Рекомендовані політики Dell для Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (раніше Dell Data Protection | BitLocker Manager) забезпечує захист і безпеку завдяки використанню інтегрованого протоколу шифрування повного обсягу Microsoft (BitLocker). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Продукти, на які вплинули:

  • Dell Encryption Enterprise BitLocker Manager
  • Захист даних Dell | Менеджер BitLocker

Вони пропонують механізм шифрування повного обсягу та кілька сценаріїв для захисту операційної системи, а також захист завантажувального циклу від атак.

Dell надає єдину панель скла для керування пристроями, захищеними за допомогою BitLocker, а також широку можливість звітувати про захист цих пристроїв.

Примітка: Щоб переглянути поточний стан захисту середовища, використовуйте запис на панелі керування на Dell Encryption (раніше Dell Data Protection | Encryption) консолі.

Щоб встановити політику шифрування BitLocker, компанії Dell рекомендують:

  1. Перейдіть до розділу Enterprise.
  2. Виберіть пункт Шифрування BitLocker.
    Виберіть пункт Шифрування BitLocker
  3. Щоб переглянути всі налаштування, натисніть Показати додаткові налаштування.
    Натисніть Показати додаткові налаштування

Пропоновані налаштування наведені нижче:

Примітка: Останнє оновлення цієї статті було оновлено в листопаді 2019 року. Політики призначені для Dell Security Management Server v10.2.9.
Політика Рекомендовані налаштування Dell Роз'яснення політики
Шифрування BitLocker На Увімкнення та вимкнення плагіна BitLocker Manager (цей плагін необхідний для належного застосування всіх політик менеджера Dell BitLocker)
Диспетчер модуля TPM увімкнено На Увімкнення та вимкнення плагіна керування модулем TPM (цей компонент активує модуль TPM, якщо його ввімкнуто, але не активовано належним чином)
Вимкніть сплячий режим Вимкнено Якщо увімкнено, під час шифрування пристрою не дозволяється переходити в будь-який сплячий стан.
Шифрування системного диска Увімкніть шифрування Якщо встановлено параметр «Не керувати», локальні адміністратори пристроїв можуть змінювати BitLocker.
Якщо встановити для цього параметра значення «Увімкнути шифрування », це призведе до примусового шифрування тому, і локальні адміністратори не зможуть його змінити.
Якщо встановити для цього параметра значення «Вимкнути шифрування », том виконано дешифрування, і локальні адміністратори не зможуть його змінити.
Шифрування фіксованих дисків Не встигають Якщо встановлено параметр «Не керувати», локальні адміністратори пристроїв можуть змінювати BitLocker.
Якщо встановити для цього параметра значення «Увімкнути шифрування », це призведе до примусового шифрування тому, і локальні адміністратори не зможуть його змінити.
Якщо встановити для цього параметра значення «Вимкнути шифрування », том виконано дешифрування, і локальні адміністратори не зможуть його змінити.
Шифрування знімних дисків Не встигають Якщо встановлено параметр «Не керувати», локальні адміністратори пристроїв можуть змінювати BitLocker.
Якщо встановити для цього параметра значення «Увімкнути шифрування », це призведе до примусового шифрування тому, і локальні адміністратори не зможуть його змінити.
Якщо встановити для цього параметра значення «Вимкнути шифрування », том виконано дешифрування, і локальні адміністратори не зможуть його змінити.
Потрібна інша автентифікація під час запуску системи. Включений Ця властивість вмикає наступні п'ять політик і дає змогу активувати визначені протектори на керованих кінцевих точках.
Дозволити шифрування BitLocker без сумісного модуля TPM. Включений Якщо параметр Увімкнуто, забезпечує підтримку старіших моделей модуля TPM і дає змогу депонувати ключі BitLocker на USB на пристроях без модуля TPM.
Налаштування запуску модуля TPM Необхідний Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є параметром, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Налаштування PIN-коду запуску модуля TPM Не допускати Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є параметром, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Налаштування ключа запуску модуля TPM Не допускати Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є параметром, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Налаштування ключа запуску TPM і PIN-коду Не допускати Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є параметром, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Вимкнення BitLocker на дисках із самошифруванням Вимкнуто Якщо встановлено значення Увімкнути, то в разі виявлення самозашифрованого диска (SED) BitLocker не захищає кінцеву точку.
Установлення для цієї політики значення Вимкнено дає змогу засобу BitLocker захищати кінцеву точку, незалежно від можливостей диска.
Політика Рекомендовані налаштування Dell Роз'яснення політики
Фіксовані налаштування обсягу даних
Налаштування використання смарт-карток на стаціонарних накопичувачах даних Заборонити У цій політиці відображаються параметри захисту фіксованого диска (не пов'язаного з операційною системою), коли для параметра «Шифрувати фіксовані диски» встановлено значення «Увімкнути шифрування».
Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Заборонити», цей параметр недоступний і не є варіантом, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Заборонити доступ до запису на фіксовані диски, не захищені засобом BitLocker Вимкнуто За допомогою цього параметра політики можна настроїти, чи потрібен захист BitLocker для запису на стаціонарні диски з даними на комп'ютері.
Якщо встановлено значення Вимкнено , усі фіксовані диски даних на комп'ютері монтуються з доступом на читання та запис.
Якщо встановлено значення Увімкнено, користувачі отримують повідомлення про помилку «Доступ відмовлено» під час спроби зберегти дані на незашифровані фіксовані диски даних.
Якщо встановлено значення Увімкнено для організації, користувачі з пристроями лише з ідентифікатором організації, встановленим у політиці, отримують повідомлення про помилку "Доступ відмовлено" під час спроби зберегти дані на незашифровані фіксовані диски даних. На всіх інших пристроях є всі незнімні диски даних на комп'ютері, який змонтовано з доступом на читання та запис.
Надання доступу до захищених фіксованих дисків із даними BitLocker із попередніх версій Windows Включений Якщо встановлено значення Увімкнено, диски з даними, відформатовані у файловій системі FAT, можна розблоковувати на комп'ютерах під керуванням Windows Server 2008, Windows Vista, Windows XP з пакетом оновлень 3 (SP3) або Windows XP з пакетом оновлень 2 (SP2), а також переглядати їхній вміст. Ці операційні системи мають доступ лише для читання до дисків, захищених BitLocker.
