我们的客户
决定是侧重于终端保护还是其所包含的数据至关重要。鉴于数据价值的不断提升以及监管对数据的日益关注,全面保护显得尤为重要。加密仍然是企业数据最基础的防护措施之一。本文档概述了在网络终端中实施强大加密的最佳实践。
BitLocker 加密前提条件是计算机必须满足的、使其具备加密就绪状态的标准。在规划部署加密策略之前,请确保满足每一项加密前提条件。
如果设备未加密,其数据就容易遭受未经授权的访问。一旦发生丢失、被盗或遭受黑客攻击的情况,敏感信息可能会被轻易访问并潜在地被滥用。因此,务必确保整个网络中的设备都已加密,包括带有和不带有 TPM 芯片的设备。请参阅此页面,详细了解 Endpoint Central 中的加密设置。
对于具有 TPM 的计算机 - 除 TPM 外还应启用增强型 PIN
对于不具有 TPM 的计算机 - 密码短语是唯一的解决方案
带 TPM 的增强型 PIN是配备 TPM 的计算机的理想选择。然而,用户必须在每次启动时手动输入增强型 PIN,这可能会比较繁琐。作为替代方案,您可以选择仅使用 TPM,但出于最佳安全弹性的考虑,不建议采用这种方式。
全盘加密会加密驱动器上的所有数据,包括未使用的驱动器空间;而这些空间中可能仍保留着已删除数据的痕迹,并可能被恢复。这是最安全的选项,尽管它可能会影响性能。如果您担心性能问题,可以选择仅加密已用磁盘空间。
请参阅此页面,以了解有关配置加密策略的更多信息。
确保所有驱动器都已加密,而不仅仅是操作系统驱动器。其他卷也可能存储有价值的数据。
坚持使用 Microsoft 为您的 Windows 版本推荐的默认加密方法。出于合规性或审计要求,也可以通过手动策略配置更强的加密方法。但这可能会降低性能,因此不推荐。要了解有关加密算法的更多信息,请参阅此页面。
如果检测到未经授权的访问,Windows 将要求提供BitLocker 恢复密钥。如果该密钥丢失,Microsoft 无法恢复,因此请创建安全备份。启用将恢复密钥更新到域控制器选项,以便将其存储在 Active Directory 中。
通过定期自动更改恢复密钥来增强安全性。在设置 BitLocker 策略时,可在 Endpoint Central 中启用恢复密钥定期轮换选项,以配置恢复密钥的周期性轮换。
BitLocker 属于硬件组件,并且是特定于计算机的,因此应将策略与计算机关联,而不是与用户关联。此外,请确保每台计算机只部署一个策略——加密或解密策略二者择一。