如何为 BitLocker 创建策略
网络中不同计算机的BitLocker加密要求各不相同。Desktop Central的BitLocker插件使管理员能够快速构建灵活的策略来加密驱动器。许多设置都很容易配置,这样就可以相应地满足每台计算机的数据安全和加密需求。
在Device Control Plus中可以构建两种主要类型的策略
如何在 BitLocker 模块中创建加密策略?
- 导航到桌面中央控制台> BitLocker >策略创建>创建策略。
- 为您的策略命名,如果有需要,可以添加描述。
- 打开‘驱动加密’选项。当启用此设置时,此策略中提到的驱动将被BitLocker加密。可以创建的加密策略三种类型:
- 仅加密操作系统驱动
- 仅加密已使用的空间
- 全空间加密
如何创建仅加密操作系统驱动的加密策略?
若要仅加密操作系统驱动,请在“加密设置”部分启用“仅加密操作系统驱动”选项。这将确保操作系统驱动中的所有卷都被加密,并且所有其他数据驱动将被解密或保持解密。 注意:启用此选项可以提高性能,例如加密时间更快,但是为了获得最佳的安全性,建议对所有驱动(操作系统和数据驱动)进行加密。
注意:可以启用此选项以获得性能优势,例如更快的加密时间,但是为了获得最佳安全性,建议对所有驱动器(操作系统和数据驱动器)进行加密。
如何创建仅加密已使用空间的加密策略?
要仅加密已用空间,请启用“仅加密已用空间”选项。
注意:为了获得最佳安全性,建议对已使用和未使用的空间都进行加密。对于新重置的计算机,如果没有被新信息覆盖,以前磁盘中的文件仍然可以恢复。此安全问题的推荐解决方案是全空间BitLocker加密。更多相关信息,请参阅全空间加密部分。
如何创建全空间加密的加密策略?
对于全空间加密,只启用“驱动加密”设置,并确保禁用这些选项:“仅加密操作系统驱动”和“仅加密已使用的空间”。默认情况下,只启用“驱动加密”选项,所有驱动和空间都将被完全加密。
- 对于TPM不可用的机器需要选择另一种保护方法,请打开“为没有TPM的机器启用密码保护”设置。这将在每次启动计算机时提示用户输入密码。
- 要进行BitLocker加密处理,必须重新启动计算机。在“高级设置”部分,您可以允许用户将重新启动推迟一定时间。到达此指定的天数后,计算机将自动重新启动,加密过程将开始。
- 生成新的恢复密钥后,您可以选择将其更新到域控制器中,方法是开启‘更新恢复密钥到域控制器’。这将可以确保在活动目录中保持一个最新恢复密钥的综合列表。如果禁用此选项,则恢复密钥列表将仅在Desktop Central服务器中可用。
- 作为一种额外的安全预防措施,可以指定一个新恢复密钥替代旧密钥的更新周期。在指定的天数之后,将自动更新新的恢复密钥。
- 根据您的需求配置完成上述设置后,就可以将其保存为草稿或直接保存并发布。
- 创建并保存策略后,您可以在“策略创建”视图的策略列表中查看。
至此,您已成功创建并发布加密策略。
如何创建解密策略?
要解密已加密的BitLocker驱动,步骤如下:
- 导航到Desktop Central控制台 > BitLocker> 策略创建> 创建策略。
- 为策略命名,并根据需要添加描述。
- 禁用“驱动加密”设置。这将确保与此策略相关联的自定义计算机组禁用BitLocker加密,并且这些机器的所有相应驱动也将被解密
- 您可以保存此策略为草稿或直接保存并发布。
- 创建并保存策略完成后,可以在策略创建视图的策略列表中查看。
至此,您已成功创建解密策略。
下载 30 天免费试用版并亲自体验一下吧!
ManageEngine BitLocker 管理文档列表
- BitLocker 管理
- 如何查找 BitLocker 恢复密钥
- 如何创建 BitLocker 管理策略
- BitLocker 概览
- 常见问题
- 完整的功能列表
有关新终端安全套件产品(包括BitLocker管理)的更多信息,请参见这里。