Поставщик служб конфигурации BitLocker
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
Поставщик службы конфигурации BitLocker (CSP) используется предприятием для управления шифрованием компьютеров и устройств. Этот поставщик служб CSP был добавлен в Windows 10 версии 1703. Начиная с Windows 10, версия 1809, он также поддерживается в Windows 10 Pro.
Примечание.
Для управления BitLocker через CSP, за исключением включения и отключения с помощью RequireDeviceEncryption политики, пользователям должна быть назначена одна из следующих лицензий независимо от платформы управления:
- Windows 10/11 Enterprise E3 или E5 (входит в состав Microsoft 365 F3, E3 и E5).
- Windows 10/11 Enterprise A3 или A5 (входит в состав Microsoft 365 A3 и A5).
Операция Get с любым из параметров, за исключением RequireDeviceEncryption и RequireStorageCardEncryption, возвращает параметр, настроенный администратором.
Для RequireDeviceEncryption и RequireStorageCardEncryption операция Get возвращает администратору фактическое состояние принудительного применения, например, требуется ли защита доверенного платформенного модуля (TPM) и требуется ли шифрование. И если на устройстве включен BitLocker, но с защитой паролем, сообщается о состоянии 0. Операция Get в RequireDeviceEncryption не проверяет, применяется ли минимальная длина ПИН-кода (SystemDrivesMinimumPINLength).
Примечание.
- Параметры применяются только при запуске шифрования. Шифрование не перезапускается с изменениями параметров.
- Чтобы обеспечить эффективность, все параметры должны быть отправлены вместе в одном файле SyncML.
В следующем списке показаны узлы поставщика службы конфигурации BitLocker:
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- Состояние
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Позволяет Администратор применять политику RequireDeviceEncryption для сценариев, в которых политика отправляется, а текущий пользователь, выполнивший вход, не является администратором или стандартным пользователем.
Политика AllowStandardUserEncryption привязана к политике AllowWarningForOtherDiskEncryption, для которой задано значение 0, т. е. применяется автоматическое шифрование.
Если параметр AllowWarningForOtherDiskEncryption не задан или имеет значение 1, политика RequireDeviceEncryption не будет пытаться зашифровать диски, если стандартный пользователь является текущим вошедшего в систему пользователя.
Ожидаемые значения для этой политики:
1 = политика RequireDeviceEncryption попытается включить шифрование на всех фиксированных дисках, даже если текущий пользователь, выполнивший вход, является обычным пользователем.
0 = это значение по умолчанию, если политика не задана. Если текущий пользователь, выполнивший вход, является стандартным пользователем, политика RequireDeviceEncryption не будет пытаться включить шифрование на любом диске.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
| Зависимость [AllowWarningForOtherDiskEncryptionDependency] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Это значение по умолчанию, если политика не задана. Если текущий пользователь, выполнивший вход, является стандартным пользователем, политика RequireDeviceEncryption не будет пытаться включить шифрование на любом диске. |
| 1 | Политика RequireDeviceEncryption будет пытаться включить шифрование на всех фиксированных дисках, даже если текущий вошедший в систему пользователь является обычным пользователем. |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Позволяет Администратор отключить весь пользовательский интерфейс (уведомление о шифровании и предупреждение о другом шифровании диска) и включить шифрование на пользовательских компьютерах автоматически.
Warning
При включении BitLocker на устройстве со сторонним шифрованием устройство может оказаться непригодным для использования и потребует переустановки Windows.
Примечание.
Эта политика вступает в силу, только если для политики RequireDeviceEncryption задано значение 1.
Ожидаемые значения для этой политики:
1 = это значение по умолчанию, если политика не задана. Предупреждение и уведомление о шифровании разрешены.
0 = отключает предупреждение и уведомление о шифровании. Начиная с Windows 10 следующего основного обновления значение 0 вступает в силу только на устройствах, присоединенных к Microsoft Entra.
Windows попытается включить BitLocker автоматически для значения 0.
Примечание.
При отключении предупреждения ключ восстановления диска ОС будет выполнять резервное копирование в учетную запись Microsoft Entra пользователя. Когда вы разрешаете предупреждение, пользователь, получающий запрос, может выбрать, где создать резервную копию ключа восстановления диска ОС.
Конечная точка для резервной копии фиксированного диска данных выбирается в следующем порядке:
- Учетная запись Windows Server Active Directory Доменные службы пользователя.
- Учетная запись Microsoft Entra пользователя.
