Планирование требований групповой политики MBAM 1.0

Обновлено: Ноябрь 2012 г.

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Администрирование и мониторинг Microsoft BitLocker (MBAM) Управление клиентами требует применения настраиваемых параметров групповой политики. В этом разделе описываются доступные параметры политики для объекта групповой политики при использовании MBAM для управления шифрованием дисков BitLocker на предприятии.

ImportantВажно!
В MBAM не используются параметры объекта групповой политики, предусмотренные по умолчанию, для шифрования дисков BitLocker. Если включены параметры по умолчанию, может возникнуть конфликтная ситуация. Для управления BitLocker в MBAM необходимо определить параметры политики объекта групповой политики после установки шаблона групповой политики MBAM.

После установки шаблона групповой политики MBAM можно просмотреть и изменить доступные настраиваемые параметры политики объекта групповой политики MBAM, позволяющие MBAM управлять шифрованием BitLocker на предприятии. Шаблон групповой политики MBAM должен быть установлен на компьютере, поддерживающем технологии MDOP консоли управления групповыми политиками (GPMC) или расширенной консоли управления групповыми политиками (AGPM). Далее, для редактирования применимого объекта групповой политики откройте GPMC или AGPM, после чего перейдите к следующему узлу объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker).

Узел MDOP MBAM (Управление BitLocker) объекта групповой политики содержит четыре глобальных параметра политики и четыре дочерних узла параметров объекта групповой политики, соответственно. Имеются следующие четыре глобальных параметра политики объекта групповой политики. "Управление клиентом", "Фиксированный диск", "Диск с операционной системой" и "Съемный диск". В следующих разделах приводятся определения политики и предлагаются параметры политики, что упростит планирование требований к параметрам политики для объекта групповой политики MBAM.

noteПримечание
Дополнительные сведения о настройке минимального набора параметров объекта групповой политики для управления шифрованием BitLocker в MBAM см. в разделе Изменение параметров объектов групповой политики MBAM 1.0.

Глобальные определения политики

В этом разделе описываются глобальные определения политики MBAM, расположенные в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker).

 

Имя политики Обзор и предлагаемый параметр политики

Выбрать метод шифрования диска и стойкость шифра

Рекомендуемая конфигурация: Не настроено

Настройте эту политику на использование определенного метода шифрования и стойкости шифра.

Если эта политика не настроена, BitLocker по умолчанию использует 128-разрядное шифрование с диффузором или метод шифрования, указанный в сценарии установки.

Запретить перезапись памяти при перезагрузке

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы ускорить перезагрузку, не перезаписывая секретные данные BitLocker в памяти при перезагрузке.

Если эта политика не задана, секретные данные BitLocker удаляются из памяти при перезагрузке компьютера.

Проверить правило использования сертификатов смарт-карт

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования защиты BitLocker на основе сертификата смарт-карты.

Если эта политика не настроена, для указания сертификата используется идентификатор объекта по умолчанию 1.3.6.1.4.1.311.67.1.1.

Указать уникальные идентификаторы для организации

Рекомендуемая конфигурация: Не настроено

Настройте эту политику для использования агента восстановления данных на основе сертификатов или считывателя BitLocker To Go.

Если эта политика не настроена, поле Идентификация не используется.

Если в вашей компании предъявляются более высокие требования к безопасности, можете задать значение поля Идентификация, чтобы оно было установлено для всех USB-устройств, и чтобы они соответствовали этому параметру групповой политики.

Определения политик управления клиентами

В этом разделе рассматриваются определения политик управления клиентами для MBAM, расположенные на следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker) \ Управление клиентами.

 

Имя политики Общие сведения и рекомендуемые параметры политики

Настройка служб MBAM

Рекомендуемая конфигурация: Включено

  • MBAM Конченая точка службы восстановления и оборудования . Это первый параметр политики, который необходимо настроить, чтобы включить управление шифрованием BitLocker клиента MBAM. Для этого параметра следует указать расположение конечной точки, аналогичное следующему примеру: http://<Имя сервера администрирования и наблюдения MBAM>:<порт, через который работает веб-служба>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Выберите сведения о восстановлении BitLocker, которые требуется хранить. Этот параметр политики позволяет настроить службу восстановлении ключей на резервное копирование сведений о восстановлении BitLocker. Кроме того, он также позволяет настроить службу отчетов о состоянии для составления отчетов о соответствии и аудите. Политика предусматривает административный метод восстановления данных, зашифрованных BitLocker, для предотвращения потери данных из-за отсутствия ключей. Отчет о состоянии и сведения о восстановлении ключей будут автоматически в фоновом режиме передаваться в заданное расположение сервера отчетов.

