home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 2010 April / PCWorld0410.iso / WindowsServerTrial / server.iso / sources / install.wim / 2 / Windows / PolicyDefinitions / en-US / VolumeEncryption.adml < prev    next >
Extensible Markup Language  |  2008-01-19  |  20KB  |  249 lines
  1. <?xml version="1.0" encoding="utf-8"?>
  2. <!--  (c) 2006 Microsoft Corporation  -->
  3. <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
  4.   <displayName>enter display name here</displayName>
  5.   <description>enter description here</description>
  6.   <resources>
  7.     <stringTable>
  8.  
  9.  
  10.       <string id="ActiveDirectoryBackup_Help">This policy setting allows you to manage the Active Directory Domain Services (AD DS) backup of BitLocker Drive Encryption recovery information. 
  11.  
  12. If you enable this policy setting, BitLocker recovery information will be automatically and silently backed up to AD DS when BitLocker is turned on for a computer.
  13.  
  14. BitLocker recovery information includes the recovery password and some unique identifier data. You can also include a package that contains a BitLocker-protected volume's encryption key. This key package is secured by one or more recovery passwords and may help perform specialized recovery when the disk is damaged or corrupted. 
  15.  
  16. If you select the option to "Require BitLocker backup to AD DS", BitLocker cannot be turned on unless the computer is connected to the domain and the AD DS backup succeeds. This option is selected by default to help ensure that BitLocker recovery is possible. Otherwise, AD DS backup is attempted but network or other backup failures do not impact BitLocker setup. Backup is not automatically retried and the recovery password may not have been stored in AD DS during BitLocker setup.
  17.  
  18. If you disable or do not configure this policy setting, BitLocker recovery information will not be backed up to AD DS. 
  19.  
  20. IMPORTANT: To prevent data loss, you must have a way to recover BitLocker. 
  21.  
  22. Note: You must first set up appropriate schema extensions and access control settings on the domain before AD DS backup can succeed. Consult online documentation for more information about setting up Active Directory Domain Services for BitLocker.
  23.  
  24. Note: TPM initialization may be needed during BitLocker setup. Enable the policy setting to "Turn on TPM backup to Active Directory Domain Services" in "System\Trusted Platform Module Services\" to ensure that TPM information is also backed up.</string>
  25.       <string id="ActiveDirectoryBackup_Name">Turn on BitLocker backup to Active Directory Domain Services</string>
  26.       <string id="ActiveDirectoryBackupDropDown_1">Recovery passwords and key packages</string>
  27.       <string id="ActiveDirectoryBackupDropDown_2">Recovery passwords only</string>
  28.  
  29.  
  30.       <string id="ConfigureStartupUsage_Help">This policy setting allows you to configure whether the BitLocker Drive Encryption setup wizard will ask the user to set up an additional authentication that is requested each time the computer starts.
  31.  
  32. On a computer with a compatible Trusted Platform Module (TPM), two types of startup authentications can work to provide added protection for encrypted data. When the computer starts, it can require users to insert a USB flash drive containing a startup key. It can also require users to enter a 4 to 20 digit startup PIN. 
  33.  
  34. A USB flash drive containing a startup key is needed on computers without a compatible Trusted Platform Module (TPM). Without a TPM, BitLocker-encrypted data is protected solely by the key material on this USB flash drive.  
  35.  
  36. If you enable this policy setting, the wizard will show the page to allow the user to configure advanced startup options for BitLocker. You can further configure setting options for computers with and without a TPM. 
  37.  
  38. If you disable or do not configure this policy setting, the BitLocker setup wizard will display basic steps that allow users to enable BitLocker on computers with a TPM. In this basic wizard, no additional startup key or startup PIN can be configured.</string>
  39.       <string id="ConfigureStartupUsage_Name">Control Panel Setup: Enable advanced startup options</string>
  40.  
