Планирование требований групповой политики MBAM 2.5
Используйте следующие сведения, чтобы определить типы средств защиты BitLocker, которые можно использовать для управления клиентскими компьютерами администрирования и мониторинга Microsoft BitLocker (MBAM) на предприятии.
Типы средств защиты BitLocker, поддерживаемые MBAM
MBAM поддерживает следующие типы предохранителей BitLocker.
| Тип диска или тома | Поддерживаемые предохранители BitLocker |
|---|---|
| Тома операционной системы |
-
Доверенный платформенный модуль (TPM) - TPM + PIN-код - TPM + USB-ключ — поддерживается только в том случае, если том операционной системы зашифрован до установки MBAM - TPM + ПИН-код + USB-ключ — поддерживается только в том случае, если том операционной системы зашифрован до установки MBAM - Пароль — поддерживается только для устройств Windows To Go, фиксированных дисков с данными, а также устройств Windows 8, Windows 8.1 и Windows 10, на которых нет TPM. - Числовой пароль применяется автоматически в рамках шифрования тома и не требует настройки, кроме как в режиме FIPS в Windows 7. - Агент восстановления данных (DRA) |
| Фиксированные диски с данными |
-
Пароль - Автоматическая разблокировка - Числовой пароль применяется автоматически в рамках шифрования тома и не требует настройки, кроме как в режиме FIPS в Windows 7. - Агент восстановления данных (DRA) |
| Съемные диски |
-
Пароль - Автоматическая разблокировка - Числовой пароль — применяется автоматически в рамках шифрования тома и не требует настройки. - Агент восстановления данных (DRA) |
Поддержка политики BitLocker для шифрования используемого пространства
В MBAM 2.5 с пакетом обновления 1 (SP1) при включении шифрования использованного пространства с помощью групповой политики BitLocker клиент MBAM учитывает его.
Этот параметр групповой политики называется Принудительно применять тип шифрования диска на дисках операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера>Административные шаблоны>Компоненты> WindowsBitLocker Для шифрования> дисковоперационной системы. Если эта политика включена и выбран тип шифрования только для используемого пространства, MBAM учитывает политику, и BitLocker будет шифровать только дисковое пространство, используемое на томе.
Получение шаблонов групповой политики MBAM и изменение параметров
Когда вы будете готовы настроить нужные параметры групповой политики MBAM, выполните следующие действия.
Скопируйте шаблоны групповой политики MBAM из шаблонов групповой политики MDOP и установите их на компьютере, на котором можно запустить консоль управления групповыми политиками (GPMC) или расширенное управление групповыми политиками (AGPM). Дополнительные сведения см. в разделе Копирование шаблонов групповой политики MBAM 2.5.
Настройте параметры групповой политики, которые вы хотите использовать на предприятии. Дополнительные сведения см. в разделе Изменение параметров групповой политики MBAM 2.5.
Описание параметров групповой политики MBAM
Узел объекта групповой политики MDOP MBAM (BitLocker Management) содержит четыре глобальных параметра политики и четыре дочерних узла объекта групповой политики: управление клиентом, фиксированный диск, диск операционной системы и съемный диск. В следующих разделах описываются и предлагаются параметры групповой политики MBAM.
Важно.
Не изменяйте параметры групповой политики в узле Шифрование диска BitLocker , иначе MBAM не будет работать правильно. MBAM автоматически настраивает параметры в этом узле при настройке параметров в узле MDOP MBAM (управление BitLocker).