Якщо встановлено значення Вимкнено, диски з даними, відформатовані за допомогою файлової системи FAT, не можна розблокувати на комп'ютерах під керуванням попередніх версій Windows.
Не інсталюйте BitLocker to Go Reader на фіксованих дисках із форматом FAT Вимкнуто Якщо цей параметр вибрано, це запобігає інсталяції BitLocker To Go Reader, що перешкоджає доступу користувачів із пристроями під керуванням старіших версій Windows до захищених дисків BitLocker.
Налаштування використання паролів для стаціонарних дисків даних Дозволити У цій політиці відображаються параметри захисту фіксованого диска (не пов'язаного з операційною системою), коли для параметра «Шифрувати фіксовані диски» встановлено значення «Увімкнути шифрування».
Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Заборонити», цей параметр недоступний і не є варіантом, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Налаштування складності пароля для стаціонарних дисків даних Вимагають Якщо встановлено значення Обов'язково, підключення до контролера домену необхідне для перевірки складності пароля, коли ввімкнуто BitLocker.
Якщо встановлено значення Дозволити, підключення до контролера домену намагається перевірити, чи відповідає складність правилам, установленим політикою. Однак, якщо контролерів домену не знайдено, пароль приймається незалежно від складності пароля, а диск шифрується за допомогою цього пароля як засобу захисту.
Якщо встановлено значення Не дозволяти, перевірка складності пароля не виконується.
Мінімальна довжина пароля для стаціонарних дисків даних 8 Установлює мінімальну довжину паролів для захищених BitLocker томів із фіксованим диском (цей параметр вимагає, щоб для параметра «Налаштувати використання паролів для фіксованих дисків даних» було встановлено значення «Вимагати» або «Дозволити»)
Тип шифрування для стаціонарних накопичувачів даних Повне шифрування Ця політика визначає, чи використовують на стаціонарних дисках дані шифрування "Лише використаний простір " або "Повне шифрування". Використаний простір потрібен лише для віртуальних машин, які захищає Bit Locker.
Вибір способу відновлення фіксованих дисків, захищених за допомогою BitLocker, Вимкнуто Підтримуйте наступні сім полісів.
Якщо увімкнено, це дозволяє налаштувати додаткові параметри відновлення.
Якщо цей параметр вимкнено, відновлення доступне лише через Dell Security Management Server або Dell Security Management Server Virtual.
Дозволити агенту відновлення даних для захищених стаціонарних дисків даних Вимкнуто Нащадок політики Виберіть пункт Як можна відновити
фіксовані диски, захищені BitLocker, Дозволити агенту відновлення даних використовується для визначення того, чи можна використовувати агент відновлення даних із дисками, захищеними BitLocker. Перш ніж використовувати агента для відновлення даних, його потрібно додати з політики відкритого ключа, який знаходиться в консолі керування груповими політиками (GPMC) або в редакторі локальної групової політики.
Для отримання додаткових відомостей про те, як агент із відновлення даних може бути використаний для відновлення захищеного пристрою BitLocker, див. : https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Настроювання сховища користувача 48-значного пароля відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено параметр Не дозволяти, відновлення комп'ютера, захищеного BitLocker, може бути неможливим.
Настроювання сховища користувача 256-бітного ключа відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено параметр Не дозволяти, відновлення комп'ютера, захищеного BitLocker, може бути неможливим.
Пропустіть параметри відновлення з майстра настроювання BitLocker Вимкнуто Нащадок поліса Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker.
Виберіть пункт Пропустити параметри відновлення в майстрі настроювання BitLocker , щоб заборонити користувачам вказувати параметри відновлення під час активації BitLocker на диску. Якщо параметр Увімкнуто, настройка політики визначає параметри відновлення BitLocker.
Збереження відомостей для відновлення BitLocker у AD DS для фіксованих дисків із даними Включений Нащадок поліса Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker.
Батьків для наступних двох політик:
Збережіть інформацію для відновлення BitLocker у службі доменів Active Directory, виберіть, яку інформацію для відновлення BitLocker слід зберігати в службі доменів Active Directory (AD DS).
Інформація для відновлення BitLocker для зберігання в AD DS Паролі для відновлення та пакети ключів Нащадок політики Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker , і збережіть інформацію відновлення BitLocker у AD DS для фіксованих дисків даних.
Пароль і пакети ключів для відновлення, пароль відновлення BitLocker і пакет ключів зберігаються в AD DS. Зберігання пакета ключів підтримує відновлення даних з фізично пошкодженого диска. Якщо вибрати параметр Лише пароль для відновлення, пароль відновлення буде єдиним, що зберігатиметься в AD DS.
Не вмикайте BitLocker, доки інформація для відновлення не збережеться в AD DS для стаціонарних дисків із даними Вимкнуто Нащадок політики Виберіть спосіб відновлення фіксованих дисків, захищених BitLocker , і збережіть інформацію відновлення BitLocker у AD DS для фіксованих дисків даних.
Установіть прапорець Не вмикати BitLocker, доки відомості для відновлення не зберігатимуться в AD DS для фіксованих дисків , якщо ви не хочете використовувати BitLocker користувачами, якщо комп'ютер не підключено до домену та не вдасться виконати резервну копію відомостей для відновлення BitLocker у AD DS.
Налаштуйте використання апаратного шифрування для фіксованих дисків даних Включений Батько наступних чотирьох полісів.
Ця політика визначає, як засіб BitLocker реагує на роботу комп'ютерів, оснащених зашифрованими дисками, коли вони використовуються як фіксовані томи даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використовуйте апаратне шифрування для фіксованих дисків даних Включений Нащадок політики Налаштуйте використання апаратного шифрування для фіксованих дисків даних.
Ця політика визначає, як засіб BitLocker реагує на роботу комп'ютерів, оснащених зашифрованими дисками, коли вони використовуються як фіксовані томи даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використання програмного шифрування BitLocker на фіксованих дисках із даними, якщо апаратне шифрування недоступне Включений Нащадок політики Налаштуйте використання апаратного шифрування для фіксованих дисків даних.
