Рекомендованные Dell политики для Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (ранее Dell Data Protection | BitLocker Manager) обеспечивает защиту и безопасность, используя интегрированный протокол полного шифрования тома Microsoft, который обычно называют BitLocker. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Затронутые продукты:

  • Dell Encryption Enterprise BitLocker Manager
  • Dell Data Protection | BitLocker Manager

Они обеспечивают механизм полного шифрования тома и множество сценариев для защиты операционной системы, а также защиту цикла загрузки от атак.

Dell предоставляет единую панель управления устройствами, защищенными с помощью BitLocker, а также широкие возможности создания отчетов о защите этих устройств.

Примечание. Чтобы просмотреть текущее состояние защиты среды, используйте запись на панели управления в Dell Encryption (ранее Dell Data Protection | Encryption).

Чтобы задать политику шифрования BitLocker, Dell рекомендует выполнить следующие действия.

  1. Перейдите в раздел Enterprise.
  2. Выберите BitLocker Encryption.
    Выберите BitLocker Encryption
  3. Чтобы просмотреть все настройки, нажмите Show advanced settings.
    Нажмите «Show Advanced settings»

Предлагаются следующие настройки:

Примечание. Последнее обновление этой статьи — ноябрь 2019 г. Политики предназначены для Dell Security Management Server v10.2.9.
Политика Рекомендуемая настройка Dell Описание политики
BitLocker Encryption Вкл Включение и отключение подключаемого модуля BitLocker Manager (этот подключаемый модуль необходим для правильного применения всех политик Dell BitLocker Manager).
TPM Manager Enabled Вкл Включение и отключение подключаемого модуля управления TPM (этот подключаемый модуль активирует TPM, если он включен, но не активирован должным образом)
Disable Sleep Mode Выкл Если эта функция включена, во время шифрования устройство не может переходить в какой-либо спящий режим.
Encrypt System Drive Turn On Encryption Если задано значение Do Not Manage, локальные администраторы устройств могут изменять BitLocker.
При выборе значения Turn On Encryption шифрование тома выполняется принудительно, и локальные администраторы не могут изменить его.
При выборе значения Turn Off Encryption выполняется принудительное дешифрование тома, и локальные администраторы не могут изменить его.
Encrypt Fixed Drives Do Not Manage Если задано значение Do Not Manage, локальные администраторы устройств могут изменять BitLocker.
При выборе значения Turn On Encryption шифрование тома выполняется принудительно, и локальные администраторы не могут изменить его.
При выборе значения Turn Off Encryption выполняется принудительное дешифрование тома, и локальные администраторы не могут изменить его.
Encrypt Removable Drives Do Not Manage Если задано значение Do Not Manage, локальные администраторы устройств могут изменять BitLocker.
При выборе значения Turn On Encryption шифрование тома выполняется принудительно, и локальные администраторы не могут изменить его.
При выборе значения Turn Off Encryption выполняется принудительное дешифрование тома, и локальные администраторы не могут изменить его.
Require other Authentication at System Startup. Enabled Это свойство позволяет включить следующие пять политик и определенные средства защиты на управляемых конечных точках.
Allow BitLocker Encryption Without a Compatible TPM. Enabled Если установлено значение «Enabled», обеспечивается поддержка более старых моделей TPM и возможность передачи ключей BitLocker на USB на устройствах без TPM.
Configure TPM Startup Обязательно Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Configure TPM Startup PIN Do Not Allow Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Configure TPM Startup Key Do Not Allow Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Configure TPM Startup Key and PIN Do Not Allow Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Disable BitLocker on Self-Encrypting Drives Disabled Если установлено значение Enable, то при обнаружении самошифруемого диска (SED) BitLocker не защищает конечную точку.
Установка для этой политики значения Disabled позволяет BitLocker защищать конечную точку независимо от возможностей диска.
Политика Рекомендуемая настройка Dell Описание политики
Фиксированные настройки тома данных
Configure the Use of Smart Cards on Fixed Data Drives Disallow Эта политика отображает параметры защиты фиксированного (не тома операционной системы) диска, если для параметра «Encrypt Fixed Disks» задано значение «Turn On Encryption».
Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Disallow, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Deny Write Access to Fixed Drives Not Protected by BitLocker Disabled С помощью этого параметра политики можно установить, требуется ли защита BitLocker для записи на накопители с фиксированными данными на компьютере.
Если установлено значение Disabled, все накопители с фиксированными данными на компьютере монтируются с доступом для чтения и записи.
При выборе значения Enabled пользователи получают сообщения об ошибках «Access denied» при попытке сохранения данных на незашифрованные накопители с фиксированными данными.
Если задано значение Включено для организации, пользователи устройств только с идентификатором организации, заданным в политике, получают сообщения об ошибках «Access denied» при попытке сохранения данных на незашифрованные накопители с фиксированными данными. Для остальных устройств все накопители с фиксированными данными смонтированы на компьютер с доступом для чтения и записи.
Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows Enabled Если установлено значение Enabled, накопители с данными, отформатированные в файловой системе FAT, можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), и их содержимое можно просмотреть. Эти операционные системы имеют доступ только для чтения к накопителям, защищенным BitLocker.
Если задано значение Disabled, накопители с данными, отформатированные в файловой системе FAT, не могут быть разблокированы на компьютерах с более ранними версиями Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives Disabled Если этот параметр выбран, программа BitLocker To Go Reader не будет установлена, что не позволит пользователям устройств с более старыми версиями Windows получать доступ к накопителям, защищенным BitLocker.
Configure Use of Passwords for Fixed Data Drives Allow Эта политика отображает параметры защиты фиксированного (не тома операционной системы) диска, если для параметра «Encrypt Fixed Disks» задано значение «Turn On Encryption».
Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Disallow, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Configure Password Complexity for Fixed Data Drives Required Если установлено значение Required, необходимо подключение к контроллеру домена для проверки сложности пароля при включении BitLocker.
Если установлено значение Allow, выполняется попытка подключения к контроллеру домена для проверки соответствия сложности правилам, установленным политикой. Однако если контроллеры домена не найдены, пароль принимается независимо от сложности пароля, и диск шифруется с помощью этого пароля в качестве защиты.
Если установлено значение Do Not Allow, проверка сложности пароля не выполняется.
Minimum Password Length for Fixed Data Drives 8 Задает минимальную длину паролей для фиксированных томов с защитой BitLocker (для этого параметра требуется, чтобы для параметра Configure Use of Passwords for Fixed Data Drives было установлено значение Require или Allow)
Encryption Type for Fixed Data Drives Full Encryption Эта политика определяет, используют ли накопители с фиксированными данными шифрование Used Space Only или Full encryption. Used Space Only требуется для виртуальных машин, которые защищены с помощью Bit Locker.
Choose How BitLocker-protected Fixed Drives Can be Recovered Disabled Родительский элемент для следующих семи политик.
Если установлено значение Enabled, можно настраивать дополнительные параметры восстановления.
Если установлено значение Disabled, восстановление доступно только через Dell Security Management Server или Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Fixed Data Drives Disabled Дочерний элемент политики «Choose How BitLocker-protected Fixed Drives Can be Recovered»
Флажок «Allow data recovery agent» используется, чтобы указать, можно ли использовать агент восстановления данных на защищенных с помощью BitLocker накопителях. Перед использованием агента восстановления данных его необходимо добавить из политик открытого ключа, которые находятся в консоли управления групповой политикой (GPMC) или в редакторе локальной групповой политики.
Дополнительные сведения о том, как можно использовать агент восстановления данных для восстановления устройства, защищенного BitLocker, см. в следующей статье: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Дочерний элемент политики Choose How BitLocker-protected Fixed Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение «Do Not Allow», восстановление компьютера, защищенного с помощью BitLocker, может быть невозможно.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Дочерний элемент политики Choose How BitLocker-protected Fixed Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение «Do Not Allow», восстановление компьютера, защищенного с помощью BitLocker, может быть невозможно.
Omit Recovery Options from the BitLocker Setup Wizard Disabled Дочерний элемент политики Choose How BitLocker-protected Fixed Drives Can be Recovered.
Выберите Omit recovery options from the BitLocker setup wizard, чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на накопителе. Если установлено значение Enabled, параметр политики определяет параметры восстановления BitLocker.
Save BitLocker Recovery Information to AD DS for Fixed Data Drives Enabled Дочерний элемент политики Choose How BitLocker-protected Fixed Drives Can be Recovered.
Родительский элемент для следующих двух политик.
Save BitLocker recovery information to Active Directory Domain Services, выберите информацию о восстановлении BitLocker для хранения в Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS Recovery Passwords and Key Packages Дочерний элемент политик Choose How BitLocker-protected Fixed Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Fixed Data Drives.
Recovery password and key packages, пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Сохранение пакета ключей поддерживает восстановление данных с физически поврежденного накопителя. Если выбрано Recovery password only, в AD DS сохраняется только пароль восстановления.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives Disabled Дочерний элемент политик Choose How BitLocker-protected Fixed Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Fixed Data Drives.
Установите флажок Do not enable BitLocker until recovery information is stored in AD DS for fixed drives, если вы не хотите, чтобы пользователи активировали BitLocker, пока компьютер не будет подключен к домену и не будет успешно выполнено резервное копирование информации о восстановлении BitLocker в AD DS.