Определения глобальной групповой политики
В этом разделе описываются определения глобальной групповой политики MBAM в следующем узле объектагрупповойполитики: Политики >конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (управление BitLocker).
| Имя политики | Общие сведения и рекомендуемые параметры групповой политики |
|---|---|
| Выбор метода шифрования диска и надежности шифра |
Рекомендуемая конфигурация:Включено Настройте эту политику для использования определенного метода шифрования и надежности шифра. Если эта политика не настроена, BitLocker использует метод шифрования по умолчанию: 128-разрядный AES с диффузором. Примечание. Проблема с отчетом о соответствии компьютера BitLocker приводит к отображению "неизвестно" для надежности шифра, даже если используется значение по умолчанию. Чтобы обойти эту проблему, убедитесь, что вы включили этот параметр и задали значение для надежности шифра. — 128-разрядная версия AES с диффузором — только для Windows 7 — AES 128 для Windows 8, Windows 8.1, Windows 10 и Windows 11 |
| Предотвращение перезаписи памяти при перезапуске |
Рекомендуемая конфигурация:не настроено Настройте эту политику, чтобы повысить производительность перезапуска без перезаписи секретов BitLocker в памяти при перезапуске. Если эта политика не настроена, секреты BitLocker удаляются из памяти при перезагрузке компьютера. |
| Проверка правила использования сертификатов смарт-карт |
Рекомендуемая конфигурация:не настроено Настройте эту политику для использования защиты BitLocker на основе сертификатов смарт-карт. Если эта политика не настроена, идентификатор 1.3.6.1.4.1.311.67.1.1 объекта по умолчанию используется для указания сертификата. |
| Укажите уникальные идентификаторы для вашей организации |
Рекомендуемая конфигурация:не настроено Настройте эту политику для использования агента восстановления данных на основе сертификата или средства чтения BitLocker To Go. Если эта политика не настроена, поле Идентификация не используется. Если вашей компании требуются более высокие показатели безопасности, можно настроить поле Идентификация , чтобы убедиться, что это поле задано на всех USB-устройствах и что они соответствуют этому параметру групповой политики. |
Определения групповой политики управления клиентами
В этом разделе описываются определения политик управления клиентами для MBAM в следующем узле объектагрупповойполитики: Политики >конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker)>Управление клиентами.
Вы можете задать одни и те же параметры групповой политики для автономных топологий интеграции и топологий интеграции System Center Configuration Manager, за одним исключением: отключить параметр настройка конечной точки службы отчетов о состоянии MBAM Services > , если используется топология интеграции Configuration Manager, как показано в следующей таблице.
| Имя политики | Общие сведения и рекомендуемые параметры групповой политики |
|---|---|
| Настройка служб MBAM |
Рекомендуемая конфигурация:Включено - Конечная точка службы восстановления и оборудования MBAM. Используйте этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http(s)://<ИМЯ> сервера администрирования и мониторинга MBAM:<порт, к которому> привязана веб-служба/MBAMRecoveryAndHardwareService/CoreService.svc. - Выберите Сведения о восстановлении BitLocker для хранения. Этот параметр политики позволяет настроить службу восстановления ключей для резервного копирования сведений о восстановлении BitLocker. Она также позволяет настроить службу отчетов о состоянии для сбора отчетов. Политика предоставляет административный метод восстановления данных, зашифрованных BitLocker, чтобы предотвратить потерю данных из-за отсутствия ключевой информации. Отчет о состоянии и действие восстановления ключа автоматически и автоматически отправляются в настроенное расположение сервера отчетов. Если этот параметр политики не настроен или отключен, сведения о восстановлении ключа не сохраняются, а отчет о состоянии и действия по восстановлению ключей не передаются серверу. Если для этого параметра задано значение Пароль восстановления и пакет ключей, пароль восстановления и пакет ключей