A BitLocker által védett meghajtókat csak megfelelő tanúsítvánnyal rendelkező adat-helyreállítási megbízott állíthatja helyre. Mielőtt beállítana egy adat-helyreállítási megbízottat egy meghajtóhoz, fel kell vennie az adat-helyreállítási megbízottat a Nyilvános kulcs irányelvei beépülő modulban a Csoportházirend kezelése konzolon vagy a Helyi csoportházirend-szerkesztőben. Egyedi azonosító a BitLocker-védelmű új meghajtóhoz való társításához engedélyeznie és konfigurálnia kell az Egyedi azonosítók biztosítása a szervezet számára házirend-beállítást is. A BitLocker-védelmű meghajtókon lévő adat-helyreállítási megbízottak kezeléséhez az azonosítómezőket ki kell tölteni. A BitLocker csak akkor kezeli és frissíti az adat-helyreállítási megbízottakat, ha található azonosítómező a meghajtókon, és az megegyezik a számítógépen beállított értékkel.

Tanúsítványkövetelmények

A tanúsítványnak meg kell felelnie a következő kulcshasználati és bővített kulcshasználati követelményeknek ahhoz, hogy BitLocker-védelmű meghajtó titkosításához használni lehessen:

  • A kulcshasználati attribútumnak a semmi, a Kulcstitkosítás vagy a következő kulcshasználati értékek egyikét kell felvennie:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • A bővített kulcshasználati attribútumnak vagy a semmi, vagy a következő értékek egyikét kell felvennie:

    1.3.6.1.4.1.311.67.1.1

    A hitelesítésszolgáltatója által támogatott bármilyen bővített kulcshasználati objektumazonosító

A BitLocker objektumazonosító alapértelmezésben az 1.3.6.1.4.1.311.67.1.1 értékre van állítva. A Csoportházirenddel ez az érték módosítható, ha például meglévő tanúsítványt szeretne megosztani a BitLocker szolgáltatással. Ha a tanúsítvány egy adat-helyreállítási megbízotthoz tartozik, és csak a BitLocker által védett adatok helyreállítására használatos, akkor ajánlott ezen attribútumok egyikével is ellátni, bár ez nem kötelező. Nem történik tanúsítvány-érvényesítés, ha adat-helyreállítási megbízottat ad hozzá egy meghajtóhoz.

Adat-helyreállítási megbízott és azonosítómező beállítása a BitLocker számára

Az alábbi eljárások bemutatják, hogyan végezheti el az adat-helyreállítási megbízottak és azonosítómezők beállítását a BitLocker szolgáltatáshoz.

Az eljárás végrehajtásához legalább a Helyi rendszergazdák csoport tagjának kell lennie.

Adat-helyreállítási megbízott beállítása

  1. Nyissa meg a Csoportházirend kezelése konzolt vagy a Helyi csoportházirend-szerkesztőt.

  2. A konzolfán a Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Nyilvános kulcs irányelvei alatt kattintson a jobb gombbal a BitLocker meghajtótitkosítás lehetőségre.

  3. A Helyreállítási megbízott hozzáadása varázsló elindításához kattintson az Adat-helyreállítási megbízott hozzáadása lehetőségre. Kattintson a Tovább gombra.

  4. A Helyreállítási megbízottak kijelölése lapon kattintson a Mappák tallózása gombra, és jelölje ki az adat-helyreállítási megbízottként használni kívánt .cer fájlt. A fájl kijelölése után megtörténik az importálása, és megjelenik a varázsló Helyreállítási megbízottak listájában. Megadható több adat-helyreállítási megbízott is. Az összes használni kívánt adat-helyreállítási megbízott megadása után kattintson a Tovább gombra.

  5. A varázsló Helyreállítási megbízott hozzáadása - a varázsló befejezése lapján megjelenik azon adat-helyreállítási megbízottak listája, amelyek hozzá lesznek adva a Csoportházirendhez. Az adat-helyreállítási megbízottak jóváhagyásához és a varázsló bezárásához kattintson a Befejezés gombra.

A varázsló bezárása után az adat-helyreállítási megbízottak megjelennek a részleteket megjelenítő ablaktáblában.
Azonosítómező beállítása

  1. A Csoportházirend kezelése konzolon vagy a Helyi csoportházirend-szerkesztőben a konzolfán bontsa ki a Számítógép konfigurációja\Felügyeleti sablonok\Windows-összetevők\BitLocker meghajtótitkosítás ágat, majd kattintson a BitLocker meghajtótitkosítás lehetőségre a házirend-beállítások megjelenítéséhez.

  2. A részleteket megjelenítő ablaktáblában kattintson duplán az Egyedi azonosítók biztosítása a szervezet számára házirend-beállításra.

  3. Kattintson az Engedélyezés gombra. A BitLocker-azonosítómező mezőbe írja be a szervezet azonosítómezőjét.

  4. Kattintson az OK gombra az alkalmazáshoz és a házirend-beállítás bezárásához.
Megjegyzés

Az azonosítómező beállítása előtt BitLocker segítségével titkosított meghajtókhoz nem lesz adat-helyreállítási megbízott rendelve az azonosítómező hiánya miatt. Korábban titkosított meghajtóhoz lehetséges azonosítómezőt rendelni a Windows Management Instrumentation (WMI) szolgáltatással vagy a Manage-bde parancssori eszközzel. A Manage-bde eszköz használatakor az azonosítómező az Egyedi azonosítók biztosítása a szervezet számára házirend-beállításban megadott érték lesz. A WMI szolgáltatás vagy a Manage-bde eszköz használatával kapcsolatos további információ a következő helyen található: https://go.microsoft.com/fwlink/?LinkId=143347 (előfordulhat, hogy a lap angol nyelven jelenik meg).

Tartalom