Configure Use of Hardware-Based Encryption for Fixed Data Drives Enabled Родительский элемент для следующих четырех политик.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов с фиксированными данными. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use Hardware-Based Encryption for Fixed Data Drives Enabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов с фиксированными данными. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use BitLocker Software-Based Encryption on Fixed Data Drives When Hardware Encryption is Not Available Enabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов с фиксированными данными. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives Disabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Параметр Restrict encryption algorithms and cipher suites allowed for hardware-based encryption позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для накопителя, недоступен, BitLocker отключает использование аппаратного шифрования.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Дочерний элемент политики Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Алгоритмы шифрования определяются идентификаторами объектов (OID) и разделяются запятыми.
Пример идентификаторов OID для кодов шифрования:
  • OID Advanced Encryption Standard (AES) 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • OID AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Глобальные настройки
Default Folder Location to Save Recovery Password (Пустой) Если этот параметр установлен, укажите путь, который используется в качестве папки по умолчанию, когда пользователь выбирает сохранение пароля восстановления в папке. Можно использовать полный путь или включить в него переменные среды целевого компьютера. Если путь недействителен, мастер установки BitLocker отобразит вид папки верхнего уровня на компьютере.
Encryption Method and Cipher Strength AES256 with Diffuser
Примечание. Эта политика не применяется к зашифрованным накопителям. Зашифрованные накопители используют собственный алгоритм, который устанавливается во время разбиения на разделы.
Enable Organizational Unique Identifiers Disabled Родительский элемент для следующих двух политик.
Если установлено значение Enabled, позволяет настроить поле идентификации на накопителях, защищенных BitLocker, и любое разрешенное поле идентификации, которое используется организацией.
Эти идентификаторы сохраняются как поле идентификации и разрешенное поле идентификации. Поле идентификации позволяет связать уникальный организационный идентификатор с накопителями, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые накопители, защищенные BitLocker, и его можно обновить на существующих накопителях, защищенных BitLocker, с помощью инструмента командной строки Manage-bde.
Поле идентификации требуется для управления агентами восстановления данных на основе сертификатов на накопителях, защищенных с помощью BitLocker, и для потенциальных обновлений BitLocker To Go Reader. BitLocker управляет и обновляет агенты восстановления данных только в том случае, если поле идентификации на накопителе соответствует значению, заданному в поле идентификации. Аналогичным образом BitLocker обновляет BitLocker To Go Reader, только если поле идентификации на накопителе совпадает со значением, настроенным в поле идентификации.
Примечание. Параметр Enable Organizational Unique Identifiers можно использовать с политикой Deny write access to removable drives not protected by BitLocker, чтобы помочь управлять использованием съемных накопителей в организации.
Set Organizational Unique Identifiers (Пустой) Дочерний элемент политики Enable Organizational Unique Identifiers.
Это буквенно-цифровое значение, которое позволяет задать уникальный идентификатор для управления устройствами компании.
Этот идентификатор автоматически добавляется на новые накопители, защищенные BitLocker, и его можно обновить на существующих накопителях, защищенных BitLocker, с помощью инструмента командной строки Manage-bde.
Set Allowed Organizational Unique Identifiers (Пустой) Дочерний элемент политики Enable Organizational Unique Identifiers.
Это буквенно-цифровое значение, которое позволяет задать уникальный идентификатор для управления устройствами компании.
Этот идентификатор автоматически добавляется на новые накопители, защищенные BitLocker, и его можно обновить на существующих накопителях, защищенных BitLocker, с помощью инструмента командной строки Manage-bde.
Примечание. Рекомендуется установить одинаковые значения для политик Set Allowed Organizational Unique Identifiers и Set Organizational Unique Identifiers, чтобы избежать проблем во время восстановления.
Prevent Memory Overwrite on Restart Disabled Если установлено значение Disabled, секреты BitLocker удаляются из памяти. Если установлено значение Enabled, секреты BitLocker остаются в памяти, что может повысить производительность, хотя секреты BitLocker подвергаются дополнительному риску.
Enable Smart Card Certificate Identifier Disabled Если установлено значение Enabled, идентификатор объекта, указанный в параметре Object identifier сертификата, должен совпадать с идентификатором объекта в политике Smart Card Certificate Identifier.
Smart Card Certificate Identifier 1.3.6.1.4.1.311.67.1.1 Идентификатор объекта указывается в расширенном использовании ключа (EKU) сертификата. BitLocker может определить, какие сертификаты можно использовать для проверки подлинности сертификата пользователя на накопителе, защищенном BitLocker, путем сопоставления идентификатора объекта в сертификате с идентификатором объекта в этом параметре политики.
Идентификатор объекта по умолчанию: 1.3.6.1.4.1.311.67.1.1.
Настройки тома операционной системы
Allow Enhanced PINs for Startup. Disabled Улучшенные PIN-коды запуска позволяют использовать символы (включая буквы верхнего и нижнего регистра, специальные символы, цифры и пробелы).
Примечание. Не все компьютеры поддерживают улучшенные PIN-коды в предзагрузочной среде.
Number of Characters Required in PIN 6 Определяет минимальное количество символов, необходимое для предзагрузочной среды.
