Поставщик служб конфигурации BitLocker
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>
. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
Поставщик службы конфигурации BitLocker (CSP) используется предприятием для управления шифрованием компьютеров и устройств. Этот поставщик служб CSP был добавлен в Windows 10 версии 1703. Начиная с Windows 10 версии 1809, он также поддерживается в Windows 10 Pro.
Примечание.
Для управления BitLocker через CSP, за исключением включения и отключения с помощью RequireDeviceEncryption
политики, пользователям должна быть назначена одна из следующих лицензий независимо от платформы управления:
- Windows 10/11 Корпоративная E3 или E5 (входит в состав Microsoft 365 F3, E3 и E5).
- Windows 10/11 Корпоративная A3 или A5 (входит в состав Microsoft 365 A3 и A5).
Операция Get
с любым из параметров, за исключением RequireDeviceEncryption
и RequireStorageCardEncryption
, возвращает параметр, настроенный администратором.
Для RequireDeviceEncryption и RequireStorageCardEncryption операция Get возвращает администратору фактическое состояние принудительного применения, например, требуется ли защита доверенного платформенного модуля (TPM) и требуется ли шифрование. И если на устройстве включен BitLocker, но с защитой паролем, сообщается о состоянии 0. Операция Get в RequireDeviceEncryption не проверяет, применяется ли минимальная длина ПИН-кода (SystemDrivesMinimumPINLength).
Примечание.
- Параметры применяются только при запуске шифрования. Шифрование не перезапускается с изменениями параметров.
- Чтобы обеспечить эффективность, все параметры должны быть отправлены вместе в одном файле SyncML.
В следующем списке показаны узлы поставщика службы конфигурации BitLocker:
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- Состояние
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Позволяет администратору применять политику RequireDeviceEncryption для сценариев, когда политика отправляется, а текущий пользователь, выполнивший вход, не является администратором или обычным пользователем.
Политика AllowStandardUserEncryption привязана к политике AllowWarningForOtherDiskEncryption, для которой задано значение 0, т. е. применяется автоматическое шифрование.
Если параметр AllowWarningForOtherDiskEncryption не задан или имеет значение 1, политика RequireDeviceEncryption не будет пытаться зашифровать диски, если стандартный пользователь является текущим вошедшего в систему пользователя.
Ожидаемые значения для этой политики:
1 = политика RequireDeviceEncryption попытается включить шифрование на всех фиксированных дисках, даже если текущий пользователь, выполнивший вход, является обычным пользователем.
0 = это значение по умолчанию, если политика не задана. Если текущий пользователь, выполнивший вход, является стандартным пользователем, политика RequireDeviceEncryption не будет пытаться включить шифрование на любом диске.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 0 |
Зависимость [AllowWarningForOtherDiskEncryptionDependency] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Допустимые значения:
Значение | Описание |
---|---|
0 (по умолчанию) | Это значение по умолчанию, если политика не задана. Если текущий пользователь, выполнивший вход, является стандартным пользователем, политика RequireDeviceEncryption не будет пытаться включить шифрование на любом диске. |
1 | Политика RequireDeviceEncryption будет пытаться включить шифрование на всех фиксированных дисках, даже если текущий вошедший в систему пользователь является обычным пользователем. |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Позволяет администратору отключить весь пользовательский интерфейс (уведомление о шифровании и предупреждение для другого шифрования диска) и включить шифрование на пользовательских компьютерах автоматически.
Warning
При включении BitLocker на устройстве со сторонним шифрованием устройство может оказаться непригодным для использования и потребует переустановки Windows.
Примечание.
Эта политика вступает в силу, только если для политики RequireDeviceEncryption задано значение 1.
Ожидаемые значения для этой политики:
1 = это значение по умолчанию, если политика не задана. Предупреждение и уведомление о шифровании разрешены.
0 = отключает предупреждение и уведомление о шифровании. Начиная с Windows 10, следующего основного обновления, значение 0 вступает в силу только на устройствах, присоединенных к Microsoft Entra.
Windows попытается включить BitLocker автоматически для значения 0.
Примечание.
При отключении предупреждения ключ восстановления диска ОС будет выполнять резервное копирование в учетную запись Microsoft Entra пользователя. Когда вы разрешаете предупреждение, пользователь, получающий запрос, может выбрать, где создать резервную копию ключа восстановления диска ОС.
Конечная точка для резервной копии фиксированного диска данных выбирается в следующем порядке:
- Учетная запись доменных служб Windows Server Active Directory пользователя.
- Учетная запись Microsoft Entra пользователя.
- Личный oneDrive пользователя (только MDM/MAM).
