Dells rekommenderade policyer för Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (tidigare Dell Data Protection | BitLocker Manager) erbjuder skydd och säkerhet genom att använda Microsofts integrerade protokoll för fullständig volymkryptering, vanligtvis kallat BitLocker. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berörda produkter:

  • Dell Encryption Enterprise BitLocker Manager
  • Dells dataskydd | BitLocker Manager

Dessa erbjuder en krypteringsmekanism för hela volymen och flera scenarier för att skydda operativsystemet, tillsammans med att skydda startcykeln från attacker.

Dell tillhandahåller ett enhetligt fönster för hantering av enheter som skyddas med BitLocker, tillsammans med en bred möjlighet att rapportera om skyddet av dessa enheter.

Obs! Om du vill visa aktuell skyddsstatus för miljön använder du posten Dashboard på Dell Encryption (tidigare Dell Data Protection | Kryptering) konsolen.

För att ställa in en BitLocker-krypteringspolicy enligt Dells rekommendationer:

  1. Gå till Enterprise.
  2. Klicka på BitLocker-kryptering.
    Klicka på BitLocker-kryptering
  3. Om du vill visa alla inställningar klickar du på Visa avancerade inställningar.
    Klicka på Visa avancerade inställningar

De föreslagna inställningarna finns nedan:

Obs! Den här artikeln uppdaterades senast i november 2019. Policyerna gäller för Dell Security Management Server v10.2.9.
Politik Dells rekommenderade inställning Policyförklaring
BitLocker-kryptering Aktiverar och inaktiverar plugin-programmet BitLocker Manager (det här insticksprogrammet krävs för att alla Dell BitLocker Manager-policyer ska kunna tillämpas korrekt)
TPM Manager aktiverad Aktiverar och inaktiverar insticksprogrammet TPM Management (det här insticksprogrammet aktiverar TPM om det är "på" men inte korrekt aktiverat)
Inaktivera viloläge Av När den är aktiverad får enheten inte gå in i något viloläge under krypteringen.
Kryptera systemenhet Aktivera kryptering När alternativet är Hantera inte kan lokala administratörer för enheter ändra BitLocker.
Om du ställer in detta på Aktivera kryptering framtvingas kryptering av volymen och lokala administratörer kan inte ändra den.
Om du ställer in detta på Stäng av kryptering framtvingas en dekryptering av volymen och lokala administratörer kan inte ändra den.
Kryptera fasta enheter Hantera inte När alternativet är Hantera inte kan lokala administratörer för enheter ändra BitLocker.
Om du ställer in detta på Aktivera kryptering framtvingas kryptering av volymen och lokala administratörer kan inte ändra den.
Om du ställer in detta på Stäng av kryptering framtvingas en dekryptering av volymen och lokala administratörer kan inte ändra den.
Kryptera flyttbara enheter Hantera inte När alternativet är Hantera inte kan lokala administratörer för enheter ändra BitLocker.
Om du ställer in detta på Aktivera kryptering framtvingas kryptering av volymen och lokala administratörer kan inte ändra den.
Om du ställer in detta på Stäng av kryptering framtvingas en dekryptering av volymen och lokala administratörer kan inte ändra den.
Kräv annan autentisering vid systemstart. Aktiverad Den här egenskapen aktiverar de kommande fem principerna och gör det möjligt för definierade skydd att aktiveras på hanterade slutpunkter.
Tillåt BitLocker-kryptering utan kompatibel TPM. Aktiverad När det här alternativet är aktiverat säkerställer det att äldre TPM-modeller stöds och gör det möjligt att deponera BitLocker-nycklar till USB på enheter utan TPM-moduler.
Konfigurera TPM-start Obligatorisk När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt inte är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Konfigurera PIN-kod för TPM-start Tillåt inte När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt inte är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Konfigurera TPM-startnyckel Tillåt inte När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt inte är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Konfigurera TPM-startnyckel och PIN-kod Tillåt inte När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt inte är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Avaktivera BitLocker på självkrypterande enheter Disabled (avaktiverad) När BitLocker är inställt på Aktivera och en självkrypterande enhet (SED) upptäcks skyddar den inte slutpunkten.
Om du ställer in den här principen på Inaktiverad kan BitLocker skydda slutpunkten, oavsett diskens kapacitet.
Politik Dells rekommenderade inställning Policyförklaring
Fasta datavolyminställningar
Konfigurera användning av smartkort på fasta dataenheter Förbjuda Den här principen visar alternativen för att skydda en fast disk (som inte är en operativsystemvolym) när "Kryptera fasta diskar" är inställt på "Aktivera kryptering".
När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt ej är det inte tillgängligt och det går inte att välja vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Neka skrivåtkomst till fasta enheter som inte skyddas av BitLocker Disabled (avaktiverad) Med den här principinställningen kan du ange om BitLocker-skydd krävs för att fasta dataenheter ska vara skrivbara på en dator.
När alternativet är inaktiverat monteras alla fasta dataenheter på datorn med läs- och skrivåtkomst.
När alternativet är aktiverat får användarna felmeddelandet "Åtkomst nekad" när de försöker spara data på okrypterade fasta dataenheter.
När detta anges till Aktiverad för organisation får användare med enheter som endast har organisationsidentifieraren angiven i principen felmeddelandet "Åtkomst nekad" när de försöker spara data på okrypterade fasta dataenheter. Alla andra enheter har alla fasta dataenheter på datorn som är monterade med läs- och skrivåtkomst.
