (PCR 8)
  • Blok rozruchowy NTFS (PCR 9)
  • Menedżer rozruchu (PCR 10)
  • Kontrola dostępu za pomocą funkcji BitLocker (PCR 11)
Poniższa lista zawiera wszystkie dostępne PCR:
  • PCR 0: Główny aparat zaufanych pomiarów, usługi rozruchu i czasu wykonywania interfejsu EFI, sterowniki interfejsu EFI osadzone w pamięci ROM komputera, tablice statyczne ACPI, które są osadzonym kodem SMM oraz kod systemu BIOS
  • PCR 1: Tabele przekazywania danych i konfiguracji platformy i płyty głównej oraz zmienne EFI wpływające na konfigurację komputera)
  • PCR 2: Kod ROM opcji
  • PCR 3: Dane i konfiguracja ROM opcji
  • PCR 4: Kod głównego rekordu rozruchowego lub kod z innych urządzeń rozruchowych
  • PCR 5: Tabela partycji głównego rekordu rozruchowego. Różne zmienne interfejsu EFI i tabela GPT
  • PCR 6: Zdarzenia dotyczące zmiany stanu i wznowień
  • PCR 7: Informacje specyficzne dla producenta komputerów
  • PCR 8: Sektor rozruchowy NTFS
  • PCR 9: Blok rozruchowy NTFS
  • PCR 10: Menedżer rozruchu
  • PCR 11: Kontrola dostępu za pomocą funkcji BitLocker
  • PCR 12–23: Zarezerwowane do wykorzystania w przyszłości
    Ostrzeżenie: Zmiana domyślnego profilu weryfikacji platformy wpływa na bezpieczeństwo i możliwości zarządzania komputerem. Wrażliwość funkcji BitLocker na modyfikacje platformy (złośliwe lub autoryzowane) jest większa lub mniejsza w zależności od włączenia lub wyłączenia (odpowiednio) poszczególnych PCR.
     
    Uwaga: Domyślne ustawienia PCR profilu weryfikacji modułu TPM dla komputerów korzystających z interfejsu EFI (Extensible Firmware Interface) to tylko PCR 0, 2, 4 i 11.
Ustawienia magazynu wymiennego
Allow User to Apply BitLocker Protection on Removable Drives (Zezwalaj użytkownikom na stosowanie ochrony funkcją BitLocker na wymiennych dyskach) Enabled Ta opcja umożliwia włączenie funkcji BitLocker w celu ochrony dysków wymiennych.
Gdy ta opcja jest wyłączona, zasada Szyfruj dyski wymienne określa, kiedy funkcja BitLocker chroni dyski wymienne.
Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives (Zezwalaj użytkownikom na wstrzymywanie ochrony funkcją BitLocker i odszyfrowywanie na wymiennych dyskach danych) Enabled Po ustawieniu opcji Enabled (Włączone), użytkownik może usunąć funkcję BitLocker z dysku lub wstrzymać szyfrowanie podczas wykonywania czynności konserwacyjnych.
Gdy ta opcja jest wyłączona, zasada Szyfruj dyski wymienne określa, kiedy funkcja BitLocker chroni dyski wymienne.
Configure Use of Smart Cards on Removable Data Drives (Konfiguruj korzystanie z kart inteligentnych na wymiennych dyskach danych) Disallow (Nie zezwalaj) Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Deny Write Access to Removable Drives Not Protected by BitLocker (Odmawiaj dostępu do zapisu do dysków wymiennych niechronionych funkcją BitLocker) Disabled To ustawienie zasad służy do wymagania, aby dyski wymienne były szyfrowane przed udzieleniem dostępu do zapisu, oraz do kontrolowania, czy dyski wymienne chronione funkcją BitLocker, które zostały skonfigurowane w innej organizacji, mogą być otwierane z dostępem do zapisu.
Kiedy ta opcja jest włączona, urządzenia, które nie są chronione funkcją BitLocker, nie zezwalają na zapisywanie danych na dysku, chociaż dane mogą być odczytywane.
Gdy ta opcja jest wyłączona, urządzenia, które nie są chronione funkcją BitLocker, umożliwiają odczyt i zapis danych.
Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows (Zezwalaj na dostęp do wymiennych dysków danych chronionych funkcją BitLocker ze starszych wersji systemu Windows) Enabled Po ustawieniu opcji Enabled (Włączone) dyski danych sformatowane w systemie plików FAT mogą być odblokowane na komputerach z systemem Windows Server 2008, Windows Vista, Windows XP z dodatkiem SP3 lub Windows XP z dodatkiem SP2, a ich zawartość może być przeglądana. Te systemy operacyjne mają dostęp tylko do odczytu do dysków chronionych funkcją BitLocker.
Po ustawieniu opcji Disabled (Wyłączone) dyski danych sformatowane w systemie plików FAT nie mogą być odblokowane na komputerach z wcześniejszymi wersjami systemu Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives (Nie instaluj czytnika funkcji BitLocker To Go na dyskach wymiennych sformatowanych za pomocą systemu plików FAT) Disabled Po wybraniu tej opcji czytnik funkcji BitLocker To Go nie zostanie instalowany, co uniemożliwi użytkownikom urządzeń ze starszymi wersjami systemu Windows dostęp do dysków chronionych przez funkcję BitLocker.
