Планирование требований групповой политики MBAM 2.5

Обновлено: Август 2015 г.

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

С помощью приведенной ниже информации можно определить типы предохранителей BitLocker, которые позволяют управлять клиентскими компьютерами Администрирование и мониторинг Microsoft BitLocker (MBAM) в организации.

Типы предохранителей BitLocker, поддерживаемые MBAM

MBAM поддерживает следующие типы предохранителей BitLocker.

 

Тип диска или тома Поддерживаемые предохранители BitLocker

Тома операционной системы

  • Доверенный платформенный модуль (TPM)

  • TPM + ПИН-код

  • TPM + ключ USB — поддерживается только в том случае, если том операционной системы был зашифрован до установки MBAM

  • TPM + ПИН-код + ключ USB — поддерживается только в том случае, если том операционной системы был зашифрован до установки MBAM

  • Пароль — поддерживается только для устройств Windows To Go, фиксированных дисков с данными и устройств Windows 8, Windows 8.1 и Windows 10 без модуля TPM.

  • Числовой пароль — применяется автоматически в рамках шифрования тома и не требует настройки, за исключением режима FIPS в Windows 7

  • Агент восстановления данных (DRA)

Фиксированные диски с данными

  • Пароль

  • Автоматическая разблокировка

  • Числовой пароль — применяется автоматически в рамках шифрования тома и не требует настройки, за исключением режима FIPS в Windows 7

  • Агент восстановления данных (DRA)

Съемные диски

  • Пароль

  • Автоматическая разблокировка

  • Числовой пароль — применяется автоматически в рамках шифрования тома и не требует настройки.

  • Агент восстановления данных (DRA)

Поддержка политики шифрования используемого пространства BitLocker

Если в MBAM 2.5 с пакетом обновления 1 (SP1) включить шифрование используемого пространства с помощью групповой политики BitLocker, клиент MBAM выполняет его.

Этот параметр групповой политики называется Применить тип шифрования диска к дискам операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы. Если включить эту политику и выбрать тип шифрования Шифрование только занятого места, то MBAM будет выполнять политику и BitLocker будет шифровать только используемое пространство тома.

Получение шаблонов групповой политики MBAM и изменение параметров

Когда вы будете готовы настроить необходимые параметры групповой политики MBAM, выполните указанные ниже действия.

 

Необходимые действия Где получить инструкции

Скопируйте шаблоны групповой политики MBAM из статьи Получение шаблонов групповой политики MDOP (ADMX) и установите их на компьютере, на котором можно запустить консоль управления групповыми политиками (GPMC) или средство расширенного управления групповыми политиками (AGPM).

Копирование шаблонов групповой политики MBAM 2.5

Настройте параметры групповой политики, которые необходимо использовать в организации.

Изменение параметров групповой политики MBAM 2.5

Описание параметров групповой политики MBAM

Узел MDOP MBAM (управление BitLocker) объекта групповой политики содержит четыре глобальных параметра политики и четыре дочерних узла объекта групповой политики: Управление клиентом, Фиксированный диск, Диск с операционной системой и Съемный диск. В следующих разделах описываются и рекомендуются параметры для групповой политики MBAM.

ImportantВажно
Не изменяйте параметры групповой политики в узле Шифрование диска BitLocker, так как это приведет к неправильной работе MBAM. MBAM автоматически настраивает параметры в этом узле, когда вы настраиваете параметры в узле MDOP MBAM (управление BitLocker).

Определения глобальной групповой политики

В этом разделе описываются определения глобальной групповой политики MBAM в следующем узле объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker).

 

Имя политики Обзор параметров групповой политики и рекомендованные параметры

Выбрать метод шифрования диска и стойкость шифра

Рекомендуемая конфигурация: Включено

Настройте эту политику на использование определенного метода шифрования и стойкости шифра.

Если эта политика не настроена, BitLocker использует метод шифрования по умолчанию: AES со 128-битным ключом с диффузором.

noteПримечание
Из-за проблемы с отчетом о соответствии компьютеров требованиям BitLocker для стойкости шифра отображается значение "неизвестно", даже если вы используете значение о умолчанию. Чтобы обойти эту проблему, включите этот параметр и задайте значение стойкости шифра.

