Obnovení jednotky chráněné nástrojem BitLocker lze provést pomocí agenta obnovování dat, který byl nakonfigurován pomocí správného certifikátu. Před konfigurací agenta obnovování pro jednotku je nutné přidat agenta obnovování dat ze Zásad veřejných klíčů do Konzoly pro správu zásad skupiny nebo Editoru místních zásad skupiny. Je také nutné povolit a nakonfigurovat nastavení zásady Zadání jedinečných identifikátorů pro organizaci, aby bylo možné spojit jedinečný identifikátor s novou jednotkou, která je povolena pomocí nástroje BitLocker. Zadání hodnot do identifikačních polí je povinné pro správu agentů obnovování dat na jednotkách chráněných nástrojem BitLocker. Nástroj BitLocker bude spravovat a aktualizovat pouze agenty obnovování dat, pokud je na jednotce zadáno identifikační pole a je shodné s hodnotou nakonfigurovanou v počítači.

Požadavky na certifikát

Před použitím certifikátu k šifrování jednotky pomocí nástroje BitLocker je nutné, aby certifikát splňoval následující požadavky na použití klíčů a rozšířené použití klíčů:

  • Hodnota atributu použití klíčů buď nesmí být zadána, musí být zadána hodnota Šifrování klíče nebo některá z následujících hodnot použití klíčů:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE,

    CERT_KEY_AGREEMENT_KEY_USAGE,

    CERT_KEY_ENCIPHERMENT_KEY_USAGE.

  • Hodnota atributu rozšířeného použití klíčů buď nesmí být zadána nebo musí odpovídat některé z následujících hodnot:

    1.3.6.1.4.1.311.67.1.1

    Libovolný identifikátor rozšířeného použití klíčů podporovaný certifikační autoritou

Identifikátor objektu nástroje BitLocker má ve výchozím nastavení hodnotu 1.3.6.1.4.1.311.67.1.1. Tuto hodnotu můžete změnit pomocí zásad skupiny, pokud například chcete sdílet stávající certifikát s nástrojem BitLocker. Pokud certifikát patří k agentu obnovování dat a používá se pouze pro obnovu dat chráněných nástrojem BitLocker, je doporučeno, aby obsahoval některý z těchto atributů, ale není to povinné. K ověření certifikátu nedochází při přidání agenta obnovování dat na jednotku.

Konfigurace agenta obnovování dat a identifikační pole v nástroji BitLocker

V následujících postupech je uvedeno, jak se provádí konfigurace agenta obnovování dat a identifikačního pole v nástroji BitLocker.

K provedení těchto postupů je požadováno minimálně členství ve skupině Administrators.

Konfigurace agenta obnovování dat

  1. Otevřete Konzolu pro správu zásad skupiny nebo Editor místních zásad skupiny.

  2. Ve stromu konzoly klikněte na položky Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady veřejných klíčů a na možnost Nástroj BitLocker Drive Encryption.

  3. Kliknutím na možnost Přidat Agenta obnovování dat spusťte Průvodce přidáním agenta obnovení. Klikněte na tlačítko Další.

  4. Na stránce Vybrat agenty obnovení klikněte na možnost Procházet složky a vyberte soubor CER, který chcete použít jako agenta obnovování dat. Po výběru bude soubor importován a zobrazí se v seznamu Agenti obnovení v průvodci. Je možné zadat více agentů obnovování dat. Po zadání všech agentů obnovování dat, které chcete použít, klikněte na tlačítko Další.

  5. Na stránce průvodce Dokončení Průvodce přidáním agenta obnovení se zobrazí seznam agentů obnovování dat, kteří budou přidány do zásad skupiny. Kliknutím na tlačítko Dokončit potvrdíte agenty obnovování dat a zavřete průvodce.

Po zavření průvodce se v podokně podrobností zobrazí agenti obnovování dat.
Konfigurace pole pro identifikaci

  1. V Konzole pro správu zásad skupiny nebo v Editoru místních zásad skupiny rozbalte strom konzoly na položku Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Nástroj BitLocker Drive Encryption, klikněte na položku Nástroj BitLocker Drive Encryption a zobrazte tak nastavení zásad.

  2. V podokně podrobností dvakrát klikněte na nastavení zásady Zadání jedinečných identifikátorů pro organizaci.

  3. Klikněte na tlačítko Povolit. V části Identifikační pole nástroje BitLocker zadejte identifikační pole organizace.

  4. Kliknutím na tlačítko OK použijete nastavení zásad a okno zavřete.
Poznámka

K jednotkám, které byly šifrovány pomocí nástroje BitLocker před konfigurací identifikačního pole, nebude přiřazen agent obnovování dat z důvodu nepřítomnosti identifikačního pole. K nastavení identifikačního pole pro dříve šifrovanou jednotku je možné použít rozhraní WMI (Windows Management Instrumentation) nebo nástroj příkazového řádku Manage-bde. Při použití nástroje Manage-bde bude identifikační pole nastaveno na hodnotu zadanou v nastavení zásady Zadání jedinečných identifikátorů pro organizaci. Další informace o používání rozhraní WMI nebo nástroje Manage-bde naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=143347 (stránka může být v angličtině).

Obsah