  41.       <string id="ConfigurePINUsageDropDown_Optional">Allow user to create or skip</string>
  42.       <string id="ConfigurePINUsageDropDown_Require">Require startup PIN with TPM</string>
  43.       <string id="ConfigurePINUsageDropDown_Disallow">Disallow startup PIN with TPM</string>
  44.  
  45.       <string id="ConfigureTPMStartupKeyUsageDropDown_Optional">Allow user to create or skip</string>
  46.       <string id="ConfigureTPMStartupKeyUsageDropDown_Require">Require startup key with TPM</string>
  47.       <string id="ConfigureTPMStartupKeyUsageDropDown_Disallow">Disallow startup key with TPM</string>
  48.  
  49.  
  50.       <string id="ConfigureRecoveryUsage_Help">This policy setting allows you to configure whether the BitLocker Drive Encryption setup wizard will ask the user to save BitLocker recovery options. 
  51.  
  52. Two recovery options can unlock access to BitLocker-encrypted data. The user can type a random 48-digit numerical recovery password. The user can also insert a USB flash drive containing a random 256-bit recovery key. 
  53.  
  54. If you enable this policy setting, you can configure the options that the setup wizard exposes to users for recovering BitLocker. For example, disallowing the 48-digit recovery password will prevent users from being able to print or save recovery information to a folder.
  55.  
  56. If you disable or do not configure this policy setting, the BitLocker setup wizard will present users with ways to store recovery options. Saving to a USB flash drive will store the 48-digit recovery password as a text file, and the 256-bit recovery key as a hidden file. Saving to a folder will store the 48-digit recovery password as a text file. Printing will provide the 48-digit recovery password.
  57.  
  58. Note: If TPM initialization is needed during the BitLocker setup, TPM owner information will be saved or printed with the BitLocker recovery information. 
  59.  
  60. Note: The 48-digit recovery password will not be available in FIPS compliance mode. 
  61.  
  62. IMPORTANT: To prevent data loss, you must have a way to recover BitLocker. If you disallow both recovery options below, you must enable the policy setting to "Turn on BitLocker backup to Active Directory Domain Services". Otherwise, a policy error occurs.</string>
  63.       <string id="ConfigureRecoveryUsage_Name">Control Panel Setup: Configure recovery options</string>
  64.       <string id="ConfigureRecoveryPasswordUsageDropDown_Require">Require recovery password (default)</string>
  65.       <string id="ConfigureRecoveryPasswordUsageDropDown_Disallow">Disallow recovery password</string>
  66.  
  67.       <string id="ConfigureRecoveryKeyUsageDropDown_Require">Require recovery key (default)</string>
  68.       <string id="ConfigureRecoveryKeyUsageDropDown_Disallow">Disallow recovery key</string>
  69.  
  70.  
  71.       <string id="ConfigureRecoveryFolder_Help">This policy setting allows you to specify the default path that is displayed when the BitLocker Drive Encryption setup wizard prompts the user to enter the location of a folder in which to save the recovery password.
  72.  
  73. If you enable this policy setting, you can specify the path that will be used as the default folder location when the user chooses the option to save the recovery password in a folder. You can specify either a fully-qualified path or include the target computer's environment variables in the path. If the path is not valid, the BitLocker setup wizard will display the computer's top-level folder view. 
  74.  
  75. If you disable or do not configure this policy setting, the BitLocker setup wizard will display the computer's top-level folder view when the user chooses the option to save the recovery password in a folder.
  76.  
  77. Note: In all cases, the user will be able to select other folders in which to save the recovery password.</string>
  78.       <string id="ConfigureRecoveryFolder_Name">Control Panel Setup: Configure recovery folder</string>
  79.  
  80.       <string id="EncryptionMethod_Help">This policy setting allows you to configure the algorithm and key size used by BitLocker Drive Encryption. This policy setting applies on a fully-decrypted disk. Changing the encryption method has no effect if the disk is already encrypted or if encryption is in progress.
  81.  
  82. If you enable this policy setting, you can configure the encryption method used on an unencrypted volume. Consult online documentation for more information about the available encryption methods.