  • AES со 128-битным ключом с диффузором — только для Windows 7

  • AES 128 для Windows 8, Windows 8.1 и Windows 10

Запретить перезапись памяти при перезагрузке

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы ускорить перезагрузку, не перезаписывая секретные данные BitLocker в памяти при перезагрузке.

Если эта политика не задана, секретные данные BitLocker удаляются из памяти при перезагрузке компьютера.

Проверить правило использования сертификатов смарт-карт

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования защиты BitLocker на основе сертификата смарт-карты.

Если эта политика не настроена, для указания сертификата используется идентификатор объекта по умолчанию 1.3.6.1.4.1.311.67.1.1.

Указать уникальные идентификаторы для организации

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования агента восстановления данных на основе сертификатов или считывателя BitLocker To Go.

Если эта политика не настроена, поле Идентификация не используется.

Если в вашей компании предъявляются более высокие требования к безопасности, можно задать значение поля Идентификация, чтобы оно было установлено для всех USB-устройств и чтобы они соответствовали этому параметру групповой политики.

Определения групповой политики управления клиентами

В этом разделе рассматриваются определения политик управления клиентами для MBAM, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера > Политики >Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Управление клиентами.

Для автономной топологии и топологии интеграции с System Center Configuration Manager можно настроить одинаковые параметры групповой политики за одним исключением: отключите режим Настройка служб MBAM > Конечная точка службы отчетов о состоянии MBAM, если применяется топология интеграции с Configuration Manager, как указано в следующей таблице.

 

Имя политики Обзор параметров групповой политики и рекомендованные параметры

Настройка служб MBAM

Рекомендуемая конфигурация: Включено

  • Конечная точка службы восстановления и оборудования MBAM. Используйте этот параметр, чтобы включить управление шифрованием BitLocker клиента MBAM. Укажите расположение конечной точки аналогично следующему примеру: http(s)://<имя сервера администрирования и мониторинга MBAM>:<порт привязки веб-службы>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Выберите сведения о восстановлении BitLocker, которые требуется хранить. Этот параметр политики позволяет настроить службу восстановлении ключей на резервное копирование данных для восстановлении BitLocker. Кроме того, он также позволяет настроить службу отчетов о состоянии для сбора отчетов. Политика предусматривает административный метод восстановления данных, зашифрованных с помощью BitLocker, для предотвращения потери данных из-за отсутствия ключей. Отчет о состоянии и сведения о восстановлении ключей передаются автоматически в фоновом режиме в заданное расположение сервера отчетов.

    Если этот параметр политики не настроен или отключен, сведения о восстановлении ключей не сохраняются, а отчет о состоянии и сведения о восстановлении ключей не передаются на сервер. Если для этого параметра указано значение Пароль восстановления и пакет ключей, в заданном расположении сервера восстановления ключей автоматически в фоновом режиме создаются резервные копии пароля восстановления и пакета ключей.

  • Введите периодичность проверки состояния клиента в минутах. Эта политика определяет, с какой периодичностью клиент проверяет политики защиты BitLocker и состояние защиты на клиентском компьютере. Данная политика также определяет, насколько часто на сервере сохраняются сведения о клиенте, описывающие его состояние соответствия. Клиент проверяет политики защиты и состояние защиты BitLocker на клиентском компьютере, а также выполняет резервное копирование ключа восстановления клиента с заданной периодичностью.

    Укажите данную частоту на основании требований вашей компании, предъявляемых к периодичности проверки состояния соответствия компьютера, а также периодичности резервного копирования ключа восстановления клиента.

  • MBAM Конечная точка службы отчетов о состоянии:

    Для MBAM в автономной топологии: Этот параметр необходимо настроить, чтобы включить управление шифрованием BitLocker клиента MBAM.

    Укажите расположение конечной точки аналогично следующему примеру:

    http(s)://<имя сервера администрирования и мониторинга MBAM>:<порт привязки веб-службы>/MBAMComplianceStatusService/StatusReportingService.svc

    Для MBAM в топологии интеграции с Configuration Manager: Отключите этот параметр.

