Требования групповой политики BitLocker
Я ищу справку с созданием политики BitLocker через Групповую политику. Я привел выполнение к сбою этого сам и нуждаюсь в помощи от более опытных, чем я.
Сервер: Windows Server 2012 Клиенты: Windows 7 Окончательный и они - Ноутбуки Dell (2014) с модулями TPM
- Полное шифрование локального диска
- Я хочу, чтобы начальная загрузка была максимально проста. Я не хочу, чтобы Пользователи должны были ввести PIN-код при запуске. Единственная защита, которую я хочу, состоит в том, если жесткий диск будет удален, то они не смогут просмотреть содержание
- Ключи восстановления должны быть сохранены в AD и управляемые через там
- Любая Карта памяти включила потребности ноутбука быть BitLocker, зашифрованным перед использованием, и они могут быть защищенным PIN (4 цифры числовой PIN)
Возможное вышеупомянутое, и может любой помогать с настройками GPO.
Я следовал многим руководствам и развернул политику, но я видел, что сообщения об ошибках указали, что мой GPO имел противоречащие настройки или подобное сообщение.
Спасибо
James
Хранение ключей в AD (убедитесь, что вы расширили схему - https://technet.microsoft.com/en -us / library / dd875533 (v = WS.10) .aspx ) - Компоненты Windows / Шифрование диска BitLocker - Хранить информацию для восстановления BitLocker в доменных службах Active Directory (Windows Server 2008 и Windows Vista) - Требовать резервное копирование Bitlocker в AD DS - Включено,Выберите подходящий вариант. Мы используем. Выбор информации для восстановления BitLocker для хранения: Пароли восстановления и пакеты ключей
Для жестких дисков у вас есть настройки, специфичные для ОС и других фиксированных жестких дисков. Настройте оба по мере необходимости. Выберите способ восстановления дисков операционной системы, защищенных BitLocker - Настройте пользовательское хранилище информации для восстановления BitLocker: Требовать 48-значный пароль восстановления Разрешить 256-битный ключ восстановления Отключить параметры восстановления в мастере установки BitLocker: включено Сохранение информации для восстановления BitLocker в AD DS для дисков операционной системы: включено Настройка хранения информации для восстановления BitLocker в AD DS: хранение паролей восстановления и пакетов ключей Не включайте BitLocker, пока информация для восстановления не будет сохранена в AD DS для дисков операционной системы: Включено
Съемные диски (USB) - Компоненты Windows / Шифрование диска BitLocker / Съемные диски с данными Управление использованием Bitlocker на съемных дисках: включено Запретить доступ для записи на съемные диски, не защищенные Bitlocker: Включено Разрешить пользователям приостанавливать и расшифровывать защиту BitLocker на съемных дисках с данными: отключено Выберите способ восстановления съемных дисков, защищенных BitLocker - Сохранять информацию для восстановления BitLocker в AD DS для съемных дисков с данными: включено Настройка хранения информации для восстановления BitLocker в AD DS: резервное копирование паролей восстановления и пакетов ключей Настроить использование паролей для съемных дисков с данными (без ПИН-кода, но вы можете сделать пароль из 4 символов с отключенной сложностью, мы не делаем): Включено Настройка сложности пароля для съемных дисков с данными: разрешить сложность пароля Минимальная длина пароля для съемного диска с данными: 8