Ανάκτηση από μονάδα δίσκου με προστασία BitLocker είναι δυνατή με παράγοντα ανάκτησης δεδομένων που έχει ρυθμιστεί με το κατάλληλο πιστοποιητικό. Πριν ρυθμιστούν οι παράμετροι παράγοντα ανάκτησης δεδομένων για μια μονάδα δίσκου, πρέπει να προσθέσετε τον παράγοντα ανάκτησης δεδομένων από τις Πολιτικές δημόσιου κλειδιού είτε στην Κονσόλας διαχείρισης πολιτικής ομάδας (GPMC) είτε στο Πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας Πρέπει ακόμη να ενεργοποιήσετε και να ρυθμίσετε τις παραμέτρους της πολιτικής Παροχή μοναδικών αναγνωριστικών για τον οργανισμό σας για αντιστοίχιση ενός μοναδικού αναγνωριστικού σε νέα μονάδα δίσκου που ενεργοποιείται με το BitLocker. Τα πεδία αναγνώρισης απαιτούνται για διαχείριση των παραγόντων ανάκτησης δεδομένων σε μονάδες δίσκου με προστασία BitLocker. Το BitLocker διαχειρίζεται και ενημερώνει μόνο τους παράγοντες ανάκτησης δεδομένων όταν ένα πεδίο αναγνώρισης είναι παρόν σε μονάδα δίσκου και είναι όμοιο με την τιμή που έχει ρυθμιστεί στον υπολογιστή.

Απαιτήσεις πιστοποιητικού

Ένα πιστοποιητικό πρέπει να πληροί τις παρακάτω προϋποθέσεις χρήσης και βελτιωμένης χρήσης κλειδιών για να μπορεί να χρησιμοποιηθεί για κρυπτογράφηση μονάδας δίσκου με το BitLocker:

  • Το χαρακτηριστικό χρήσης κλειδιού πρέπει να είναι κανένα, κρυπτογράφηση κλειδιού ή μία από τις παρακάτω τιμές χρήσης κλειδιών:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Το χαρακτηριστικό βελτιωμένης χρήσης κλειδιού πρέπει να είναι είτε κανένα είτε ένα από τα παρακάτω:

    1.3.6.1.4.1.311.67.1.1

    Οποιοδήποτε χαρακτηριστικό βελτιωμένης χρήσης κλειδιού υποστηρίζεται από την αρχή πιστοποίησης

Το αναγνωριστικό αντικειμένου BitLocker ορίζεται σε 1.3.6.1.4.1.311.67.1.1 από προεπιλογή. Μπορείτε να χρησιμοποιήσετε την πολιτική ομάδας για να αλλάξετε αυτήν την τιμή εάν, για παράδειγμα, θέλετε να κάνετε κοινή χρήση ενός υπάρχοντος πιστοποιητικού με το BitLocker. Εάν το πιστοποιητικό ανήκει σε παράγοντα ανάκτησης δεδομένων και χρησιμοποιείται μόνο για ανάκτηση δεδομένων με προστασία BitLocker, συνιστάται να έχετε επίσης ένα από αυτά τα χαρακτηριστικά, αλλά δεν είναι υποχρεωτικό. Η μη επικύρωση πιστοποιητικού συμβαίνει όταν προσθέτετε έναν παράγοντα ανάκτησης δεδομένων σε μονάδα δίσκου.

Ρύθμιση παραγόντων παράγοντα ανάκτησης δεδομένων και πεδίου αναγνώρισης για το BitLocker

Οι διαδικασίες που ακολουθούν περιγράφουν πώς μπορείτε να ρυθμίσετε έναν παράγοντα ανάκτησης δεδομένων και ένα πεδίο αναγνώρισης για το BitLocker.

Η ιδιότητα μέλους της τοπικής ομάδας Administrators είναι η ελάχιστη που απαιτείται για ολοκλήρωση των διαδικασιών.

Για ρύθμιση παραμέτρων ενός παράγοντα ανάκτησης δεδομένων

  1. Ανοίξτε το GPMC ή το πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας.