Ця політика визначає, як засіб BitLocker реагує на роботу комп'ютерів, оснащених зашифрованими дисками, коли вони використовуються як фіксовані томи даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Обмеження криптографічних алгоритмів і наборів шифрів дозволено для апаратного шифрування на фіксованих дисках даних Вимкнуто Нащадок політики Налаштуйте використання апаратного шифрування для фіксованих дисків даних.
Параметр Обмежити алгоритми шифрування та набори шифрів, дозволених для апаратного шифрування , дає змогу обмежити алгоритми шифрування, які BitLocker може використовувати з апаратним шифруванням. Якщо алгоритм, установлений для диска, недоступний, засіб BitLocker відключає використання апаратного шифрування.
Налаштування конкретних криптоалгоритмів і параметрів наборів шифрів на стаціонарних дисках даних 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Нащадок політики Налаштуйте використання апаратного шифрування для фіксованих дисків даних.
Алгоритми шифрування задаються ідентифікаторами об'єктів (OID) і розділяються комами.
Приклади OID для шифрів шифрування:
  • Розширений стандарт шифрування (AES) 128 у режимі ланцюжка блоків шифру (CBC) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 в режимі CBC OID: 2.16.840.1.101.3.4.1.42
Глобальні налаштування
Розташування папки за замовчуванням для збереження пароля відновлення (порожній) Якщо встановлено, вкажіть шлях, який використовується як розташування папки за замовчуванням, коли користувач вибирає опцію збереження пароля відновлення в папці. Можна використовувати повністю кваліфікований шлях або включити змінні оточення цільового комп'ютера в шлях. Якщо шлях невірний, майстер настроювання BitLocker відобразить подання папок верхнього рівня комп'ютера.
Метод шифрування та надійність шифру AES256 з дифузором
Примітка: Ця політика не поширюється на зашифровані диски. Зашифровані диски використовують власний алгоритм, який диск задає під час розбиття на розділи.
Увімкніть унікальні ідентифікатори організації Вимкнуто Підтримуйте наступні дві політики.
Якщо параметр Увімкнено, дає змогу налаштовувати поле ідентифікації на дисках, захищених засобом BitLocker, і будь-яке дозволене поле ідентифікації, яке використовується у вашій організації.
Ці ідентифікатори зберігаються як поле ідентифікації та дозволене поле ідентифікації. Поле ідентифікації дає змогу пов'язати унікальний ідентифікатор організації з дисками, захищеними BitLocker. Цей ідентифікатор автоматично додається до нових дисків, захищених BitLocker, і його можна оновити на наявних дисках, захищених BitLocker, за допомогою інструмента командного рядка Manage-bde.
Поле ідентифікації потрібне для керування агентами відновлення даних на основі сертифікатів на дисках, захищених BitLocker, і для потенційних оновлень читача BitLocker To Go. Засіб BitLocker керує агентами для відновлення даних і оновлює їх лише тоді, коли поле ідентифікації на диску збігається зі значенням, настроєним у полі ідентифікації. Аналогічним чином засіб BitLocker оновлює BitLocker To Go Reader лише тоді, коли поле ідентифікації на диску збігається зі значенням, настроєним для поля ідентифікації.
Примітка: Параметр «Увімкнути унікальні ідентифікатори організації » можна використовувати з параметром Заборонити запис на знімні диски, не захищені настройкою політики BitLocker, щоб допомогти контролювати використання знімних дисків у вашій організації.
Встановлення унікальних ідентифікаторів організації (порожній) Нащадок політики Увімкніть унікальні ідентифікатори організації.
Це буквено-цифрове значення для встановлення унікального ідентифікатора для ваших пристроїв, щоб ваша компанія керувала ними.
Цей ідентифікатор автоматично додається до нових дисків, захищених BitLocker, і його можна оновити на наявних дисках, захищених BitLocker, за допомогою інструмента командного рядка Manage-bde.
Установлення дозволених унікальних ідентифікаторів організації (порожній) Нащадок політики Увімкніть унікальні ідентифікатори організації.
Це буквено-цифрове значення для встановлення унікального ідентифікатора для ваших пристроїв, щоб ваша компанія керувала ними.
Цей ідентифікатор автоматично додається до нових дисків, захищених BitLocker, і його можна оновити на наявних дисках, захищених BitLocker, за допомогою інструмента командного рядка Manage-bde.
Примітка: Рекомендується, щоб політики «Встановити дозволені унікальні ідентифікатори організації » та «Встановити унікальні ідентифікатори організації » збігалися, щоб уникнути проблем під час відновлення.
Запобігання перезапису пам'яті під час перезавантаження Вимкнуто Якщо цей параметр вимкнено, секретні дані BitLocker видаляються з пам'яті. Якщо цей параметр увімкнено, секретні дані BitLocker залишаються в пам'яті, що може підвищити продуктивність, хоча секретні дані BitLocker піддаються додатковому ризику.
Увімкнути ідентифікатор сертифіката смарт-картки Вимкнуто Якщо цей параметр увімкнено, ідентифікатор об'єкта, указаний у параметрі Ідентифікатор об'єкта сертифіката, має збігатися з ідентифікатором об'єкта в політиці Ідентифікатор сертифіката смарт-картки.
Ідентифікатор сертифіката смарт-картки 1.3.6.1.4.1.311.67.1.1 Ідентифікатор об'єкта вказується в розділі розширеного використання ключа (EKU) сертифіката. Засіб BitLocker може визначати, які сертифікати можна використовувати для автентифікації сертифіката користувача на диску, захищеному BitLocker, шляхом зіставлення ідентифікатора об'єкта в сертифікаті з ідентифікатором об'єкта, що міститься в цій настройці політики.
Ідентифікатор об'єкта за замовчуванням – 1.3.6.1.4.1.311.67.1.1.
Налаштування гучності операційної системи
Дозволити розширені PIN-коди для запуску. Вимкнуто Удосконалені PIN-коди запуску дають змогу використовувати символи (включно з великими та малими літерами, символами, цифрами та пробілами).
