Планирование требований групповой политики MBAM 2.0

Обновлено: Апрель 2013 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

Для управления клиентскими компьютерами Администрирование и мониторинг Microsoft BitLocker (MBAM) необходимо выбрать типы предохранителей BitLocker, которые должны поддерживаться в организации, а затем настроить соответствующие параметры групповой политики для применения. В этой статье описываются параметры групповой политики, которые доступны при использовании Администрирование и мониторинг Microsoft BitLocker для управления шифрованием дисков BitLocker на предприятии.

MBAM поддерживает следующие типы предохранителей BitLocker для дисков операционной системы: доверенный платформенный модуль (TPM), TPM + ПИН-код, TPM + USB-ключ, TPM + ПИН-код + USB-ключ, пароль, числовой пароль и агент восстановления данных. Предохранитель в виде пароля поддерживается только для устройств Windows To Go и устройств Windows 8 без TPM. MBAM поддерживает предохранители типа TPM + USB-ключ и TPM + ПИН-код + USB-ключ, только если том операционной системы был зашифрован до установки MBAM.

MBAM поддерживает следующие типы предохранителей BitLocker для фиксированных дисков с данными: пароль, автоматическое снятие блокировки, числовой пароль и агент восстановления данных.

Предохранитель в виде числового пароля применяется автоматически в рамках шифрования тома и не требует настройки.

ImportantВажно!
Параметры объекта групповой политики шифрования дисков Windows BitLocker по умолчанию не используются MBAM и в случае включения могут привести к возникновению конфликтов. Чтобы обеспечить возможность управления шифрованием BitLocker в MBAM, параметры групповой политики MBAM следует задавать только после установки шаблона групповой политики MBAM.

Расширенные ПИН-коды загрузки могут содержать буквы верхнего и нижнего регистров, символы и числа. В отличие от BitLocker, MBAM не поддерживает использование в расширенных ПИН-кодах символов и пробелов.

Установите шаблон групповой политики MBAM на компьютере с поддержкой технологии MDOP расширенного управления групповыми политиками (AGPM) или консоли управления групповыми политиками (GPMC). Чтобы изменить параметры объекта групповой политики, которые обеспечивают работу MBAM, сначала необходимо установить шаблон групповой политики MBAM, открыть консоль управления групповыми политиками или средство расширенного управления групповыми политиками для внесения изменений в соответствующий объект групповой политики, а затем перейти к следующему узлу объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker).

Узел MDOP MBAM (Управление BitLocker) объекта групповой политики содержит четыре глобальных параметра политики и четыре дочерних узла параметров объекта групповой политики. "Управление клиентом", "Фиксированный диск", "Диск с операционной системой" и "Съемный диск". В следующих разделах приводятся определения политик и предлагаемые параметры политик, что упростит планирование требований к параметрам политики для объекта групповой политики MBAM.

noteПримечание
Дополнительные сведения о настройке минимального рекомендуемого набора параметров объекта групповой политики для управления шифрованием BitLocker в MBAM см. в разделе Как редактировать MBAM 2.0 параметры групповой Политики.

Глобальные определения политик

В этом разделе описываются глобальные определения политик MBAM, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker).

 

Имя политики Обзор и предлагаемый параметр политики

Выбрать метод шифрования диска и стойкость шифра

Рекомендуемая конфигурация: Не настроено

Настройте эту политику на использование определенного метода шифрования и стойкости шифра.

Если эта политика не настроена, BitLocker по умолчанию использует 128-разрядное шифрование с диффузором или метод шифрования, указанный в сценарии установки.

Запретить перезапись памяти при перезагрузке

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы ускорить перезагрузку, не перезаписывая секретные данные BitLocker в памяти при перезагрузке.

Если эта политика не задана, секретные данные BitLocker удаляются из памяти при перезагрузке компьютера.

Проверить правило использования сертификатов смарт-карт

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования защиты BitLocker на основе сертификата смарт-карты.

Если эта политика не настроена, для указания сертификата используется идентификатор объекта по умолчанию 1.3.6.1.4.1.311.67.1.1.