    Если этот параметр политики не настроен или отключен. сведения о восстановлении ключей сохраняться не будут, а отчет о состоянии и сведения о восстановлении ключей не будут передаваться на сервер. Если для этого параметра указано значение Пакет восстановления и пакет ключей, в заданном расположении сервера восстановления ключей будут автоматически в фоновом режиме создаваться резервные копии пароля восстановления и пакета ключей.

  • Введите периодичность проверки состояния клиента в минутах. Эта политика определяет, с какой периодичностью клиент проверяет политики защиты BitLocker и состояние защиты на компьютере-клиенте. Данная политика также определяет, насколько часто на сервере сохраняются сведения о клиенте, описывающие его состояние соответствия. Клиент проверяет политики защиты и состояние защиты BitLocker на клиентском компьютере, а также выполняет резервное копирование ключа восстановления клиента с заданной периодичностью.

    Укажите данную частоту на основании требований вашей компании, предъявляемых к периодичности проверки состояния соответствия компьютера, а также периодичности резервного копирования ключа восстановления клиента.

  • MBAM Конечная точка службы отчетов о состоянии. Это второй параметр политики, который необходимо настроить, чтобы включить управление шифрованием клиентов MBAM. Для этого параметра укажите расположение конечной точки, руководствуясь следующим примером. http://<Имя сервера администрирования и наблюдения MBAM>:<порт, используемый веб-службой>/MBAMComplianceStatusService/StatusReportingService. svc.

Разрешить проверку совместимости оборудования

Рекомендуемая конфигурация: Включено

Эта политика позволяет управлять проверкой совместимости оборудования перед включением защиты BitLocker на дисках клиентских компьютеров MBAM.

Следует включить этот параметр политики, если на вашем предприятии используется старое компьютерное оборудование или компьютеры, не поддерживающие доверенный платформенный модуль (TPM). Если выполняется одно из этих условий, включите проверку совместимости оборудования, чтобы убедиться, что MBAM применяется только к тем моделям компьютеров, которые поддерживают BitLocker. Если все компьютеры в организации поддерживают BitLocker, вам не следует развертывать средство проверки совместимости оборудования, и вы можете указать для этой политики параметр Не настроено.

Если включить этот параметр политики, каждые 24 часа будет выполняться сверка модели компьютера со списком совместимости оборудования перед включением политикой защиты BitLocker на жестком диске компьютера.

noteПримечание
Прежде чем включать этот параметр политики, убедитесь, что задан параметр MBAM Конечная точка службы всстановления и оборудования в параметрах политики Настройка служб MBAM.

Если отключить или не настроить этот параметр политики, модель компьютера не будет сверяться со списком совместимости оборудования.

Настроить политику исключения пользователей

Рекомендуемая конфигурация: Не настроено

Эта политика позволяет указать адрес веб-сайта, адрес электронной почты или номер телефона, при использовании которого пользователю будет предлагаться запросить исключение из защиты BitLocker.

Если включить этот параметр политики и указать адрес веб-сайта, адрес электронной почты или номер телефона, пользователям будет отображаться диалоговое окно с инструкциями по размещению запроса об исключении из системы защиты BitLocker. Дополнительные сведения о том, как применить исключения шифрования BitLocker для пользователей, см. в разделе Управление исключениями шифрования BitLocker для пользователя.

Если отключить или не настроить этот параметр политики, инструкции по размещению запроса об исключении не будут отображаться пользователям.

noteПримечание
Управление исключениями осуществляется с привязкой к пользователям, а не компьютерам. Если на одном компьютере работает несколько пользователей, один из которых не попадает под исключение, шифрование данного компьютера будет выполняться.

Определения политики фиксированных дисков

В этом разделе представлены определения политики фиксированных дисков для MBAM, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker) \ Фиксированный диск.