Tillåt åtkomst till BitLocker-skyddade fasta dataenheter från tidigare versioner av Windows Aktiverad När alternativet är aktiverat kan dataenheter som är formaterade med FAT-filsystemet låsas upp på datorer som kör Windows Server 2008, Windows Vista, Windows XP med SP3 eller Windows XP med SP2, och deras innehåll kan visas. Dessa operativsystem har skrivskyddad åtkomst till BitLocker-skyddade enheter.
När detta är inaktiverat kan dataenheter som är formaterade med FAT-filsystemet inte låsas upp på datorer som kör tidigare versioner av Windows.
Installera inte BitLocker för att Go-läsaren ska användas på FAT-formaterade fasta enheter Disabled (avaktiverad) När det här alternativet är markerat förhindrar det att BitLocker To Go-läsaren installeras, vilket hindrar användare med enheter som kör äldre versioner av Windows från att få åtkomst till BitLocker-skyddade enheter.
Konfigurera användning av lösenord för fasta dataenheter Allow (tillåt) Den här principen visar alternativen för att skydda en fast disk (som inte är en operativsystemvolym) när "Kryptera fasta diskar" är inställt på "Aktivera kryptering".
När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt ej är det inte tillgängligt och det går inte att välja vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Konfigurera lösenordskomplexitet för fasta dataenheter Behöva När värdet är Obligatoriskt krävs en anslutning till en domänkontrollant för att verifiera lösenordets komplexitet när BitLocker är aktiverat.
När det är inställt på Tillåt görs ett försök att ansluta till en domänkontrollant för att verifiera att komplexiteten följer de regler som anges av principen. Men om inga domänkontrollanter hittas accepteras lösenordet oavsett lösenordets komplexitet och enheten krypteras med det lösenordet som skydd.
När värdet är Tillåt inte utförs ingen validering av lösenordskomplexitet.
Minsta lösenordslängd för fasta dataenheter 8 Anger minsta längd för lösenord för BitLocker-skyddade fasta diskvolymer (den här inställningen kräver att Konfigurera användning av lösenord för fasta dataenheter är inställt på antingen Kräv eller Tillåt)
Krypteringstyp för fasta dataenheter Fullständig kryptering Den här principen styr om fasta dataenheter använder kryptering med endast använt utrymme eller fullständig kryptering. Endast använt utrymme krävs för virtuella maskiner som skyddas av Bit Locker.
Välj hur BitLocker-skyddade fasta enheter kan återställas Disabled (avaktiverad) Överordnad till de kommande sju principerna.
När den är aktiverad kan du konfigurera ytterligare återställningsalternativ.
När funktionen är inaktiverad är återställning endast tillgänglig via Dell Security Management Server eller Dell Security Management Server Virtual.
Tillåt dataåterställningsagent för skyddade fasta dataenheter Disabled (avaktiverad) Underordnad till principen Välj hur BitLocker-skyddade fasta enheter kan återställas
Kryssrutan Tillåt dataåterställningsagent används för att ange om en dataåterställningsagent kan användas med BitLocker-skyddade enheter. Innan en dataåterställningsagent kan användas måste den läggas till från Public Key Policies, som finns i konsolen Grupprinciphantering (GPMC) eller i den lokala grupprincipredigeraren.
Mer information om hur en dataåterställningsagent kan användas för att återställa en BitLocker-skyddad enhet finns i: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Konfigurera användarlagring av det 48-siffriga BitLocker-återställningslösenordet Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade fasta enheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad dator.
Konfigurera användarlagring av BitLocker 256-bitars återställningsnyckel Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade fasta enheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad dator.
Utelämna återställningsalternativ i installationsguiden för BitLocker Disabled (avaktiverad) Underordnad till policyn Välj hur BitLocker-skyddade fasta enheter kan återställas.
Välj Uteslut återställningsalternativ i installationsguiden för BitLocker för att förhindra att användare anger återställningsalternativ när de aktiverar BitLocker på en enhet. När den är aktiverad avgör policyinställningen alternativen för BitLocker-återställning.
Spara BitLocker-återställningsinformation i AD DS för fasta dataenheter Aktiverad Underordnad till policyn Välj hur BitLocker-skyddade fasta enheter kan återställas.
Överordnad till nästa två principer:
Spara BitLocker-återställningsinformation i Active Directory Domain Services och välj vilken BitLocker-återställningsinformation som ska lagras i Active Directory Domain Services (AD DS).
BitLocker-återställningsinformation som ska lagras i AD DS Återställningslösenord och nyckelpaket Underordnad till principen Välj hur BitLocker-skyddade fasta enheter kan återställas och spara BitLocker-återställningsinformation i AD DS för fasta dataenheter.
Återställningslösenordet och nyckelpaketen, BitLocker-återställningslösenordet och nyckelpaketet lagras i AD DS. Lagring av nyckelpaketet stöder återställning av data från en enhet som är fysiskt skadad. Om du väljer Endast återställningslösenord är återställningslösenordet det enda som lagras i AD DS.
Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för fasta dataenheter Disabled (avaktiverad) Underordnad till principen Välj hur BitLocker-skyddade fasta enheter kan återställas och spara BitLocker-återställningsinformation i AD DS för fasta dataenheter.
Markera kryssrutan Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för fasta enheter om du vill förhindra att användare aktiverar BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformation till AD DS lyckas.
Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter Aktiverad Överordnad till de kommande fyra principerna.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som fasta datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd hårdvarubaserad kryptering för fasta dataenheter Aktiverad Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som fasta datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd programvarubaserad BitLocker-kryptering på fasta dataenheter när maskinvarukryptering inte är tillgänglig Aktiverad Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som fasta datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Begränsa kryptoalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering på fasta dataenheter Disabled (avaktiverad) Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter.