Указать уникальные идентификаторы для организации

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования агента восстановления данных на основе сертификатов или считывателя BitLocker To Go.

Если эта политика не настроена, поле Идентификация не используется.

Если в вашей компании предъявляются более высокие требования к безопасности, можете задать значение поля Идентификация, чтобы оно было установлено для всех USB-устройств, и чтобы они соответствовали этому параметру групповой политики.

Определения политик управления клиентами

В этом разделе рассматриваются определения политик управления клиентами для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP (Управление BitLocker) \ MBAMУправление клиентами.

 

Имя политики Общие сведения и рекомендуемые параметры политики

Настройка служб MBAM

Рекомендуемая конфигурация: Включено

  • Конченая точка службы восстановления и оборудования MBAM. Используйте этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Укажите расположение конечной точки аналогично следующему примеру: http://Имя сервера администрирования и наблюдения MBAM:порт, через который работает веб-служба/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Выберите сведения о восстановлении BitLocker, которые требуется хранить. Этот параметр политики позволяет настроить службу восстановлении ключей на резервное копирование данных для восстановлении BitLocker. Кроме того, он также позволяет настроить службу отчетов о состоянии для сбора отчетов о соответствии и аудите. Политика предусматривает административный метод восстановления данных, зашифрованных с помощью BitLocker, для предотвращения потери данных из-за отсутствия ключей. Отчет о состоянии и сведения о восстановлении ключей будут автоматически в фоновом режиме передаваться в заданное расположение сервера отчетов.

    Если этот параметр политики не настроен или отключен, данные для восстановлении ключей сохраняться не будут, а отчет о состоянии и сведения о действиях по восстановлению ключей не будут передаваться на сервер. Если для этого параметра указано значение Пакет восстановления и пакет ключей, в заданном расположении сервера восстановления ключей будут автоматически в фоновом режиме создаваться резервные копии пароля восстановления и пакета ключей.

  • Введите периодичность проверки состояния клиента в минутах. Эта политика определяет, с какой периодичностью клиент проверяет политики защиты BitLocker и состояние защиты на клиентском компьютере. Данная политика также определяет, насколько часто на сервере сохраняются сведения о клиенте, описывающие его состояние соответствия. Клиент проверяет политики защиты и состояние защиты BitLocker на клиентском компьютере, а также выполняет резервное копирование ключа восстановления клиента с заданной периодичностью.

    Укажите данную частоту на основании требований вашей компании, предъявляемых к периодичности проверки состояния соответствия компьютера, а также периодичности резервного копирования ключа восстановления клиента.

  • Конечная точка службы отчетов о состоянии MBAM. Этот параметр необходимо настроить, чтобы включить управление шифрованием BitLocker клиента MBAM. Укажите расположение конечной точки аналогично следующему примеру: http(s)://<Имя сервера администрирования и мониторинга MBAM>:<порт, через который работает веб-служба>/MBAMComplianceStatusService/StatusReportingService.svc

Настроить политику исключения пользователей

Рекомендуемая конфигурация: Не настроено

Эта политика позволяет указать адрес веб-сайта, адрес электронной почты или номер телефона, при использовании которого пользователю будет предлагаться запросить исключение из защиты BitLocker.

Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, пользователям будет отображаться диалоговое окно с инструкциями по размещению запроса об исключении из защиты BitLocker. Дополнительные сведения о предоставлении исключений из шифрования BitLocker для пользователей см. в разделе Управление исключениями шифрования BitLocker для пользователя.

Если отключить или не настроить этот параметр политики, инструкции по размещению запроса об исключении не будут отображаться пользователям.

noteПримечание
Управление исключениями осуществляется с привязкой к пользователям, а не компьютерам. Если на одном компьютере работает несколько пользователей, один из которых не попадает под исключение, шифрование данного компьютера будет выполняться.

Настроить программу улучшения качества программного обеспечения

Этот параметр политики позволяет настроить возможность участия пользователей MBAM в программе улучшения качества программного обеспечения. Эта программа подразумевает сбор сведений об оборудовании компьютера и использовании продукта MBAM без нарушения работы пользователей. Эти сведения позволят корпорации Майкрософт определить, какие функции MBAM нуждаются в улучшении. Эти сведения не будут использоваться корпорацией Майкрософт для связи с пользователями MBAM или их идентификации.

