Encriptar dados de recuperação através da rede
Aplica-se a: Configuration Manager (ramo atual)
Quando cria uma política de gestão BitLocker, o Gestor de Configuração implementa o serviço de recuperação num ponto de gestão. Na página de Gestão de Clientes da política de gestão BitLocker, quando configurar serviços de gestão bitLocker, o cliente faz o back up informações de recuperação chave para a base de dados do site. Esta informação inclui chaves de recuperação BitLocker, pacotes de recuperação e hashes de senha de TPM. Quando os utilizadores estiverem bloqueados fora do seu dispositivo protegido, pode utilizar estas informações para os ajudar a recuperar o acesso ao dispositivo.
Dada a natureza sensível desta informação, precisa protegê-la.
Requisitos de certificado HTTPS
O Gestor de Configuração requer uma ligação HTTPS entre o cliente e o serviço de recuperação para encriptar os dados em trânsito através da rede. Utilize uma das seguintes opções:
Ative o site para HTTP melhorado. Esta opção aplica-se à versão 2103 ou posterior.
Viabilizar o website do IIS no ponto de gestão que acolhe o serviço de recuperação, e não toda a função de ponto de gestão.
Configurar o ponto de gestão para HTTPS. Nas propriedades do ponto de gestão, a definição de ligações do Cliente deve ser HTTPS. Esta opção aplica-se a todas as versões suportadas do Gestor de Configuração.
Configure o ponto de gestão para HTTPS
Em versões anteriores da sucursal atual do Gestor de Configuração, para integrar o serviço de recuperação BitLocker tinha de ativar um ponto de gestão com HTTPS. A ligação HTTPS é necessária para encriptar as chaves de recuperação em toda a rede desde o cliente Do Gestor de Configuração até ao ponto de gestão. Configurar o ponto de gestão e todos os clientes para HTTPS pode ser um desafio para muitos clientes.
VIA HTTPS ativar o website do IIS
O requisito HTTPS é agora para o website do IIS que acolhe o serviço de recuperação, e não toda a função de ponto de gestão. Esta configuração relaxa os requisitos do certificado e ainda encripta as chaves de recuperação em trânsito.
A propriedade das ligações do Cliente do ponto de gestão pode ser HTTP ou HTTPS. Se o ponto de gestão estiver configurado para HTTP, para suportar o serviço de recuperação BitLocker:
Adquira um certificado de autenticação do servidor. Ligue o certificado ao site do IIS no ponto de gestão que acolhe o serviço de recuperação BitLocker.
Configure os clientes para confiarem no certificado de autenticação do servidor. Existem dois métodos para concretizar esta confiança:
Utilize um certificado de um fornecedor de certificados de confiança pública e global. Windows clientes incluem as autoridades de certificados de raiz fidedignas (AA) destes fornecedores. Ao utilizar um certificado de autenticação do servidor emitido por um destes fornecedores, os seus clientes devem confiar automaticamente nele.
Utilize um certificado emitido por um CA da infraestrutura de chaves públicas da sua organização (PKI). A maioria das implementações de PKI adicionam os CAs de raiz fidedignas a Windows clientes. Por exemplo, utilizar serviços de certificados de diretório ativo com política de grupo. Se emitir o certificado de autenticação do servidor a partir de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado de raiz fidedigno da AC aos clientes.
Dica
Os únicos clientes que precisam de comunicar com o serviço de recuperação são os clientes que planeia segmentar com uma política de gestão BitLocker e inclui uma regra de Gestão de Clientes.
No cliente, utilize o BitLockerManagementHandler.log para resolver problemas desta ligação. Para a conectividade com o serviço de recuperação, o registo mostra o URL que o cliente está a usar. Localizar uma entrada no registo com base na versão do Gestor de Configuração:
- Na versão 2103 e mais tarde, a entrada começa com
Recovery keys escrowed to MP
- Na versão 2010 e mais cedo, a entrada começa com
Checking for Recovery Service at
Nota
Se o seu site tiver mais de um ponto de gestão, ative HTTPS em todos os pontos de gestão do site com os quais um cliente gerido pelo BitLocker possa comunicar potencialmente. Se o ponto de gestão HTTPS não estiver disponível, o cliente poderá falhar num ponto de gestão HTTP e, em seguida, não conseguir obter a sua chave de recuperação.
Esta recomendação aplica-se a ambas as opções: ativar o ponto de gestão do HTTPS ou ativar o website do IIS que acolhe o serviço de recuperação no ponto de gestão.
Passos seguintes
Os dados de recuperação encriptados na base de dados são um pré-requisito opcional antes de implementar a política pela primeira vez.