Med alternativet Begränsa krypteringsalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering kan du begränsa de krypteringsalgoritmer som BitLocker kan använda med maskinvarukryptering. Om algoritmen som har ställts in för enheten inte är tillgänglig inaktiverar BitLocker användningen av maskinvarubaserad kryptering.
Konfigurera specifika krypteringsalgoritmer och inställningar för chiffersviter på fasta dataenheter 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för fasta dataenheter.
Krypteringsalgoritmer anges av objektidentifierare (OID) och avgränsas med kommatecken.
Exempel på OID:er för krypteringschiffer:
  • Advanced Encryption Standard (AES) 128 i CBC-läge (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 i CBC-läge OID: 2.16.840.1.101.3.4.1.42
Globala inställningar
Standardmappplats där återställningslösenordet ska sparas (Tom) När du har angett den anger du den sökväg som ska användas som standardplats för mappen när användaren väljer alternativet att spara återställningslösenordet i en mapp. En fullständigt kvalificerad sökväg eller inkludera måldatorns miljövariabler i sökvägen kan användas. Om sökvägen inte är giltig visar BitLocker-installationsguiden datorns mappvy på den översta nivån.
Krypteringsmetod och chifferstyrka AES256 med diffusor
Obs! Den här policyn gäller inte krypterade enheter. Krypterade enheter använder en egen algoritm som enheten anger under partitioneringen.
Aktivera organisationens unika identifierare Disabled (avaktiverad) Överordnad till de kommande två principerna.
När det här alternativet är aktiverat kan du konfigurera identifieringsfältet på BitLocker-skyddade enheter och alla tillåtna identifieringsfält som används i din organisation.
Dessa identifierare lagras som identifieringsfält och det tillåtna identifieringsfältet. I identifieringsfältet kan du associera en unik organisationsidentifierare till BitLocker-skyddade enheter. Den här identifieraren läggs automatiskt till på nya BitLocker-skyddade enheter och kan uppdateras på befintliga BitLocker-skyddade enheter med hjälp av kommandoradsverktyget Manage-bde.
Ett identifieringsfält krävs för att hantera certifikatbaserade dataåterställningsagenter på BitLocker-skyddade enheter och för potentiella uppdateringar av BitLocker To Go-läsaren. BitLocker hanterar och uppdaterar dataåterställningsagenter endast när identifieringsfältet på enheten matchar det värde som har konfigurerats i identifieringsfältet. På liknande sätt uppdaterar BitLocker To Go-läsaren endast när identifieringsfältet på enheten matchar det värde som har konfigurerats för identifieringsfältet.
Obs! Aktivera unika organisationsidentifierare kan användas med principinställningen Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker för att styra användningen av flyttbara enheter i din organisation.
Ange unika identifierare för organisationen (Tom) Underordnad princip Aktivera organisationens unika identifierare.
Det här är ett alfanumeriskt värde för att ange en unik identifierare för dina enheter för att säkerställa att ditt företag hanterar dem.
Den här identifieraren läggs automatiskt till på nya BitLocker-skyddade enheter och kan uppdateras på befintliga BitLocker-skyddade enheter med hjälp av kommandoradsverktyget Manage-bde.
Ange tillåtna organisationsunika identifierare (Tom) Underordnad princip Aktivera organisationens unika identifierare.
Det här är ett alfanumeriskt värde för att ange en unik identifierare för dina enheter för att säkerställa att ditt företag hanterar dem.
Den här identifieraren läggs automatiskt till på nya BitLocker-skyddade enheter och kan uppdateras på befintliga BitLocker-skyddade enheter med hjälp av kommandoradsverktyget Manage-bde.
Obs! Vi rekommenderar att principerna Ange tillåtna unika organisationsidentifierare och Ange unika organisationsidentifierare matchar för att undvika problem under återställningen.
Förhindrar att minnet skrivs över vid omstart Disabled (avaktiverad) När det är inaktiverat rensas BitLocker-hemligheter från minnet. När det här alternativet är aktiverat finns BitLocker-hemligheter kvar i minnet, vilket kan förbättra prestandan, även om BitLocker-hemligheterna utsätts för ytterligare risker.
Aktivera identifierare för smartkortscertifikat Disabled (avaktiverad) När den är aktiverad måste objektidentifieraren som anges i inställningen Objektidentifierare för ett certifikat matcha objektidentifieraren i principidentifieraren för smartkortscertifikat.
Identifierare för smartkortscertifikat 1.3.6.1.4.1.311.67.1.1 Objektidentifieraren anges i den utökade nyckelanvändningen (EKU) för ett certifikat. BitLocker kan identifiera vilka certifikat som kan användas för att autentisera ett användarcertifikat till en BitLocker-skyddad enhet genom att matcha objektidentifieraren i certifikatet med den objektidentifierare som anges i den här principinställningen.
Standardobjektidentifieraren är 1.3.6.1.4.1.311.67.1.1.
Volyminställningar för operativsystemet
Tillåt utökade PIN-koder för start. Disabled (avaktiverad) Förbättrade start-PIN-koder tillåter användning av tecken (inklusive stora och små bokstäver, symboler, siffror och mellanslag).
Obs! Alla datorer har inte stöd för utökade PIN-tecken i förstartsmiljön.
Antal tecken som krävs i PIN-koden 6 Definierar det minsta antal tecken som krävs för förstartsmiljön
Obs! Minimilängden för BitLocker-PIN-koden har ökats till sex tecken, med början i Windows 10 version 1703.
