|
Параметры для дисков операционной системы
|
| bet | 64/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Параметры, относящиеся к дискам, содержащим файлы операционной системы, расположены в следующем разделе редактора GPO:
Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives (Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование дисков BitLocker\Диски операционной системы)
В этой категории доступны следующие параметры.
Таблица 3.5 Параметры BitLocker для дисков операционной системы
Параметр политики
|
Описание
|
По умолчанию в Windows 7
|
§Require additional authentication at startup (Обязательная дополнительная проверка подлинности при запуске)
|
Определяет, будет ли BitLocker разрешать или требовать дополнительную проверку подлинности при каждом запуске компьютера, а также то, используется ли TPM.
|
Не задано
|
Require additional authentication at startup (Windows Server 2008 and Windows Vista) (Обязательная дополнительная проверка подлинности при запуске (Windows Server 2008 и Windows Vista)
|
Определяет, может ли мастер настройки BitLocker включить дополнительный метод проверки подлинности, используемый при каждом запуске компьютера.
|
Не задано
|
§Allow enhanced PINs for startup (Разрешить использование улучшенных ПИН-кодов при запуске компьютера)
|
Определяет, будет ли BitLocker использовать улучшенные ПИН-коды при запуске.
|
Не задано
|
§Configure minimum PIN length for startup (Установить минимальную длину ПИН-кода для запуска)
|
Минимальная длина ПИН-кода запуска для доверенного платформенного модуля. Этот параметр вступает в силу, когда включается BitLocker. ПИН-код может быть не менее 4 и не более 20 цифр длиной.
|
Не задано
|
§Choose how BitLocker-protected operating system drives can be recovered (Выбор методов восстановления дисков операционной системы, защищенных с помощью BitLocker)
|
Определяет метод восстановления защищенных дисков BitLocker операционной системы при отсутствии необходимого ключа запуска.
|
Не задано
|
Configure TPM platform validation profile (Настройка профиля проверки платформы TPM)
|
Определяет, как оборудование TPM обеспечивает безопасность ключа шифрования BitLocker.
|
Не задано
|
В этой таблице приведено лишь краткое описание каждого параметра. Более подробно о каждом из них см. вкладку Explain (объяснение) редактора объектов групповой политики.
Утвержденные политики должны позволять эффективно управлять паролями и ключами BitLocker. Они должны обеспечивать достаточный уровень защиты данных, но в то же время не усложнять поддержку решения. Вот некоторые примеры политик.
Всегда требовать хранения резервной копии пароля восстановления в AD DS.
Всегда требовать хранения информации о владельце TPM в AD DS.
В качестве резервного способа восстановления использовать ключи восстановления и пароли восстановления.
Если в связке используются TPM и ПИН-коды или ключи запуска на USB-накопителях, следует менять их по утвержденному расписанию.
На компьютерах с TPM использовать пароль администратора, ограничивающий доступ в BIOS.
Убедиться, что какие бы то ни было ключи, например USB-накопители с ключами запуска, не хранятся рядом с компьютером.
Сохранять ключи восстановления в централизованном расположении для поддержки и аварийного восстановления.
Хранить резервные копии данных для восстановления в защищенном автономном хранилище.
|
| |