Шифрование будет ждать, пока одно из этих трех расположений успешно выполнит резервное копирование.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 1 |
Допустимые значения:
Значение | Описание |
---|---|
0 | Отключает предупреждение. Начиная с Windows 10 версии 1803 значение 0 можно задать только для устройств, присоединенных к Microsoft Entra. Windows попытается включить BitLocker автоматически для значения 0. |
1 (по умолчанию) | Предупреждение разрешено. |
Пример:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1909 [10.0.18363] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Позволяет администратору настраивать смену паролей числового восстановления при использовании для ОС и фиксированных дисков на устройствах с идентификатором Microsoft Entra и гибридными устройствами, присоединенными к домену.
Если настройка не настроена, ротация включена по умолчанию только для Идентификатора Microsoft Entra и отключена в гибридной среде. Политика будет действовать только в том случае, если резервное копирование Active Directory для пароля восстановления настроено на обязательный.
Для диска ОС: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы".
Для фиксированных дисков: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными".
Поддерживаемые значения: 0 — смена числовых паролей восстановления отключена.
1 — смена числовых паролей восстановления при использовании ON для устройств, присоединенных к Microsoft Entra. Значение по умолчанию 2 — смена числовых паролей восстановления при использовании on для идентификатора Microsoft Entra и гибридных устройств.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 0 |
Допустимые значения:
Значение | Описание |
---|---|
0 (по умолчанию) | Обновление отключено (по умолчанию). |
1 | Обновление для устройств, присоединенных к Microsoft Entra. |
2 | Обновление для устройств, присоединенных к Microsoft Entra, и для гибридных устройств. |
EncryptionMethodByDriveType
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Этот параметр политики определяет, требуется ли защита BitLocker, чтобы компьютер мог записывать данные на съемный диск.
- Если этот параметр политики включен, все съемные диски с данными, которые не защищены BitLocker, будут подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если выбран параметр "Запретить доступ на запись для устройств, настроенных в другой организации", доступ на запись будет предоставлен только дискам с полями идентификации, соответствующими полям идентификации компьютера. При обращении к съемным дискам с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики "Укажите уникальные идентификаторы для организации".
- Если этот параметр политики отключен или не настроен, все съемные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Примечание.
Этот параметр политики можно переопределить с помощью параметров политики в разделе Конфигурация пользователя\Административные шаблоны\Система\Доступ к съемным хранилищам. Если параметр политики "Съемные диски: запрет доступа на запись" включен, этот параметр политики будет игнорироваться.
Примечание.
При включении EncryptionMethodByDriveType необходимо указать значения для всех трех дисков (операционная система, фиксированные данные и съемные данные), в противном случае произойдет сбой (состояние возврата 500). Например, если задать метод шифрования только для ОС и съемных дисков, вы получите состояние возврата 500.
Элементы идентификатора данных:
- EncryptionMethodWithXtsOsDropDown_Name = выберите метод шифрования для дисков операционной системы.
- EncryptionMethodWithXtsFdvDropDown_Name = Выберите метод шифрования для фиксированных дисков с данными.
- EncryptionMethodWithXtsRdvDropDown_Name = Выберите метод шифрования съемных дисков с данными.
Пример значения для этого узла, чтобы включить эту политику и задать методы шифрования:
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
Возможные значения для "xx":
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | RDVDenyWriteAccess_Name |
Понятное имя | Запретить запись на съемные диски, не защищенные BitLocker |
Location | Конфигурация компьютера |
Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
Имя значения реестра | RDVDenyWriteAccess |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, когда диск, использующий шифрование только используемого пространства, расширяется, новое свободное пространство не очищается, как для диска с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde -w
. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе manage-bde.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | FDVEncryptionType_Name |
Понятное имя | Применение типа шифрования диска на фиксированных дисках с данными |
Location | Конфигурация компьютера |
Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | FDVEncryptionType |
Имя файла ADMX | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
Этот параметр политики позволяет управлять восстановлением фиксированных дисков с данными, защищенных BitLocker, при отсутствии необходимых учетных данных. Этот параметр политики применяется при включении BitLocker.
Флажок "Разрешить агент восстановления данных" используется, чтобы указать, можно ли использовать агент восстановления данных с фиксированными дисками данных, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из элемента Политики открытых ключей в консоли управления групповыми политиками или в редакторе локальных групповых политик. Дополнительные сведения о добавлении агентов восстановления данных см. в руководстве по развертыванию шифрования дисков BitLocker в Microsoft TechNet.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
Выберите "Опустить параметры восстановления в мастере настройки BitLocker", чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Это означает, что вы не сможете указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе "Сохранение сведений о восстановлении BitLocker в доменных службах Active Directory" выберите, какие сведения о восстановлении BitLocker следует хранить в AD DS для фиксированных дисков с данными. При выборе параметра "Резервное копирование пароля восстановления и пакета ключей" оба пароля восстановления BitLocker и пакет ключей сохраняются в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбрать параметр "Только резервный пароль восстановления", в AD DS сохраняется только пароль восстановления.
Установите флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными", если требуется запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет успешно выполнено.
Примечание.
Если установлен флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными", автоматически создается пароль восстановления.
Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с фиксированных дисков с фиксированными данными, защищенными BitLocker.