Tillåt nätverksupplåsning vid start på operativsystemenheter Disabled (avaktiverad) Den här principen styr en del av beteendet hos funktionen för nätverksupplåsning i BitLocker. Den här principen krävs för att aktivera BitLocker-nätverksupplåsning i ett nätverk eftersom den gör det möjligt för klienter som kör BitLocker att skapa det nödvändiga nätverksnyckelskyddet under krypteringen.
Mer information om hur du aktiverar nätverksupplåsning finns i https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlockDen här hyperlänken tar dig till en webbplats utanför Dell Technologies..
Tillåt säker start på operativsystemenheter Aktiverad Styr hur BitLocker-aktiverade datorvolymer hanteras med funktionen för säker start. Om du aktiverar den här funktionen tvingas du fram validering av säker start under startprocessen och verifierar inställningarna för startkonfigurationsdata (BCD) enligt policyn för säker start.
Tillåt inte standardanvändare att ändra PIN-koden på operativsystemenheter Disabled (avaktiverad) Med den här principinställningen kan du konfigurera om standardanvändare får ändra PIN-koden eller lösenordet som används för att skydda operativsystemsenheten.
När den är aktiverad kan användare som inte har lokal administratörsbehörighet inte ändra PIN-koden på slutpunkten.
När det är inaktiverat kan alla användare på en slutpunkt ändra PIN-koden före start.
Aktivera användning av tangentbordsinmatning före start på pekplattor Aktiverad När det är aktiverat kan användare aktivera autentiseringsalternativ som kräver användarinmatning från förstartsmiljön, även om plattformen indikerar brist på inmatningskapacitet före start.
Återställ plattformsvalideringsdata efter återställning Aktiverad När det är aktiverat uppdateras plattformsvalideringsdata när Windows startas efter en BitLocker-återställning.
När det är inaktiverat uppdateras inte plattformsvalideringsdata efter en BitLocker-återställning. Detta kan orsaka återställningar efter varje start om plattformens baskonfiguration har ändrats.
Välj hur BitLocker-skyddade operativsystemenheter kan återställas Disabled (avaktiverad) Överordnad till de kommande sju principerna.
När den är aktiverad kan du konfigurera ytterligare återställningsalternativ.
När funktionen är inaktiverad är återställning endast tillgänglig via Dell Security Management Server eller Dell Security Management Server Virtual.
Tillåt dataåterställningsagent för skyddade operativsystemenheter Aktiverad Underordnad till policyn Välj hur BitLocker-skyddade operativsystemenheter kan återställas.
Kryssrutan Tillåt dataåterställningsagent används för att ange om en dataåterställningsagent kan användas med BitLocker-skyddade operativsystemenheter. Innan en dataåterställningsagent kan användas måste den läggas till från Public Key Policies, som finns i konsolen Grupprinciphantering (GPMC) eller i den lokala grupprincipredigeraren.
Mer information om hur en dataåterställningsagent kan användas för att återställa en BitLocker-skyddad enhet finns i: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Konfigurera användarlagring av det 48-siffriga BitLocker-återställningslösenordet Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade operativsystemenheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad dator.
Konfigurera användarlagring av BitLocker 256-bitars återställningsnyckel Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade operativsystemenheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad dator.
Utelämna återställningsalternativ i installationsguiden för BitLocker Disabled (avaktiverad) Underordnad till policyn Välj hur BitLocker-skyddade operativsystemenheter kan återställas.
Välj Uteslut återställningsalternativ i installationsguiden för BitLocker för att förhindra att användare anger återställningsalternativ när de aktiverar BitLocker på en enhet.
När den är aktiverad avgör policyinställningen enhetens återställningsalternativ för BitLocker.
Spara BitLocker-återställningsinformation i AD DS för operativsystemsenheter Aktiverad Underordnad till policyn Välj hur BitLocker-skyddade operativsystemenheter kan återställas.
Överordnad till nästa två principer:
Spara BitLocker-återställningsinformation i Active Directory Domain Services och välj vilken BitLocker-återställningsinformation som ska lagras i Active Directory Domain Services (AD DS).
BitLocker-återställningsinformation som ska lagras i AD DS (endast Windows Server 2008) Återställningslösenord och nyckelpaket Underordnad till principen Välj hur BitLocker-skyddade operativsystemenheter kan återställas och spara BitLocker-återställningsinformation i AD DS för operativsystemdataenheter.
Återställningslösenordet och nyckelpaketen, BitLocker-återställningslösenordet och nyckelpaketet lagras i AD DS. Lagring av nyckelpaketet stöder återställning av data från en enhet som är fysiskt skadad. Om du väljer Endast återställningslösenord lagras endast återställningslösenordet i AD DS.
Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för operativsystemenheter Disabled (avaktiverad) Underordnad till principen Välj hur BitLocker-skyddade operativsystemenheter kan återställas och spara BitLocker-återställningsinformation i AD DS för operativsystemdataenheter.
Markera kryssrutan Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för operativsystemsenheter om du vill förhindra att användare aktiverar BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformation till AD DS lyckas.
Konfigurera användning av hårdvarubaserad kryptering för operativsystemenheter Aktiverad Överordnad till de kommande fyra principerna.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering.

Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd hårdvarubaserad kryptering för operativsystemenheter Aktiverad Underordnad till principen Konfigurera användning av hårdvarubaserad kryptering för operativsystemdataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering.

Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd programvarubaserad BitLocker-kryptering på operativsystemenheter när maskinvarukryptering inte är tillgänglig Aktiverad Underordnad till principen Konfigurera användning av hårdvarubaserad kryptering för operativsystemdataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering.

Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Begränsa kryptoalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering på operativsystemenheter Disabled (avaktiverad) Underordnad till principen Konfigurera användning av hårdvarubaserad kryptering för operativsystemdataenheter.