Примечание. Минимальная длина PIN-кода BitLocker увеличена до шести символов, начиная с Windows 10, версия 1703.
Allow Network Unlock at Startup on Operating System Drives Disabled Эта политика управляет частью поведения функции разблокировки по сети в BitLocker. Эта политика необходима для включения BitLocker Network Unlock в сети, так как она позволяет клиентам, на которых работает BitLocker, создавать необходимый сетевой ключ защиты во время шифрования.
Для получения дополнительной информации о включении Network Unlock см.: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..
Allow SecureBoot on Operating System Drives Enabled Управляет тем, как тома компьютера с поддержкой BitLocker обрабатываются с помощью функции безопасной загрузки. Включение этой функции принудительно выполняет проверку безопасной загрузки в процессе загрузки и проверяет настройки данных конфигурации загрузки (BCD) в соответствии с политикой безопасной загрузки.
Disallow Standard Users from Changing the PIN on Operating System Drives Disabled Эта настройка политики позволяет выбрать, разрешено ли стандартным пользователям изменять PIN-код или пароль, используемый для защиты накопителя операционной системы.
Если установлено значение Enabled, пользователи, не имеющие прав локального администратора, не могут изменить PIN-код на конечной точке.
Если установлено значение Disabled, то все пользователи на конечной точке могут изменить предзагрузочный PIN-код.
Enable Use of Preboot Keyboard Input on Slates Enabled Если установлено значение Enabled, пользователи могут включить параметры аутентификации, которые требуют ввода данных пользователем из предзагрузочной среды, даже если платформа указывает на отсутствие возможности ввода данных до загрузки.
Reset Platform Validation Data After Recovery Enabled Если установлено значение Enabled, данные проверки платформы обновляются при запуске Windows после восстановления BitLocker.
Если установлено значение Disabled, данные проверки платформы не обновляются после восстановления BitLocker. Это может привести к восстановлению после каждой загрузки, если базовая конфигурация платформы была изменена.
Choose How BitLocker-protected Operating System Drives Can be Recovered Disabled Родительский элемент для следующих семи политик.
Если установлено значение Enabled, можно настраивать дополнительные параметры восстановления.
Если установлено значение Disabled, восстановление доступно только через Dell Security Management Server или Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Operating System Drives Enabled Дочерний элемент политики Choose How BitLocker-protected Operating System Drives Can be Recovered.
Флажок Allow data recovery agent используется для указания возможности использования агента восстановления данных с накопителями операционной системы, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из политик открытого ключа, которые находятся в консоли управления групповой политикой (GPMC) или в редакторе локальной групповой политики.
Дополнительные сведения о том, как можно использовать агент восстановления данных для восстановления устройства, защищенного BitLocker, см. в статье: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Дочерний элемент политики Choose How BitLocker-protected Operating System Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение Do Not Allow, восстановление компьютера, защищенного с помощью BitLocker, может быть невозможно.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Дочерний элемент политики Choose How BitLocker-protected Operating System Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение Do Not Allow, восстановление компьютера, защищенного с помощью BitLocker, может быть невозможно.
Omit Recovery Options from the BitLocker Setup Wizard Disabled Дочерний элемент политики Choose How BitLocker-protected Operating System Drives Can be Recovered.
Выберите Omit recovery options from the BitLocker setup wizard, чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на накопителе.
Если установлено значение Enabled, параметр политики определяет параметры восстановления BitLocker для накопителя.
Save BitLocker Recovery Information to AD DS for Operating System Drives Enabled Дочерний элемент политики Choose How BitLocker-protected Operating System Drives Can be Recovered.
Родительский элемент для следующих двух политик.
Save BitLocker recovery information to Active Directory Domain Services, выберите информацию о восстановлении BitLocker для хранения в Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS (Windows Server 2008 Only) Recovery Password and Key Packages Дочерний элемент политик Choose How BitLocker-protected Operating System Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Operating System Data Drives.
Recovery password and key packages, пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Сохранение пакета ключей поддерживает восстановление данных с физически поврежденного накопителя. Если выбрано «Recovery password only», в AD DS сохраняется только пароль восстановления.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives Disabled Дочерний элемент политик Choose How BitLocker-protected Operating System Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Operating System Data Drives.
Установите флажок Do not enable BitLocker until recovery information is stored in AD DS for operating system drives, если вы не хотите, чтобы пользователи активировали BitLocker, пока компьютер не будет подключен к домену и не будет успешно выполнено резервное копирование информации о восстановлении BitLocker в AD DS.
Configure Use of Hardware-Based Encryption for Operating System Drives Enabled Родительский элемент для следующих четырех политик.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию.

Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use Hardware-Based Encryption for Operating System Drives Enabled Дочерний элемент политики «Configure Use of Hardware-Based Encryption for Operating System Data Drives».
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию.

Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use BitLocker Software-Based Encryption on Operating System Drives When Hardware Encryption is Not Available Enabled Дочерний элемент политики «Configure Use of Hardware-Based Encryption for Operating System Data Drives».
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию.

Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives Disabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Параметр Restrict encryption algorithms and cipher suites allowed for hardware-based encryption позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для накопителя, недоступен, BitLocker отключает использование аппаратного шифрования.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Дочерний элемент политики Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Алгоритмы шифрования указываются идентификаторами объектов (OID) и разделяются запятыми
Примеры идентификаторов OID для кодов шифрования:
  • OID Advanced Encryption Standard (AES) 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • OID AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Encryption Type for Operating System Drives Full Encryption Эта политика определяет, используют ли накопители данных шифрование Used Space Only или Full encryption. Used Space Only требуется для виртуальных машин, которые защищены с помощью BitLocker.
Configure Use of Passwords for Operating System Drives Not Configured Эта политика определяет, как компьютеры без TPM используют защиту паролем. Используется вместе с политикой Configure Password Complexity for Operating System Drives и позволяет администраторам устанавливать требования к длине и сложности пароля для использования защиты паролем. По умолчанию пароли должны состоять из восьми символов.
Если установлено значение Enabled, пользователи могут настроить пароль, соответствующий установленным требованиям.
Если установлено значение Не настроено или Отключено, для паролей накопителей операционной системы применяется ограничение длины по умолчанию в восемь символов, и проверки сложности не выполняются.
Примечание. Пароли не могут использоваться, если включен комплаенс FIPS.
Configure Password Complexity for Operating System Drives Required Если установлено значение Required, необходимо подключение к контроллеру домена для проверки сложности пароля при включении BitLocker.
Если установлено значение Allow, выполняется попытка подключения к контроллеру домена для проверки соответствия сложности правилам, установленным политикой. Однако если контроллеры домена не найдены, пароль принимается независимо от сложности пароля, и диск шифруется с помощью этого пароля в качестве защиты.
Если установлено значение Do Not Allow, проверка сложности пароля не выполняется.
Minimum Password Length for Operating System Drives 8 Задает минимальную длину пароля для накопителей, защищенных с помощью BitLocker.
Примечание. Эти параметры применяются при включении BitLocker, а не при разблокировании накопителя. BitLocker позволяет разблокировать накопитель с помощью любого из средств защиты, доступных на накопителе.
Require ASCII-Only Passwords for Operating System Drives Disabled Если установлено значение Enabled, символы Юникода не допускаются в запросе пароля для накопителей операционной системы.
Если установлено значение Disabled, принимаются все символы.
Use Enhanced Boot Configuration Data Profile Не настроено (изменение этой политики на значение, отличное от «Не настроено», может привести к появлению запросов на восстановление при включении функции Hyper-V в Windows 10). Родительский элемент для следующих двух политик.
Эта настройка политики определяет конкретные параметры данных конфигурации загрузки (BCD), которые необходимо проверить во время проверки платформы. При проверке платформы используются данные в профиле проверки платформы, который состоит из индексов реестра конфигурации платформы (PCR) в диапазоне от 0 до 23.
Примечание. Если BitLocker использует безопасную загрузку для проверки целостности данных платформы и конфигурации загрузки, настройка групповой политики Use enhanced Boot Configuration Data Profile игнорируется.
Проверка других параметров BCD (Пустой) Дочерний элемент Use Enhanced Boot Configuration Data Profile.
Для получения информации о настройке параметров BCD см. https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker. Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Примечание. Настройка, управляющая отладкой загрузки (0x16000010), всегда проверяется и не работает, если добавлена в список включения или исключения.
Исключить другие настройки BCD (Пустой) Дочерний элемент Use Enhanced Boot Configuration Data Profile.
Для получения информации о настройке параметров BCD см. https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker. Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Примечание. Настройка, управляющая отладкой загрузки (0x16000010), всегда проверяется и не работает, если добавлена в список включения или исключения.
Configure TPM Platform Validation Profile Disabled Родительский элемент для «Configure Specific TPM Platform Settings».
Если установлено значение Enabled, эта настройка политики определяет, какие значения измеряет TPM при проверке компонентов начальной загрузки перед разблокировкой накопителя на компьютере под управлением Windows Vista, Windows Server 2008 или Windows 7.
Configure Specific TPM Platform Settings Dell Technologies рекомендует использовать текущие стандартные PCR корпорации Microsoft, если не требуется иное. Дочерний элемент Configure TPM Platform Validation Profile.
Профиль валидации платформы состоит из индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений следующих параметров:
  • Центральный корень доверия измерения (CRTM), BIOS и расширения платформы (PCR 0)
  • Код дополнительного ПЗУ (PCR 2)
  • Код главной загрузочной записи (MBR) (PCR 4)
  • Загрузочный сектор NTFS (PCR 8)
  • Загрузочный блок NTFS (PCR 9)
  • Диспетчер загрузки (PCR 10)
  • Контроль доступа BitLocker (PCR 11)
В следующем списке перечислены все доступные PCR:
  • PCR 0. Центральный корень доверия для измерений; службы загрузки EFI и запуска; драйверы EFI, встроенные в ПЗУ компьютера; статические таблицы ACPI, которые содержат встроенный код SMM; код BIOS.