Примітка: Не всі комп'ютери підтримують розширені символи PIN-коду в середовищі перед завантаженням.
Кількість символів у PIN-коді 6 Визначає мінімальну кількість символів, необхідних для середовища попереднього завантаження
Примітка: Мінімальну довжину PIN-коду BitLocker збільшено до шести символів, починаючи з Windows 10 версії 1703.
Дозволити розблокування мережі під час запуску на дисках операційної системи Вимкнуто Ця політика контролює частину поведінки функції розблокування мережі в засобі BitLocker. Ця політика необхідна для ввімкнення засобу розблокування мережі BitLocker у мережі, оскільки вона дає змогу клієнтам, які використовують BitLocker, створювати необхідний захист мережного ключа під час шифрування.
Щоб отримати додаткові відомості про ввімкнення розблокування мережі, зверніться до https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlockЦе гіперпосилання веде вас на веб-сайт за межами Dell Technologies..
Дозволити SecureBoot на дисках операційної системи Включений Керує тим, як обробляються томи комп'ютера з підтримкою BitLocker за допомогою функції безпечного завантаження. Увімкнення цієї функції примусово перевіряє систему Secure Boot під час процесу завантаження та перевіряє параметри даних конфігурації завантаження (BCD) відповідно до політики безпечного завантаження.
Заборонити звичайним користувачам змінювати PIN-код на дисках операційної системи Вимкнуто Цей параметр політики дає змогу налаштувати, чи дозволено стандартним користувачам змінювати PIN-код або пароль, який використовується для захисту диска операційної системи.
Якщо ввімкнено, користувачі, які не мають прав локального адміністратора, не можуть змінювати PIN-код на кінцевій точці.
Якщо цей параметр вимкнено, усі користувачі на кінцевій точці можуть змінювати PIN-код перед завантаженням.
Увімкніть використання введення з клавіатури перед завантаженням на сланцях Включений Коли увімкнено, це дозволяє користувачам вмикати параметри автентифікації, які вимагають введення користувачем із середовища перед завантаженням, навіть якщо платформа вказує на відсутність можливості введення перед завантаженням.
Скидання даних перевірки платформи після відновлення Включений Якщо параметр Увімкнено, дані перевірки платформи оновлюються під час запуску Windows після відновлення BitLocker.
Якщо цей параметр вимкнено, дані перевірки платформи не оновлюються після відновлення BitLocker. Це може спричинити відновлення після кожного завантаження, якщо базова конфігурація платформи змінилася.
Вибір способу відновлення дисків операційної системи, захищених за допомогою засобу BitLocker Вимкнуто Підтримуйте наступні сім полісів.
Якщо увімкнено, це дозволяє налаштувати додаткові параметри відновлення.
Якщо цей параметр вимкнено, відновлення доступне лише через Dell Security Management Server або Dell Security Management Server Virtual.
Дозволити агенту відновлення даних для захищених дисків операційної системи Включений Нащадок поліса Виберіть спосіб відновлення дисків операційної системи, захищених BitLocker.
Прапорець Дозволити агенту відновлення даних використовується для визначення того, чи можна використовувати агент відновлення даних із дисками операційної системи, захищеними BitLocker. Перш ніж використовувати агента для відновлення даних, його потрібно додати з політики відкритого ключа, який знаходиться в консолі керування груповими політиками (GPMC) або в редакторі локальної групової політики.
Для отримання додаткових відомостей про те, як агент із відновлення даних може бути використаний для відновлення захищеного пристрою BitLocker, перейдіть за посиланням: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Настроювання сховища користувача 48-значного пароля відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення дисків операційної системи, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено параметр Не дозволяти, відновлення комп'ютера, захищеного BitLocker, може бути неможливим.
Настроювання сховища користувача 256-бітного ключа відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення дисків операційної системи, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено параметр Не дозволяти, відновлення комп'ютера, захищеного BitLocker, може бути неможливим.
Пропустіть параметри відновлення з майстра настроювання BitLocker Вимкнуто Нащадок поліса Виберіть спосіб відновлення дисків операційної системи, захищених BitLocker.
Виберіть пункт Пропустити параметри відновлення в майстрі настроювання BitLocker , щоб заборонити користувачам вказувати параметри відновлення під час активації BitLocker на диску.
Якщо цей параметр увімкнуто, параметр політики визначає параметри відновлення BitLocker для диска.
Збереження відомостей для відновлення BitLocker у AD DS для дисків операційної системи Включений Нащадок поліса Виберіть спосіб відновлення дисків операційної системи, захищених BitLocker.
Батьків для наступних двох політик:
Збережіть інформацію для відновлення BitLocker у службі доменів Active Directory, виберіть, яку інформацію для відновлення BitLocker слід зберігати в службі доменів Active Directory (AD DS).
Відомості для відновлення BitLocker для зберігання в AD DS (лише для Windows Server 2008) Пакети паролів і ключів для відновлення Нащадок політики Виберіть спосіб відновлення дисків операційної системи, захищених за допомогою BitLocker , і збережіть інформацію відновлення BitLocker у AD DS для дисків даних операційної системи.
Пароль і пакети ключів для відновлення, пароль відновлення BitLocker і пакет ключів зберігаються в AD DS. Зберігання пакета ключів підтримує відновлення даних з фізично пошкодженого диска. Якщо вибрати Тільки пароль відновлення, то в AD DS зберігається тільки пароль відновлення.
Не вмикайте BitLocker, доки інформація для відновлення не буде збережена в AD DS для дисків операційної системи Вимкнуто Нащадок політики Виберіть спосіб відновлення дисків операційної системи, захищених за допомогою BitLocker , і збережіть інформацію відновлення BitLocker у AD DS для дисків даних операційної системи.
Установіть прапорець Не вмикати BitLocker, доки відомості для відновлення не зберігатимуться в AD DS для дисків операційної системи , якщо ви не хочете активувати BitLocker користувачами, якщо комп'ютер не підключено до домену та не вдасться створити резервну копію відомостей для відновлення BitLocker у AD DS.
Налаштування використання апаратного шифрування для дисків операційної системи Включений Батько наступних чотирьох полісів.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування.

Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використання апаратного шифрування для дисків операційної системи Включений Нащадок політики Налаштуйте використання апаратного шифрування для дисків даних операційної системи.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування.

Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використання програмного шифрування BitLocker на дисках операційної системи, якщо апаратне шифрування недоступне Включений Нащадок політики Налаштуйте використання апаратного шифрування для дисків даних операційної системи.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування.

Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Обмеження криптографічних алгоритмів і наборів шифрів дозволено для апаратного шифрування на дисках операційної системи Вимкнуто Нащадок політики Налаштуйте використання апаратного шифрування для дисків даних операційної системи.
Параметр Обмежити алгоритми шифрування та набори шифрів, дозволених для апаратного шифрування , дає змогу обмежити алгоритми шифрування, які BitLocker може використовувати з апаратним шифруванням. Якщо алгоритм, установлений для диска, недоступний, засіб BitLocker відключає використання апаратного шифрування.
Налаштування конкретних криптоалгоритмів і параметрів набору шифрів на дисках операційної системи 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Нащадок політики Налаштуйте використання апаратного шифрування для дисків даних операційної системи.
Алгоритми шифрування задаються ідентифікаторами об'єктів (OID) і розділяються комами
Приклади OID для шифрів шифрування:
  • Розширений стандарт шифрування (AES) 128 у режимі ланцюжка блоків шифру (CBC) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 в режимі CBC OID: 2.16.840.1.101.3.4.1.42
Тип шифрування для дисків операційної системи Повне шифрування Ця політика визначає, чи використовують на дисках дані шифрування "Лише використаний простір " або "Повне шифрування". Лише використане місце потрібне для віртуальних машин, які захищає BitLocker.
Налаштування використання паролів для дисків операційної системи Не налаштовано Ця політика визначає, як комп'ютери без модуля TPM використовують протектор пароля. Ця політика, яка використовується з політикою настроювання складності пароля для дисків операційної системи , дає змогу адміністраторам вимагати довжину та складність пароля для використання протектора пароля. За замовчуванням паролі мають містити вісім символів.
Якщо цей параметр увімкнено, користувачі можуть налаштувати пароль, який відповідає визначеним вами вимогам.
Якщо не налаштовано або вимкнено, до паролів дисків операційної системи застосовується обмеження довжини за замовчуванням у вісім символів, і перевірка складності не відбувається.
Примітка: Паролі не можна використовувати, якщо ввімкнено FIPS-відповідність.
Налаштування складності пароля для дисків операційної системи Вимагають Якщо встановлено значення Обов'язково, підключення до контролера домену необхідне для перевірки складності пароля, коли ввімкнуто BitLocker.
Якщо встановлено значення Дозволити, підключення до контролера домену намагається перевірити, чи відповідає складність правилам, установленим політикою. Однак, якщо контролерів домену не знайдено, пароль приймається незалежно від складності пароля, а диск шифрується за допомогою цього пароля як засобу захисту.
Якщо встановлено значення Не дозволяти, перевірка складності пароля не виконується.
Мінімальна довжина пароля для дисків операційної системи 8 Установлення мінімальної довжини пароля для захищених дисків BitLocker
Примітка: Настройки застосовуються під час увімкнення BitLocker, а не під час розблокування диска. BitLocker дає змогу розблокувати диск за допомогою будь-якого з наявних на диску протекторів.
Потрібні паролі лише ASCII для дисків операційної системи Вимкнуто Якщо увімкнено, символи Unicode не допускаються в запиті пароля для дисків операційної системи.
Якщо вимкнено, приймаються всі символи.
Використовувати профіль даних розширеної конфігурації завантаження Не налаштовано (зміна цієї політики на значення, відмінне від "Не налаштовано", може призвести до появи запитів на відновлення, коли функцію Hyper-V увімкнено у Windows 10). Підтримуйте наступні дві політики.
Цей параметр політики визначає конкретні параметри даних конфігурації завантаження (BCD), які потрібно перевіряти під час перевірки платформи. Валідація платформи використовує дані профілю валідації платформи, який складається з індексів Реєстру конфігурації платформи (PCR), які варіюються від 0 до 23.
Примітка: Якщо засіб BitLocker використовує функцію Безпечне завантаження для перевірки цілісності даних конфігурації завантаження, параметр Використовувати групову політику профілю даних розширеної конфігурації завантаження ігнорується.
Перевірте інші налаштування BCD (порожній) Удосконалений профіль даних конфігурації завантаження.
Для отримання інформації про налаштування параметрів BCD дивіться https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Примітка: Параметр, який керує налагодженням завантаження (0x16000010), завжди перевіряється, і він не діє, якщо він входить до включення або списку винятків.
Виключити інші параметри BCD (порожній) Удосконалений профіль даних конфігурації завантаження.
Для отримання інформації про налаштування параметрів BCD дивіться https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Примітка: Параметр, який керує налагодженням завантаження (0x16000010), завжди перевіряється, і він не діє, якщо він входить до включення або списку винятків.
Налаштування профілю перевірки платформи TPM Вимкнуто Батько для налаштування конкретних параметрів платформи TPM.
Якщо цей параметр увімкнуто, визначає, які значення модуль TPM відстежує під час перевірки компонентів раннього завантаження перед розблокуванням диска на комп'ютері під керуванням Windows Vista, Windows Server 2008 або Windows 7.
Настроювання конкретних параметрів платформи TPM Dell Technologies рекомендує використовувати поточні ПЛР Microsoft за замовчуванням, якщо не вимагається інше Дочірній профіль перевірки платформи Configure TPM.