Med alternativet Begränsa krypteringsalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering kan du begränsa de krypteringsalgoritmer som BitLocker kan använda med maskinvarukryptering. Om algoritmen som har ställts in för enheten inte är tillgänglig inaktiverar BitLocker användningen av maskinvarubaserad kryptering.
Konfigurera specifika krypteringsalgoritmer och chiffersvitsinställningar på operativsystemenheter 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Underordnad till principen Konfigurera användning av hårdvarubaserad kryptering för operativsystemdataenheter.
Krypteringsalgoritmer anges med objektidentifierare (OID) och avgränsas med kommatecken
Exempel på OID:er för krypteringschiffer:
  • Advanced Encryption Standard (AES) 128 i CBC-läge (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 i CBC-läge OID: 2.16.840.1.101.3.4.1.42
Krypteringstyp för operativsystemenheter Fullständig kryptering Den här principen styr om dataenheterna använder kryptering med endast använt utrymme eller fullständig kryptering. Använt utrymme krävs endast för virtuella maskiner som BitLocker skyddar.
Konfigurera användning av lösenord för operativsystemenheter Inte konfigurerat Den här principen styr hur icke-TPM-baserade datorer använder lösenordsskyddet. Den här principen används tillsammans med policyn Konfigurera lösenordskomplexitet för operativsystemenheter och gör det möjligt för administratörer att kräva lösenordslängd och komplexitet för att använda lösenordsskyddet. Som standard måste lösenord vara åtta tecken långa.
När det här alternativet är aktiverat kan användarna konfigurera ett lösenord som uppfyller de krav som du definierar.
När det är Ej konfigurerad eller Inaktiverad gäller standardlängdbegränsningen på åtta tecken för operativsystemenhetslösenord och inga komplexitetskontroller utförs.
Obs! Lösenord kan inte användas om FIPS-efterlevnad är aktiverat.
Konfigurera lösenordskomplexitet för operativsystemenheter Behöva När värdet är Obligatoriskt krävs en anslutning till en domänkontrollant för att verifiera lösenordets komplexitet när BitLocker är aktiverat.
När det är inställt på Tillåt görs ett försök att ansluta till en domänkontrollant för att verifiera att komplexiteten följer de regler som anges av principen. Men om inga domänkontrollanter hittas accepteras lösenordet oavsett lösenordets komplexitet och enheten krypteras med det lösenordet som skydd.
När värdet är Tillåt inte utförs ingen validering av lösenordskomplexitet.
Minsta lösenordslängd för operativsystemenheter 8 Anger minsta lösenordslängd för BitLocker-skyddade enheter
Obs! Inställningarna tillämpas när BitLocker aktiveras, inte när du låser upp en enhet. BitLocker gör det möjligt att låsa upp en enhet med något av de skydd som finns på enheten.
Kräv endast ASCII-lösenord för operativsystemenheter Disabled (avaktiverad) När det här alternativet är aktiverat tillåts inte Unicode-tecken i lösenordsmeddelandet för operativsystemenheter.
När den är inaktiverad accepteras alla tecken.
Använd dataprofilen Enhanced Boot Configuration Inte konfigurerad (om du ändrar den här principen till ett annat värde än "Inte konfigurerad" kan det leda till att återställningsuppmaningar görs när Hyper-V-funktionen är aktiverad i Windows 10). Överordnad till de kommande två principerna.
Den här principinställningen avgör specifika BCD-inställningar (Boot Configuration Data) som ska verifieras under plattformsvalideringen. En plattformsvalidering använder data i plattformsvalideringsprofilen, som består av PCR-index (Platform Configuration Register) som sträcker sig från 0 till 23.
Obs! När BitLocker använder säker start för integritetsvalidering av plattforms- och startkonfigurationsdata ignoreras grupprincipinställningen Använd förstärkt dataprofil för startkonfiguration .
Verifiera andra BCD-inställningar (Tom) Underordnad till Använd dataprofilen Förbättrad startkonfiguration.
Information om hur du anpassar BCD-inställningar finns i https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Obs! Inställningen som styr felsökning vid start (0x16000010) valideras alltid, och den har ingen effekt om den finns i inkluderings- eller exkluderingslistan.
Exkludera andra BCD-inställningar (Tom) Underordnad till Använd dataprofilen Förbättrad startkonfiguration.
Information om hur du anpassar BCD-inställningar finns i https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Obs! Inställningen som styr felsökning vid start (0x16000010) valideras alltid, och den har ingen effekt om den finns i inkluderings- eller exkluderingslistan.
Konfigurera valideringsprofil för TPM-plattformen Disabled (avaktiverad) Överordnad till Konfigurera specifika TPM-plattformsinställningar.
När aktiverad bestämmer den här principinställningen vilka värden TPM mäter när den validerar tidiga startkomponenter innan en enhet låses upp på en dator som kör Windows Vista, Windows Server 2008 eller Windows 7.
Konfigurera specifika TPM-plattformsinställningar Dell Technologies rekommenderar att du använder Microsofts aktuella standard-PCR-register om inget annat krävs underordnad till Configure TPM Platform Validation Profile.