автоматически и автоматически резервируются в настроенное расположение сервера восстановления ключей. - Введите частоту проверки клиента в минутах. Этот параметр политики определяет, как часто клиент проверяет политики защиты BitLocker и состояние на клиентском компьютере. Эта политика также управляет тем, как часто на сервере сохраняется состояние соответствия клиента. Клиент проверяет политики защиты BitLocker и состояние на клиентском компьютере, а также выполняет резервное копирование ключа восстановления клиента с заданной частотой. Задайте эту частоту на основе требований, установленных вашей компанией, о частоте проверки состояния соответствия компьютера и частоте резервного копирования ключа восстановления клиента. - Конечная точка службы отчетов о состоянии MBAM: - Для MBAM в изолированной топологии. Этот параметр необходимо настроить, чтобы включить управление шифрованием BitLocker клиента MBAM. Введите расположение конечной точки, аналогичное следующему примеру: http(s)://<ИМЯ> сервера администрирования и мониторинга MBAM:<порт, к которому> привязана веб-служба/MBAMComplianceStatusService/StatusReportingService.svc. - Для MBAM в топологии интеграции Configuration Manager: отключите этот параметр. |
| Настройка политики исключения пользователей |
Рекомендуемая конфигурация:не настроено Этот параметр политики позволяет настроить адрес веб-сайта, адрес электронной почты или номер телефона, который предписывает пользователю запросить исключение из шифрования BitLocker. Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, пользователи увидят диалоговое окно с инструкциями о том, как подать заявку на освобождение от защиты BitLocker. Дополнительные сведения о включении исключений шифрования BitLocker для пользователей см. в статье Управление исключениями шифрования BitLocker для пользователей. Если этот параметр политики отключен или не настроен, инструкции запроса на освобождение не будут отображаться для пользователей. Примечание. Исключение пользователя управляется для каждого пользователя, а не для каждого компьютера. Если несколько пользователей входят на один компьютер и один пользователь не исключен, компьютер шифруется. |
| Настройка программы улучшения взаимодействия с клиентами |
Рекомендуемая конфигурация:Включено Этот параметр политики позволяет настроить, как пользователи MBAM могут присоединиться к программе улучшения качества программного обеспечения. Эта программа собирает сведения об оборудовании компьютера и о том, как пользователи используют MBAM, не прерывая работу. Эти сведения помогают корпорации Майкрософт определить, какие функции MBAM следует улучшить. Корпорация Майкрософт не использует эти сведения для идентификации пользователей MBAM или связи с ними. Если этот параметр политики включен, пользователи могут присоединиться к программе улучшения качества программного обеспечения. Если этот параметр политики отключен, пользователи не смогут присоединиться к программе улучшения качества программного обеспечения. Если этот параметр политики не настроен, пользователи могут присоединиться к программе улучшения качества программного обеспечения. |
| Укажите URL-адрес ссылки на политику безопасности. |
Рекомендуемая конфигурация:Включено Используйте этот параметр политики, чтобы указать URL-адрес, который отображается для конечных пользователей в виде ссылки с именем "Политика безопасности компании". Ссылка указывает на внутреннюю политику безопасности вашей компании и предоставляет конечным пользователям сведения о требованиях к шифрованию. Ссылка появляется, когда MBAM предлагает пользователям зашифровать диск. Если этот параметр политики включен, можно настроить URL-адрес для ссылки Политика безопасности. Если этот параметр политики отключен или не настроен, ссылка Политика безопасности не отображается для пользователей. |
Исправлены определения групповой политики диска
В этом разделе описываются определения политик фиксированного диска для администрирования и мониторинга Microsoft BitLocker на следующем узле объектагрупповойполитики: Политики >конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (управление BitLocker)>Фиксированный диск.