 

Имя политики Обзор и предлагаемый параметр политики

Параметры шифрования фиксированных дисков

Рекомендуемая конфигурация: Включено. Также следует установить флажок Разрешить автоматическую разблокировку фиксированных дисков с данными, если требуется шифрование тома с операционной системой.

Этот параметр политики позволяет определять, выполняется ли шифрование фиксированных дисков.

Если эта политика включена, не отключайте политику Настроить использование паролей для фиксированных дисков с данными.

Если установлен флажок Разрешить автоматическую разблокировку фиксированных дисков с данными, том с операционной системой должен быть зашифрован.

Если этот параметр политики включен, пользователям необходимо применить защиту BitLocker ко всем фиксированным дискам, что приведет к их шифрованию.

Если эта политика не настроена или отключена, пользователям необязательно применять защиту BitLocker к фиксированным дискам.

Если отключить эту политику, агент MBAM расшифрует все зашифрованные фиксированные диски.

Если шифрование тома с операционной системой не требуется, снимите флажок Разрешить автоматическую разблокировку фиксированных дисков с данными.

Запретить запись на фиксированные диски, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Этот параметр политики определяет, требуется ли обеспечить защиту BitLocker фиксированных дисков на компьютере и возможность записи на них. Этот параметр политики применяется только при включенном BitLocker.

Если политика не настроена, все фиксированные диски компьютера подключаются с разрешениями чтения и записи.

Разрешить доступ к фиксированным дискам, защищенным с помощью BitLocker, из более ранних версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разблокировать и просмотреть фиксированные диски с файловой системой FAT на компьютерах с Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Для этих операционных систем предусмотрены разрешения только на чтение для дисков, защищенных BitLocker.

Если политика включена, фиксированные диски с файловой системой невозможно разблокировать, и их содержимое недоступно для просмотра на компьютерах с Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Настроить использование паролей для фиксированных жестких дисков

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы настроить защиту паролем для несъемных дисков.

Если эта политика не настроена, будут использоваться параметры паролей по умолчанию, среди которых нет требования к сложности, а минимальная длина равна 8 символам.

Для более высокого уровня защиты включите эту политику и выберите Требовать пароль для фиксированного диска с данными, выберите Требовать сложный пароль и задайте требуемую минимальную длину пароля.

Выбрать методы восстановления жестких дисков, защищенных с помощью BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять сведения о восстановлении BitLocker в доменных службах Active Directory.

Если эта политика не настроена, агент восстановления данных BitLocker разрешен, а в доменных службах Active Directory не создается резервная копия сведений о восстановлении. MBAM резервное копирование сведений о восстановлении в доменные службы Active Directory не требуется.

Определения политики диска операционной системы

В этом разделе представлены определения политики дисков с операционной системой для MBAM, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\Административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker) \ Диск операционной системы.

 

Имя политики Обзор и предлагаемый параметр политики

Параметры шифрования диска операционной системы

Рекомендуемая конфигурация: Включено

Эта политика определяет, выполняется ли шифрование диска операционной системы.

Настройте эту политику, чтобы:

  • Усилить защиту BitLocker для диска операционной системы.

  • Настроить использование ПИН-кода с ПИН-кодом доверенного платформенного модуля (TPM) для защиты операционной системы.

  • Настроить расширенные ПИН-коды загрузки для разрешения использования букв верхнего и нижнего регистров и чисел. MBAM не поддерживает использование символов и чисел в расширенных ПИН-кодах, даже если BitLocker поддерживает использование символов и пробелов.

Если этот параметр политики включен, пользователям в обязательном порядке необходимо применять защиту BitLocker к дискам операционной системы.

Если этот параметр политики не настроен или выключен, от пользователей не требуется в обязательном порядке защищать системный диск с помощью BitLocker.

Если отключить эту политику, агент MBAM расшифрует том операционной системы, если он был зашифрован.

Если данный параметр политики включен, пользователям необходимо в обязательном порядке защищать операционную систему с помощью BitLocker, и выполняется шифрование системного диска. В зависимости от требований к шифрованию, вы можете выбрать метод защиты диска операционной системы.

При наличии более высоких требований к обеспечению защиты следует использовать TPM + ПИН-код, разрешить расширенные ПИН-коды, а также указать минимальную длину ПИН-кода, равную 8 знакам.