  • PCR 1. Конфигурация и данные платформы и системной платы (таблицы передачи и переменные EFI, влияющие на конфигурацию компьютера)
  • PCR 2. Код дополнительного ПЗУ.
  • PCR 3. Данные и конфигурация дополнительного ПЗУ.
  • PCR 4. Код главной загрузочной записи (MBR) или код от других загрузочных устройств.
  • PCR 5. Таблица разделов основной загрузочной записи (MBR). Различные переменные EFI и таблица GPT.
  • PCR 6. События перехода состояния и пробуждения.
  • PCR 7. Зависит от производителя компьютера.
  • PCR 8. Загрузочный сектор NTFS.
  • PCR 9. Загрузочный блок NTFS.
  • PCR 10. Диспетчер загрузки.
  • PCR 11. Контроль доступа BitLocker.
  • PCR 12–23. Зарезервировано для использования в будущем.
    Предупреждение! Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Configure BIOS TPM Platform Validation Profile Disabled Родительский элемент для Configure Specific BIOS TPM Platform Settings.
Если установлено значение Enabled, этот параметр политики определяет, какие значения измеряет TPM при проверке компонентов начальной загрузки перед разблокировкой накопителя операционной системы на компьютере с конфигурацией BIOS или с микропрограммой UEFI с включенным модулем поддержки совместимости (CSM).
Configure Specific BIOS TPM Platform Settings Dell Technologies рекомендует использовать текущие стандартные PCR корпорации Microsoft, если не требуется иное. Дочерний элемент Configure TPM Platform Validation Profile.
Профиль валидации платформы состоит из индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений следующих параметров:
  • Центральный корень доверия измерения (CRTM), BIOS и расширения платформы (PCR 0)
  • Код дополнительного ПЗУ (PCR 2)
  • Код главной загрузочной записи (MBR) (PCR 4)
  • Загрузочный сектор NTFS (PCR 8)
  • Загрузочный блок NTFS (PCR 9)
  • Диспетчер загрузки (PCR 10)
  • Контроль доступа BitLocker (PCR 11)
В следующем списке перечислены все доступные PCR:
  • PCR 0. Центральный корень доверия для измерений; службы загрузки EFI и запуска; драйверы EFI, встроенные в ПЗУ компьютера; статические таблицы ACPI, которые содержат встроенный код SMM; код BIOS.
  • PCR 1. Конфигурация и данные платформы и системной платы (таблицы передачи и переменные EFI, влияющие на конфигурацию компьютера)
  • PCR 2. Код дополнительного ПЗУ.
  • PCR 3. Данные и конфигурация дополнительного ПЗУ.
  • PCR 4. Код главной загрузочной записи (MBR) или код от других загрузочных устройств.
  • PCR 5. Таблица разделов основной загрузочной записи (MBR). Различные переменные EFI и таблица GPT.
  • PCR 6. События перехода состояния и пробуждения.
  • PCR 7. Зависит от производителя компьютера.
  • PCR 8. Загрузочный сектор NTFS.
  • PCR 9. Загрузочный блок NTFS.
  • PCR 10. Диспетчер загрузки.
  • PCR 11. Контроль доступа BitLocker.
  • PCR 12–23. Зарезервировано для использования в будущем.
    Предупреждение! Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
Configure UEFI TPM Platform Validation Profile Disabled Родительский элемент для Configure Specific UEFI TPM Platform Settings.
Если установлено значение Enabled, этот параметр политики определяет, какие значения измеряет TPM при проверке компонентов начальной загрузки перед разблокировкой накопителя операционной системы на компьютере с конфигурациями микропрограммы UEFI.
Configure Specific UEFI TPM Platform Settings Dell Technologies рекомендует использовать текущие стандартные PCR корпорации Microsoft, если не требуется иное. Дочерний элемент Configure TPM Platform Validation Profile.
Профиль валидации платформы состоит из индексов PCR в диапазоне от 0 до 23. Профиль проверки платформы по умолчанию защищает ключ шифрования от изменений следующих параметров:
  • Центральный корень доверия измерения (CRTM), BIOS и расширения платформы (PCR 0)
  • Код дополнительного ПЗУ (PCR 2)
  • Код главной загрузочной записи (MBR) (PCR 4)
  • Загрузочный сектор NTFS (PCR 8)
  • Загрузочный блок NTFS (PCR 9)
  • Диспетчер загрузки (PCR 10)
  • Контроль доступа BitLocker (PCR 11)
В следующем списке перечислены все доступные PCR:
  • PCR 0. Центральный корень доверия для измерений; службы загрузки EFI и запуска; драйверы EFI, встроенные в ПЗУ компьютера; статические таблицы ACPI, которые содержат встроенный код SMM; код BIOS.
