Genoprettelse af et BitLocker-beskyttet drev kan foretages med en betroet bruger til genoprettelse af data, der er konfigureret med det korrekte certifikat. Inden du kan konfigurere en betroet bruger til genoprettelse af data for et drev, skal du tilføje den betroede bruger til genoprettelse af data fra Politikker for offentlige nøgler i GPMC (Group Policy Management Console, administrationskonsollen til Gruppepolitik) eller i Editor til lokal gruppepolitik. Du skal også aktivere og konfigurere politikindstillingen Angiv entydige id'er for organisationen for at knytte et entydigt id til et nyt drev, der er aktiveret med BitLocker. Identifikationsfelter er påkrævede til administration af betroede brugere til genoprettelse af data på BitLocker-beskyttede drev. BitLocker administrerer og opdaterer kun betroede brugere til genoprettelse af data, når der findes et id-felt på et drev, og det er identisk med den værdi, der er konfigureret på computeren.
Certifikatkrav
Et certifikat skal opfylde følgende nøgleanvendelse og udvidede krav til nøgleanvendelse, før det kan bruges til at kryptere et drev med BitLocker:
- Attributten for nøgleanvendelse skal være Ingen, Kodeomsætning af nøgle eller en af følgende værdier for nøgleanvendelse:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE - Attributten for udvidet nøgleanvendelse skal enten være Ingen eller en af følgende:
1.3.6.1.4.1.311.67.1.1
Ethvert id for et udvidet nøgleanvendelsesobjekt, der understøttes af nøglecenteret
BitLocker-objekt-id'et er som standard angivet til 1.3.6.1.4.1.311.67.1.1. Du kan bruge Gruppepolitik til at ændre værdien, hvis du f.eks. vil dele et eksisterende certifikat med BitLocker. Hvis certifikatet tilhører en betroet bruger til genoprettelse af data, og det kun bruges til genoprettelse af BitLocker-beskyttede data, anbefales det, at det også har en af følgende attributter, men det er ikke obligatorisk. Der sker ikke nogen validering af certifikatet, når du føjer en betroet bruger til genoprettelse af data til et drev.
Konfigurere en betroet bruger til genoprettelse af data og et id-felt for BitLocker
I følgende procedurer beskrives det, hvordan du konfigurerer en betroet bruger til genoprettelse af data og et id-felt for BitLocker.
Du skal som minimum være medlem af gruppen Lokale administratorer for at kunne fuldføre disse procedurer.
 | Sådan konfigureres en betroet bruger til genoprettelse af data |
Åbn GPMC eller Editor til lokal gruppepolitik.
Højreklik på BitLocker-drevkryptering under Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Politikker for offentlige nøgler.
Klik på Tilføj betroet bruger til genoprettelse af data for at starte guiden Tilføj betroet bruger. Klik på Næste.
Klik på Gennemse mapper på siden Vælg betroede brugere, og vælg en .cer-fil, der skal anvendes som betroet bruger til genoprettelse af data. Når filen er valgt, bliver den importeret og vises på listen Betroede brugere i guiden. Der kan angives flere betroede brugere til genoprettelse af data. Når du har angivet alle de betroede brugere til genoprettelse af data, du ønsker at bruge, skal du klikke på Næste.
På siden Fuldfører guiden Tilføj betroet bruger vises en liste over de betroede brugere til genoprettelse af data, der føjes til gruppepolitikken. Klik på Udfør for at bekræfte de betroede brugere til genoprettelse af data og lukke guiden.
Når guiden lukkes, vises de betroede brugere til genoprettelse af data i detaljeruden.
| Sådan konfigureres et id-felt |
I GPMC eller Editor til lokal gruppepolitik skal du udvide konsoltræet til Computerkonfiguration\Administrative skabeloner\Windows-komponenter\BitLocker-drevkryptering og derefter klikke på BitLocker-drevkryptering for at få vist politikindstillingerne.
Dobbeltklik på politikindstillingen Angiv entydige id'er for organisationen i detaljeruden.
Klik på Aktivér. Skriv id'et for organisationen i BitLocker-id-felt.
Klik på OK for at anvende og lukke politikindstillingen.
 | Bemærk! |
|
De drev, der har været krypteret med BitLocker, før der var konfigureret et id-felt, er ikke tildelt betroede brugere til genoprettelse af data, da id-feltet manglede. Du kan bruge WMI (Windows Management Instrumentation) eller kommandolinjeværktøjet Manage-bde til at angive et id-felt for et tidligere krypteret drev. Når du bruger Manage-bde, angives id-feltet til den værdi, der er angivet i politikindstillingen Angiv entydige id'er for organisationen. Du kan finde flere oplysninger om brug af WMI eller Manage-bde under |