Если включить этот параметр политики, пользователи смогут принимать участие в программе улучшения качества программного обеспечения.

Если отключить этот параметр политики, пользователи не смогут принимать участие в программе улучшения качества программного обеспечения.

Если не настроить этот параметр политики, пользователям будет предоставлен выбор относительно участия в программе улучшения качества программного обеспечения.

Определения политик фиксированных дисков

В этом разделе представлены определения политик фиксированных дисков для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP (Управление BitLocker) \ MBAMФиксированный диск.

 

Имя политики Обзор и предлагаемый параметр политики

Параметры шифрования фиксированных дисков

Рекомендуемая конфигурация: Включено

Этот параметр политики позволяет управлять необходимостью шифрования фиксированных дисков.

Если том операционной системы должен быть зашифрован, установите флажок Разрешить автоматическую разблокировку фиксированных дисков с данными.

Если эта политика включена, не отключайте политику Настроить использование паролей для фиксированных дисков с данными за исключением случаев, когда разрешено или требуется использование автоматической разблокировки фиксированных дисков с данными.

Если требуется использование автоматической разблокировки фиксированных дисков с данными, необходимо настроить шифрование для томов операционной системы.

Если этот параметр политики включен, пользователям необходимо применить защиту BitLocker ко всем фиксированным дискам, что приведет к их шифрованию.

Если этот параметр политики не настроен, пользователям необязательно применять защиту BitLocker к фиксированным дискам. Если эту политику применить после шифрования фиксированных дисков с данными, агент MBAM расшифрует зашифрованные фиксированные диски.

Если этот параметр политики отключен, пользователи не смогут применить защиту BitLocker к фиксированным дискам с данными.

Запретить запись на фиксированные диски, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Этот параметр политики определяет, требуется ли наличие защиты BitLocker для обеспечения возможности записи на фиксированные диски на компьютере. Этот параметр политики применяется только при включенном BitLocker.

Если политика не настроена, все фиксированные диски с данными на компьютере подключаются с доступом на чтение и запись.

Разрешить доступ к фиксированным дискам, защищенным с помощью BitLocker, из более ранних версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить разблокировку и просмотр фиксированных дисков с файловой системой FAT на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Если политика включена или не настроена, фиксированные диски с файловой системой FAT можно разблокировать и просмотреть их содержимое на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Для этих операционных систем предусмотрен доступ к дискам, защищенным с помощью BitLocker, только для чтения.

Если политика отключена, фиксированные диски с файловой системой FAT невозможно разблокировать и просмотреть их содержимое на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Настроить использование паролей для фиксированных жестких дисков

Рекомендуемая конфигурация: Не настроено

Используйте эту политику, чтобы указать необходимость ввода пароля для разблокировки фиксированных дисков с данными, защищенных с помощью BitLocker.

Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным требованиям. BitLocker разрешит пользователям разблокировать диск с любым из предохранителей, которые для него доступны.

Эти параметры действуют при включении BitLocker, а не при разблокировке тома.

Если этот параметр политики отключен, пользователям нельзя использовать пароль.

Если эта политика не настроена, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

Для более высокого уровня защиты включите эту политику и выберите Требовать пароль для фиксированного диска с данными, выберите Требовать сложный пароль и задайте требуемую минимальную длину пароля.

Если этот параметр политики отключен, пользователям нельзя использовать пароль.

Если этот параметр политики не настроен, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

Выбрать методы восстановления жестких дисков, защищенных с помощью BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если эта политика не настроена, использование агента восстановления данных BitLocker разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется. Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Определения политик диска операционной системы

В этом разделе представлены определения политик дисков операционной системы для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP (Управление BitLocker) \ MBAMДиск операционной системы.

 

Имя политики Обзор и предлагаемый параметр политики

Параметры шифрования диска операционной системы

Рекомендуемая конфигурация: Включено

Этот параметр позволяет управлять необходимостью шифрования диска операционной системы.