- Личный oneDrive пользователя (только MDM/MAM).
Шифрование будет ждать, пока одно из этих трех расположений успешно выполнит резервное копирование.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Отключает предупреждение. Начиная с Windows 10 версии 1803 значение 0 можно задать только для Microsoft Entra присоединенных устройств. Windows попытается включить BitLocker автоматически для значения 0. |
| 1 (по умолчанию) | Предупреждение разрешено. |
Пример:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1909 [10.0.18363] и более поздние |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Позволяет Администратор настроить смену паролей числового восстановления при использовании для ОС и фиксированных дисков на Microsoft Entra ID и гибридных устройствах, присоединенных к домену.
Если настройка не настроена, ротация включена по умолчанию только для Microsoft Entra ID и отключена в гибридной среде. Политика будет действовать только в том случае, если резервное копирование Active Directory для пароля восстановления настроено на обязательный.
Для диска ОС: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы".
Для фиксированных дисков: включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными".
Поддерживаемые значения: 0 — смена числовых паролей восстановления отключена.
1 — смена числовых паролей восстановления при использовании on для Microsoft Entra присоединенных устройств. Значение по умолчанию 2 — смена числовых паролей восстановления при использовании on для Microsoft Entra ID и гибридных устройств.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Обновление отключено (по умолчанию). |
| 1 | Обновление для устройств, присоединенных к Microsoft Entra. |
| 2 | Обновление для устройств, присоединенных к Microsoft Entra и гибридных. |
EncryptionMethodByDriveType
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Этот параметр политики определяет, требуется ли защита BitLocker, чтобы компьютер мог записывать данные на съемный диск.
- Если этот параметр политики включен, все съемные диски с данными, которые не защищены BitLocker, будут подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если выбран параметр "Запретить доступ на запись для устройств, настроенных в другой организации", доступ на запись будет предоставлен только дискам с полями идентификации, соответствующими полям идентификации компьютера. При обращении к съемным дискам с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики "Укажите уникальные идентификаторы для организации".
- Если этот параметр политики отключен или не настроен, все съемные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Примечание.
Этот параметр политики можно переопределить с помощью параметров политики в разделе Конфигурация пользователя\Административные шаблоны\Система\Доступ к съемным хранилищам. Если параметр политики "Съемные диски: запрет доступа на запись" включен, этот параметр политики будет игнорироваться.
Примечание.
При включении EncryptionMethodByDriveType необходимо указать значения для всех трех дисков (операционная система, фиксированные данные и съемные данные), в противном случае произойдет сбой (состояние возврата 500). Например, если задать метод шифрования только для ОС и съемных дисков, вы получите состояние возврата 500.
Элементы идентификатора данных:
- EncryptionMethodWithXtsOsDropDown_Name = выберите метод шифрования для дисков операционной системы.
- EncryptionMethodWithXtsFdvDropDown_Name = Выберите метод шифрования для фиксированных дисков с данными.
- EncryptionMethodWithXtsRdvDropDown_Name = Выберите метод шифрования съемных дисков с данными.
Пример значения для этого узла, чтобы включить эту политику и задать методы шифрования:
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
Возможные значения для "xx":
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | RDVDenyWriteAccess_Name |
| Понятное имя | Запретить запись на съемные диски, не защищенные BitLocker |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
| Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
| Имя значения реестра | RDVDenyWriteAccess |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования. Например, когда диск, использующий шифрование только используемого пространства, расширяется, новое свободное пространство не очищается, как для диска с полным шифрованием. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе manage-bde.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | FDVEncryptionType_Name |
| Понятное имя | Применение типа шифрования диска на фиксированных дисках с данными |
| Location | Конфигурация компьютера |
| Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | FDVEncryptionType |
| Имя файла ADMX | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
Этот параметр политики позволяет управлять восстановлением фиксированных дисков с данными, защищенных BitLocker, при отсутствии необходимых учетных данных. Этот параметр политики применяется при включении BitLocker.