Если этот параметр политики не настроен или отключен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию разрешена DRA, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
Элементы идентификатора данных:
- FDVAllowDRA_Name: разрешить агент восстановления данных
- FDVRecoveryPasswordUsageDropDown_Name и FDVRecoveryKeyUsageDropDown_Name. Настройка пользовательского хранилища сведений о восстановлении BitLocker
- FDVHideRecoveryPage_Name. Опустить параметры восстановления в мастере настройки BitLocker
- FDVActiveDirectoryBackup_Name. Сохранение сведений о восстановлении BitLocker в доменных службах Active Directory
- FDVActiveDirectoryBackupDropDown_Name. Настройка хранения сведений о восстановлении BitLocker в AD DS
- FDVRequireActiveDirectoryBackup_Name: не включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 0 = запрещено
- 1 = обязательный
- 2 = разрешено
Возможные значения для zz:
- 1 = хранение паролей восстановления и пакетов ключей
- 2 = хранить только пароли восстановления
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | FDVRecoveryUsage_Name |
Понятное имя | Выберите способы восстановления фиксированных дисков с защитой BitLocker |
Location | Конфигурация компьютера |
Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | FDVRecovery |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
Этот параметр политики определяет, требуется ли защита BitLocker для записи фиксированных дисков данных на компьютере.
Если этот параметр политики включен, все фиксированные диски с данными, которые не защищены BitLocker, будут подключены только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если этот параметр политики отключен или не настроен, все фиксированные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | FDVDenyWriteAccess_Name |
Понятное имя | Запретить запись на фиксированные диски, не защищенные BitLocker |
Location | Конфигурация компьютера |
Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
Имя значения реестра | FDVDenyWriteAccess |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/IdentificationField
Этот параметр политики позволяет связать уникальные идентификаторы организации с новым диском, включенным с помощью BitLocker. Эти идентификаторы хранятся в качестве поля идентификации и поля разрешенной идентификации. Поле идентификации позволяет связать уникальный идентификатор организации с дисками, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые диски, защищенные BitLocker, и его можно обновить на существующих дисках, защищенных BitLocker, с помощью средства командной строки manage-bde . Поле идентификации требуется для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker, и для потенциальных обновлений средства чтения BitLocker To Go. BitLocker будет управлять и обновлять агенты восстановления данных только в том случае, если поле идентификации на диске соответствует значению, заданному в поле идентификации. Аналогичным образом BitLocker обновляет средство чтения BitLocker To Go только в том случае, если поле идентификации на диске соответствует значению, настроенному для поля идентификации.
Поле разрешенной идентификации используется в сочетании с параметром политики "Запретить доступ на запись к съемным дискам, не защищенным BitLocker", чтобы контролировать использование съемных дисков в организации. Это разделенный запятыми список полей идентификации от вашей организации или других внешних организаций.
Поля идентификации на существующих дисках можно настроить с помощью .exe manage-bde .
- Если этот параметр политики включен, можно настроить поле идентификации на диске, защищенном BitLocker, и любое разрешенное поле идентификации, используемое вашей организацией.
Если диск, защищенный BitLocker, подключен к другому компьютеру с поддержкой BitLocker, поле идентификации и поле разрешенной идентификации будут использоваться для определения того, является ли диск из внешней организации.
- Если этот параметр политики отключен или не настроен, поле идентификации не требуется.
Примечание.
Поля идентификации необходимы для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker. BitLocker будет управлять и обновлять агенты восстановления данных на основе сертификатов только в том случае, если поле идентификации присутствует на диске и идентично значению, настроенном на компьютере. Поле идентификации может содержать любое значение из 260 символов или меньше.
Элементы идентификатора данных:
- IdentificationField: это поле идентификации BitLocker.
- SecIdentificationField: это допустимое поле идентификации BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | IdentificationField_Name |
Понятное имя | Укажите уникальные идентификаторы для вашей организации |
Location | Конфигурация компьютера |
Путь | Шифрование диска BitLocker компонентов > Windows |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | IdentificationField |
Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
Этот параметр политики управляет использованием BitLocker на съемных дисках с данными. Этот параметр политики применяется при включении BitLocker.
Если этот параметр политики включен, можно выбрать параметры свойств, которые определяют способ настройки BitLocker пользователями. Выберите "Разрешить пользователям применять защиту BitLocker на съемных дисках с данными", чтобы разрешить пользователю запускать мастер настройки BitLocker на съемном диске с данными. Выберите "Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными", чтобы разрешить пользователю удалить шифрование диска BitLocker с диска или приостановить шифрование во время обслуживания. Сведения о приостановке защиты BitLocker см. в статье Базовое развертывание BitLocker.
Если этот параметр политики не настроен, пользователи могут использовать BitLocker на съемных дисках.
Если этот параметр политики отключен, пользователи не смогут использовать BitLocker на съемных дисках.