En plattformsvalideringsprofil består av PCR-index som sträcker sig från 0 till 23. Standardplattformsvalideringsprofilen skyddar krypteringsnyckeln mot ändringar av följande:
  • Kärnrot för förtroende för mätning (CRTM), BIOS och plattformstillägg (PCR 0)
  • ROM-kod som tillval (PCR 2)
  • MBR-kod (Master Boot Record) (PCR 4)
  • NTFS-startsektor (PCR 8)
  • NTFS-startblock (PCR 9)
  • Starthanterare (PCR 10)
  • BitLocker-åtkomstkontroll (PCR 11)
I följande lista visas alla tillgängliga PCR-register:
  • PCR 0: Kärnbaserad förtroenderot för mätning, EFI-start- och körningstjänster, EFI-drivrutiner inbäddade i dator-ROM, ACPI-statiska tabeller, som är inbäddad SMM-kod, och BIOS-kod
  • PCR 1: Plattforms- och moderkortskonfiguration och data (överlämningstabeller och EFI-variabler som påverkar datorkonfigurationen)
  • PCR 2: ROM-kod för alternativ
  • PCR 3: Tillvals-ROM-data och -konfiguration
  • PCR 4: MBR-kod (Master Boot Record) eller kod från andra startenheter
  • PCR 5: Partitionstabell för MBR (Master Boot Record). Olika EFI-variabler och GPT-tabellen
  • PCR 6: Tillståndsövergång och väckningshändelser
  • PCR 7: Specifik för datortillverkare
  • PCR 8: NTFS-startsektor
  • PCR 9: NTFS-startblock
  • PCR 10: Starthanterare
  • PCR 11: BitLocker-åtkomstkontroll
  • PCR 12–23: Reserverad för framtida bruk
    Varning! Om du ändrar från standardprofilen för plattformsvalidering påverkas datorns säkerhet och hanterbarhet. BitLockers känslighet för plattformsändringar (skadliga eller auktoriserade) ökar eller minskar beroende på inkludering eller exkludering av PCR-registren.
Konfigurera valideringsprofil för BIOS TPM-plattformen Disabled (avaktiverad) Överordnad till Konfigurera specifika BIOS TPM-plattformsinställningar.
När den här principinställningen är inställd på Aktiverad avgör den vilka värden TPM mäter när den validerar tidiga startkomponenter innan den låser upp en operativsystemsenhet på en dator med en BIOS-konfiguration eller med fast UEFI-programvara där CSM (Compatibility Support Module) är aktiverat.
Konfigurera specifika BIOS TPM-plattformsinställningar Dell Technologies rekommenderar att du använder Microsofts aktuella standard-PCR-register om inget annat krävs underordnad till Configure TPM Platform Validation Profile.
En plattformsvalideringsprofil består av PCR-index som sträcker sig från 0 till 23. Standardplattformsvalideringsprofilen skyddar krypteringsnyckeln mot ändringar av följande:
  • Kärnrot för förtroende för mätning (CRTM), BIOS och plattformstillägg (PCR 0)
  • ROM-kod som tillval (PCR 2)
  • MBR-kod (Master Boot Record) (PCR 4)
  • NTFS-startsektor (PCR 8)
  • NTFS-startblock (PCR 9)
  • Starthanterare (PCR 10)
  • BitLocker-åtkomstkontroll (PCR 11)
I följande lista visas alla tillgängliga PCR-register:
  • PCR 0: Kärnbaserad förtroenderot för mätning, EFI-start- och körningstjänster, EFI-drivrutiner inbäddade i dator-ROM, ACPI-statiska tabeller, som är inbäddad SMM-kod, och BIOS-kod
  • PCR 1: Plattforms- och moderkortskonfiguration och data (överlämningstabeller och EFI-variabler som påverkar datorkonfigurationen)
  • PCR 2: ROM-kod för alternativ
  • PCR 3: Tillvals-ROM-data och -konfiguration
  • PCR 4: MBR-kod (Master Boot Record) eller kod från andra startenheter
  • PCR 5: Partitionstabell för MBR (Master Boot Record). Olika EFI-variabler och GPT-tabellen
  • PCR 6: Tillståndsövergång och väckningshändelser
  • PCR 7: Specifik för datortillverkare
  • PCR 8: NTFS-startsektor
  • PCR 9: NTFS-startblock
  • PCR 10: Starthanterare
  • PCR 11: BitLocker-åtkomstkontroll
  • PCR 12–23: Reserverad för framtida bruk
    Varning! Om du ändrar från standardprofilen för plattformsvalidering påverkas datorns säkerhet och hanterbarhet. BitLockers känslighet för plattformsändringar (skadliga eller auktoriserade) ökar eller minskar beroende på inkludering eller exkludering av PCR-registren.
Konfigurera valideringsprofil för UEFI TPM-plattform Disabled (avaktiverad) Överordnad till Konfigurera specifika UEFI TPM-plattformsinställningar.
När den här principinställningen är aktiverad avgör den vilka värden TPM mäter när den validerar tidiga startkomponenter innan en operativsystemsenhet låses upp på en dator med inbyggda konfigurationer av fast UEFI-programvara.
Konfigurera specifika UEFI TPM-plattformsinställningar Dell Technologies rekommenderar att du använder Microsofts aktuella standard-PCR-register om inget annat krävs underordnad till Configure TPM Platform Validation Profile.
