Odzyskiwanie dysku chronionego za pomocą funkcji BitLocker można przeprowadzić przy użyciu agenta odzyskiwania danych, który został skonfigurowany z zastosowaniem właściwego certyfikatu. Zanim będzie możliwe skonfigurowanie agenta odzyskiwania danych dla dysku, należy dodać tego agenta z listy Zasady kluczy publicznych do Konsoli zarządzania zasadami grupy lub do Edytora lokalnych zasad grupy. Należy także włączyć i skonfigurować ustawienie zasad Podaj unikatowe identyfikatory dla organizacji, aby skojarzyć unikatowy identyfikator z nowym dyskiem, który został włączony z funkcją BitLocker. Pola identyfikacyjne są wymagane na potrzeby zarządzania agentami odzyskiwania danych na dyskach chronionych za pomocą funkcji BitLocker. Funkcja BitLocker zarządza agentami odzyskiwania danych oraz przeprowadza ich aktualizację tylko w przypadku, gdy na dysku jest dostępne pole identyfikacyjne mające identyczną wartość jak wartość skonfigurowana na komputerze.

Wymagania certyfikatu

Zanim będzie można użyć certyfikatu do szyfrowania dysku za pomocą funkcji BitLocker, musi on spełniać następujące wymagania dotyczące użycia klucza i ulepszonego użycia klucza:

  • Atrybut użycia klucza musi albo nie mieć wartości, albo mieć wartość Szyfrowanie klucza lub jedną z następujących wartości użycia klucza:

    CERT_DATA_ENCIPHERMENT_KEY_USAGE

    CERT_KEY_AGREEMENT_KEY_USAGE

    CERT_KEY_ENCIPHERMENT_KEY_USAGE

  • Atrybut ulepszonego użycia klucza musi albo nie mieć wartości, albo mieć jedną z następujących wartości:

    1.3.6.1.4.1.311.67.1.1

    Identyfikator obiektu ulepszonego użycia klucza obsługiwany przez dany urząd certyfikacji

Identyfikator obiektu funkcji BitLocker jest domyślnie ustawiony na wartość 1.3.6.1.4.1.311.67.1.1. Wartość tę można zmienić za pomocą przystawki Zasady grupy, na przykład w celu udostępnienia istniejącego certyfikatu przy użyciu funkcji BitLocker. Jeśli certyfikat należy do agenta odzyskiwania danych i jest używany tylko w celu odzyskiwania danych chronionych funkcją BitLocker, zaleca się (ale nie jest to obowiązkowe), aby certyfikat miał także jeden z tych atrybutów. Poprawność certyfikatu nie jest sprawdzana podczas dodawania agenta odzyskiwania danych do dysku.

Konfigurowanie agenta odzyskiwania danych i pola identyfikacyjnego dla funkcji BitLocker

Poniższe procedury opisują sposób konfigurowania agenta odzyskiwania danych i pola identyfikacyjnego dla funkcji BitLocker.

Do wykonania tych procedur jest wymagana przynależność co najmniej do lokalnej grupy Administratorzy.

Aby skonfigurować agenta odzyskiwania danych

  1. Otwórz Konsolę zarządzania zasadami grupy lub Edytor lokalnych zasad grupy.

  2. W drzewie konsoli w węźle Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady kluczy publicznych kliknij prawym przyciskiem myszy pozycję Szyfrowanie dysków funkcją BitLocker.

  3. Kliknij polecenie Dodaj agenta odzyskiwania danych, aby uruchomić Kreatora dodawania agenta odzyskiwania. Kliknij przycisk Dalej.

  4. Na stronie Wybierz agentów odzyskiwania kliknij przycisk Przeglądaj foldery, a następnie wybierz plik .cer, który będzie używany jako agent odzyskiwania danych. Wybrany plik zostanie zaimportowany i pojawi się w kreatorze na liście Agenci odzyskiwania. Można określić wielu agentów odzyskiwania danych. Po określeniu wszystkich agentów odzyskiwania danych, którzy mają zostać użyci, kliknij przycisk Dalej.

  5. Na stronie Trwa kończenie pracy Kreatora dodawania agenta odzyskiwania jest wyświetlana lista agentów odzyskiwania danych, którzy zostali dodani do zasad grupy. Kliknij przycisk Zakończ, aby potwierdzić dodanie agentów odzyskiwania danych, i zamknij kreatora.

Po zamknięciu kreatora agenci odzyskiwania danych są wyświetlani w okienku szczegółów.
Aby skonfigurować pole identyfikacyjne

  1. W Konsoli zarządzania zasadami grupy lub Edytorze lokalnych zasad grupy rozwiń drzewo konsoli do pozycji Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Szyfrowanie dysków funkcją BitLocker, a następnie kliknij pozycję Szyfrowanie dysków funkcją BitLocker, aby wyświetlić ustawienia zasad.

  2. W okienku szczegółów kliknij dwukrotnie ustawienie zasad Podaj unikatowe identyfikatory dla organizacji.

  3. Kliknij opcję Włącz. W polu Pole identyfikacyjne funkcji BitLocker wprowadź pole identyfikacyjne organizacji.

  4. Kliknij przycisk OK, aby zastosować zmiany i zamknąć ustawienie zasad.
Uwaga

Do dysków zaszyfrowanych za pomocą funkcji BitLocker przed skonfigurowaniem pola identyfikacyjnego agenci odzyskiwania danych nie będą przypisywani z powodu braku takiego pola. Istnieje możliwość użycia usługi Instrumentacja zarządzania Windows (WMI) lub narzędzia wiersza polecenia manage-bde w celu ustawienia pola identyfikacyjnego we wcześniej zaszyfrowanym dysku. W przypadku używania narzędzia manage-bde pole identyfikacyjne zostanie ustawione na wartość określoną w ustawieniu zasad Podaj unikatowe identyfikatory dla organizacji. Aby uzyskać więcej informacji na temat korzystania z usługi WMI lub narzędzia manage-bde, zobacz stronę https://go.microsoft.com/fwlink/?LinkId=143347 (strona może zostać wyświetlona w języku angielskim).

Spis treści