Элементы идентификатора данных:
- RDVAllowBDE_Name: разрешить пользователям применять защиту BitLocker на съемных дисках с данными.
- RDVDisableBDE_Name: разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | RDVConfigureBDE |
Понятное имя | Управление использованием BitLocker на съемных дисках |
Location | Конфигурация компьютера |
Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | RDVConfigureBDE |
Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesEncryptionType
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Зависимость [BDEAllowed] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE Тип допустимого значения зависимостей: ADMX |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | RDVEncryptionType_Name |
Понятное имя | Применение типа шифрования диска на съемных дисках с данными |
Location | Конфигурация компьютера |
Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | RDVEncryptionType |
Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
Если этот параметр включен, вы можете исключить съемные диски и устройства, подключенные через USB-интерфейс, из шифрования устройств BitLocker. Исключенные устройства не могут быть зашифрованы даже вручную. Кроме того, если настроен параметр Запрет доступа на запись к съемным дискам, не защищенным BitLocker, пользователю не будет предложено шифрование, и диск будет подключен в режиме чтения и записи. Укажите разделенный запятыми список исключенных съемных дисков\устройств с помощью идентификатора оборудования дискового устройства. Пример USBSTOR\SEAGATE_ST39102LW_______0004.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Допустимые значения | Список (разделитель: , ) |
RemovableDrivesRequireEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
Этот параметр политики определяет, требуется ли защита BitLocker, чтобы компьютер мог записывать данные на съемный диск.
- Если этот параметр политики включен, все съемные диски с данными, которые не защищены BitLocker, будут подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если выбран параметр "Запретить доступ на запись для устройств, настроенных в другой организации", доступ на запись будет предоставлен только дискам с полями идентификации, соответствующими полям идентификации компьютера. При обращении к съемным дискам с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики "Укажите уникальные идентификаторы для организации".
- Если этот параметр политики отключен или не настроен, все съемные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Примечание.
Этот параметр политики можно переопределить с помощью параметров политики в разделе Конфигурация пользователя\Административные шаблоны\Система\Доступ к съемным хранилищам. Если параметр политики "Съемные диски: запрет доступа на запись" включен, этот параметр политики будет игнорироваться.
Элементы идентификатора данных:
- RDVCrossOrg: запретить доступ на запись устройствам, настроенным в другой организации
Пример значения для этого узла для включения этой политики:
<enabled/><data id="RDVCrossOrg" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | RDVDenyWriteAccess_Name |
Понятное имя | Запретить запись на съемные диски, не защищенные BitLocker |
Location | Конфигурация компьютера |
Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
Имя значения реестра | RDVDenyWriteAccess |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Позволяет администратору требовать включения шифрования с помощью BitLocker\Device Encryption.
Пример значения для этого узла, чтобы включить эту политику:
1
Отключение политики не приведет к отключению шифрования на системном диске. Но перестанет предлагать пользователю включить его.
Примечание.
В настоящее время при использовании этого CSP для автоматического шифрования поддерживается только полное шифрование диска. Для нестандартного шифрования тип шифрования будет зависеть SystemDrivesEncryptionType
от и FixedDrivesEncryptionType
настроенного на устройстве.
Состояние томов ОС и зашифрованных томов данных проверяется с помощью операции Get. Как правило, шифрование BitLocker или устройства будет соответствовать значению политики EncryptionMethodByDriveType . Однако этот параметр политики будет игнорироваться для самошифровки фиксированных дисков и самошифрующихся дисков ОС.
Зашифрованные фиксированные тома данных обрабатываются аналогично томам ОС. Тем не менее, фиксированные тома данных должны соответствовать другим критериям, чтобы считаться зашифрованными:
- Он не должен быть динамическим томом.
- Он не должен быть разделом восстановления.
- Он не должен быть скрытым томом.
- Это не должна быть системная секция.
- Он не должен поддерживаться виртуальным хранилищем.
- Он не должен содержать ссылку в хранилище BCD.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 0 |
Допустимые значения:
Значение | Описание |
---|---|
0 (по умолчанию) | Отключить. Если параметр политики не задан или имеет значение 0, состояние принудительного применения устройства не проверяется. Политика не применяет шифрование и не расшифровывает зашифрованные тома. |
1 | Включить. Проверяется состояние принудительного применения устройства. Установка для этой политики значения 1 активирует шифрование всех дисков (автоматически или не автоматически на основе политики AllowWarningForOtherDiskEncryption). |
Пример:
Чтобы отключить RequireDeviceEncryption, выполните приведенные далее действия.
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
Позволяет администратору требовать шифрование карты памяти на устройстве.
Эта политика действительна только для номера SKU для мобильных устройств.
Пример значения для этого узла, чтобы включить эту политику:
1
При отключении политики шифрование на карте памяти не отключается. Но перестанет предлагать пользователю включить его.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Добавить, удалить, получить, заменить |
Значение по умолчанию | 0 |
Допустимые значения:
Значение | Описание |
---|---|
0 (по умолчанию) | Карты памяти не нужно шифровать. |
1 | Требовать шифрование карт памяти. |
RotateRecoveryPasswords
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1909 [10.0.18363] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
Позволяет администратору отправлять однократную смену всех числовых паролей восстановления для дисков ОС и фиксированных данных на идентификаторе Microsoft Entra или на устройстве с гибридным присоединением.
Эта политика имеет тип выполнения и сменяет все числовые пароли при выдаче из средств MDM.
Политика вступает в силу только в том случае, если для резервного копирования Active Directory для пароля восстановления настроено значение "обязательный".
Для дисков ОС включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в доменных службах Active Directory для дисков операционной системы".
Для фиксированных дисков включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в доменных службах Active Directory для фиксированных дисков с данными".
Клиент возвращает состояние DM_S_ACCEPTED_FOR_PROCESSING для указания начала смены. Сервер может запрашивать состояние со следующими узлами состояния:
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID.
Поддерживаемые значения: строковая форма идентификатора запроса. Пример формата идентификатора запроса — GUID. Сервер может выбрать нужный формат в соответствии со средствами управления.
Примечание.
Смена ключей поддерживается только для этих типов регистрации. Дополнительные сведения см. в разделе перечисление deviceEnrollmentType.
- windowsAzureADJoin.
- windowsBulkAzureDomainJoin.
- windowsAzureADJoinUsingDeviceAuth.
- windowsCoManagement.
Совет
Функция смены ключей будет работать только в том случае, если:
Для дисков операционной системы:
- OSRequireActiveDirectoryBackup_Name задано значение 1 ("Обязательный").
- OSActiveDirectoryBackup_Name задано значение true.
Для фиксированных дисков с данными:
- FDVRequireActiveDirectoryBackup_Name задано значение 1 = ("Обязательный").
- FDVActiveDirectoryBackup_Name задано значение true.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Exec |
Состояние
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1903 [10.0.18362] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/Status
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | node |
Тип доступа | Получите |
Status/DeviceEncryptionStatus
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1903 [10.0.18362] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
Этот узел сообщает о состоянии соответствия шифрования устройств в системе.
Значение "0" означает, что устройство соответствует требованиям. Любое другое значение представляет устройство, не соответствующее требованиям.
Это значение представляет битовую маску с каждым битом и соответствующий код ошибки, описанный в следующей таблице:
Бит | Код ошибки |
---|---|
0 | Политика BitLocker требует согласия пользователя на запуск мастера шифрования дисков BitLocker, чтобы начать шифрование тома ОС, но пользователь не предоставил согласие. |
1 | Метод шифрования тома ОС не соответствует политике BitLocker. |
2 | Том ОС не защищен. |
3 | Для политики BitLocker требуется только предохранитель TPM для тома ОС, но защита доверенного платформенного модуля не используется. |
4 | Для политики BitLocker требуется защита доверенного платформенного модуля и ПИН-кода для тома ОС, но предохранитель доверенного платформенного модуля и ПИН-кода не используется. |
5 | Политика BitLocker требует защиты TPM+ключа запуска для тома ОС, но предохранитель ключа доверенного платформенного модуля и ключа запуска не используется. |
6 | Политика BitLocker требует защиты TPM+ПИН-кода+ключа запуска для тома ОС, но предохранитель TPM+ПИН-код+ключ запуска не используется. |
7 | Политика BitLocker требует защиты доверенного платформенного модуля для защиты тома ОС, но TPM не используется. |
8 | Сбой резервного копирования ключа восстановления. |
9 | Фиксированный диск не защищен. |
10 | Метод шифрования фиксированного диска не соответствует политике BitLocker. |
11 | Чтобы зашифровать диски, политика BitLocker требует, чтобы пользователь вошел в систему с правами администратора, или если устройство присоединено к идентификатору Microsoft Entra, политика AllowStandardUserEncryption должна иметь значение 1. |
12 | Среда восстановления Windows (WinRE) не настроена. |
13 | TPM недоступен для BitLocker, так как он отсутствует, он недоступен в реестре или ос находится на съемном диске. |
14 | TPM не готов к использованию BitLocker. |
15 | Сеть недоступна, что требуется для резервного копирования ключей восстановления. |
16 | Тип шифрования тома ОС для полного диска и шифрования только используемого пространства не соответствует политике BitLocker. |
17 | Тип шифрования фиксированного диска для полного диска и шифрования только используемого пространства не соответствует политике BitLocker. |
18-31 | Для использования в будущем. |
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Получите |
Status/RemovableDrivesEncryptionStatus
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
Этот узел сообщает о состоянии соответствия шифрования диска удаления. Значение "0" означает, что диск для удаления зашифрован в соответствии со всеми заданными параметрами диска удаления.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Получите |
Status/RotateRecoveryPasswordsRequestID
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1909 [10.0.18363] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
Этот узел сообщает Идентификатор запроса, соответствующий Параметру RotateRecoveryPasswordsStatus.