  83.  
  84. If you disable or do not configure this policy setting, BitLocker will use the default encryption method of AES 128 bit with Diffuser or the encryption method specified by a local administrator's setup script. </string>
  85.       <string id="EncryptionMethod_Name">Configure encryption method</string>
  86.       <string id="EncryptionMethodDropDown_AES128Diffuser_Name">AES 128 bit with Diffuser (default)</string>
  87.       <string id="EncryptionMethodDropDown_AES256Diffuser_Name">AES 256 bit with Diffuser</string>
  88.       <string id="EncryptionMethodDropDown_AES128_Name">AES 128 bit</string>
  89.       <string id="EncryptionMethodDropDown_AES256_Name">AES 256 bit</string>
  90.       <string id="FVECategory">BitLocker Drive Encryption</string>
  91.       <string id="PlatformValidation_Help">This policy setting allows you to configure how the computer's Trusted Platform Module (TPM) security hardware secures the BitLocker encryption key. This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker has already been turned on with TPM protection.
  92.  
  93. If you enable this policy setting before turning on BitLocker, you can configure the boot components that the TPM will validate before unlocking access to the BitLocker-encrypted OS volume. If any of these components change while BitLocker protection is in effect, the TPM will not release the encryption key to unlock the volume and the computer will enter into recovery mode during boot.
  94.  
  95. If you disable or do not configure this policy setting, the TPM uses the default platform validation profile or the platform validation profile specified by a local administrator's setup script. The default platform validation profile secures the encryption key against changes to the Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0), the Option ROM Code (PCR 2), the Master Boot Record (MBR) Code (PCR 4), the NTFS Boot Sector (PCR 8), the NTFS Boot Block (PCR 9), the Boot Manager (PCR 10), and the BitLocker Access Control (PCR 11). 
  96.  
  97. WARNING: Changing from the default profile affects the security and manageability of your computer. BitLocker's sensitivity to platform modifications (malicious or authorized) is increased or decreased depending upon inclusion or exclusion (respectively) of the PCRs. </string>
  98.       <string id="PlatformValidation_Name">Configure TPM platform validation profile</string>
  99.  
  100.       <string id="MorBehavior_Help">This policy setting controls computer restart performance at the risk of exposing BitLocker secrets. BitLocker secrets include key material used to encrypt data. This policy setting applies only when BitLocker protection is enabled. 
  101.  
  102. If you enable this policy setting, Microsoft Windows will not instruct the computer to overwrite memory on restarts. Preventing memory overwrite may improve restart performance, but will increase the risk of exposing BitLocker secrets.
  103.  
  104. If you disable or do not configure this policy setting, Microsoft Windows will help ensure that BitLocker secrets are removed from memory when the computer restarts.</string>
  105.       <string id="MorBehavior_Name">Prevent memory overwrite on restart</string>
  106.  
  107.  
  108.     </stringTable>
  109.     <presentationTable>
  110.       <presentation id="ActiveDirectoryBackup_Name">
  111.         <checkBox refId="RequireActiveDirectoryBackup_Name" defaultChecked="true">Require BitLocker backup to AD DS</checkBox>
  112.         <text/>
  113.         <text>If selected, cannot turn on BitLocker if backup fails</text>
  114.         <text>(recommended default).</text>
  115.         <text/>
  116.         <text>If not selected, can turn on BitLocker even if backup</text>
  117.         <text>fails. Backup is not automatically retried.</text>
  118.         <text/>
  119.         <dropdownList refId="ActiveDirectoryBackupDropDown_Name" noSort="true" defaultItem="0">Select BitLocker recovery information to store:</dropdownList>
  120.         <text/>
  121.         <text>A recovery password is a 48-digit number that unlocks</text>
  122.         <text>access to a BitLocker-protected volume.</text>
  123.         <text>A key package contains a volume's BitLocker encryption</text>
  124.     <text>key secured by one or more recovery passwords</text>
  125.     <text/>
  126.     <text>Key packages may help perform specialized recovery</text>
  127.     <text>when the disk is damaged or corrupted. </text>
  128.       </presentation>
  129.       <presentation id="ConfigureStartupUsage_Name">
  130.         <checkBox refId="ConfigureNonTPMStartupKeyUsage_Name" defaultChecked="true">Allow BitLocker without a compatible TPM</checkBox>
  131.         <text>(requires a startup key on a USB flash drive)</text>
  132.         <text/>
  133.  