  • PCR 1. Конфигурации платформы и системной платы, таблицы передачи данных и переменные EFI, влияющие на конфигурацию компьютера.)
  • PCR 2. Код дополнительного ПЗУ.
  • PCR 3. Данные и конфигурация дополнительного ПЗУ.
  • PCR 4. Код главной загрузочной записи (MBR) или код от других загрузочных устройств.
  • PCR 5. Таблица разделов основной загрузочной записи (MBR). Различные переменные EFI и таблица GPT.
  • PCR 6. События перехода состояния и пробуждения.
  • PCR 7. Зависит от производителя компьютера.
  • PCR 8. Загрузочный сектор NTFS.
  • PCR 9. Загрузочный блок NTFS.
  • PCR 10. Диспетчер загрузки.
  • PCR 11. Контроль доступа BitLocker.
  • PCR 12–23. Зарезервировано для использования в будущем.
    Предупреждение! Изменение профиля проверки платформы по умолчанию влияет на безопасность и управляемость компьютера. Чувствительность BitLocker к изменениям платформы (вредоносным или авторизованным) увеличивается или уменьшается в зависимости от включения или исключения (соответственно) PCR.
     
    Примечание. По умолчанию в профиле проверки TPM для компьютеров, использующих расширенный интерфейс микропрограммы (EFI), установлены только значения PCR 0, 2, 4 и 11.
Настройки съемного хранилища
Allow User to Apply BitLocker Protection on Removable Drives Enabled Если установлено значение Enabled, позволяет пользователю включить BitLocker для защиты съемных накопителей.
Если установлено значение Disabled, политика Encrypt Removable Drives управляет, когда BitLocker защищает съемные диски.
Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives Enabled Если установлено значение Enabled, позволяет пользователю удалить BitLocker с накопителя или приостановить шифрование на время выполнения обслуживания.
Если установлено значение Disabled, политика Encrypt Removable Drives управляет, когда BitLocker защищает съемные диски.
Configure Use of Smart Cards on Removable Data Drives Disallow Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Deny Write Access to Removable Drives Not Protected by BitLocker Disabled Эта настройка политики используется для того, чтобы шифрование съемных накопителей требовалось перед предоставлением доступа для записи, а также для управления открытием с доступом для записи съемных накопителей, защищенных BitLocker, которые были настроены в другой организации.
Если установлено значение Enabled, устройства, не защищенные BitLocker, не позволяют записывать данные на диск, хотя их можно считать.
Если установлено значение Disabled, устройства, не защищенные BitLocker, разрешают чтение и запись данных.
Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows Enabled Если установлено значение Enabled, накопители с данными, отформатированные в файловой системе FAT, можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), и их содержимое можно просмотреть. Эти операционные системы имеют доступ только для чтения к накопителям, защищенным BitLocker.
Если задано значение Disabled, накопители с данными, отформатированные в файловой системе FAT, не могут быть разблокированы на компьютерах с более ранними версиями Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives Disabled Если этот параметр выбран, программа BitLocker To Go Reader не будет установлена, что не позволит пользователям устройств с более старыми версиями Windows получать доступ к накопителям, защищенным BitLocker.
Configure Use of Passwords for Removable Data Drives Allow Если для параметра установлено значение Required, это единственный вариант для конечных пользователей. Конечный пользователь не получает запрос на конечной точке.
Если установлено значение Allow, включите этот параметр в качестве выбираемого варианта для конечного пользователя. Если для нескольких элементов установлено значение «Allow», конечному пользователю предоставляется поле для выбора.
Если задано значение Не разрешать, этот параметр недоступен и не доступен для выбора в пользовательском интерфейсе Dell Encryption или в настройках Windows.
Configure Password Complexity for Removable Data Drives Required Если установлено значение Required, необходимо подключение к контроллеру домена для проверки сложности пароля при включении BitLocker.
Если установлено значение Allow, выполняется попытка подключения к контроллеру домена для проверки соответствия сложности правилам, установленным политикой. Однако если контроллеры домена не найдены, пароль принимается независимо от сложности пароля, и диск шифруется с помощью этого пароля в качестве защиты.
Если установлено значение Do Not Allow, проверка сложности пароля не выполняется.
Minimum Password Length for Removable Data Drives 8 Задает минимальную длину паролей для томов с защитой BitLocker (для этого параметра требуется, чтобы для параметра Configure Use of Passwords for Removable Data Drives было установлено значение Require или Allow)
Encryption Type for Removable Data Drives Full Encryption Эта политика определяет, используют ли накопители данных шифрование Used Space Only или Full encryption. Used Space Only требуется для виртуальных машин, которые защищены с помощью BitLocker.