Профіль валідації платформи складається з ПЛР-індексів, які варіюються від 0 до 23. Профіль перевірки платформи за замовчуванням захищає ключ шифрування від змін, внесених нижче:
  • Основний корінь Trust of Measurement (CRTM), BIOS і розширень платформи (PCR 0)
  • Опція Код ПЗУ (ПЛР 2)
  • Код майстер-запису завантаження (MBR) (PCR 4)
  • Завантажувальний сектор NTFS (PCR 8)
  • Завантажувальний блок NTFS (PCR 9)
  • Диспетчер завантаження (PCR 10)
  • Контроль доступу BitLocker (PCR 11)
У наведеному нижче списку позначено всі наявні ПЛР:
  • ПЛР 0: Ядро root-of-trust для вимірювання, завантаження EFI та служби виконання, драйвери EFI, вбудовані в ПЗУ комп'ютера, статичні таблиці ACPI, які є вбудованим SMM-кодом, і код BIOS
  • ПЛР 1: Конфігурація та дані платформи та материнської плати (таблиці передачі та змінні EFI, які впливають на конфігурацію комп'ютера)
  • ПЛР 2: Опція коду ПЗУ
  • ПЛР 3: Опція даних ПЗУ та її конфігурація
  • ПЛР 4: Код майстер-запису завантаження (MBR) або код з інших завантажувальних пристроїв
  • ПЛР 5: Таблиця розділів Master Boot Record (MBR). Різні змінні EFI та таблиця GPT
  • ПЛР 6: Події переходу та пробудження станів
  • ПЛР 7: Залежно від виробника комп'ютера
  • ПЛР 8: Завантажувальний сектор NTFS
  • ПЛР 9: Завантажувальний блок NTFS
  • ПЛР 10: Менеджер завантаження
  • ПЛР 11: Контроль доступу BitLocker
  • ПЛР 12 - 23: Зарезервовано для використання в майбутньому
    Попередження: Зміна профілю перевірки платформи за замовчуванням впливає на безпеку та керованість вашого комп'ютера. Чутливість BitLocker до модифікацій платформи (зловмисних або авторизованих) збільшується або знижується залежно від включення або виключення (відповідно) PCR-файлів.
Налаштування профілю перевірки платформи BIOS TPM Вимкнуто Батько для налаштування конкретних параметрів платформи BIOS TPM.
Якщо встановлено значення Увімкнено, цей параметр політики визначає, які значення TPM відстежує під час перевірки компонентів раннього завантаження перед розблокуванням диска операційної системи на комп'ютері з конфігурацією BIOS або з мікропрограмою UEFI, на якому ввімкнуто модуль підтримки сумісності (CSM).
Налаштування конкретних параметрів платформи BIOS TPM Dell Technologies рекомендує використовувати поточні ПЛР Microsoft за замовчуванням, якщо не вимагається інше Дочірній профіль перевірки платформи Configure TPM.
Профіль валідації платформи складається з ПЛР-індексів, які варіюються від 0 до 23. Профіль перевірки платформи за замовчуванням захищає ключ шифрування від змін, внесених нижче:
  • Основний корінь Trust of Measurement (CRTM), BIOS і розширень платформи (PCR 0)
  • Опція Код ПЗУ (ПЛР 2)
  • Код майстер-запису завантаження (MBR) (PCR 4)
  • Завантажувальний сектор NTFS (PCR 8)
  • Завантажувальний блок NTFS (PCR 9)
  • Диспетчер завантаження (PCR 10)
  • Контроль доступу BitLocker (PCR 11)
У наведеному нижче списку позначено всі наявні ПЛР:
  • ПЛР 0: Ядро root-of-trust для вимірювання, завантаження EFI та служби виконання, драйвери EFI, вбудовані в ПЗУ комп'ютера, статичні таблиці ACPI, які є вбудованим SMM-кодом, і код BIOS
  • ПЛР 1: Конфігурація та дані платформи та материнської плати (таблиці передачі та змінні EFI, які впливають на конфігурацію комп'ютера)
  • ПЛР 2: Опція коду ПЗУ
  • ПЛР 3: Опція даних ПЗУ та її конфігурація
  • ПЛР 4: Код майстер-запису завантаження (MBR) або код з інших завантажувальних пристроїв
  • ПЛР 5: Таблиця розділів Master Boot Record (MBR). Різні змінні EFI та таблиця GPT
  • ПЛР 6: Події переходу та пробудження станів
  • ПЛР 7: Залежно від виробника комп'ютера
  • ПЛР 8: Завантажувальний сектор NTFS
  • ПЛР 9: Завантажувальний блок NTFS
  • ПЛР 10: Менеджер завантаження
  • ПЛР 11: Контроль доступу BitLocker
  • ПЛР 12 - 23: Зарезервовано для використання в майбутньому
    Попередження: Зміна профілю перевірки платформи за замовчуванням впливає на безпеку та керованість вашого комп'ютера. Чутливість BitLocker до модифікацій платформи (зловмисних або авторизованих) збільшується або знижується залежно від включення або виключення (відповідно) PCR-файлів.
Налаштування профілю перевірки платформи UEFI TPM Вимкнуто Батько для налаштування конкретних параметрів платформи UEFI TPM.
Якщо встановлено значення Увімкнено, цей параметр політики визначає, які значення відстежує модуль TPM під час перевірки компонентів раннього завантаження перед розблокуванням диска операційної системи на комп'ютері з власною конфігурацією мікропрограми UEFI.
Налаштування конкретних параметрів платформи UEFI TPM Dell Technologies рекомендує використовувати поточні ПЛР Microsoft за замовчуванням, якщо не вимагається інше Дочірній профіль перевірки платформи Configure TPM.