| Имя политики | Общие сведения и рекомендуемые параметры групповой политики |
|---|---|
| Исправлены параметры шифрования диска данных |
Рекомендуемая конфигурация:Включено Этот параметр политики позволяет управлять необходимостью шифрования фиксированных дисков данных. Если требуется зашифровать том операционной системы, выберите Включить автоматическую разблокировку фиксированного диска с данными. При включении этой политики не следует отключать политику Настройка использования пароля для фиксированных дисков с данными , если только вы не включаете или не требуете использовать автоблокировку для фиксированных дисков данных. Если необходимо использовать автоблокировку для фиксированных дисков с данными, необходимо настроить шифрование томов операционной системы. Если этот параметр политики включен, пользователи должны поместить все фиксированные диски с данными под защиту BitLocker, а затем диски данных шифруются. Если этот параметр политики не настроен, пользователи не обязаны помещать фиксированные диски с данными под защиту BitLocker. Если эта политика применяется после шифрования фиксированных дисков данных, агент MBAM расшифровывает зашифрованные фиксированные диски с данными. Если этот параметр политики отключен, пользователи не смогут поместить свои фиксированные диски с данными под защиту BitLocker. |
| Запретить запись на фиксированные диски, не защищенные BitLocker |
Рекомендуемая конфигурация:не настроено Этот параметр политики определяет, требуется ли защита BitLocker для записи фиксированных дисков данных на компьютере. Этот параметр политики применяется при включении BitLocker. Если политика не настроена, все фиксированные диски с данными на компьютере подключаются с разрешением на чтение и запись. |
| Разрешение доступа к фиксированным дискам, защищенным BitLocker, из более ранних версий Windows |
Рекомендуемая конфигурация:не настроено Включите эту политику, чтобы фиксированные диски с файловой системой FAT можно было разблокировать и просмотреть на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Если политика включена или не настроена, фиксированные диски, отформатированные с помощью файловой системы FAT, можно разблокировать, а их содержимое можно просматривать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Эти операционные системы имеют разрешение только для чтения на диски, защищенные BitLocker. Если политика отключена, фиксированные диски, отформатированные с помощью файловой системы FAT, не могут быть разблокированы, а их содержимое не может быть просмотрено на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
| Настройка использования пароля для фиксированных дисков |
Рекомендуемая конфигурация:не настроено Используйте эту политику, чтобы указать, требуется ли пароль для разблокировки фиксированных дисков данных, защищенных BitLocker. Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным вами требованиям. BitLocker позволяет пользователям разблокировать диск с помощью любого из средств защиты, доступных на диске. Эти параметры применяются при включении BitLocker, а не при разблокировке тома. Если этот параметр политики отключен, пользователям не разрешено использовать пароль. Если политика не настроена, пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и требуют только восьми символов. Для повышения безопасности включите эту политику, а затем выберите Требовать пароль для фиксированного диска с данными, выберите Требовать сложность пароля и задайте необходимую минимальную длину пароля . Если этот параметр политики отключен, пользователям не разрешено использовать пароль. Если этот параметр политики не настроен, пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности пароля и требуют только восемь символов. |
| Выберите способы восстановления фиксированных дисков с защитой BitLocker |
Рекомендуемая конфигурация:не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменных службах Active Directory (AD DS). Если политика не настроена, агент восстановления данных BitLocker разрешен, а сведения о восстановлении не архивируются в AD DS. MBAM не требует резервной копии данных восстановления в AD DS. |
| Параметры принудительного применения политики шифрования |
Рекомендуемая конфигурация:Включено Используйте этот параметр политики, чтобы настроить количество дней, в течение которых фиксированные диски с данными могут оставаться несоответствующими, пока они не будут вынуждены соответствовать политикам MBAM. Пользователи не могут отложить необходимое действие или запросить освобождение от него по истечении льготного периода. Льготный период начинается, когда фиксированный диск данных определяется как несоответствующий. Однако политика фиксированного диска с данными не применяется до тех пор, пока диск операционной системы не будет соответствовать требованиям. Если льготный период истек, а фиксированный диск данных по-прежнему не соответствует требованиям, пользователи не могут отложить или запросить исключение. Если процесс шифрования требует ввода пользователем, появится диалоговое окно, которое пользователи не смогут закрыть, пока не предоставят необходимые сведения. Введите 0 в поле Настройка количества дней льготного периода несоответствия для фиксированных дисков, чтобы принудительно начать процесс шифрования сразу после истечения льготного периода для диска операционной системы. Если этот параметр отключен или не настроен, пользователи не будут вынуждены соблюдать политики MBAM. Если для добавления предохранителя не требуется взаимодействие с пользователем, шифрование начинается в фоновом режиме после истечения льготного периода. |
Определения групповой политики диска операционной системы
В этом разделе описываются определения политик диска операционной системы для администрирования и мониторинга Microsoft BitLocker в следующем узле объектагрупповойполитики: Политики >конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker)>Диск операционной системы.
| Имя политики | Общие сведения и рекомендуемые параметры групповой политики |
|---|---|
| Параметры шифрования диска операционной системы |
Рекомендуемая конфигурация:Включено Этот параметр политики позволяет управлять необходимостью шифрования диска операционной системы. Для повышения безопасности рекомендуется отключить следующие параметры политики впараметрах спящего режимауправления питанием>системы> при их включении с помощью предохранителя доверенного платформенного модуля и ПИН-кода:
На компьютере с совместимым TPM при запуске можно использовать два типа методов проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. При запуске компьютера он может использовать только доверенный платформенный модуль для проверки подлинности или может потребовать ввода личного идентификационного номера (ПИН-кода). Если этот параметр политики включен, пользователи должны поставить диск операционной системы под защиту BitLocker, а затем диск зашифровывается. Если эта политика отключена, пользователи не смогут поместить диск операционной системы под защиту BitLocker. Если применить эту политику после шифрования диска операционной системы, диск расшифровывается. Если эта политика не настроена, диск операционной системы не требуется помещать под защиту BitLocker. |
| Разрешение расширенных ПИН-кодов для запуска |
Рекомендуемая конфигурация:не настроено Используйте этот параметр политики, чтобы настроить использование расширенных ПИН-кодов запуска с BitLocker. Расширенные ПИН-коды запуска позволяют использовать символы, включая прописные и строчные буквы, символы, цифры и пробелы. Этот параметр политики применяется при включении BitLocker. Если этот параметр политики включен, все новые ПИН-коды запуска BitLocker позволят конечному пользователю создавать расширенные ПИН-коды. Однако не все компьютеры могут поддерживать расширенные ПИН-коды в предварительной среде. Мы настоятельно рекомендуем администраторам оценить, совместимы ли их системы с этой функцией, прежде чем включать ее использование. Установите флажок Требовать ПИН-коды только в ASCII , чтобы сделать расширенные ПИН-коды более совместимыми с компьютерами, ограничивающими тип или количество символов, которые могут быть введены в предварительной среде. Если этот параметр политики отключен или не настроен, расширенные ПИН-коды не используются. |
| Выберите способы восстановления дисков операционной системы с защитой BitLocker |
Рекомендуемая конфигурация:не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменных службах Active Directory (AD DS). Если эта политика не настроена, агент восстановления данных разрешен, а сведения о восстановлении не резервируются в AD DS. Для операции MBAM не требуется резервное копирование данных восстановления в AD DS. |
| Настройка использования паролей для дисков операционной системы |
Рекомендуемая конфигурация:не настроено Используйте этот параметр политики, чтобы задать ограничения для паролей, которые используются для разблокировки дисков операционной системы, защищенных BitLocker. Если на дисках операционной системы разрешены предохранители, отличные от доверенного платформенного модуля, можно подготовить пароль, применить к паролю требования к сложности и настроить минимальную длину пароля. Чтобы параметр требований к сложности был эффективным, необходимо также включить параметр групповой политики "Пароль должен соответствовать требованиям к сложности", расположенный в разделе Конфигурация > компьютера Параметры > безопасности Параметры учетной > записи Политики паролей > . Заметка: Эти параметры применяются при включении BitLocker, а не при разблокировке тома. BitLocker позволяет разблокировать диск с помощью любого из доступных на нем средств защиты. Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным вами требованиям. Чтобы применить требования к сложности пароля, выберите Требовать сложность пароля. |
| Настройка профиля проверки платформы доверенного платформы для конфигураций встроенного ПО на основе BIOS |
Рекомендуемая конфигурация:не настроено Этот параметр политики позволяет настроить, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования BitLocker. Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля. Важный: Этот параметр групповой политики применяется только к компьютерам с конфигурациями BIOS или к компьютерам с встроенным встроенным ПО UEFI с включенным модулем службы совместимости (CSM). Компьютеры, использующие собственную конфигурацию встроенного ПО UEFI, сохраняют различные значения в регистрах конфигурации платформы (PCR). Используйте параметр групповой политики "Настройка профиля проверки платформы доверенного платформы для собственных конфигураций встроенного ПО UEFI", чтобы настроить профиль PCR доверенного платформенного модуля для компьютеров, использующих встроенное ПО UEFI. Если этот параметр политики включен перед включением BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед тем, как разблокировать доступ к диску операционной системы с шифрованием BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, доверенный платформенный модуль не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется указать пароль восстановления или ключ восстановления для разблокировки диска. Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