  134.         <text>Settings for computers with a TPM:</text>
  135.         <text/>
  136.  
  137.         <dropdownList refId="ConfigureTPMStartupKeyUsageDropDown_Name" noSort="true" defaultItem="0">Configure TPM startup key option:</dropdownList>
  138.         
  139.         <dropdownList refId="ConfigurePINUsageDropDown_Name" noSort="true" defaultItem="0">Configure TPM startup PIN option:</dropdownList>
  140.  
  141.         <text>IMPORTANT: If you require the startup key,</text>
  142.         <text>you must disallow the startup PIN.</text>
  143.         <text>If you require the startup PIN,</text>
  144.         <text>you must disallow the startup key.</text>
  145.         <text>Otherwise, a policy error occurs.</text>
  146.         <text/>
  147.         <text>Note: Disallow both startup key and startup key</text>
  148.         <text>options to hide the advanced page on computers</text>
  149.         <text>with a TPM.</text>
  150.         <text/>
  151.  
  152.       </presentation>
  153.       
  154.       <presentation id="ConfigureRecoveryUsage_Name">
  155.         <text>IMPORTANT: To prevent data loss, you must have a way to recover</text>
  156.         <text>BitLocker. If you disallow both recovery options below, you must</text>
  157.         <text>enable backup of BitLocker recovery information to AD DS.</text>
  158.         <text>Otherwise, a policy error occurs.</text>
  159.         <text/>
  160.  
  161.         <dropdownList refId="ConfigureRecoveryPasswordUsageDropDown_Name" noSort="true" defaultItem="0">Configure 48-digit recovery password option:</dropdownList>
  162.       
  163.         <dropdownList refId="ConfigureRecoveryKeyUsageDropDown_Name" noSort="true" defaultItem="0">Configure 256-bit recovery key option:</dropdownList>
  164.         
  165.  
  166.         <text/>
  167.         <text>Note: If you disallow the recovery password</text>
  168.         <text>and require the recovery key, users cannot</text>
  169.         <text>enable BitLocker without saving to USB.</text>
  170.         <text/>
  171.         
  172.       </presentation>      
  173.       
  174.  
  175.       <presentation id="ConfigureRecoveryFolder_Name">
  176.  
  177.         <textBox refId="ConfigureRecoveryFolderPath_Input">
  178.           <label>Configure the default folder path:</label>
  179.           <defaultValue/>
  180.         </textBox>
  181.  
  182.         <text>Specify a fully-qualified path or include the computer's</text>
  183.         <text>environment variables in the path. </text>
  184.         <text/>
  185.         
  186.         <text>For example, enter "\\server\backupfolder",</text>
  187.         <text>or "%SecureDriveEnvironmentVariable%\backupfolder"</text>
  188.         <text/>
  189.         
  190.         <text>Note: In all cases, the user will be able to select other</text>
  191.         <text>folders in which to save the recovery password.</text>
  192.         <text/>
  193.         
  194.       </presentation>
  195.       
  196.       
