Postupně se dostáváme k nastavení zařízení a jejich zabezpečení. Zde se dá nastavit opravdu snad cokoliv, a i to bych řekl, že je málo. Pokud potřebujete nastavit co se stane po zavření počítače, tak hledejte zde. Stejně tak, ale pokud chcete zablokovat hru s dinosaurem v chromu, je tu opravdu všechno. Malý disclamer na začátek, nastavení, které si s vámi projdu v následujících pár článcích se nebudou ani blížit všemu co se nastavit dá, spíše zachycují pro nás ty nejdůležitější politiky, které opravdu potřebujeme na každém počítači.
Dnes se konkrétně podíváme na nastavení šifrovacího nástroje od Microsoftu a tím je BitLocker. BitLocker je pojistka proti ukradení disku, nebo klonování počítače a osvědčil se, jako jedna z povedenějších částí Windows. Samozřejmě se dá zapnout manuálně a většina počítačů ho zapnutý má z výroby, přesto definitivně není dobrý nápad na to spoléhat.
BitLocker se dá, jako spousta věcí, nastavit z více míst. Já v tomto článku použiji tu modernější cestu. Pro nastavení si otevřete Intune > Endpoint Security > Disk Encryption a poté Create Policy, u Select platform vyberte Windows a u Profile vyberte BitLocker.
Politiku pojmenujte a přejděte dál. Teď přichází jádro pudla, na kterém vyhoří většina lidí (na nějaký čas jsem nebyl výjimkou) a to je samotné nastavení. Většina lidí chce BitLocker bez nutnosti pinu navíc a já k nim patřím, takže to je to, co si ukážeme.
Pod záložkou BitLocker vyberte:
Require Device Encryption – Enabled
Allow Warning For Other Disk Encryption – Disabled
Allow Standard User Encryption – Enabled
Configure Recovery Password Rotation – Not configured
Dále pod záložkou BitLocker Drive Encryption vyberte:
Pro první možnost – Enabled
Pro prostřední tři – XTS-AES 256-bit
A pro poslední – Not configured
První nastavení z předchozího bodu zajišťuje možnost vybrat si jakou metodou disky šifrovat a další tři specifikují typ šifrovací metody, pro fixní disky, disky s operačním systémem a flash disky.
Pod záložkou Operating System Drives nastavíme, co je vidět na screenshotu (většina polí se vysvětlí sama)
U Fixed Data Drives je nastavení v základu stejné, až na to že neřešíme, co se má dít po nastartování počítače a jestli chceme další pin.
Ve zkratce toto nastavení vynutí šifrování i sekundárních disků. Nastaví jim 256bitový recovery klíč a 48místné recovery heslo. Poté uloží recovery klíče do AD DS nebo EntraID.
Pro odnímatelné disky nemám šifrování nastavené, protože je to pro nás zatím nedůležité. Nastavení je ale stejné.
Poté stačí zacílit na skupinu zařízení a máte hotovo!!!
Odkaz na kuchařku ZDE