BitLocker-suojatun aseman palautus voidaan tehdä tietojenpalautusagentilla, jolle on määritetty oikea varmenne.Ennen kuin tietojenpalautusagentti voidaan määrittää asemalle, sinun on lisättävä tietojenpalautusagentti Julkisten avainten käytännöt -kohteesta joko ryhmäkäytäntöjen hallintakonsolin (GPMC) tai paikallisen ryhmäkäytäntöeditorin avulla.Sinun on myös otettava käyttöön ja määritettävä Anna yksilöivät tunnukset organisaatiollesi -käytäntöasetus, jotta voit määrittää uudelle BitLockeria tukevalle asemalle yksilöivän tunnuksen.BitLocker-suojattujen asemien tietojenpalautusagenttien hallinta edellyttää tunnistetietokenttiä.BitLocker hallitsee ja päivittää tietojenpalautusagentteja vain, kun asemassa on tunnistetietokenttä, joka on täsmälleen sama kuin tietokoneessa määritetty arvo.

Varmennevaatimukset

Varmenteen on täytettävä seuraavat avaimen käytön ja laajennetun avaimen käytön vaatimukset, ennen kuin sen avulla voidaan salata asema BitLocker-asemansalauksella:

  • Avaimen käytön määritteen on oltava joko ei mitään, Avaimen salakoodaus tai jokin seuraavista avaimen käytön arvoista:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Laajennetun avaimen käytön määritteen on oltava joko ei mitään tai jokin seuraavista:

    1.3.6.1.4.1.311.67.1.1

    mikä tahansa laajennetun avaimen käytön objektitunnus, jota varmenteiden myöntäjä tukee.

BitLocker-objektitunnus on oletusarvon mukaan 1.3.6.1.4.1.311.67.1.1.Voit muuttaa tätä arvoa ryhmäkäytännön avulla, jos esimerkiksi haluat jakaa aiemmin luodun varmenteen BitLockerin kanssa.Jos varmenne kuuluu tietojenpalautusagentille, ja varmennetta käytetään vain BitLocker-suojattujen tietojen palauttamiseen, Microsoft suosittelee, että sillä on myös jokin seuraavista määritteistä. Tämä ei kuitenkaan ole pakollista.Varmenteen vahvistamista ei tehdä, kun tietojenpalautusagentti lisätään asemalle.

Tietojenpalautusagentin ja tunnistetietokentän määrittäminen BitLockerille

Seuraavassa kuvataan, miten tietojenpalautusagentti ja tunnistetietokenttä määritetään BitLockerille.

Paikallinen järjestelmänvalvoja on vähimmäisryhmä, jonka jäsenyyttä näiden toimien tekeminen edellyttää.

Tietojenpalautusagentin määrittäminen

  1. Avaa joko ryhmäkäytäntöjen hallintakonsoli tai paikallinen ryhmäkäytäntöeditori.

  2. Napsauta konsolipuun Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Julkisten avainten käytännöt -kohdassa hiiren kakkospainikkeella BitLocker-asemansalaus-kohtaa.

  3. Käynnistä ohjattu palautusagenttien lisääminen valitsemalla Lisää tietojenpalautusagentti.Valitse Seuraava.

  4. Valitse Valitse palautusagentit -sivulla Selaa kansioita ja valitse tietojenpalautusagenttina käytettävä .cer-tiedosto.Kun tiedosto on valittu, se tuodaan ja tulee näkyviin ohjatun toiminnon Palautusagentit-luetteloon.Useita tietojenpalautusagentteja voidaan määrittää.Kun olet määrittänyt kaikki tietojenpalautusagentit, joita haluat käyttää, valitse Seuraava.

  5. Ohjatun toiminnon Viimeistellään ohjattua palautusagentin lisäämistä -sivulla näkyy luettelo tietojenpalautusagentteja, jotka lisätään ryhmäkäytäntöön.Vahvista tietojenpalautusagentit valitsemalla Valmis ja sulje ohjattu toiminto.

Kun ohjattu toiminto on sulkeutunut, tietojenpalautusagentit tulevat näkyviin tietoruutuun.
Tunnistetietokentän määrittäminen

  1. Laajenna ryhmäkäytäntöjen hallintakonsolissa tai paikallisessa ryhmäkäytäntöeditorissa konsolipuu kohteeseen Tietokoneasetukset\Hallintamallit\Windows-osat\BitLocker-asemansalaus ja valitse sitten BitLocker-asemansalaus, niin käytäntöasetukset tulevat näyttöön.

  2. Kaksoisnapsauta tietoruudussa Anna yksilöivät tunnukset organisaatiollesi -käytäntöasetusta.

  3. Valitse Ota käyttöön.Kirjoita organisaatiosi tunnistetietokenttä BitLocker-tunnistetietokenttä -kohtaan.

  4. Ota käytäntöasetus käyttöön ja sulje se valitsemalla OK.
Huomautus

Asemille, jotka salattiin BitLockerin avulla ennen tunnistetietokentän määrittämistä, ei ole määritettynä tietojenpalautusagentteja, koska tunnistetietokenttä puuttuu.Tunnistetietokenttä voidaan määrittää aiemmin salatulle asemalle WMI:n (Windows Management Instrumentation) tai Manage-bde-komentorivityökalun avulla.Manage-bde-komentorivityökalua käytettäessä tunnistetietokentälle määritetään Anna yksilöivät tunnukset organisaatiollesi -käytäntöasetuksessa määritetty arvo.Lisätietoja WMI:n tai Manage-bde-työkalun käyttämisestä on osoitteessa https://go.microsoft.com/fwlink/?LinkId=143347 (sivu voi olla englanninkielinen).

Sisällys