VietNetwork.Vn

Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách định cấu hình cài đặt chính sách nhóm BitLocker. Khi bạn bật Mã hóa ổ đĩa BitLocker, một số cài đặt mặc định sẽ được sử dụng, chẳng hạn như độ mạnh của mã hóa. Chúng tôi có thể tùy chỉnh những điều này bằng Chính sách nhóm trong miền dựa trên Active Directory, cho phép chúng tôi kiểm soát cài đặt BitLocker được triển khai cho tất cả các máy trong miền.

Trong ví dụ này, chúng tôi sẽ làm việc với Windows Server 2016, tuy nhiên, các bước ở đây rất giống với các phiên bản trước của hệ điều hành Windows và cũng nên áp dụng ở đó.

Chúng ta sẽ bắt đầu bằng cách mở Server Manager, chọn Tools, tiếp theo là Group Policy Management.


Từ cửa sổ Quản lý chính sách nhóm mở ra, chúng ta sẽ chọn thư mục đối tượng chính sách nhóm trong miền, nhấp chuột phải và chọn mới để tạo đối tượng chính sách nhóm mới (GPO). Trong trường hợp này, chúng tôi sẽ tạo một GPO BitLocker mới cho những thay đổi của chúng tôi.


Khi GPO cơ sở đã được tạo, nhấp chuột phải vào nó và chọn Chỉnh sửa. Thao tác này sẽ mở Trình chỉnh sửa quản lý chính sách nhóm (GPME). Từ bên trong GPME, chọn Cấu hình máy tính > Chính sách > Mẫu quản trị > Cấu phần Windows > Mã hóa ổ đĩa BitLocker.


Từ bên trong đây, chúng tôi có thể đặt chính sách cho một số mục BitLocker toàn cầu, cũng như chính sách cụ thể áp dụng cho ổ đĩa hệ điều hành, ổ đĩa dữ liệu cố định hoặc ổ đĩa dữ liệu di động.

Bây giờ bạn có thể xem qua các chính sách có sẵn và định cấu hình chúng để đáp ứng các yêu cầu của môi trường của bạn. Một số cài đặt chính sách hữu ích mà bạn có thể muốn điều chỉnh bao gồm:

• Lưu trữ thông tin khôi phục BitLocker trong Active Directory: Với chính sách này được bật, chỉ có thể bật BitLocker nếu có bộ điều khiển miền Active Directory để khóa khôi phục có thể được lưu trữ ở đó. Nếu không có bộ điều khiển miền, BitLocker sẽ không kích hoạt. Điều này cho phép bạn quản lý tập trung các khóa khôi phục BitLocker vì chúng sẽ được lưu trữ trong Active Directory.
• Chọn phương pháp mã hóa ổ đĩa và độ mạnh mật mã: Theo mặc định cho Windows 10, tùy chọn này sẽ đặt mã hóa XTS-AES 128-bit, tùy chọn này có thể được sửa đổi thành XTS-AES 256-bit để có khả năng bảo vệ cao hơn.
• Yêu cầu xác thực bổ sung khi khởi động: Thay vì chỉ sử dụng một phương thức xác thực như TPM, chính sách này có thể được bật để yêu cầu cả TPM và mã PIN, TPM và khóa khởi động hoặc TPM với khóa khởi động và mã PIN.
• Cho phép mã PIN nâng cao để khởi động: Mã PIN nâng cao cho phép bạn sử dụng các ký tự bổ sung như chữ hoa, chữ thường, số và ký hiệu và phải được bật theo mặc định. Nó cho phép đặt mã PIN mạnh hơn.
• Định cấu hình độ dài mã PIN tối thiểu để khởi động: Điều này cho phép bạn định cấu hình độ dài mã PIN tối thiểu, điều này có thể đảm bảo rằng người dùng của bạn buộc phải đặt mã PIN BitLocker mạnh.

Đây không phải là danh sách đầy đủ, nhưng là một số chính sách BitLocker hữu ích và được sửa đổi phổ biến nhất. Tôi khuyên bạn nên xem qua tất cả các chính sách BitLocker có sẵn để có ý tưởng về những gì bạn có thể tùy chỉnh.

Tại thời điểm này, chúng ta có thể đóng cửa sổ GPME và áp dụng GPO cho một trang, miền hoặc đơn vị tổ chức (OU) trong Active Directory.

Lưu ý: Nếu bạn thực hiện bất kỳ thay đổi nào đối với BitLocker thông qua chính sách nhóm thì bạn nên chạy 'gpupdate' trên hệ thống mà bạn muốn triển khai BitLocker để bạn có thể đảm bảo hệ thống được cập nhật đầy đủ và có tất cả các thay đổi về chính sách BitLocker của bạn.. Nếu bạn đã bật BitLocker, cài đặt sẽ không thay đổi nếu bạn cập nhật chính sách sau đó, vì vậy, tốt nhất là định cấu hình BitLocker để đáp ứng các yêu cầu của bạn thông qua chính sách nhóm trước rồi mới triển khai.

Sau khi được bật, bạn có thể xem trạng thái BitLocker bằng lệnh manage-bde, bạn sẽ thấy rằng các mục bạn đã áp dụng thông qua Chính sách nhóm được liệt kê, chẳng hạn như phương pháp mã hóa bạn đã chọn.

Với các bước này, bạn sẽ có thể dễ dàng định cấu hình cài đặt chính sách nhóm BitLocker một cách tập trung từ bộ điều khiển miền.

Như được hiển thị, chúng tôi có thể định cấu hình cài đặt chính sách nhóm BitLocker, cho phép chúng tôi kiểm soát tập trung các tùy chọn mã hóa đĩa cho tất cả các máy Windows trong môi trường miền Active Directory của chúng tôi.