Een door BitLocker beveiligd station kan worden hersteld door een gegevensherstelagent die met het juiste certificaat is geconfigureerd. Voordat een gegevensherstelagent voor een station kan worden geconfigureerd, moet u de gegevensherstelagent toevoegen vanuit Openbare-sleutelbeleid in de console Groepsbeleidsbeheer (GPMC) of in de lokale groepsbeleidseditor. U moet ook de beleidsinstelling De unieke id's voor uw organisatie opgeven inschakelen en configureren om een unieke id te koppelen aan een nieuw station waarop BitLocker kan worden toegepast. Identificatievelden zijn vereist voor het beheren van gegevensherstelagenten op schijfstations die met BitLocker zijn beveiligd. Gegevensherstelagenten worden alleen door BitLocker beheerd en bijgewerkt wanneer er een identificatieveld op een schijf staat en wanneer dat identificatieveld gelijk is aan de waarde die op de computer is opgegeven.

Certificaatvereisten

Een certificaat moet voldoen aan de volgende vereisten voor sleutelgebruik en uitgebreid sleutelgebruik voordat dat certificaat kan worden gebruikt voor het coderen van een schijf met BitLocker:

  • Het kenmerk voor sleutelgebruik moet 'geen', 'sleutelcodering' of een van de volgende waarden voor sleutelgebruik zijn:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Het kenmerk voor uitgebreid sleutelgebruik moet geen of een van de volgende waarden zijn:

    1.3.6.1.4.1.311.67.1.1

    Elke object-id voor uitgebreid sleutelgebruik die wordt ondersteund door uw certificeringsinstantie

De object-id van BitLocker staat standaard ingesteld op 1.3.6.1.4.1.311.67.1.1. U kunt met Groepsbeleid deze waarde wijzigen als u bijvoorbeeld een bestaand certificaat met BitLocker wilt delen. Als het certificaat bij een gegevensherstelagent hoort en alleen wordt gebruikt voor het herstellen van gegevens die met BitLocker zijn beveiligd, is het raadzaam als dat certificaat een van de volgende kenmerken heeft, maar dat is niet verplicht. Er worden geen certificaten gevalideerd wanneer een gegevensherstelagent aan een station wordt toegevoegd.

Een gegevensherstelagent en identificatieveld voor BitLocker configureren

Met de volgende procedures wordt beschreven hoe een gegevensherstelagent en identificatieveld voor BitLocker worden geconfigureerd.

Lidmaatschap van de lokale groep Administrators is minimaal vereist om deze procedures uit te voeren.

Een gegevensherstelagent configureren

  1. Open de GPMC of de lokale groepsbeleidseditor.

  2. Klik in de consolestructuur onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Openbare-sleutelbeleid met de rechtermuisknop op BitLocker-stationsversleuteling.

  3. Klik op Gegevensherstelagent toevoegen om de wizard Herstelagent toevoegen te starten. Klik op Volgende.

  4. Klik op de pagina Herstelagenten selecteren op Door mappen bladeren en selecteer een CER-bestand dat u als gegevensherstelagent wilt gebruiken. Wanneer het bestand is geselecteerd, wordt het geïmporteerd en komt het in de lijst Herstelagenten in de wizard te staan. Er kunnen meerdere gegevensherstelagenten worden opgegeven. Nadat u alle gewenste gegevensherstelagenten hebt opgegeven, klikt u op Volgende.

  5. Op de pagina De herstelagent toevoegen van de wizard staat een lijst met de gegevensherstelagenten die aan het groepsbeleid worden toegevoegd. Klik op Voltooien om de gegevensherstelagenten te bevestigen en sluit de wizard.

Als de wizard is afgesloten, staat de gegevensherstelagent in het detailvenster.
Een identificatieveld configureren

  1. Vouw in de GPMC of de lokale groepsbeleidseditor de consolestructuur uit naar Computer-configuratie\Beheersjablonen \Windows-onderdelen\BitLocker-stationsversleuteling en klik vervolgens op BitLocker-stationsversleuteling om de beleidsinstellingen weer te geven.

  2. Dubbelklik in het detailvenster op de beleidsinstelling De unieke id's voor uw organisatie opgeven.

  3. Klik op Inschakelen. Voer in het Identificatieveld BitLocker het identificatieveld voor uw onderneming in.

  4. Klik op OK om de beleidsinstelling toe te passen en te sluiten.
Opmerking

Aan stations die zijn gecodeerd met BitLocker voordat er een identificatieveld was geconfigueerd, zijn er bij ontstentenis van een identificatieveld geen gegevensherstelagenten toegewezen. Met Windows Management Instrumentation (WMI) of het opdrachtregelprogramma Manage-bde kan er alsnog een identificatieveld op een reeds gecodeerd station worden ingesteld. Wanneer Manage-bde wordt gebruikt, wordt het identificatieveld ingesteld op de waarde die is opgegeven in de beleidsinstelling De unieke id's voor uw organisatie opgeven. Zie https://go.microsoft.com/fwlink/?LinkId=143347 voor meer informatie over het gebruik van WMI of Manage-bde (pagina is mogelijk Engelstalig).

Inhoudsopgave