Для более высокого уровня защиты рекомендуется отключить следующие параметры политики в разделе Система/Управление электропитанием/Параметры режимов сна, если они включены вместе с предохранителем типа TPM + ПИН-код:

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от сети)

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от батареи)

Если необходимо использовать BitLocker на компьютере без TPM, установите флажок Разрешить использование BitLocker без совместимого TPM. В этом режиме для запуска требуется пароль. Если вы забудете пароль, для доступа к диску необходимо будет воспользоваться одним из вариантов восстановления BitLocker.

На компьютере с совместимым модулем TPM для обеспечения дополнительной защиты зашифрованных данных при запуске могут использоваться два типа методов проверки подлинности. При запуске компьютера для проверки подлинности может использоваться только TPM или дополнительно может запрашиваться ввод персонального идентификационного номера (ПИН-кода).

Если этот параметр политики включен, пользователям необходимо применить защиту BitLocker к диску операционной системы, что приведет к его шифрованию.

Если эта политика отключена, пользователи не смогут применить защиту BitLocker к диску операционной системы. Если эту политику применить после шифрования диска операционной системы, диск будет расшифрован.

Если эта политика не настроена, к диску операционной системы необязательно применять защиту BitLocker.

Настройка профиля проверки платформы TPM

Рекомендуемая конфигурация: Не настроено

Эта настройка политики позволяет настроить способы защиты ключа шифрования BitLocker на оборудовании безопасности для TPM. Этот параметр политики не применяется, если на компьютере отсутствует совместимый модуль TPM или если в BitLocker уже включена защита с помощью TPM.

Если этот параметр политики не настроен, TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, заданный сценарием установки.

Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если эта политика не настроена, использование агента восстановления данных разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Определения политик съемных дисков

В этом разделе представлены определения политик съемных дисков для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\административные шаблоны\Компоненты Windows\MDOP (Управление BitLocker)\MBAMСъемный носитель.

 

Имя политики Обзор и предлагаемый параметр политики

Управление использованием BitLocker для съемных дисков

Рекомендуемая конфигурация: Включено

Эта политика контролирует использование BitLocker на съемных дисках.

Выберите параметр Разрешить пользователям применять защиту BitLocker для съемных дисков с данными, чтобы разрешить пользователям запуск мастера установки BitLocker со съемного диска с данными.

Установите флажок Разрешить пользователям отключать и использовать BitLocker для шифрования съемных дисков с данными, чтобы разрешить пользователям удалять шифрование диска BitLocker или временно отключать шифрование во время обслуживания.

Если эта политика включена и установлен флажок Разрешить пользователям применять защиту BitLocker для съемных дисков с данными, клиент MBAM сохраняет данные съемных дисков для восстановления на сервере восстановления ключей MBAM и позволяет пользователям восстановить диск в случае утери пароля.

Запретить запись на съемные диски, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить только доступ на запись к дискам, защищенным с помощью BitLocker.

Если эта политика включена, для всех съемных дисков с данными на компьютере требуется шифрование, прежде чем будет разрешен доступ на запись.

Разрешение доступа к съемным носителям, защищенным BitLocker, из предыдущих версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить разблокировку и просмотр фиксированных дисков с файловой системой FAT на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Если эта политика не настроена, съемные диски данных с файловой системой FAT можно разблокировать и просмотреть их содержимое на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Для этих операционных систем предусмотрен доступ к дискам, защищенным с помощью BitLocker, только для чтения.

Если эта политика отключена, разблокировка дисков с файловой системой FAT невозможна, и просмотр их содержимого на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) недоступен.

Настроить использование паролей для съемных дисков с данными

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы настроить защиту паролем для съемных дисков с данными.

Если эта политика не настроена, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

В целях дополнительной безопасности можно включить эту политику и установить флажок Требовать пароль для съемного диска с данными, установить флажок Требовать сложный пароль и задать минимальную длину пароля.

Выбор способа восстановления съемных дисков с защитой BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если для этой политики установлен переключатель Не настроено, использование агента восстановления данных разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: