Penyulitan Bitlocker menggunakan AAD / MDM untuk Keselamatan Data Awan

dengan Windows 10ciri baru, produktiviti pengguna telah meningkat pesat. Itu kerana Windows 10 memperkenalkan pendekatannya sebagai 'Mobile first, Cloud first'. Ia hanyalah integrasi peranti mudah alih dengan teknologi awan. Windows 10 menyampaikan pengurusan data moden menggunakan penyelesaian pengurusan peranti berasaskan awan seperti Microsoft Enterprise Mobility Suite (EMS). Dengan ini, pengguna boleh mengakses data mereka dari mana-mana dan bila-bila masa. Walau bagaimanapun, data semacam ini juga memerlukan keselamatan yang baik, yang mungkin dilakukan Bitlocker.

Penyulitan Bitlocker untuk keselamatan data awan

Konfigurasi enkripsi Bitlocker sudah tersedia pada Windows 10 peranti mudah alih. Walau bagaimanapun, peranti ini perlu mempunyai InstantGo keupayaan untuk mengautomasikan konfigurasi. Dengan InstantGo, pengguna boleh mengautomasikan konfigurasi pada peranti itu serta menyandarkan kunci pemulihan kepada akaun Azure AD pengguna.

Tetapi sekarang peranti tidak akan memerlukan keupayaan InstantGo lagi. Dengan Windows 10 Kemas kini Pencipta, semua Windows 10 peranti akan mempunyai wizard di mana pengguna diminta untuk memulakan penyulitan Bitlocker tanpa mengira perkakasan yang digunakan. Hal ini terutama disebabkan oleh maklum balas pengguna tentang konfigurasi, di mana mereka ingin menggunakan enkripsi ini secara automatik tanpa pengguna melakukan apa-apa. Oleh itu, kini penyulitan Bitlocker telah menjadi automatik dan perkakasan bebas.

Bagaimana penyulitan Bitlocker berfungsi

Apabila pengguna akhir mendaftarkan peranti tersebut dan merupakan pentadbir tempatan, yang TriggerBitlocker MSI adakah yang berikut:

  • Menanam tiga fail ke dalam C: Program Files (x86) BitLockerTrigger
  • Mengimport tugas berjadual baru berdasarkan Enable_Bitlocker.xml yang disertakan

Tugas yang dijadualkan akan dijalankan setiap hari di PM 2 dan akan melakukan yang berikut:

  • Jalankan Enable_Bitlocker.vbs yang tujuan utamanya adalah memanggil Enable_BitLocker.ps1 dan pastikan anda dikendalikan diminimumkan.
  • Pada gilirannya, Enable_BitLocker.ps1 akan menyulitkan pemacu setempat dan menyimpan kunci pemulihan ke Azure AD dan OneDrive for Business (jika dikonfigurasi)
    • Kunci pemulihan hanya disimpan apabila berubah atau tidak hadir

Pengguna yang bukan sebahagian daripada kumpulan pentadbiran tempatan, perlu mengikuti prosedur yang berbeza. Secara lalai, pengguna pertama yang menyertai peranti ke Azure AD adalah ahli kumpulan admin lokal. Jika pengguna kedua, yang merupakan sebahagian daripada penyewa AAD yang sama, log masuk ke peranti itu, ia akan menjadi pengguna standard.

Penggabungan ini diperlukan apabila akaun Pengurus Pendaftaran Peranti mengurus joure AD Azure sebelum menyerahkan peranti tersebut kepada pengguna akhir. Untuk pengguna sedemikian diubah suai MSI (TriggerBitlockerUser) telah diberikan pasukan Windows. Ia berbeza sedikit daripada pengguna pentadbir tempatan:

Tugas berjadual BitlockerTrigger akan dijalankan dalam Konteks Sistem dan akan:

  • Salin kekunci pemulihan pada akaun Azure AD pengguna yang menyertai peranti tersebut ke AAD.
  • Salin kekunci pemulihan untuk Systemdrivetemp (biasanya C: Temp) buat sementara waktu.

Skrip baru MoveKeyToOD4B.ps1 diperkenalkan dan berjalan setiap hari melalui tugas berjadual yang dipanggil MoveKeyToOD4B. Tugas yang dijadualkan ini berjalan dalam konteks pengguna. Kunci pemulihan akan dipindahkan dari systemdrivetemp ke folder OneDrive for Businessrecovery.

Untuk senario admin bukan tempatan, pengguna perlu menggunakan fail TriggerBitlockerUser melalui Selaras kepada kumpulan pengguna akhir. Ini tidak digunakan untuk kumpulan / akaun Pengurus Pendaftaran Peranti yang digunakan untuk menyertai peranti ini untuk Azure AD.

Untuk mendapatkan akses kepada kunci pemulihan, pengguna perlu pergi ke salah satu lokasi berikut:

  • Akaun Azure AD
  • Folder pemulihan dalam OneDrive for Business (jika dikonfigurasi).

Pengguna dicadangkan untuk mengambil kunci pemulihan melalui http://myapps.microsoft.com dan pergi ke profil mereka, atau dalam folder OneDrive for Businessrecovery mereka.

Untuk maklumat lanjut mengenai cara mendayakan penyulitan Bitlocker, baca blog lengkap Microsoft TechNet.

Source

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.