Configure Use of Passwords for Removable Data Drives (Konfiguruj użycie haseł dla wymiennych dysków danych) Allow Po ustawieniu opcji Required (Wymagane), jest to jedyna opcja dla użytkowników końcowych. Użytkownik końcowy nie otrzymuje żadnego komunikatu w punkcie końcowym.
Po ustawieniu opcji Allow (Zezwalaj), włączone zostaje to ustawienie jako opcja do wyboru dla użytkownika końcowego. Gdy wiele elementów jest ustawionych na "Zezwalaj", użytkownik końcowy widzi pole wyboru, aby dokonać wyboru.
Po ustawieniu opcji Nie zezwalaj ta opcja jest niedostępna i nie można jej wybrać ani w interfejsie użytkownika Dell Encryption, ani w ustawieniach systemu Windows.
Configure Password Complexity for Removable Data Drives (Konfiguruj złożoność hasła dla wymiennych dysków danych) Require (Wymagaj) Po ustawieniu opcji Required (Wymagane) połączenie z kontrolerem Domain Controller jest niezbędne do sprawdzenia złożoności hasła, gdy funkcja BitLocker jest włączona.
Po ustawieniu opcji Allow (Zezwalaj), połączenie z kontrolerem Domain Controller jest podejmowane w celu sprawdzenia, czy złożoność hasła jest zgodna z regułami określonymi w zasadach. Jeśli jednak nie można znaleźć kontrolerów Domain Controller, hasło jest akceptowane niezależnie od jego złożoności, a dysk jest szyfrowany przy użyciu tego hasła jako zabezpieczenia.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj) nie jest przeprowadzane sprawdzanie złożoności hasła.
Minimum Password Length for Removable Data Drives (Minimalna długość hasła dla wymiennych dysków danych) 8 Określa minimalną długość haseł dla woluminów chronionych funkcją BitLocker (to ustawienie wymaga, aby opcja Konfiguruj użycie haseł dla wymiennych dysków danych była ustawiona na Wymagaj lub Zezwalaj)
Encryption Type for Removable Data Drives (Typ szyfrowania dla wymiennych dysków danych) Full Encryption (Pełne szyfrowanie) Ta zasada kontroluje, czy dyski danych korzystają z szyfrowania w trybie Used Space Only (Tylko zajęte miejsce), czy w trybie Full encryption (Pełne szyfrowanie). Opcja Used Space Only (Tylko zajęte miejsce) jest wymagana dla maszyn wirtualnych chronionych funkcją BitLocker.
Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker) Disabled Zasada nadrzędna względem następnych siedmiu zasad.
Ta opcja umożliwia skonfigurowanie dodatkowych opcji odzyskiwania.
Po ustawieniu opcji Disabled (Wyłączone) odzyskiwanie jest dostępne tylko za pośrednictwem Dell Security Management Server lub Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Removable Data Drives (Zezwalaj na używanie agenta odzyskiwania danych do chronionych wymiennych dysków danych) Enabled Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker).
Pole wyboru Allow data recovery agent (Zezwalaj na używanie agenta odzyskiwania danych) służy do określenia, czy w przypadku dysków funkcją BitLocker można używać agenta odzyskiwania danych. Zanim użycie agenta odzyskiwania danych jest możliwe należy go dodać z Zasad kluczy publicznych, które znajdują się w Konsoli zarządzania zasadami grupy (GPMC) lub w Edytorze lokalnych zasad grupy.
Więcej informacji o korzystaniu z agenta odzyskiwania danych do odzyskania urządzenia chronionego funkcją BitLocker, można znaleźć na stronie: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password (Konfiguruj magazyn użytkownika dla 48-cyfrowego hasła odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z dysku chronionego funkcją BitLocker może nie być możliwe.
Configure User Storage of BitLocker 256-bit Recovery Key (Konfiguruj magazyn użytkownika dla 256-bitowego klucza odzyskiwania BitLocker) Allow Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker).
Po ustawieniu opcji Required (Wymagane) wymuszane jest generowanie informacji o odzyskiwaniu za pomocą funkcji BitLocker oraz są one udostępniane administratorom urządzeń.
Po ustawieniu opcji Allow (Zezwalaj), informacje o odzyskiwaniu za pomocą funkcji BitLocker są automatycznie generowane i udostępniane administratorom urządzeń.
Po ustawieniu opcji Do Not Allow (Nie zezwalaj), informacje o odzyskiwaniu za pomocą funckcji BitLocker nie są tworzone.
Uwaga: Po ustawieniu opcji Do Not Allow (Nie zezwalaj) odzyskiwanie danych z dysku chronionego funkcją BitLocker może nie być możliwe.
Omit Recovery Options from the BitLocker Setup Wizard for Removable Media (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker dla nośników wymiennych) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker).
Wybierz opcję Omit recovery options from the BitLocker setup wizard (Usuń opcje odzyskiwania z Kreatora instalacji funkcji BitLocker), aby uniemożliwić użytkownikom określenie opcji odzyskiwania po włączeniu funkcji BitLocker na dysku. Kiedy opcja Włączone, ustawienie zasad określa opcje odzyskiwania funkcji BitLocker dla dysku.
Save BitLocker Recovery Information to AD DS for Removable Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla wymiennych dysków danych) Enabled Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker).
Zasada nadrzędna względem dwóch kolejnych zasad.
Opcja Save BitLocker recovery information to Active Directory Domain Services (Zapisz informacje odzyskiwania funkcji BitLocker w usługach domenowych Active Directory) służy do określenia, które informacje odzyskiwania funkcji BitLocker mają być przechowywane w usługach Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS for Removable Data Drives (Informacje odzyskiwania funkcji BitLocker mają być przechowywane w usługach AD DS dla wymiennych dysków danych Recovery Passwords and Key Packages (Hasła odzyskiwania i pakiety kluczy) Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Removable Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla wymiennych dysków danych).
Hasło odzyskiwania i pakiety kluczy, hasło odzyskiwania funkcji BitLocker oraz pakiet kluczy są przechowywane w usługach AD DS. Przechowywanie pakietu kluczy umożliwia odzyskanie danych z fizycznie uszkodzonego dysku. W przypadku wybrania opcji Recovery password only (Tylko hasło odzyskiwania), w usługach AD DS przechowywane jest tylko hasło odzyskiwania.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla wymiennych dysków danych nie będą przechowywane w usługach AD DS) Disabled Zasada podrzędna względem zasady Choose How BitLocker-protected Removable Drives Can be Recovered (Określ, jak mogą być odzyskiwane dyski wymienne chronione funkcją BitLocker) oraz Save BitLocker Recovery Information to AD DS for Removable Data Drives (Zapisz informacje odzyskiwania funkcji BitLocker w usługach AD DS dla wymiennych dysków danych).
Zaznacz pole wyboru Do not enable BitLocker until recovery information is stored in AD DS for removable drives (Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania dla wymiennych dysków danych nie będą przechowywane w usługach AD DS), jeśli chcesz uniemożliwić użytkownikom włączanie BitLocker, jeśli komputer nie zostanie podłączony do domeny i nie zostanie pomyślnie wykonana kopia zapasowa danych odzyskiwania BitLocker w usługach AD DS.
Configure Use of Hardware-Based Encryption for Removable Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla wymiennych dysków danych) Enabled Zasada nadrzędna względem kolejnych czterech zasad.
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use Hardware-Based Encryption for Removable Data Drives (Użyj szyfrowania sprzętowego na wymiennych dyskach danych) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Removable Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla wymiennych dysków danych).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available (Użyj szyfrowania wymiennych dysków danych za pomocą oprogramowania w ramach funkcji BitLocker, jeśli szyfrowanie sprzętowe jest niedostępne) Enabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Removable Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla wymiennych dysków danych).
Ta zasada kontroluje sposób reakcji funkcji BitLocker na komputery wyposażone w zaszyfrowane dyski, gdy są one używane jako woluminy danych. Użycie szyfrowania sprzętowego może poprawić wydajność operacji na dysku, które wymagają częstego odczytu lub zapisu danych na dysku.
Uwaga: Ustawienie zasady Choose drive encryption method and cipher strength (Wybierz metodę szyfrowania dysków i siłę szyfrowania) nie dotyczy szyfrowania sprzętowego. Włączenie tej zasady na dyskach ze starszym oprogramowaniem wewnętrznym może również narażać na różne luki CVE opisane w: https://www.kb.cert.org/vuls/id/395981/ Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego wymiennych dysków danych) Disabled Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Removable Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla wymiennych dysków danych).
Opcja Restrict encryption algorithms and cipher suites allowed for hardware-based encryption (Ogranicz algorytmy i mechanizmy szyfrowania dozwolone w ramach szyfrowania sprzętowego) umożliwia ograniczenie algorytmów szyfrowania, których funkcja BitLocker może używać przy szyfrowaniu sprzętowym. Jeśli algorytm ustawiony dla dysku nie jest dostępny, BitLocker wyłącza szyfrowanie sprzętowe.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives (Konfiguruj określone ustawienia algorytmów i mechanizmów szyfrowania na wymiennych dyskach danych) 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Zasada podrzędna względem zasady Configure Use of Hardware-Based Encryption for Removable Data Drives (Konfiguruj używanie szyfrowania sprzętowego dla wymiennych dysków danych).
Algorytmy szyfrowania są określane identyfikatorami obiektów (OID) i rozdzielane przecinkami.
Przykładowe identyfikatory OID dla szyfrowania:
  • Identyfikator OID dla standardu AES (Advanced Encryption Standard) 128 w trybie CBC (Cipher Block Chaining): 2.16.840.1.101.3.4.1.2
  • Identyfikator OID dla standardu AES 256 w trybie CBC: 2.16.840.1.101.3.4.1.42
Uwaga: Więcej informacji na temat tych zasad można znaleźć w przewodniku bazy wiedzy dotyczącym zasad BitLocker firmy Microsoft na stronie https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies..

Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.