Gjenoppretting av en BitLocker-beskyttet stasjon kan utføres av en datagjenopprettingsagent som har blitt konfigurert med riktig sertifikat. Før en datagjenopprettingsagent kan konfigureres for en stasjon, må du legge til datagjenopprettingsagenten fra Policyer for fellesnøkkel enten i Konsoll for gruppepolicybehandling (GPMC – Group Policy Management Console) eller Redigeringsprogrammet for lokal gruppepolicy. Du må også aktivere og konfigurere policyinnstillingen Angi de unike identifikatorene for organisasjonen din for å tilordne en unik identifikator til en ny stasjon som er aktivert med BitLocker. Identifikasjonsfelt er påkrevde for administrasjon av datagjenopprettingsagenter på BitLocker-beskyttede stasjoner. BitLocker vil bare administrere og oppdatere datagjenopprettingsagenter kun når det finnes et identifikatorfelt på en stasjon, og når dette feltet er identisk med verdien som er konfigurert på datamaskinen.

Sertifikatkrav

Et sertifikat må oppfylle følgende krav for nøkkelbruk og utvidet bruk av nøkler før det kan brukes til å kryptere en stasjon med BitLocker:

  • Nøkkelbruksattributtet må enten være ingen, nøkkelchiffrering eller en av de følgende nøkkelbruksverdiene:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Attributtet for utvidet bruk av nøkler må enten være ingen eller ett av de følgende:

    1.3.6.1.4.1.311.67.1.1

    Enhver objekt-ID for utvidet bruk av nøkler som støttes av sertifiseringsinstansen

Objekt-IDen for BitLocker er konfigurert til 1.3.6.1.4.1.311.67.1.1 som standard. Du kan bruke Gruppepolicy for endre denne verdien hvis, for eksempel, du ønsker å dele et eksisterende sertifikat med BitLocker. Hvis sertifikatet tilhører en datagjenopprettingsagent og hvis det bare brukes til å gjenopprette BitLocker-beskyttede data, anbefales at det også har noen av disse attributtene, men det er ikke obligatorisk. Ingen sertifikatvalidering skjer når du legger til en datagjenopprettingsagent til en stasjon.

Slik konfigurerer du en datagjenopprettingsagent og et identifikasjonsfelt for BitLocker

De følgende prosedyrene beskriver hvordan du konfigurerer en datagjenopprettingsagent og et identifikasjonsfelt for BitLocker.

Lokale administratorer er det laveste gruppemedlemskapet som kreves for å fullføre denne prosedyren.

Slik konfigurerer du en datagjenopprettingsagent

  1. Åpne enten GPMC eller Redigeringsprogram for lokal gruppepolicy.

  2. Høyreklikk BitLocker stasjonskryptering i konsolltreet under Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Policyer for fellesnøkkel.

  3. Klikk Legg til datagjenopprettingsagent for å starte veiviseren for gjenopprettingsagent. Klikk Neste.

  4. På siden Velg gjenopprettingsagenter klikker du Bla gjennom mapper og velger en CER-fil for å bruke som datagjenopprettingsagent. Når filen er valgt, importeres den og vises i Gjenopprettingsagent-listen i veiviseren. Flere datagjenopprettingsagenter kan angis. Etter du har angitt alle datagjenopprettingsagentene som du vil bruke, klikk Neste.

  5. Siden Fullfører veiviseren for gjenopprettingsagent viser en liste over datagjenopprettingsagentene som legges til gruppepolicyen. Klikk Fullfør for å bekrefte datagjenopprettingsagentene, og lukk veiviseren.

Etter veiviseren lukkes, vises datagjenopprettingsagentene i detaljruten.
Slik konfigurerer du et identifikasjonsfelt

  1. I GPMC eller Redigeringsprogram for lokal gruppepolicy utvider du konsolltreet til Datamaskinkonfigurasjon\Administrative maler\Windows-komponenter\BitLocker stasjonskryptering og klikker BitLocker stasjonskryptering for å vise policyinnstillingene.

  2. I detaljruten dobbelklikker du policyinnstillingen Angi de unike identifikatorene for organisasjonen din.

  3. Klikk Aktiver. I BitLocker identifikasjonsfeltet angir du identifikasjonsfeltet for organisasjonen din.

  4. Klikk OK for å bruke og lukke den nye innstillingen.
Obs!  

Stasjoner som ble kryptert med BitLocker før et identifikasjonsfelt ble konfigurert, får ikke tildelt datagjenopprettingsagenter på grunn av manglende identifikasjonsfelt. Det er mulig å bruke Windows Management Instrumentation (WMI) eller kommandolinjeverktøyet Manage-bde for å angi et identifikasjonsfelt på en tidligere kryptert stasjon. Når du bruker Manage-bde, konfigureres identifikasjonsfeltet til verdien angitt i policyinnstillingen Angi de unike identifikatorene for organisasjonen din. Mer informasjon om bruk av WMI og Manage-bde finner du her: https://go.microsoft.com/fwlink/?LinkId=143347 (kan være på engelsk).

Innholdsfortegnelse