| Настройка профиля проверки платформы доверенного платформенного модуля |
Рекомендуемая конфигурация:не настроено Этот параметр политики позволяет настроить, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования BitLocker. Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля. Если этот параметр политики включен перед включением BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед тем, как разблокировать доступ к диску операционной системы с шифрованием BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, доверенный платформенный модуль не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется указать пароль восстановления или ключ восстановления для разблокировки диска. Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
| Настройка профиля проверки платформы доверенного платформенного модуля для собственных конфигураций встроенного ПО UEFI |
Рекомендуемая конфигурация:не настроено Этот параметр политики позволяет настроить, как оборудование безопасности доверенного платформенного модуля (TPM) компьютера защищает ключ шифрования BitLocker. Этот параметр политики не применяется, если на компьютере нет совместимого доверенного платформенного модуля или если BitLocker уже включен с защитой доверенного платформенного модуля. Важный: Этот параметр групповой политики применяется только к компьютерам с собственной конфигурацией встроенного ПО UEFI. Если этот параметр политики включен перед включением BitLocker, можно настроить компоненты загрузки, которые доверенный платформенный модуль проверяет перед разблокировки доступа к диску операционной системы с шифрованием BitLocker. Если какой-либо из этих компонентов изменяется во время действия защиты BitLocker, доверенный платформенный модуль не освобождает ключ шифрования для разблокировки диска. Вместо этого на компьютере отображается консоль восстановления BitLocker и требуется указать пароль восстановления или ключ восстановления для разблокировки диска. Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, указанный в скрипте установки. |
| Сброс данных проверки платформы после восстановления BitLocker |
Рекомендуемая конфигурация:не настроено Используйте этот параметр политики, чтобы управлять обновлением данных проверки платформы при запуске Windows после восстановления BitLocker. Если этот параметр политики включен, данные проверки платформы обновляются при запуске Windows после восстановления BitLocker. Если этот параметр политики отключен, данные проверки платформы не обновляются при запуске Windows после восстановления BitLocker. Если этот параметр политики не настроен, данные проверки платформы обновляются при запуске Windows после восстановления BitLocker. |
| Использование расширенного профиля проверки данных конфигурации загрузки |
Рекомендуемая конфигурация:не настроено Этот параметр политики позволяет выбрать определенные параметры данных конфигурации загрузки (BCD) для проверки во время проверки платформы. Если этот параметр политики включен, можно добавить другие параметры, удалить параметры по умолчанию или и то, и другое. Если этот параметр политики отключен, компьютер возвращается к профилю BCD, аналогичному профилю BCD по умолчанию, используемому Windows 7. Если этот параметр политики не настроен, компьютер проверяет параметры windows BCD по умолчанию. Заметка: Если BitLocker использует безопасную загрузку для проверки целостности платформы и данных конфигурации загрузки (BCD), как определено в политике "Разрешить безопасную загрузку для проверки целостности", политика "Использование расширенного профиля проверки данных конфигурации загрузки" игнорируется. Параметр, управляющий отладкой загрузки (0x16000010), всегда проверяется и не действует, если он включен в предоставленные поля. |
| Параметры принудительного применения политики шифрования |