Настроить политику исключения пользователей

Рекомендуемая конфигурация: Не настроено

Этот параметр политики позволяет указать адрес веб-сайта, адрес электронной почты или номер телефона, при использовании которого пользователю предлагается запросить исключение из защиты BitLocker.

Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, для пользователей будет выводиться диалоговое окно с инструкциями по размещению запроса об исключении из системы защиты BitLocker. Дополнительные сведения о предоставлении исключений из шифрования BitLocker для пользователей см. в разделе Управление исключениями шифрования BitLocker для пользователя.

Если отключить или не настроить этот параметр политики, инструкции по размещению запроса об исключении не отображаются для пользователей.

noteПримечание
Управление исключениями осуществляется с привязкой к пользователям, а не компьютерам. Если на одном компьютере работает несколько пользователей, один из которых не попадает под исключение, шифрование данного компьютера не выполняется.

Настроить программу улучшения качества программного обеспечения

Рекомендуемая конфигурация: Включено

Этот параметр политики позволяет настроить возможность участия пользователей MBAM в программе улучшения качества программного обеспечения. Эта программа подразумевает сбор сведений об оборудовании компьютера и использовании продукта MBAM без нарушения работы пользователей. Эти сведения позволят корпорации Майкрософт определить, какие функции MBAM нуждаются в улучшении. Эти сведения не используются корпорацией Майкрософт для связи с пользователями MBAM или их идентификации.

Если включить этот параметр политики, пользователи могут принимать участие в программе улучшения качества программного обеспечения.

Если отключить этот параметр политики, пользователи не могут принимать участие в программе улучшения качества программного обеспечения.

Если не настроить этот параметр политики, пользователям предоставляется выбор относительно участия в программе улучшения качества программного обеспечения.

Предоставление URL-адреса для ссылки на политику безопасности

Рекомендуемая конфигурация: Включено

Используйте этот параметр безопасности для указания URL-адреса, который отображается для конечных пользователей в виде ссылки "Политика безопасности компании". Эта ссылка указывает на внутреннюю политику безопасности вашей компании, в которой пользователи могут получить сведения о требованиях к шифрованию. Эта ссылка появляется, когда в MBAM пользователи получают запрос на шифрование диска.

Если этот параметр политики включен, вы можете настроить URL-адрес для ссылки на политику безопасности.

Если отключить или не настроить этот параметр политики, ссылка на политику безопасности не отображается для пользователей.

Определения групповой политики фиксированных дисков

В этом разделе представлены определения политики фиксированных дисков для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Встроенный диск.

 

Имя политики Обзор параметров групповой политики и рекомендованные параметры

Параметры шифрования фиксированных дисков

Рекомендуемая конфигурация: Включено

Этот параметр политики позволяет управлять необходимостью шифрования фиксированных дисков с данными.

Если том операционной системы должен быть зашифрован, выберите параметр Разрешить автоматическую разблокировку фиксированных дисков с данными.

Если эта политика включена, не отключайте политику Настроить использование паролей для фиксированных дисков с данными за исключением случаев, когда разрешено или требуется использование автоматической разблокировки фиксированных дисков с данными.

Если требуется использовать автоматическую разблокировку фиксированных дисков с данными, необходимо настроить шифрование для томов операционной системы.

Если этот параметр политики включен, пользователям необходимо применить защиту BitLocker ко всем фиксированным дискам с данными, что приведет к их шифрованию.

Если этот параметр политики не настроен, пользователям необязательно применять защиту BitLocker к фиксированным дискам с данными. Если эту политику применить после шифрования фиксированных дисков с данными, агент MBAM расшифрует зашифрованные фиксированные диски с данными.

Если этот параметр политики отключен, пользователи не могут применять защиту BitLocker к фиксированным дискам с данными.

Запретить запись на фиксированные диски, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Этот параметр политики определяет, требуется ли наличие защиты BitLocker для обеспечения возможности записи на фиксированные диски с данными на компьютере. Этот параметр политики применяется только при включенном BitLocker.

Если политика не настроена, все фиксированные диски с данными на компьютере подключаются с разрешениями чтения и записи.

Разрешить доступ к фиксированным дискам, защищенным с помощью BitLocker, из более ранних версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить разблокировку и просмотр фиксированных дисков с файловой системой FAT на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Если политика включена или не настроена, фиксированные диски с файловой системой FAT можно разблокировать и просмотреть их содержимое на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2). Для этих операционных систем предусмотрено разрешение только на чтение для дисков, защищенных BitLocker.

Если политика отключена, фиксированные диски с файловой системой FAT нельзя разблокировать и нельзя просмотреть их содержимое на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Настроить использование паролей для фиксированных жестких дисков

Рекомендуемая конфигурация: Не настроено

Используйте эту политику, чтобы указать необходимость ввода пароля для разблокировки фиксированных дисков с данными, защищенных с помощью BitLocker.

Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным требованиям. BitLocker разрешает пользователям разблокировать диск с любым из предохранителей, которые для него доступны.

Эти параметры действуют при включении BitLocker, а не при разблокировке тома.

Если этот параметр политики отключен, пользователям нельзя использовать пароль.

Если эта политика не настроена, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

Для более высокого уровня защиты включите эту политику и выберите Требовать пароль для фиксированного диска с данными, выберите Требовать сложный пароль и задайте требуемую минимальную длину пароля.

Если этот параметр политики отключен, пользователям нельзя использовать пароль.

Если этот параметр политики не настроен, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

Выбрать методы восстановления жестких дисков, защищенных с помощью BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если эта политика не настроена, использование агента восстановления данных BitLocker разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется. Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Параметры применения политики шифрования

Рекомендуемая конфигурация: Включено

Используйте этот параметр политики для указания периода (в днях), в течение которого фиксированные диски с данными могут не соответствовать требованиям политик MBAM. По истечении этого периода диски должны быть приведены в соответствие с политиками. Пользователи не могут отложить требуемое действие или запросить исключение по истечении периода отсрочки. Период отсрочки начинается в тот момент, когда фиксированный диск определяется как несоответствующий требованиям. Однако политика в отношении фиксированных дисков с данными не применяется, пока диск операционной системы не будет соответствовать требованиям.

Если период отсрочки истекает, но фиксированный диск с данными по-прежнему не соответствует требованиям, у пользователей нет возможности отложить действие или запросить исключение. Если процесс шифрования требует ввода данных пользователем, появляется диалоговое окно, которое пользователь не может закрыть, пока не укажет необходимые сведения.

Введите значение 0 в поле Настроить длительность периода отсрочки (в днях) для фиксированных дисков, не соответствующих требованиям, чтобы процесс шифрования начинался для диска операционной системы сразу после истечения периода отсрочки.

Если отключить или не настроить этот параметр, от пользователей не требуется соблюдать политики MBAM.

Если для добавления предохранителя действий со стороны пользователя не требуется, шифрование начинается в фоновом режиме после истечения периода отсрочки.

Определения групповой политики для дисков операционной системы

В этом разделе представлены определения политики дисков операционной системы для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Диск операционной системы.

 

Имя политики Обзор параметров групповой политики и рекомендованные параметры

Параметры шифрования диска операционной системы

Рекомендуемая конфигурация: Включено

Этот параметр позволяет управлять необходимостью шифрования диска операционной системы.

Для повышения уровня защиты рекомендуется отключить следующие параметры политики в разделе Система > Управление электропитанием > Параметры режимов сна, если они включены в доверенном платформенным модуле с защитой PIN-кодом.

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от сети)

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от батареи)

Если необходимо использовать BitLocker на компьютере без TPM, установите флажок Разрешить использование BitLocker без совместимого TPM. В этом режиме для запуска требуется пароль. Если вы забудете пароль, для доступа к диску необходимо будет воспользоваться одним из вариантов восстановления BitLocker.

На компьютере с совместимым модулем TPM для обеспечения дополнительной защиты зашифрованных данных при запуске могут использоваться два типа методов проверки подлинности. При запуске компьютера для проверки подлинности может использоваться только TPM или дополнительно может запрашиваться ввод персонального идентификационного номера (ПИН-кода).

Если этот параметр политики включен, пользователям необходимо применить защиту BitLocker к диску операционной системы, что приведет к его шифрованию.

Если эта политика отключена, пользователи не могут применять защиту BitLocker к диску операционной системы. Если эту политику применить после шифрования диска операционной системы, диск будет расшифрован.

Если эта политика не настроена, к диску операционной системы необязательно применять защиту BitLocker.

Разрешить расширенные ПИН-коды при загрузке

Рекомендуемая конфигурация: Не настроено

Используйте этот параметр политики для настройки использования расширенных ПИН-кодов загрузки с BitLocker. Расширенные ПИН-коды загрузки позволяют использовать такие знаки, как буквы верхнего и нижнего регистров, символы, числа и пробелы. Этот параметр политики применяется только при включенном BitLocker.

Если этот параметр политики включен, при задании всех новых ПИН-кодов загрузки BitLocker пользователи могут создавать расширенные ПИН-коды. Однако не все компьютеры поддерживают расширенные ПИН-коды в предзагрузочной среде. Мы настоятельно рекомендуем администраторам оценить совместимость своих систем с этой функцией, прежде чем использовать ее.

Установите флажок Требовать ПИН-коды только в кодировке ASCII, чтобы улучшить совместимость расширенных ПИН-кодов с компьютерами, на которых ограничено число символов, вводимых в предзагрузочной среде, или их типы.

Если этот параметр политики отключен или не настроен, расширенные ПИН-коды не используются.

Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если эта политика не настроена, использование агента восстановления данных разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Настроить использование паролей для дисков операционной системы

Рекомендуемая конфигурация: Не настроено

Используйте этот параметр политики, чтобы задать ограничения для паролей, которые используются для разблокировки дисков операционной системы, защищенных с помощью BitLocker. Если на дисках операционной системы допускаются предохранители, отличные от TPM, вы можете указать пароль, задать требования к сложности пароля и настроить его минимальную длину. Для применения требования к сложности необходимо также включить параметр групповой политики "Пароль должен отвечать требованиям сложности" в разделе "Конфигурация компьютера" > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика паролей.

noteПримечание
Эти параметры действуют при включении BitLocker, а не при разблокировке тома. BitLocker позволяет разблокировать диск с любым из предохранителей, которые для него доступны.

Если этот параметр политики включен, пользователи могут настроить пароль, соответствующий заданным требованиям. Чтобы применить требования к сложности пароля, щелкните Требовать сложный пароль.

Настройка профиля проверки платформы TPM для конфигураций встроенного ПО на основе BIOS

Рекомендуемая конфигурация: Не настроено

Этот параметр политики позволяет настроить способы защиты ключа шифрования BitLocker с помощью оборудования безопасности доверенного платформенного модуля (TPM). Этот параметр политики не применяется, если на компьютере отсутствует совместимый модуль TPM или если в BitLocker уже включена защита с помощью TPM.

ImportantВажно
Этот параметр групповой политики применяется только к компьютерам с конфигурациями BIOS или компьютерам со встроенным ПО UEFI с включенным модулем службы совместимости (CSM). Компьютеры, на которых используется собственная конфигурация встроенного ПО UEFI, сохраняют различные значения в регистры конфигурации платформы (PCR). Используйте параметр групповой политики "Настройка профиля проверки платформы TPM для собственных конфигураций встроенного ПО UEFI" для настройки профиля TPM PCR для компьютеров, на которых используется собственное встроенное ПО UEFI.

Если включить этот параметр политики перед включением BitLocker, то можно настроить загрузочные компоненты, которые проверяет модуль TPM, перед разблокированием доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какие-либо из этих компонентов изменяются в то время, когда действует защита BitLocker, модуль TPM не выдает ключ шифрования для разблокировки диска. Вместо этого на компьютере выводится консоль восстановления BitLocker, в которой необходимо указать либо пароль, либо ключ восстановления для разблокировки диска.

Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, заданный сценарием установки.

Настройка профиля проверки платформы TPM

Рекомендуемая конфигурация: Не настроено

Этот параметр политики позволяет настроить способы защиты ключа шифрования BitLocker с помощью оборудования безопасности доверенного платформенного модуля (TPM). Этот параметр политики не применяется, если на компьютере отсутствует совместимый модуль TPM или если в BitLocker уже включена защита с помощью TPM.

Если включить этот параметр политики перед включением BitLocker, то можно настроить загрузочные компоненты, которые проверяет модуль TPM, перед разблокированием доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какие-либо из этих компонентов изменяются в то время, когда действует защита BitLocker, модуль TPM не выдает ключ шифрования для разблокировки диска. Вместо этого на компьютере выводится консоль восстановления BitLocker, в которой необходимо указать либо пароль, либо ключ восстановления для разблокировки диска.

Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, заданный сценарием установки.

Настройка профиля проверки платформы TPM для конфигураций собственного встроенного ПО UEFI

Рекомендуемая конфигурация: Не настроено

Этот параметр политики позволяет настроить способы защиты ключа шифрования BitLocker с помощью оборудования безопасности доверенного платформенного модуля (TPM). Этот параметр политики не применяется, если на компьютере отсутствует совместимый модуль TPM или если в BitLocker уже включена защита с помощью TPM.

ImportantВажно
Этот параметр групповой политики применяется только к компьютерам с собственной конфигурацией встроенного ПО UEFI.

Если включить этот параметр политики перед включением BitLocker, то можно настроить загрузочные компоненты, которые проверяет модуль TPM, перед разблокированием доступа к диску операционной системы, зашифрованному с помощью BitLocker. Если какие-либо из этих компонентов изменяются в то время, когда действует защита BitLocker, модуль TPM не выдает ключ шифрования для разблокировки диска. Вместо этого на компьютере выводится консоль восстановления BitLocker, в которой необходимо указать либо пароль, либо ключ восстановления для разблокировки диска.

Если этот параметр политики отключен или не настроен, BitLocker использует профиль проверки платформы по умолчанию или профиль проверки платформы, заданный сценарием установки.

Сбросить данные проверки платформы после восстановления BitLocker

Рекомендуемая конфигурация: Не настроено

Используйте этот параметр политики для контроля обновления данных проверки платформы при загрузке Windows после восстановления BitLocker.

Если этот параметр политики включен, данные проверки платформы обновляются при загрузке Windows после восстановления BitLocker. Если этот параметр политики отключен, данные проверки платформы не обновляются при загрузке Windows после восстановления BitLocker. Если этот параметр политики не настроен, данные проверки платформы обновляются при загрузке Windows после восстановления BitLocker.

Использовать расширенный профиль проверки данных конфигурации загрузки

Рекомендуемая конфигурация: Не настроено

Этот параметр политики позволяет выбрать определенные параметры данных конфигурации загрузки (BCD), которые должны проверяться при проверке платформы.

Если этот параметр политики включен, вы можете добавить дополнительные параметры, удалить параметры по умолчанию или и то и другое. Если этот параметр политики отключен, компьютер возвращается к профилю BCD, аналогичному профилю BCD по умолчанию, используемому Windows 7. Если этот параметр политики не настроен, компьютер проверяет параметры Windows BCD по умолчанию.

noteПримечание
Когда BitLocker использует безопасную загрузку для проверки целостности платформы и данных конфигурации загрузки (BCD) в соответствии с политикой "Разрешить безопасную загрузку для проверки целостности", политика "Использовать расширенный профиль проверки данных конфигурации загрузки" игнорируется.

Параметр, контролирующий отладку загрузки (0x16000010), всегда проверяется, и его включение в предоставленные поля не имеет никакого эффекта.

Параметры применения политики шифрования

Рекомендуемая конфигурация: Включено

Используйте этот параметр политики для настройки числа дней, на которое пользователи могут отложить выполнение политик MBAM для диска операционной системы. Период отсрочки начинается в тот момент, когда операционная система впервые определяется как не соответствующая требованиям. По истечении периода отсрочки пользователи не могут отложить требуемое действие или запросить исключение.

Если процесс шифрования требует ввода данных пользователем, появляется диалоговое окно, которое пользователь не может закрыть, пока не укажет необходимые сведения.

Если отключить или не настроить этот параметр, от пользователей не требуется соблюдать политики MBAM.

Если для добавления предохранителя действий со стороны пользователя не требуется, шифрование начинается в фоновом режиме после истечения периода отсрочки.