Профіль валідації платформи складається з ПЛР-індексів, які варіюються від 0 до 23. Профіль перевірки платформи за замовчуванням захищає ключ шифрування від змін, внесених нижче:
  • Основний корінь Trust of Measurement (CRTM), BIOS і розширень платформи (PCR 0)
  • Опція Код ПЗУ (ПЛР 2)
  • Код майстер-запису завантаження (MBR) (PCR 4)
  • Завантажувальний сектор NTFS (PCR 8)
  • Завантажувальний блок NTFS (PCR 9)
  • Диспетчер завантаження (PCR 10)
  • Контроль доступу BitLocker (PCR 11)
У наведеному нижче списку позначено всі наявні ПЛР:
  • ПЛР 0: Ядро root-of-trust для вимірювання, завантаження EFI та служби виконання, драйвери EFI, вбудовані в ПЗУ комп'ютера, статичні таблиці ACPI, які є вбудованим SMM-кодом, і код BIOS
  • ПЛР 1: Конфігурація платформи та материнської плати, а також таблиці передачі даних та змінні EFI, які впливають на конфігурацію комп'ютера)
  • ПЛР 2: Опція коду ПЗУ
  • ПЛР 3: Опція даних ПЗУ та її конфігурація
  • ПЛР 4: Код майстер-запису завантаження (MBR) або код з інших завантажувальних пристроїв
  • ПЛР 5: Таблиця розділів Master Boot Record (MBR). Різні змінні EFI та таблиця GPT
  • ПЛР 6: Події переходу та пробудження станів
  • ПЛР 7: Залежно від виробника комп'ютера
  • ПЛР 8: Завантажувальний сектор NTFS
  • ПЛР 9: Завантажувальний блок NTFS
  • ПЛР 10: Менеджер завантаження
  • ПЛР 11: Контроль доступу BitLocker
  • ПЛР 12 - 23: Зарезервовано для використання в майбутньому
    Попередження: Зміна профілю перевірки платформи за замовчуванням впливає на безпеку та керованість вашого комп'ютера. Чутливість BitLocker до модифікацій платформи (зловмисних або авторизованих) збільшується або знижується залежно від включення або виключення (відповідно) PCR-файлів.
     
    Примітка: Параметрами PCR профілю перевірки TPM за замовчуванням для комп'ютерів, які використовують розширюваний інтерфейс мікропрограми (EFI), є лише ПЛР 0, 2, 4 та 11.
Налаштування знімного носія
Надання користувачу можливості застосовувати захист BitLocker на знімних дисках Включений Якщо цей параметр увімкнено, користувач може активувати BitLocker для захисту знімних дисків.
Якщо цей параметр вимкнено, політика Шифрувати знімні диски визначає, коли засіб BitLocker захищає знімні диски.
Надання користувачу можливості призупиняти та розшифровувати захист BitLocker на знімних дисках із даними Включений Якщо параметр Увімкнено, дає змогу користувачу видаляти BitLocker із диска або призупиняти шифрування під час виконання обслуговування.
Якщо цей параметр вимкнено, політика Шифрувати знімні диски визначає, коли засіб BitLocker захищає знімні диски.
Налаштування використання смарт-карток на знімних накопичувачах даних Заборонити Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є опцією, яку можна вибрати ні в інтерфейсі Dell Encryption UI, ні в налаштуваннях Windows.
Заборонити доступ до запису на знімні диски, не захищені засобом BitLocker Вимкнуто Ця настройка політики використовується для забезпечення шифрування знімних дисків перед наданням доступу на запис, а також для контролю того, чи можна відкривати знімні диски, настроєні в іншій організації, із доступом на запис, захищені BitLocker.
Якщо цей параметр увімкнуто, пристрої, не захищені засобом BitLocker, не дозволяють записувати дані на диск, хоча дані можуть бути прочитані.
Якщо параметр Вимкнуто, пристрої, не захищені засобом BitLocker, дають змогу зчитувати та записувати дані.
Надання доступу до знімних дисків із захистом BitLocker із попередніх версій Windows Включений Якщо встановлено значення Увімкнено, диски з даними, відформатовані у файловій системі FAT, можна розблоковувати на комп'ютерах під керуванням Windows Server 2008, Windows Vista, Windows XP з пакетом оновлень 3 (SP3) або Windows XP з пакетом оновлень 2 (SP2), а також переглядати їхній вміст. Ці операційні системи мають доступ лише для читання до дисків, захищених BitLocker.
Якщо встановлено значення Вимкнено, диски з даними, відформатовані за допомогою файлової системи FAT, не можна розблокувати на комп'ютерах під керуванням попередніх версій Windows.
Не встановлюйте BitLocker to Go Reader на знімні диски, відформатовані у FAT Вимкнуто Якщо цей параметр вибрано, це запобігає інсталяції BitLocker To Go Reader, що перешкоджає доступу користувачів із пристроями під керуванням старіших версій Windows до захищених дисків BitLocker.
Налаштування використання паролів для знімних носіїв даних Дозволити Якщо встановлено значення Обов'язково, це єдиний варіант для кінцевих користувачів. На кінцевій точці кінцевому користувачеві не надається запит.
Якщо встановлено значення Дозволити, увімкніть цей параметр як опцію, яку можна вибрати для кінцевого користувача. Коли для кількох елементів встановлено значення «Дозволити», кінцевому користувачеві пропонується поле вибору для здійснення свого вибору.
Якщо встановлено значення «Не дозволяти», цей параметр недоступний і не є параметром, який можна вибрати ні в інтерфейсі користувача Dell Encryption, ні в налаштуваннях Windows.
Налаштування складності пароля для знімних накопичувачів даних Вимагають Якщо встановлено значення Обов'язково, підключення до контролера домену необхідне для перевірки складності пароля, коли ввімкнуто BitLocker.
Якщо встановлено значення Дозволити, підключення до контролера домену намагається перевірити, чи відповідає складність правилам, установленим політикою. Однак, якщо контролерів домену не знайдено, пароль приймається незалежно від складності пароля, а диск шифрується за допомогою цього пароля як засобу захисту.
Якщо встановлено значення Не дозволяти, перевірка складності пароля не виконується.
Мінімальна довжина пароля для знімних носіїв даних 8 Установлює мінімальну довжину паролів для захищених томів BitLocker (для цього параметра потрібно, щоб для параметра «Настроювання використання паролів для знімних дисків даних» було встановлено значення «Вимагати» або «Дозволити»)
Тип шифрування для знімних накопичувачів даних Повне шифрування Ця політика визначає, чи використовують на дисках дані шифрування "Лише використаний простір " або "Повне шифрування". Лише використане місце потрібне для віртуальних машин, які захищає BitLocker.
Вибір способу відновлення знімних дисків, захищених за допомогою BitLocker, Вимкнуто Підтримуйте наступні сім полісів.
Якщо увімкнено, це дозволяє налаштувати додаткові параметри відновлення.
Якщо цей параметр вимкнено, відновлення доступне лише через Dell Security Management Server або Dell Security Management Server Virtual.