  2. Στο δέντρο κονσόλας, στην περιοχή Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Πολιτικές δημόσιου κλειδιού, κάντε δεξιό κλικ στο Κρυπτογράφηση μονάδων δίσκου BitLocker.

  3. Κάντε κλικ στο Προσθήκη παράγοντα ανάκτησης δεδομένων για να ανοίξει ο οδηγός προσθήκης παράγοντα ανάκτησης. Κάντε κλικ στο κουμπί Επόμενο.

  4. Στη σελίδα Επιλογή παραγόντων ανάκτησης δεδομένων, κάντε κλικ Αναζήτηση φακέλων και επιλέξτε ένα αρχείο .cer για χρήση ως παράγοντα ανάκτησης δεδομένων. Αφού επιλέξετε το αρχείο, θα γίνει εισαγωγή του και θα εμφανίζεται στη λίστα Παράγοντες ανάκτησης στον οδηγό. Μπορούν να καθοριστούν πολλαπλοί παράγοντες ανάκτησης δεδομένων. Αφού καθορίσετε όλους τους παράγοντες ανάκτησης δεδομένων που θέλετε να χρησιμοποιήσετε, πατήστε Επόμενο.

  5. Στη σελίδα Ολοκλήρωση της προσθήκης παράγοντα ανάκτησης του οδηγού εμφανίζεται λίστα των παραγόντων ανάκτησης δεδομένων που θα προστεθούν στην πολιτική ομάδας. Κάντε κλικ στο Τέλος για να επιβεβαιώσετε τους παράγοντες ανάκτησης δεδομένων και κλείστε τον οδηγό.

Αφού κλείσει ο οδηγός, οι παράγοντες ανάκτησης δεδομένων εμφανίζονται στο παράθυρο λεπτομερειών.
Για ρύθμιση ενός πεδίου αναγνώρισης

  1. Στο GPMC ή στο Πρόγραμμα επεξεργασίας πολιτικής τοπικής ομάδας, αναπτύξτε το δέντρο κονσόλας στη θέση Ρυθμίσεις υπολογιστή\Πρότυπα διαχείρισης\Στοιχεία των Windows\Κρυπτογράφηση μονάδας δίσκου BitLocker και επιλέξτε Κρυπτογράφηση μονάδας δίσκου BitLocker για προβολή των ρυθμίσεων πολιτικής.

  2. Στο παράθυρο λεπτομερειών, κάντε διπλό κλικ στη ρύθμιση πολιτικής Παροχή μοναδικών αναγνωριστικών για τον οργανισμό σας.

  3. Κάντε κλικ στο κουμπί Ενεργοποίηση. Στο Πεδίο αναγνώρισης BitLocker, εισάγετε το πεδίο αναγνώρισης του οργανισμού σας.

  4. Πατήστε OK για εφαρμογή και κλείσιμο της ρύθμισης πολιτικής.
Σημείωση

Μονάδες δίσκου κρυπτογραφημένες με BitLocker πριν τη ρύθμιση ενός πεδίου αναγνώρισης δεν έχουν αντιστοιχισμένους παράγοντες ανάκτησης δεδομένων εξαιτίας της απουσίας πεδίου αναγνώρισης. Εάν είναι δυνατό, χρησιμοποιήστε τα όργανα διαχείρισης των Windows (WMI) ή το εργαλείο γραμμής εντολών Manage-bde για να ορίσετε ένα πεδίο αναγνώρισης σε μονάδα δίσκου που ήταν προηγουμένως κρυπτογραφημένη. Όταν χρησιμοποιείτε το Manage-bde, το πεδίο αναγνώρισης θα έχει την τιμή που καθορίζεται στη ρύθμιση πολιτικής Παροχή μοναδικών αναγνωριστικών για τον οργανισμό σας. Για περισσότερες πληροφορίες σχετικά με τη χρήση WMI σε Manage-bde, δείτε https://go.microsoft.com/fwlink/?LinkId=143347 (Ενδέχεται να είναι στα Αγγλικά).

Πίνακας περιεχομένων