Настройка сообщения и URL-адреса восстановления перед загрузкой

Рекомендуемая конфигурация: Не настроено

Включите этот параметр политики для настройки сообщения настраиваемого восстановления или для указания URL-адреса, который будет отображен на экране восстановления предварительной загрузки BitLocker при блокировке диска операционной системы. Этот параметр доступен только на клиентских компьютерах под управлением Windows 10.

Если эта политика включена, можно выбрать один из следующих параметров для сообщения восстановления перед загрузкой:

  • Использовать пользовательское сообщение о восстановлении: выберите этот параметр, чтобы включить настраиваемое сообщение на экране восстановления предварительной загрузки BitLocker. В поле Пользовательское сообщение при восстановлении введите сообщение, которое должно отображаться. Если также требуется указать URL-адрес восстановления, включите его в сообщение восстановления.

  • Использовать пользовательский URL-адрес для восстановления: выберите этот параметр, чтобы заменить URL-адрес по умолчанию, отображаемый на экране восстановления предварительной загрузки BitLocker. В поле Пользовательский URL-адрес при восстановлении введите URL-адрес, который должен отображаться.

  • Использовать стандартные сообщение о восстановлении и URL-адрес: выберите этот параметр, чтобы отображалось сообщение восстановления BitLocker по умолчанию и экран восстановления BitLocker по умолчанию. Если ранее вы задали настраиваемое сообщение или URL-адрес восстановления и хотите вернуться к сообщению по умолчанию, необходимо включить эту политику и выбрать параметр Использовать стандартные сообщение о восстановлении и URL-адрес.

noteПримечание
Для предварительной загрузки поддерживаются не все символы и языки. Рекомендуется проверить, правильно ли отображаются на экране восстановления предварительной загрузки BitLocker символы, используемые для настраиваемого сообщения и URL-адреса.

Определения групповой политики съемных дисков

В этом разделе представлены определения политики съемных дисков для Администрирование и мониторинг Microsoft BitLocker, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Съемный диск.

 

Имя политики Обзор параметров групповой политики и рекомендованные параметры

Управление использованием BitLocker для съемных дисков

Рекомендуемая конфигурация: Включено

Эта политика контролирует использование BitLocker на съемных дисках.

Выберите параметр Разрешить пользователям применять защиту BitLocker для съемных дисков с данными, чтобы разрешить пользователям запуск мастера установки BitLocker со съемного диска.

Выберите параметр Разрешить пользователям отключать и использовать BitLocker для шифрования съемных дисков с данными, чтобы разрешить пользователям удалять шифрование диска BitLocker или временно отключать шифрование во время обслуживания.

Если эта политика и параметр Разрешить пользователям применять защиту BitLocker для съемных дисков с данными включены, клиент MBAM сохраняет данные съемных дисков для восстановления на сервере восстановления ключей MBAM и позволяет пользователям восстановить диск в случае утери пароля.

Запретить запись на съемные диски, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить только доступ на запись к дискам, защищенным с помощью BitLocker.

Если эта политика включена, для всех съемных дисков с данными на компьютере требуется шифрование, прежде чем будет разрешен доступ на запись.

Разрешение доступа к съемным носителям, защищенным BitLocker, из предыдущих версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить разблокировку и просмотр фиксированных дисков с файловой системой FAT на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Если эта политика не настроена, съемные диски с файловой системой FAT можно разблокировать на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) и их содержимое можно просмотреть. Для этих операционных систем предусмотрено разрешение только на чтение для дисков, защищенных BitLocker.

Если политика отключена, съемные диски с файловой системой FAT нельзя разблокировать и нельзя просмотреть их содержимое на компьютерах с ОС Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Настроить использование паролей для съемных дисков с данными

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы настроить защиту паролем для съемных дисков с данными.

Если эта политика не настроена, поддерживаются пароли с настройками по умолчанию, среди которых нет требования к сложности, а минимальная длина составляет всего восемь символов.

В целях дополнительной безопасности можно включить эту политику и выбрать параметр Требовать пароль для съемных носителей, установить флажок Требовать сложный пароль и задать минимальную длину пароля.

Выбор способа восстановления съемных дисков с защитой BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять данные для восстановления BitLocker в доменных службах Active Directory.

Если для этой политики установлен переключатель Не настроено, использование агента восстановления данных разрешено, а резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

 
Показ: