[GP]「スタートアップ時にネットワーク ロック解除を許可する」で利用されているレジストリ

「スタートアップ時にネットワーク ロック解除を許可する」で利用されているレジストリについてです。

コンピューターの構成>管理用テンプレート>Windows コンポーネント>Bitlocker ドライブ暗号化>オペレーティングシステムのドライブ

サポートされるバージョン:
Windows Server 2012 または Windows 8 以降

1.保存場所
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

値:
OSManageNKP(REG_DWORD)

有効:1
無効:0

このポリシー設定では、信頼されたワイヤード (有線) ローカル エリア ネットワーク (LAN) に接続されてドメインに参加している BitLocker で保護されたコンピューターで、TPM が有効なコンピューターに対するネットワーク キー保護機能を作成および使用して、そのコンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御します。

このポリシーを有効にした場合、BitLocker ネットワーク ロック解除証明書が構成されたクライアントでネットワーク キー保護機能を作成および使用できます。

コンピューターのロックを解除するためのネットワーク キー保護機能を使用するには、コンピューターと BitLocker ドライブ暗号化ネットワーク ロック解除サーバーの両方でネットワーク ロック解除証明書を用意する必要があります。ネットワーク ロック解除証明書は、ネットワーク キー保護機能を作成するときに、コンピューターのロックを解除するためにサーバーと交換される情報を保護する目的で使用されます。この証明書は、ドメイン コントローラーの [コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\BitLocker ドライブ暗号化ネットワーク ロック解除証明書] グループ ポリシー設定を使用して組織のコンピューターに配布できます。このロック解除方法ではコンピューター上の TPM を使用するため、TPM がないコンピューターでは、ネットワーク ロック解除で自動的にロックを解除するためのネットワーク キー保護機能を作成できません。

このポリシー設定を無効にした場合、または構成しなかった場合は、BitLocker クライアントでネットワーク キー保護機能を作成および使用することはできません。

注: 信頼性とセキュリティを高めるために、スタートアップ時にコンピューターがワイヤード (有線) ネットワークやサーバーから切断されている場合に使用できる TPM スタートアップ PIN も構成しておくことをお勧めします。

ではでは。

タイトルとURLをコピーしました