Kryptera återställningsdata över nätverket
Gäller för: Konfigurationshanteraren (current branch)
När du skapar en BitLocker-hanteringsprincip distribuerar Configuration Manager återställningstjänsten till en hanteringsplats. På sidan Klienthantering i BitLocker-hanteringsprincipen säkerhetskopierar klienten viktig återställningsinformation till platsdatabasen när du konfigurerar BitLocker Management Services. Den här informationen omfattar BitLocker-återställningsnycklar, återställningspaket och hashvärden för TPM-lösenord. När användarna är utelåst från sin skyddade enhet kan du använda den här informationen för att hjälpa dem att återställa åtkomsten till enheten.
Med tanke på den här informationens känsliga natur måste du skydda den.
Viktigt
Från och med version 2103 ändrades implementeringen av återställningstjänsten. Den använder inte längre äldre MBAM-komponenter, men kallas fortfarande konceptuellt för återställningstjänsten. Alla version 2103-klienter använder komponenten för meddelandebearbetningsmotorn på hanteringsplatsen som återställningstjänst. De deponerar sina återställningsnycklar över den säkra klientmeddelandekanalen. Med den här ändringen kan du aktivera Configuration Manager webbplats för utökad HTTP. Den här konfigurationen påverkar inte funktionerna i BitLocker-hanteringen i Configuration Manager.
När både platsen och klienterna kör Configuration Manager version 2103 eller senare skickar klienterna sina återställningsnycklar till hanteringsplatsen via den säkra klientmeddelandekanalen. Om några klienter har version 2010 eller tidigare behöver de en HTTPS-aktiverad återställningstjänst på hanteringsplatsen för att deponering av nycklar.
HTTPS-certifikatkrav
Obs!
Dessa krav gäller endast om webbplatsen är version 2010 eller tidigare, eller om du distribuerar BitLocker-hanteringsprinciper till enheter med Configuration Manager klientversion 2010 eller tidigare.
Configuration Manager kräver en säker anslutning mellan klienten och återställningstjänsten för att kryptera data under överföring över nätverket. Använd något av följande alternativ:
HTTPS-aktivera IIS-webbplatsen på hanteringsplatsen som är värd för återställningstjänsten, inte hela hanteringsplatsrollen.
Konfigurera hanteringsplatsen för HTTPS. På hanteringsplatsens egenskaper måste inställningen Klientanslutningar vara HTTPS.
Obs!
Om webbplatsen har fler än en hanteringsplats aktiverar du HTTPS på alla hanteringsplatser på den plats som en BitLocker-hanterad klient kan kommunicera med. Om HTTPS-hanteringsplatsen inte är tillgänglig kan klienten redundansväxla till en HTTP-hanteringsplats och sedan inte deponera återställningsnyckeln.
Den här rekommendationen gäller för båda alternativen: aktivera hanteringsplatsen för HTTPS eller aktivera IIS-webbplatsen som är värd för återställningstjänsten på hanteringsplatsen.
Konfigurera hanteringsplatsen för HTTPS
I tidigare versioner av Configuration Manager aktuella grenen var du tvungen att HTTPS-aktivera en hanteringsplats för att integrera BitLocker-återställningstjänsten. HTTPS-anslutningen är nödvändig för att kryptera återställningsnycklarna i nätverket från Configuration Manager-klienten till hanteringsplatsen. Det kan vara svårt för många kunder att konfigurera hanteringsplatsen och alla klienter för HTTPS.
HTTPS-aktivera IIS-webbplatsen
HTTPS-kravet gäller nu för den IIS-webbplats som är värd för återställningstjänsten, inte hela hanteringsplatsrollen. Den här konfigurationen minskar certifikatkraven och krypterar fortfarande återställningsnycklarna under överföring.
Egenskapen Klientanslutningar för hanteringsplatsen kan vara HTTP eller HTTPS. Om hanteringsplatsen har konfigurerats för HTTP stöder du BitLocker-återställningstjänsten:
Skaffa ett certifikat för serverautentisering. Binda certifikatet till IIS-webbplatsen på hanteringsplatsen som är värd för BitLocker-återställningstjänsten.
Konfigurera klienter att lita på certifikatet för serverautentisering. Det finns två metoder för att uppnå det här förtroendet:
Använd ett certifikat från en offentlig och globalt betrodd certifikatprovider. Windows-klienter inkluderar betrodda rotcertifikatutfärdare (CA) från dessa leverantörer. Genom att använda ett certifikat för serverautentisering som utfärdas av någon av dessa providrar bör dina klienter automatiskt lita på det.
Använd ett certifikat som utfärdats av en certifikatutfärdare från organisationens offentliga nyckelinfrastruktur (PKI). De flesta PKI-implementeringar lägger till betrodda rotcertifikatutfärdare till Windows-klienter. Du kan till exempel använda Active Directory Certificate Services med en grupprincip. Om du utfärdar certifikatet för serverautentisering från en certifikatutfärdare som klienterna inte litar på automatiskt lägger du till certifikatutfärdarcertifikatets betrodda rotcertifikat till klienter.
Tips
De enda klienter som behöver kommunicera med återställningstjänsten är de klienter som du planerar att rikta in dig på med en BitLocker-hanteringsprincip och som innehåller en klienthanteringsregel .
Felsöka anslutningen
På klienten använder du BitLockerManagementHandler.log för att felsöka den här anslutningen. För anslutning till återställningstjänsten visar loggen den URL som klienten använder. Leta upp en post i loggen baserat på versionen av Configuration Manager:
- I version 2103 och senare börjar posten med
Recovery keys escrowed to MP - I version 2010 och tidigare börjar posten med
Checking for Recovery Service at
Nästa steg
Kryptera återställningsdata i databasen är ett valfritt krav innan du distribuerar principen för första gången.