En plattformsvalideringsprofil består av PCR-index som sträcker sig från 0 till 23. Standardplattformsvalideringsprofilen skyddar krypteringsnyckeln mot ändringar av följande:
  • Kärnrot för förtroende för mätning (CRTM), BIOS och plattformstillägg (PCR 0)
  • ROM-kod som tillval (PCR 2)
  • MBR-kod (Master Boot Record) (PCR 4)
  • NTFS-startsektor (PCR 8)
  • NTFS-startblock (PCR 9)
  • Starthanterare (PCR 10)
  • BitLocker-åtkomstkontroll (PCR 11)
I följande lista visas alla tillgängliga PCR-register:
  • PCR 0: Kärnbaserad förtroenderot för mätning, EFI-start- och körningstjänster, EFI-drivrutiner inbäddade i dator-ROM, ACPI-statiska tabeller, som är inbäddad SMM-kod, och BIOS-kod
  • PCR 1: Plattforms- och moderkortskonfiguration och dataöverlämningstabeller och EFI-variabler som påverkar datorkonfigurationen)
  • PCR 2: ROM-kod för alternativ
  • PCR 3: Tillvals-ROM-data och -konfiguration
  • PCR 4: MBR-kod (Master Boot Record) eller kod från andra startenheter
  • PCR 5: Partitionstabell för MBR (Master Boot Record). Olika EFI-variabler och GPT-tabellen
  • PCR 6: Tillståndsövergång och väckningshändelser
  • PCR 7: Specifik för datortillverkare
  • PCR 8: NTFS-startsektor
  • PCR 9: NTFS-startblock
  • PCR 10: Starthanterare
  • PCR 11: BitLocker-åtkomstkontroll
  • PCR 12–23: Reserverad för framtida bruk
    Varning! Om du ändrar från standardprofilen för plattformsvalidering påverkas datorns säkerhet och hanterbarhet. BitLockers känslighet för plattformsändringar (skadliga eller auktoriserade) ökar eller minskar beroende på inkludering eller exkludering av PCR-registren.
     
    Obs! PCR-standardinställningarna för TPM-valideringsprofilen för datorer som använder ett EFI (Extensible Firmware Interface) är endast PCR 0, 2, 4 och 11.
Inställningar för flyttbar lagring
Tillåt användaren att tillämpa BitLocker-skydd på flyttbara enheter Aktiverad När den är aktiverad kan användaren aktivera BitLocker för att skydda flyttbara enheter.
När den är inaktiverad styr policyn Kryptera flyttbara enheter när BitLocker skyddar flyttbara enheter.
Tillåt användaren att pausa och dekryptera BitLocker-skydd på flyttbara dataenheter Aktiverad När aktiverad kan användaren ta bort BitLocker från enheten eller pausa krypteringen medan underhåll utförs.
När den är inaktiverad styr policyn Kryptera flyttbara enheter när BitLocker skyddar flyttbara enheter.
Konfigurera användning av smartkort på flyttbara dataenheter Förbjuda När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt ej är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker Disabled (avaktiverad) Den här principinställningen används för att kräva att flyttbara enheter krypteras innan skrivåtkomst beviljas och för att styra huruvida BitLocker-skyddade flyttbara enheter som har konfigurerats i en annan organisation kan öppnas med skrivåtkomst.
När det här alternativet är aktiverat tillåter enheter som inte är BitLocker-skyddade inte att data skrivs till disken, även om data kan läsas.
När det är inaktiverat tillåter enheter som inte är BitLocker-skyddade att data kan läsas och skrivas.
Tillåt åtkomst till BitLocker-skyddade flyttbara dataenheter från tidigare versioner av Windows Aktiverad När alternativet är aktiverat kan dataenheter som är formaterade med FAT-filsystemet låsas upp på datorer som kör Windows Server 2008, Windows Vista, Windows XP med SP3 eller Windows XP med SP2, och deras innehåll kan visas. Dessa operativsystem har skrivskyddad åtkomst till BitLocker-skyddade enheter.
När detta är inaktiverat kan dataenheter som är formaterade med FAT-filsystemet inte låsas upp på datorer som kör tidigare versioner av Windows.
Installera inte BitLocker to Go-läsaren på FAT-formaterade flyttbara enheter Disabled (avaktiverad) När det här alternativet är markerat förhindrar det att BitLocker To Go-läsaren installeras, vilket hindrar användare med enheter som kör äldre versioner av Windows från att få åtkomst till BitLocker-skyddade enheter.
Konfigurera användning av lösenord för flyttbara dataenheter Allow (tillåt) När det är inställt på Obligatoriskt är detta det enda alternativet för slutanvändare. Ingen uppmaning ges till slutanvändaren på en slutpunkt.
När värdet är Tillåt aktiverar du den här inställningen som ett valbart alternativ för slutanvändaren. När flera objekt är inställda på "Tillåt" visas en kryssruta för slutanvändaren för att göra sitt val.
När det här alternativet är inställt på Tillåt inte är det inte tillgängligt och är inte ett valbart alternativ vare sig i Dell Encryption-gränssnittet eller i Windows-inställningarna.
Konfigurera lösenordskomplexitet för flyttbara dataenheter Behöva När värdet är Obligatoriskt krävs en anslutning till en domänkontrollant för att verifiera lösenordets komplexitet när BitLocker är aktiverat.
När det är inställt på Tillåt görs ett försök att ansluta till en domänkontrollant för att verifiera att komplexiteten följer de regler som anges av principen. Men om inga domänkontrollanter hittas accepteras lösenordet oavsett lösenordets komplexitet och enheten krypteras med det lösenordet som skydd.
När värdet är Tillåt inte utförs ingen validering av lösenordskomplexitet.
Minsta lösenordslängd för flyttbara dataenheter 8 Anger minsta längd för lösenord för BitLocker-skyddade volymer (den här inställningen kräver att Konfigurera användning av lösenord för flyttbara dataenheter är inställt på antingen Kräv eller Tillåt)
Krypteringstyp för flyttbara dataenheter Fullständig kryptering Den här principen styr om dataenheter använder kryptering med endast använt utrymme eller fullständig kryptering. Använt utrymme krävs endast för virtuella maskiner som BitLocker skyddar.
Välj hur BitLocker-skyddade flyttbara enheter kan återställas Disabled (avaktiverad) Överordnad till de kommande sju principerna.
När den är aktiverad kan du konfigurera ytterligare återställningsalternativ.