Если эта политика включена вместе с системой защиты TPM + ПИН-код, можно отключить следующие политики в разделе Система / Управление электропитанием / Параметры режима сна:

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от сети)

  • Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от батареи)

Настройка профиля проверки платформы TPM

Рекомендуемая конфигурация: Не настроено

Эта настройка политики позволяет настроить способы защиты ключа шифрования BitLocker на оборудовании безопасности для TPM. Эта настройка политики не применяется, если компьютер не содержит совместимого TPM, или в BitLocker уже включена защита с помощью TPM.

Если эта политика не настроена, TPM использует профиль проверки платформы по умолчанию или профиль проверки платформы, заданный сценарием установки.

Выберите способ восстановления дисков операционной системы с защитой BitLocker

Рекомендуемая конфигурация: Не настроено

Настройте эту политику, чтобы включить агент восстановления данных BitLocker или сохранять сведения о восстановлении BitLocker в доменных службах Active Directory.

Если эта политика не настроена, использование агента восстановления данных разрешено, и резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

Определения политики в отношении съемных дисков

В этом разделе описаны определения политики в отношении съемных дисков для MBAM, которые находятся в следующем узле объекта групповой политики: Конфигурация компьютера\административные шаблоны\Компоненты Windows\MDOP MBAM (Управление BitLocker) \ Съемный носитель.

 

Имя политики Обзор и предлагаемый параметр политики

Контроль использования BitLocker на съемных дисках

Рекомендуемая конфигурация: Включено

Эта политика контролирует использование BitLocker на съемных дисках.

Выберите параметр Разрешить пользователям применять защиту BitLocker для съемных дисков с данными, чтобы разрешить пользователям запуск мастера установки BitLocker со съемного диска.

Установите флажок Разрешить пользователям отключать и использовать BitLocker для шифрования съемных дисков с данными, чтобы разрешить пользователям удалять шифрование диска BitLocker или временно отключать шифрование во время обслуживания.

Если эта политика включена, и установлен флажок Разрешить пользователям применять защиту BitLocker для съемных дисков с данными , клиент MBAM сохраняет данные съемных дисков для восстановления на сервер восстановления ключей MBAM, что позволяет пользователям восстановить диск при утрате пароля.

Запрет записи на съемные носители, не защищенные BitLocker

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы разрешить только запись на диски, защищенные BitLocker.

Если эта политика включена, для всех съемных дисков с данными на компьютере требуется шифрование для разрешения записи.

Разрешение доступа к съемным носителям, защищенным BitLocker, из предыдущих версий Windows

Рекомендуемая конфигурация: Не настроено

Включите эту политику для разблокировки и просмотра фиксированных дисков с файловой системой (FAT) на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2).

Для этих операционных систем предусмотрены разрешения только на чтение для дисков, защищенных BitLocker.

Если эта политика отключена, разблокировка дисков с файловой системой FAT невозможна, и просмотр их содержимого на компьютерах под управлением Windows Server 2008, Windows Vista, Windows XP с пакетом обновления 3 (SP3) или Windows XP с пакетом обновления 2 (SP2) недоступен.

Настройка использования пароля для съемных дисков с данными

Рекомендуемая конфигурация: Не настроено

Включите эту политику, чтобы настроить защиту паролем для съемных дисков с данными.

Если эта политика не настроена, поддерживаются только настройки паролей по умолчанию (без требований к сложности пароля, обязательная длина пароля - восемь символов).

В целях дополнительной безопасности можно включить эту политику и установить флажок Требовать пароль для съемных носителей, установить флажок Требовать сложный пароль и задать минимальную длину пароля.

Выбор способа восстановления съемных дисков с защитой BitLocker

Рекомендуемая конфигурация: Не настроено

Можно настроить эту политику, чтобы включить агент восстановления данных BitLocker или сохранить данные для восстановления BitLocker в доменных службах Active Directory (AD DS).

Если для этой политики установлен флажок Не настроено, использование агента восстановления данных разрешено, и резервное копирование данных для восстановления в доменные службы Active Directory не выполняется.

Для работы MBAM резервное копирование данных для восстановления в доменные службы Active Directory не требуется.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: