Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Configuration Manager (branch atual)
Quando cria uma política de gestão do BitLocker, Configuration Manager implementa o serviço de recuperação num ponto de gestão. Na página Gestão de Clientes da política de gestão do BitLocker, quando configura os Serviços de Gestão do BitLocker, o cliente cria uma cópia de segurança das informações de recuperação de chaves para a base de dados do site. Estas informações incluem chaves de recuperação BitLocker, pacotes de recuperação e hashes de palavras-passe TPM. Quando os utilizadores estão bloqueados fora do respetivo dispositivo protegido, pode utilizar estas informações para ajudá-los a recuperar o acesso ao dispositivo.
Dada a natureza sensível destas informações, tem de protegê-la.
Importante
A partir da versão 2103, a implementação do serviço de recuperação foi alterada. Já não está a utilizar componentes MBAM legados, mas ainda é conceptualmente referido como o serviço de recuperação. Todos os clientes da versão 2103 utilizam o componente do motor de processamento de mensagens do ponto de gestão como serviço de recuperação. As chaves de recuperação são armazenadas através do canal de notificação de cliente seguro. Com esta alteração, pode ativar o site Configuration Manager para HTTP melhorado. Esta configuração não afeta a funcionalidade da gestão do BitLocker no Configuration Manager.
Quando o site e os clientes estão a executar Configuration Manager versão 2103 ou posterior, os clientes enviam as respetivas chaves de recuperação para o ponto de gestão através do canal de notificação de cliente seguro. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação compatível com HTTPS no ponto de gestão para escrow as chaves.
Requisitos de certificado HTTPS
Observação
Estes requisitos só se aplicam se o site for a versão 2010 ou anterior ou se implementar políticas de gestão do BitLocker em dispositivos com Configuration Manager versão de cliente 2010 ou anterior.
Configuration Manager requer uma ligação segura entre o cliente e o serviço de recuperação para encriptar os dados em trânsito na rede. Utilize uma das seguintes opções:
Ative https o site do IIS no ponto de gestão que aloja o serviço de recuperação e não toda a função de ponto de gestão.
Configure o ponto de gestão para HTTPS. Nas propriedades do ponto de gestão, a definição Ligações de cliente tem de ser HTTPS.
Observação
Se o seu site tiver mais do que um ponto de gestão, ative o HTTPS em todos os pontos de gestão no site com o qual um cliente gerido pelo BitLocker poderia comunicar potencialmente. Se o ponto de gestão HTTPS não estiver disponível, o cliente poderá efetuar a ativação pós-falha para um ponto de gestão HTTP e, em seguida, não conseguir efetuar a recuperação da chave de recuperação.
Esta recomendação aplica-se a ambas as opções: ativar o ponto de gestão para HTTPS ou ativar o site do IIS que aloja o serviço de recuperação no ponto de gestão.
Configurar o ponto de gestão para HTTPS
Em versões anteriores do Configuration Manager ramo atual, para integrar o serviço de recuperação BitLocker, tinha de ativar HTTPS num ponto de gestão. A ligação HTTPS é necessária para encriptar as chaves de recuperação na rede do cliente Configuration Manager para o ponto de gestão. Configurar o ponto de gestão e todos os clientes para HTTPS pode ser um desafio para muitos clientes.
Ativar HTTPS no site do IIS
O requisito HTTPS destina-se agora ao site do IIS que aloja o serviço de recuperação e não a totalidade da função do ponto de gestão. Esta configuração relaxa os requisitos de certificado e ainda encripta as chaves de recuperação em trânsito.
A propriedade Ligações de cliente do ponto de gestão pode ser HTTP ou HTTPS. Se o ponto de gestão estiver configurado para HTTP, para suportar o serviço de recuperação BitLocker:
Adquirir um certificado de autenticação de servidor. Vincular o certificado ao site do IIS no ponto de gestão que aloja o serviço de recuperação BitLocker.
Configure os clientes para confiarem no certificado de autenticação do servidor. Existem dois métodos para alcançar esta confiança:
Utilize um certificado de um fornecedor de certificados público e globalmente fidedigno. Os clientes Windows incluem autoridades de certificação de raiz fidedigna (ACs) destes fornecedores. Ao utilizar um certificado de autenticação de servidor emitido por um destes fornecedores, os seus clientes devem confiar automaticamente no mesmo.
Utilize um certificado emitido por uma AC a partir da infraestrutura de chaves públicas (PKI) da sua organização. A maioria das implementações de PKI adiciona as ACs de raiz fidedigna aos clientes Windows. Por exemplo, utilizar os Serviços de Certificados do Active Directory com a política de grupo. Se emitir o certificado de autenticação de servidor de uma AC em que os seus clientes não confiam automaticamente, adicione o certificado de raiz fidedigna da AC aos clientes.
Dica
Os únicos clientes que precisam de comunicar com o serviço de recuperação são os clientes que planeia direcionar com uma política de gestão do BitLocker e incluem uma regra de Gestão de Clientes .
Resolver problemas de ligação
No cliente, utilize o BitLockerManagementHandler.log para resolver problemas desta ligação. Para conectividade com o serviço de recuperação, o registo mostra o URL que o cliente está a utilizar. Localize uma entrada no registo com base na versão do Configuration Manager:
- Na versão 2103 e posterior, a entrada começa com
Recovery keys escrowed to MP - Na versão 2010 e anterior, a entrada começa com
Checking for Recovery Service at
Próximas etapas
Encriptar dados de recuperação na base de dados é um pré-requisito opcional antes de implementar a política pela primeira vez.