Дозволити агенту відновлення даних для захищених знімних дисків даних Включений Нащадок поліса Виберіть спосіб відновлення знімних дисків, захищених BitLocker.
Прапорець Дозволити агенту відновлення даних використовується для визначення того, чи можна використовувати агент відновлення даних із дисками, захищеними BitLocker. Перш ніж використовувати агента для відновлення даних, його потрібно додати з політики відкритого ключа, який знаходиться в консолі керування груповими політиками (GPMC) або в редакторі локальної групової політики.
Для отримання додаткових відомостей про те, як агент із відновлення даних може бути використаний для відновлення захищеного пристрою BitLocker, див. : https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Настроювання сховища користувача 48-значного пароля відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення знімних дисків, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено значення Не дозволяти, відновлення захищеного диска BitLocker може бути неможливим.
Настроювання сховища користувача 256-бітного ключа відновлення BitLocker Дозволити Нащадок поліса Виберіть спосіб відновлення знімних дисків, захищених BitLocker.
Якщо встановлено значення Обов'язково, інформація для відновлення BitLocker примусово генерується та доступна адміністраторам пристрою.
Якщо встановлено значення Дозволити, інформація для відновлення BitLocker генерується автоматично та доступна адміністраторам пристрою.
Якщо встановлено значення Не дозволяти, інформація для відновлення BitLocker не створюється.
Примітка: Якщо встановлено значення Не дозволяти, відновлення захищеного диска BitLocker може бути неможливим.
Пропустіть параметри відновлення з майстра настроювання BitLocker для знімних носіїв Вимкнуто Нащадок поліса Виберіть спосіб відновлення знімних дисків, захищених BitLocker.
Виберіть пункт Пропустити параметри відновлення в майстрі настроювання BitLocker , щоб заборонити користувачам вказувати параметри відновлення під час активації BitLocker на диску. Якщо цей параметр увімкнуто, параметр політики визначає параметри відновлення BitLocker для диска.
Збереження відомостей для відновлення BitLocker у AD DS для знімних накопичувачів даних Включений Нащадок поліса Виберіть спосіб відновлення знімних дисків, захищених BitLocker.
Підтримуйте наступні дві політики.
Збережіть інформацію для відновлення BitLocker у службі доменів Active Directory, виберіть, яку інформацію для відновлення BitLocker слід зберігати в службі доменів Active Directory (AD DS).
Інформація для відновлення BitLocker для зберігання в AD DS для знімних дисків даних Паролі для відновлення та пакети ключів Нащадок політики Виберіть спосіб відновлення знімних дисків, захищених за допомогою BitLocker , і збережіть інформацію про відновлення BitLocker у AD DS для знімних дисків даних.
Пароль і пакети ключів для відновлення, пароль відновлення BitLocker і пакет ключів зберігаються в AD DS. Зберігання пакета ключів підтримує відновлення даних з фізично пошкодженого диска. Якщо вибрати Тільки пароль відновлення, то в AD DS зберігається тільки пароль відновлення.
Не вмикайте BitLocker, доки інформація для відновлення не збережеться в AD DS для знімних дисків даних Вимкнуто Нащадок політики Виберіть спосіб відновлення знімних дисків, захищених за допомогою BitLocker , і збережіть інформацію про відновлення BitLocker у AD DS для знімних дисків даних.
Установіть прапорець Не вмикати BitLocker, доки відомості для відновлення не зберігатимуться в AD DS для знімних дисків, якщо ви не хочете користувачі активувати BitLocker, якщо комп'ютер не підключено до домену та не вдасться виконати резервну копію відомостей для відновлення BitLocker у AD DS.
Налаштування використання апаратного шифрування для знімних накопичувачів даних Включений Батько наступних чотирьох полісів.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використовуйте апаратне шифрування для знімних накопичувачів даних Включений Нащадок політики Налаштуйте використання апаратного шифрування для знімних накопичувачів даних.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Використання програмного шифрування BitLocker на знімних дисках із даними, якщо апаратне шифрування недоступне Включений Нащадок політики Налаштуйте використання апаратного шифрування для знімних накопичувачів даних.
Ця політика контролює реакцію засобу BitLocker на комп'ютери, оснащені шифрованими дисками, у разі використання їх як томів даних. Використання апаратного шифрування може підвищити продуктивність операцій з диском, які передбачають часте читання або запис даних на диск.
Примітка: Параметр Вибрати метод шифрування диска та політику надійності шифру не застосовується до апаратного шифрування. Якщо цю політику ввімкнено на дисках зі старішою мікропрограмою, можуть також відображатися різні CVE, описані в таких розділах: https://www.kb.cert.org/vuls/id/395981/ Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.
Обмеження криптографічних алгоритмів і наборів шифрів дозволяє використовувати апаратне шифрування на знімних даних Вимкнуто Нащадок політики Налаштуйте використання апаратного шифрування для знімних накопичувачів даних.
Параметр Обмежити алгоритми шифрування та набори шифрів, дозволених для апаратного шифрування , дає змогу обмежити алгоритми шифрування, які BitLocker може використовувати з апаратним шифруванням. Якщо алгоритм, установлений для диска, недоступний, засіб BitLocker відключає використання апаратного шифрування.
Налаштовуйте конкретні криптоалгоритми та параметри наборів шифрів на знімних накопичувачах даних 2.16.840.1.101.3.4.1.2; 2.16.840.1.101.3.4.1.42 Нащадок політики Налаштуйте використання апаратного шифрування для знімних накопичувачів даних.
Алгоритми шифрування задаються ідентифікаторами об'єктів (OID) і розділяються комами.
Приклади OID для шифрів шифрування:
  • Розширений стандарт шифрування (AES) 128 у режимі ланцюжка блоків шифру (CBC) OID: 2.16.840.1.101.3.4.1.2
  • AES 256 в режимі CBC OID: 2.16.840.1.101.3.4.1.42
Примітка: Щоб отримати додаткові відомості про ці політики, зверніться до Посібника з політики Microsoft BitLocker KB https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies..

Щоб зв'язатися зі службою підтримки, зверніться до номерів телефонів міжнародної підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову статистику та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.