När funktionen är inaktiverad är återställning endast tillgänglig via Dell Security Management Server eller Dell Security Management Server Virtual.
Tillåt dataåterställningsagent för skyddade flyttbara dataenheter Aktiverad Underordnad till policyn Välj hur BitLocker-skyddade flyttbara enheter kan återställas.
Kryssrutan Tillåt dataåterställningsagenten används för att ange om en dataåterställningsagent kan användas med BitLocker-skyddade enheter. Innan en dataåterställningsagent kan användas måste den läggas till från Public Key Policies, som finns i konsolen Grupprinciphantering (GPMC) eller i den lokala grupprincipredigeraren.
Mer information om hur en dataåterställningsagent kan användas för att återställa en BitLocker-skyddad enhet finns i: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Konfigurera användarlagring av det 48-siffriga BitLocker-återställningslösenordet Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade flyttbara enheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad enhet.
Konfigurera användarlagring av BitLocker 256-bitars återställningsnyckel Allow (tillåt) Underordnad till policyn Välj hur BitLocker-skyddade flyttbara enheter kan återställas.
När BitLocker-återställningsinformation är inställd på Obligatorisk måste den genereras och vara tillgänglig för enhetsadministratörer.
När BitLocker-återställningsinformationen är inställd på Tillåt genereras den automatiskt och är tillgänglig för enhetsadministratörer.
När alternativet är Tillåt inte skapas inte återställningsinformation för BitLocker.
Obs! När alternativet är Tillåt inte kanske det inte går att återställa en BitLocker-skyddad enhet.
Utelämna återställningsalternativ från installationsguiden för BitLocker för flyttbara medier Disabled (avaktiverad) Underordnad till policyn Välj hur BitLocker-skyddade flyttbara enheter kan återställas.
Välj Uteslut återställningsalternativ i installationsguiden för BitLocker för att förhindra att användare anger återställningsalternativ när de aktiverar BitLocker på en enhet. När den är aktiverad avgör policyinställningen enhetens återställningsalternativ för BitLocker.
Spara BitLocker-återställningsinformation i AD DS för flyttbara dataenheter Aktiverad Underordnad till policyn Välj hur BitLocker-skyddade flyttbara enheter kan återställas.
Överordnad till de kommande två principerna.
Spara BitLocker-återställningsinformation i Active Directory Domain Services och välj vilken BitLocker-återställningsinformation som ska lagras i Active Directory Domain Services (AD DS).
BitLocker-återställningsinformation som ska lagras i AD DS för flyttbara dataenheter Återställningslösenord och nyckelpaket Underordnad till principen Välj hur BitLocker-skyddade flyttbara enheter kan återställas och spara BitLocker-återställningsinformation i AD DS för flyttbara dataenheter.
Återställningslösenordet och nyckelpaketen, BitLocker-återställningslösenordet och nyckelpaketet lagras i AD DS. Lagring av nyckelpaketet stöder återställning av data från en enhet som är fysiskt skadad. Om du väljer Endast återställningslösenord lagras endast återställningslösenordet i AD DS.
Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för flyttbara dataenheter Disabled (avaktiverad) Underordnad till principen Välj hur BitLocker-skyddade flyttbara enheter kan återställas och spara BitLocker-återställningsinformation i AD DS för flyttbara dataenheter.
Markera kryssrutan Aktivera inte BitLocker förrän återställningsinformation har lagrats i AD DS för flyttbara enheter om du vill hindra användare från att aktivera BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformation till AD DS lyckas.
Konfigurera användning av hårdvarubaserad kryptering för flyttbara dataenheter Aktiverad Överordnad till de kommande fyra principerna.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd hårdvarubaserad kryptering för flyttbara dataenheter Aktiverad Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för flyttbara dataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Använd mjukvarubaserad BitLocker-kryptering på flyttbara dataenheter när maskinvarukryptering inte är tillgänglig Aktiverad Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för flyttbara dataenheter.
Den här principen styr hur BitLocker reagerar på datorer som är utrustade med krypterade enheter när de används som datavolymer. Användning av maskinvarubaserad kryptering kan förbättra prestandan för drivenhetsåtgärder som innefattar frekvent läsning eller skrivning av data till drivenheten.
Obs! Principinställningen Välj enhetskrypteringsmetod och chifferstyrka gäller inte för maskinvarubaserad kryptering. Om den här principen är aktiverad på enheter med äldre fast programvara kan olika CVE:er som beskrivs i https://www.kb.cert.org/vuls/id/395981/ Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
Begränsa kryptoalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering på flyttbara data Disabled (avaktiverad) Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för flyttbara dataenheter.
Med alternativet Begränsa krypteringsalgoritmer och chiffersviter som tillåts för maskinvarubaserad kryptering kan du begränsa de krypteringsalgoritmer som BitLocker kan använda med maskinvarukryptering. Om algoritmen som har ställts in för enheten inte är tillgänglig inaktiverar BitLocker användningen av maskinvarubaserad kryptering.
Konfigurera specifika krypteringsalgoritmer och inställningar för chiffersviter på flyttbara dataenheter 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Underordnad till policyn Konfigurera användning av hårdvarubaserad kryptering för flyttbara dataenheter.
Krypteringsalgoritmer anges med objektidentifierare (OID) och avgränsas med kommatecken.
Exempel på OID:er för krypteringschiffer:
  • Advanced Encryption Standard (AES) 128 i CBC-läge (Cipher Block Chaining) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 i CBC-läge OID: 2.16.840.1.101.3.4.1.42
Obs! Mer information om dessa principer finns i Microsofts BitLocker Policy Guide KB https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Den här hyperlänken tar dig till en webbplats utanför Dell Technologies..

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.