Choose How BitLocker-protected Removable Drives Can be Recovered Disabled Родительский элемент для следующих семи политик.
Если установлено значение Enabled, можно настраивать дополнительные параметры восстановления.
Если установлено значение Disabled, восстановление доступно только через Dell Security Management Server или Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Removable Data Drives Enabled Дочерний элемент политики Choose How BitLocker-protected Removable Drives Can be Recovered.
Флажок Allow data recovery agent используется для указания возможности использования агента восстановления данных с накопителями, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из политик открытого ключа, которые находятся в консоли управления групповой политикой (GPMC) или в редакторе локальной групповой политики.
Дополнительные сведения о том, как можно использовать агент восстановления данных для восстановления устройства, защищенного BitLocker, см. в следующей статье: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow Дочерний элемент политики Choose How BitLocker-protected Removable Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение «Do Not Allow», восстановление накопителя, защищенного с помощью BitLocker, может быть невозможно.
Configure User Storage of BitLocker 256-bit Recovery Key Allow Дочерний элемент политики Choose How BitLocker-protected Removable Drives Can be Recovered.
Если установлено значение Required, информация о восстановлении BitLocker будет принудительно создана и доступна администраторам устройств.
Если установлено значение Allow, информация о восстановлении BitLocker создается автоматически и доступна администраторам устройств.
Если установлено значение Do Not Allow, информация о восстановлении BitLocker не создается.
Примечание. Если установлено значение «Do Not Allow», восстановление накопителя, защищенного с помощью BitLocker, может быть невозможно.
Omit Recovery Options from the BitLocker Setup Wizard for Removable Media Disabled Дочерний элемент политики Choose How BitLocker-protected Removable Drives Can be Recovered.
Выберите Omit recovery options from the BitLocker setup wizard, чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на накопителе. Если установлено значение Enabled, параметр политики определяет параметры восстановления BitLocker для накопителя.
Save BitLocker Recovery Information to AD DS for Removable Data Drives Enabled Дочерний элемент политики Choose How BitLocker-protected Removable Drives Can be Recovered.
Родительский элемент для следующих двух политик.
Save BitLocker recovery information to Active Directory Domain Services, выберите информацию о восстановлении BitLocker для хранения в Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS for Removable Data Drives Recovery Passwords and Key Packages Дочерний элемент политик Choose How BitLocker-protected Removable Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Removable Data Drives.
Recovery password and key packages, пароль восстановления BitLocker и пакет ключей хранятся в AD DS. Сохранение пакета ключей поддерживает восстановление данных с физически поврежденного накопителя. Если выбрано «Recovery password only», в AD DS сохраняется только пароль восстановления.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives Disabled Дочерний элемент политик Choose How BitLocker-protected Removable Drives Can be Recovered и Save BitLocker Recovery Information to AD DS for Removable Data Drives.
Установите флажок Do not enable BitLocker until recovery information is stored in AD DS for Removable drives, если вы не хотите, чтобы пользователи активировали BitLocker, пока компьютер не будет подключен к домену и не будет успешно выполнено резервное копирование информации о восстановлении BitLocker в AD DS.
Configure Use of Hardware-Based Encryption for Removable Data Drives Enabled Родительский элемент для следующих четырех политик.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use Hardware-Based Encryption for Removable Data Drives Enabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Removable Data Drives.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available Enabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Removable Data Drives.
Эта политика управляет тем, как BitLocker реагирует на компьютеры, оснащенные зашифрованными накопителями, когда они используются в качестве томов данных. Использование аппаратного шифрования может повысить производительность операций с накопителями, которые требуют частого чтения или записи данных на накопитель.
Примечание. Настройка политики Choose drive encryption method and cipher strength не применяется к аппаратному шифрованию. Если эта политика включена на накопителях с более ранними версиями микропрограммы, то можно столкнуться с различными CVE, представленными здесь: https://www.kb.cert.org/vuls/id/395981/ Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data Disabled Дочерний элемент политики Configure Use of Hardware-Based Encryption for Removable Data Drives.
Параметр Restrict encryption algorithms and cipher suites allowed for hardware-based encryption позволяет ограничить алгоритмы шифрования, которые BitLocker может использовать с аппаратным шифрованием. Если алгоритм, заданный для накопителя, недоступен, BitLocker отключает использование аппаратного шифрования.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Дочерний элемент политики Configure Use of Hardware-Based Encryption for Removable Data Drives.
Алгоритмы шифрования указываются идентификаторами объектов (OID) и разделяются запятыми.
Пример идентификаторов OID для кодов шифрования:
  • OID Advanced Encryption Standard (AES) 128 в режиме Cipher Block Chaining (CBC): 2.16.840.1.101.3.4.1.2
  • OID AES 256 в режиме CBC: 2.16.840.1.101.3.4.1.42
Примечание. Для получения дополнительной информации об этих политиках см. Руководство по политике Microsoft BitLocker: https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies..

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.