  197.       <presentation id="EncryptionMethod_Name">
  198.         <dropdownList refId="EncryptionMethodDropDown_Name" noSort="true" defaultItem="0">Select the encryption method:</dropdownList>
  199.       </presentation>
  200.       <presentation id="PlatformValidation_Name">
  201.         <text>A platform validation profile consists of a set of</text>
  202.         <text>Platform Configuration Register (PCR) indices.</text>
  203.         <text>Each PCR index is associated with components that run</text>
  204.         <text>when Windows starts.</text>
  205.         <text/>
  206.         <text>Use the checkboxes below to choose the PCR indices to</text>
  207.         <text>include in the profile. </text>
  208.         <text/>
  209.         <text>Exercise caution when changing this setting.</text>
  210.         <text>We recommend the default of PCRs 0, 2, 4, 8, 9, 10, and 11.</text>
  211.         <text>For BitLocker protection to take effect, you must include PCR 11.</text>
  212.  
  213.         <text>Consult online documentation for more information</text>
  214.         <text>about the benefits and risks of changing the default</text>
  215.         <text>TPM platform validation profile.</text>
  216.         <text/>
  217.         <checkBox refId="PlatformValidation_Setting0" defaultChecked="true">PCR 0: Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions</checkBox>
  218.         <checkBox refId="PlatformValidation_Setting1">PCR 1: Platform and Motherboard Configuration and Data</checkBox>
  219.         <checkBox refId="PlatformValidation_Setting2" defaultChecked="true">PCR 2: Option ROM Code</checkBox>
  220.         <checkBox refId="PlatformValidation_Setting3">PCR 3: Option ROM Configuration and Data</checkBox>
  221.         <checkBox refId="PlatformValidation_Setting4" defaultChecked="true">PCR 4: Master Boot Record (MBR) Code</checkBox>
  222.         <checkBox refId="PlatformValidation_Setting5">PCR 5: Master Boot Record (MBR) Partition Table</checkBox>
  223.         <checkBox refId="PlatformValidation_Setting6">PCR 6: State Transition and Wake Events</checkBox>
  224.         <checkBox refId="PlatformValidation_Setting7">PCR 7: Computer Manufacturer-Specific</checkBox>
  225.         <checkBox refId="PlatformValidation_Setting8" defaultChecked="true">PCR 8: NTFS Boot Sector</checkBox>
  226.         <checkBox refId="PlatformValidation_Setting9" defaultChecked="true">PCR 9: NTFS Boot Block</checkBox>
  227.         <checkBox refId="PlatformValidation_Setting10" defaultChecked="true">PCR 10: Boot Manager</checkBox>
  228.         <checkBox refId="PlatformValidation_Setting11" defaultChecked="true">PCR 11: BitLocker Access Control</checkBox>
  229.         <checkBox refId="PlatformValidation_Setting12">PCR 12: Reserved for Future Use</checkBox>
  230.         <checkBox refId="PlatformValidation_Setting13">PCR 13: Reserved for Future Use</checkBox>
  231.         <checkBox refId="PlatformValidation_Setting14">PCR 14: Reserved for Future Use</checkBox>
  232.         <checkBox refId="PlatformValidation_Setting15">PCR 15: Reserved for Future Use</checkBox>
  233.         <checkBox refId="PlatformValidation_Setting16">PCR 16: Reserved for Future Use</checkBox>
  234.         <checkBox refId="PlatformValidation_Setting17">PCR 17: Reserved for Future Use</checkBox>
  235.         <checkBox refId="PlatformValidation_Setting18">PCR 18: Reserved for Future Use</checkBox>
  236.         <checkBox refId="PlatformValidation_Setting19">PCR 19: Reserved for Future Use</checkBox>
  237.         <checkBox refId="PlatformValidation_Setting20">PCR 20: Reserved for Future Use</checkBox>
  238.         <checkBox refId="PlatformValidation_Setting21">PCR 21: Reserved for Future Use</checkBox>
  239.         <checkBox refId="PlatformValidation_Setting22">PCR 22: Reserved for Future Use</checkBox>
  240.         <checkBox refId="PlatformValidation_Setting23">PCR 23: Reserved for Future Use</checkBox>
  241.       </presentation>
  242.       
  243.       <presentation id="MorBehavior_Name">
  244.       </presentation>
  245.       
  246.     </presentationTable>
  247.   </resources>
  248. </policyDefinitionResources>
  249.