Рекомендуемая конфигурация:Включено Используйте этот параметр политики, чтобы настроить количество дней, в течение которых пользователи могут отложить соблюдение политик MBAM для диска операционной системы. Льготный период начинается, когда операционная система впервые обнаруживается как несоответствующая. По истечении этого льготного периода пользователи не смогут отложить необходимое действие или запросить освобождение от него. Если процесс шифрования требует ввода пользователем, появится диалоговое окно, которое пользователи не смогут закрыть, пока не предоставят необходимые сведения. Если этот параметр отключен или не настроен, пользователи не будут вынуждены соблюдать политики MBAM. Если для добавления предохранителя не требуется взаимодействие с пользователем, шифрование начинается в фоновом режиме после истечения льготного периода. |
| Настройка сообщения и URL-адреса восстановления перед загрузки |
Рекомендуемая конфигурация:не настроено Включите этот параметр политики, чтобы настроить пользовательское сообщение о восстановлении или указать URL-адрес, который затем отображается на экране восстановления BitLocker перед загрузкой, когда диск ОС заблокирован. Этот параметр доступен только на клиентских компьютерах под управлением Windows 11 и Windows 10. Если эта политика включена, можно выбрать один из следующих параметров для сообщения о восстановлении перед загрузки:
|
Определения групповой политики съемных дисков
В этом разделе описываются определения групповой политики для администрирования и мониторинга Microsoft BitLocker в следующем узле объектагрупповойполитики: Политики >конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (управление BitLocker)>Съемный диск.
| Имя политики | Общие сведения и рекомендуемые параметры групповой политики |
|---|---|
| Управление использованием BitLocker на съемных дисках |
Рекомендуемая конфигурация:Включено Эта политика управляет использованием BitLocker на съемных дисках с данными. Выберите Разрешить пользователям применять защиту BitLocker на съемных дисках с данными , чтобы разрешить пользователям запускать мастер настройки BitLocker на съемном диске с данными. Выберите Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными , чтобы пользователи могли удалять шифрование диска BitLocker с диска или приостанавливать шифрование во время обслуживания. Если эта политика включена и выбран параметр Разрешить пользователям применять защиту BitLocker на съемных дисках с данными, клиент MBAM сохраняет сведения о восстановлении съемных дисков на сервере восстановления ключей MBAM и позволяет пользователям восстановить диск в случае потери пароля. |
| Запретить запись на съемные диски, не защищенные BitLocker |
Рекомендуемая конфигурация:не настроено Включите эту политику, чтобы разрешить только разрешение на запись на диски, защищенные BitLocker. Если эта политика включена, все съемные диски с данными на компьютере требуют шифрования, прежде чем разрешение на запись будет разрешено. |
| Разрешить доступ к съемным дискам, защищенным BitLocker, из более ранних версий Windows |
Рекомендуемая конфигурация:не настроено Включите эту политику, чтобы разрешить разблокировку и просмотр фиксированных дисков с файловой системой FAT на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Если эта политика не настроена, съемные диски, отформатированные с помощью файловой системы FAT, можно разблокировать на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2), и их содержимое можно просмотреть. Эти операционные системы имеют разрешение только для чтения на диски, защищенные BitLocker. Если политика отключена, съемные диски, отформатированные с файловой системой FAT, не могут быть разблокированы, а их содержимое не может быть просмотрено на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). |
| Настройка использования пароля для съемных дисков с данными |
Рекомендуемая конфигурация:не настроено Включите эту политику для настройки защиты паролем на съемных дисках с данными. Если эта политика не настроена, пароли поддерживаются с параметрами по умолчанию, которые не включают требования к сложности паролей и требуют только восемь символов. Для повышения безопасности можно включить эту политику и выбрать Требовать пароль для съемного диска с данными, выбрать Требовать сложность пароля и задать предпочтительную минимальную длину пароля. |
| Выберите, как можно восстановить съемные диски с защитой BitLocker |
Рекомендуемая конфигурация:не настроено Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранить сведения о восстановлении BitLocker в доменных службах Active Directory (AD DS). Если задано значение Не настроено, агент восстановления данных разрешен, а сведения о восстановлении не архивируются в AD DS. Для операции MBAM не требуется резервное копирование данных восстановления в AD DS. |