Этот узел необходимо запрашивать в синхронизации с RotateRecoveryPasswordsStatus, чтобы обеспечить правильное соответствие состояния идентификатору запроса.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Получите |
Status/RotateRecoveryPasswordsStatus
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1909 [10.0.18363] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
Этот узел сообщает о состоянии запроса RotateRecoveryPasswords.
Код состояния может быть одним из следующих:
NotStarted(2), Pending (1), Pass (0), Другие коды ошибок в случае сбоя.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат | int |
Тип доступа | Получите |
SystemDrivesDisallowStandardUsersCanChangePIN
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
Этот параметр политики позволяет настроить, разрешено ли стандартным пользователям изменять ПИН-коды тома BitLocker при условии, что они могут сначала указать существующий ПИН-код.
Этот параметр политики применяется при включении BitLocker.
Если этот параметр политики включен, обычные пользователи не смогут изменять ПИН-коды Или пароли BitLocker.
Если этот параметр политики отключен или не настроен, стандартные пользователи смогут изменять ПИН-коды и пароли BitLocker.
Примечание.
Чтобы изменить ПИН-код или пароль, пользователь должен иметь возможность указать текущий ПИН-код или пароль.
Пример значения для этого узла для отключения этой политики: <disabled/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DisallowStandardUsersCanChangePIN_Name |
Понятное имя | Запретить стандартным пользователям изменять ПИН-код или пароль |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | DisallowStandardUserPINReset |
Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
Этот параметр политики позволяет пользователям включать параметры проверки подлинности, требующие ввода пользователем из среды перед загрузкой, даже если платформа не имеет возможности ввода перед загрузкой.
Сенсорная клавиатура Windows (например, используемая планшетами) недоступна в среде перед загрузкой, где bitLocker требуется дополнительная информация, например ПИН-код или пароль.
Если этот параметр политики включен, устройства должны иметь альтернативные средства ввода перед загрузкой (например, подключенную USB-клавиатуру).
Если эта политика не включена, среда восстановления Windows должна быть включена на планшетах для поддержки ввода пароля восстановления BitLocker. Если среда восстановления Windows не включена и эта политика не включена, вы не сможете включить BitLocker на устройстве, на котором используется сенсорная клавиатура Windows.
Обратите внимание, что если этот параметр политики не включен, параметры политики "Требовать дополнительную проверку подлинности при запуске" могут быть недоступны на таких устройствах. Ниже приведены следующие варианты:
- Настройка ПИН-кода запуска доверенного платформенного модуля: обязательный или разрешенный
- Настройка ключа запуска доверенного платформенного модуля и ПИН-кода: обязательный/разрешенный
- Настройка использования паролей для дисков операционной системы.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | EnablePrebootInputProtectorsOnSlates_Name |
Понятное имя | Включение использования проверки подлинности BitLocker, требующей предварительной загрузки ввода с клавиатуры на слоях |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | OSEnablePrebootInputProtectorsOnSlates |
Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Этот параметр политики позволяет пользователям на устройствах, совместимых с InstantGo или Microsoft Hardware Security Test Interface (HSTI), не иметь ПИН-код для проверки подлинности перед загрузкой. Это переопределяет параметры "Требовать ПИН-код запуска с доверенным платформенный модуль" и "Требовать ключ запуска и ПИН-код с доверенным платформенный платформенный модуль" политики "Требовать дополнительную проверку подлинности при запуске" на совместимом оборудовании.
Если этот параметр политики включен, пользователи на устройствах, совместимых с InstantGo и HSTI, смогут включить BitLocker без проверки подлинности перед загрузкой.
Если эта политика не включена, применяются параметры политики "Требовать дополнительную проверку подлинности при запуске".
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | EnablePreBootPinExceptionOnDECapableDevice_Name |
Понятное имя | Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от пин-кода перед загрузкой. |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | OSEnablePreBootPinExceptionOnDECapableDevice |
Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEncryptionType
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования.
Например, при расширении диска, использующего шифрование только используемого пространства, новое свободное пространство не очищается, как для диска, использующего полное шифрование. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde -w
. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе manage-bde.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | OSEncryptionType_Name |
Понятное имя | Принудительное применение типа шифрования диска на дисках операционной системы |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | OSEncryptionType |
Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
Этот параметр политики позволяет настроить использование расширенных ПИН-кодов запуска с BitLocker.
Расширенные ПИН-коды запуска позволяют использовать символы, включая прописные и строчные буквы, символы, цифры и пробелы. Этот параметр политики применяется при включении BitLocker.
- Если этот параметр политики включен, все новые ПИН-коды запуска BitLocker будут расширены.
Примечание.
Не все компьютеры могут поддерживать расширенные ПИН-коды в среде перед загрузкой. Настоятельно рекомендуется, чтобы пользователи выполняли проверку системы во время настройки BitLocker.
- Если этот параметр политики отключен или не настроен, расширенные ПИН-коды не будут использоваться.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | EnhancedPIN_Name |
Понятное имя | Разрешение расширенных ПИН-кодов для запуска |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя значения реестра | UseEnhancedPin |
Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
Этот параметр политики позволяет настроить минимальную длину ПИН-кода запуска доверенного платформенного модуля (TPM). Этот параметр политики применяется при включении BitLocker. ПИН-код запуска должен иметь не менее 4 цифр, а максимальная длина может составлять 20 цифр.
Если этот параметр политики включен, при настройке ПИН-кода запуска можно использовать минимальное число цифр.
Если этот параметр политики отключен или не настроен, пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр.
Примечание.
Если минимальная длина ПИН-кода меньше 6 цифр, Windows попытается обновить период блокировки доверенного платформенного модуля 2.0, чтобы он превышал значение по умолчанию при изменении ПИН-кода. В случае успешного выполнения Windows сбросит период блокировки доверенного платформенного модуля до значения по умолчанию, только если доверенный платформенный модуль сброшен.
Примечание.
В Windows 10 версии 1703 версии B можно использовать минимальную длину ПИН-кода в 4 цифры.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="MinPINLength" value="xx"/>
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | MinimumPINLength_Name |
Понятное имя | Настройка минимальной длины ПИН-кода для запуска |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Этот параметр политики позволяет настроить все сообщение о восстановлении или заменить существующий URL-адрес, отображаемый на экране восстановления ключа перед загрузкой, когда диск ОС заблокирован.
Если выбрать параметр "Использовать сообщение о восстановлении и URL-адрес по умолчанию", на экране восстановления перед загрузкой будут отображаться сообщение и URL-адрес восстановления BitLocker по умолчанию. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите вернуться к сообщению по умолчанию, необходимо оставить политику включенной и выбрать параметр "Использовать сообщение восстановления и URL-адрес по умолчанию".
Если выбрать параметр "Использовать пользовательское сообщение о восстановлении", сообщение, введенное в текстовое поле "Настраиваемое сообщение о восстановлении", будет отображаться на экране восстановления ключа перед загрузкой. Если URL-адрес восстановления доступен, добавьте его в сообщение.
Если выбрать параметр "Использовать пользовательский URL-адрес восстановления", URL-адрес, введенный в текстовом поле "Настраиваемый URL-адрес восстановления", заменит URL-адрес по умолчанию в сообщении восстановления по умолчанию, которое будет отображаться на экране восстановления ключа перед загрузкой.
Примечание.
Не все символы и языки поддерживаются при предварительной загрузке. Настоятельно рекомендуется проверить, правильно ли отображаются символы, используемые для пользовательского сообщения или URL-адреса, на экране восстановления перед загрузкой.
Элементы идентификатора данных:
- PrebootRecoveryInfoDropDown_Name. Выберите параметр для сообщения о восстановлении перед загрузкой.
- RecoveryMessage_Input. Пользовательское сообщение о восстановлении
- RecoveryUrl_Input: URL-адрес пользовательского восстановления
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
Возможные значения для "xx":
- 0 = пусто
- 1 = используйте сообщение восстановления и URL-адрес по умолчанию (в этом случае не нужно указывать значение "RecoveryMessage_Input" или "RecoveryUrl_Input").
- 2 = настраиваемое сообщение о восстановлении задано.
- 3 = задан пользовательский URL-адрес восстановления.
Возможное значение для "yy" и "zz" — это строка с максимальной длиной 900 и 500 соответственно.
Примечание.
- При включении SystemDrivesRecoveryMessage необходимо указать значения для всех трех параметров (экран восстановления перед загрузкой, сообщение о восстановлении и URL-адрес восстановления), в противном случае произойдет сбой (состояние возврата 500). Например, если указать только значения для сообщения и URL-адреса, вы получите состояние возврата 500.
- Не все символы и языки поддерживаются при предварительной загрузке. Настоятельно рекомендуется проверить, правильно ли отображаются символы, используемые для пользовательского сообщения или URL-адреса, на экране восстановления перед загрузкой.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | PrebootRecoveryInfo_Name |
Понятное имя | Настройка сообщения и URL-адреса восстановления перед загрузкой |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | Software\Policies\Microsoft\FVE |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
Этот параметр политики позволяет управлять восстановлением дисков операционной системы, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. Этот параметр политики применяется при включении BitLocker.
Флажок "Разрешить агент восстановления данных на основе сертификатов" используется, чтобы указать, можно ли использовать агент восстановления данных с дисками операционной системы, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из элемента Политики открытых ключей в консоли управления групповыми политиками или в редакторе локальных групповых политик. Дополнительные сведения о добавлении агентов восстановления данных см. в руководстве по развертыванию шифрования дисков BitLocker в Microsoft TechNet.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
Выберите "Опустить параметры восстановления в мастере настройки BitLocker", чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Это означает, что вы не сможете указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе Сохранение сведений о восстановлении BitLocker в доменных службах Active Directory выберите сведения о восстановлении BitLocker для хранения в AD DS для дисков операционной системы. При выборе параметра "Резервное копирование пароля восстановления и пакета ключей" оба пароля восстановления BitLocker и пакет ключей сохраняются в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбрать параметр "Только резервный пароль восстановления", в AD DS сохраняется только пароль восстановления.
Установите флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы", если вы хотите запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет успешно выполнено.
Примечание.
Если установлен флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы", автоматически создается пароль восстановления.
Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с дисков операционной системы, защищенных BitLocker.
Если этот параметр политики отключен или не настроен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию разрешена DRA, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
Элементы идентификатора данных:
- OSAllowDRA_Name: разрешить агент восстановления данных на основе сертификатов
- OSRecoveryPasswordUsageDropDown_Name и OSRecoveryKeyUsageDropDown_Name. Настройка пользовательского хранилища сведений о восстановлении BitLocker
- OSHideRecoveryPage_Name: опустить параметры восстановления в мастере настройки BitLocker
- OSActiveDirectoryBackup_Name и OSActiveDirectoryBackupDropDown_Name: сохранение сведений о восстановлении BitLocker в доменных службах Active Directory
- OSRequireActiveDirectoryBackup_Name: не включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 0 = запрещено
- 1 = обязательный
- 2 = разрешено
Возможные значения для zz:
- 1 = хранение паролей восстановления и пакетов ключей.
- 2 = хранить только пароли восстановления.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | OSRecoveryUsage_Name |
Понятное имя | Выберите способы восстановления дисков операционной системы с защитой BitLocker |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | OSRecovery |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 1703 [10.0.15063] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
Этот параметр политики позволяет настроить, требуется ли BitLocker дополнительная проверка подлинности при каждом запуске компьютера и используется ли BitLocker с доверенным платформенным модулем (TPM) или без нее. Этот параметр политики применяется при включении BitLocker.
Примечание.
При запуске может потребоваться только один из дополнительных параметров проверки подлинности, в противном случае возникает ошибка политики.
Если вы хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок Разрешить BitLocker без совместимого доверенного платформенного модуля. В этом режиме для запуска требуется пароль или USB-накопитель. При использовании ключа запуска сведения о ключах, используемых для шифрования диска, хранятся на USB-накопителе, создавая USB-ключ. После вставки USB-ключа доступ к диску проходит проверку подлинности и диск становится доступным. Если USB-ключ потерян или недоступен или вы забыли пароль, вам потребуется использовать один из параметров восстановления BitLocker для доступа к диску.
На компьютере с совместимым TPM при запуске можно использовать четыре типа методов проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. Когда компьютер запускается, он может использовать только TPM для проверки подлинности или может потребовать вставки USB-устройства флэш-памяти, содержащего ключ запуска, запись от 6 до 20-значный личный идентификационный номер (ПИН-код) или и то, и другое.
Если этот параметр политики включен, пользователи могут настроить дополнительные параметры запуска в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, пользователи могут настраивать только базовые параметры на компьютерах с доверенным платформенный платформенный модуль.
Примечание.
Если требуется использовать ПИН-код запуска и USB-устройство флэш-памяти, необходимо настроить параметры BitLocker с помощью средства командной строки manage-bde вместо мастера настройки шифрования дисков BitLocker.
Примечание.
- В Windows 10 версии 1703 версии B можно использовать не менее 4 цифр ПИН-кода. Политика SystemDrivesMinimumPINLength должна разрешать ПИН-коды короче 6 цифр.
- Устройства, прошедшие проверку спецификации тестирования безопасности оборудования (HSTI) или современные резервные устройства, не смогут настроить ПИН-код запуска с помощью этого CSP. Пользователи должны вручную настроить ПИН-код. Элементы идентификатора данных:
- ConfigureNonTPMStartupKeyUsage_Name = разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на USB-устройстве флэш-памяти).
- ConfigureTPMStartupKeyUsageDropDown_Name = (для компьютера с TPM) Настройка ключа запуска доверенного платформенного модуля.
- ConfigurePINUsageDropDown_Name = (для компьютера с TPM) Настройка ПИН-кода запуска доверенного платформенного модуля.
- ConfigureTPMPINKeyUsageDropDown_Name = (для компьютера с TPM) Настройте ключ запуска доверенного платформенного модуля и ПИН-код.
- ConfigureTPMUsageDropDown_Name = (для компьютера с доверенным платформенный платформенный модуль) — настройка запуска доверенного платформенного модуля.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 2 = необязательный
- 1 = обязательный
- 0 = запрещено
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | ConfigureAdvancedStartup_Name |
Понятное имя | Требовать дополнительную проверку подлинности при запуске |
Location | Конфигурация компьютера |
Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
Имя значения реестра | UseAdvancedStartup |
Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Пример SyncML
Следующий пример показан для отображения правильного формата и не должен приниматься в качестве рекомендации.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>