Поле "Разрешить агент восстановления данных" проверка используется, чтобы указать, можно ли использовать агент восстановления данных с фиксированными дисками с фиксированными данными, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из элемента Политики открытых ключей в консоли управления групповая политика или локальной групповая политика Редактор. Дополнительные сведения о добавлении агентов восстановления данных см. в руководстве по развертыванию шифрования дисков BitLocker в Microsoft TechNet.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
Выберите "Опустить параметры восстановления в мастере настройки BitLocker", чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Это означает, что вы не сможете указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе "Сохранение сведений о восстановлении BitLocker для доменные службы Active Directory" выберите, какие сведения о восстановлении BitLocker следует хранить в AD DS для фиксированных дисков с данными. При выборе параметра "Резервное копирование пароля восстановления и пакета ключей" оба пароля восстановления BitLocker и пакет ключей сохраняются в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбрать параметр "Только резервный пароль восстановления", в AD DS сохраняется только пароль восстановления.
Установите флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными" проверка, если вы хотите запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS успешно.
Примечание.
Если выбрано поле "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными" проверка, автоматически создается пароль восстановления.
Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с фиксированных дисков с фиксированными данными, защищенными BitLocker.
Если этот параметр политики не настроен или отключен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию разрешена DRA, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
Элементы идентификатора данных:
- FDVAllowDRA_Name: разрешить агент восстановления данных
- FDVRecoveryPasswordUsageDropDown_Name и FDVRecoveryKeyUsageDropDown_Name. Настройка пользовательского хранилища сведений о восстановлении BitLocker
- FDVHideRecoveryPage_Name. Опустить параметры восстановления в мастере настройки BitLocker
- FDVActiveDirectoryBackup_Name. Сохранение сведений о восстановлении BitLocker в доменные службы Active Directory
- FDVActiveDirectoryBackupDropDown_Name. Настройка хранения сведений о восстановлении BitLocker в AD DS
- FDVRequireActiveDirectoryBackup_Name: не включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 0 = запрещено
- 1 = обязательный
- 2 = разрешено
Возможные значения для zz:
- 1 = хранение паролей восстановления и пакетов ключей
- 2 = хранить только пароли восстановления
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | FDVRecoveryUsage_Name |
| Понятное имя | Выберите способы восстановления фиксированных дисков с защитой BitLocker |
| Location | Конфигурация компьютера |
| Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | FDVRecovery |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
Этот параметр политики определяет, требуется ли защита BitLocker для записи фиксированных дисков данных на компьютере.
Если этот параметр политики включен, все фиксированные диски с данными, которые не защищены BitLocker, будут подключены только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если этот параметр политики отключен или не настроен, все фиксированные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | FDVDenyWriteAccess_Name |
| Понятное имя | Запретить запись на фиксированные диски, не защищенные BitLocker |
| Location | Конфигурация компьютера |
| Путь | Фиксированные диски с данными > для > компонентов Windows BitLocker |
| Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
| Имя значения реестра | FDVDenyWriteAccess |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/IdentificationField
Этот параметр политики позволяет связать уникальные идентификаторы организации с новым диском, включенным с помощью BitLocker. Эти идентификаторы хранятся в качестве поля идентификации и поля разрешенной идентификации. Поле идентификации позволяет связать уникальный идентификатор организации с дисками, защищенными BitLocker. Этот идентификатор автоматически добавляется на новые диски, защищенные BitLocker, и его можно обновить на существующих дисках, защищенных BitLocker, с помощью средства командной строки manage-bde . Поле идентификации требуется для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker, и для потенциальных обновлений средства чтения BitLocker To Go. BitLocker будет управлять и обновлять агенты восстановления данных только в том случае, если поле идентификации на диске соответствует значению, заданному в поле идентификации. Аналогичным образом BitLocker обновляет средство чтения BitLocker To Go только в том случае, если поле идентификации на диске соответствует значению, настроенному для поля идентификации.
Поле разрешенной идентификации используется в сочетании с параметром политики "Запретить доступ на запись к съемным дискам, не защищенным BitLocker", чтобы контролировать использование съемных дисков в организации. Это разделенный запятыми список полей идентификации от вашей организации или других внешних организаций.
Поля идентификации на существующих дисках можно настроить с помощью .exe manage-bde .
- Если этот параметр политики включен, можно настроить поле идентификации на диске, защищенном BitLocker, и любое разрешенное поле идентификации, используемое вашей организацией.
Если диск, защищенный BitLocker, подключен к другому компьютеру с поддержкой BitLocker, поле идентификации и поле разрешенной идентификации будут использоваться для определения того, является ли диск из внешней организации.
- Если этот параметр политики отключен или не настроен, поле идентификации не требуется.
Примечание.
Поля идентификации необходимы для управления агентами восстановления данных на основе сертификатов на дисках, защищенных BitLocker. BitLocker будет управлять и обновлять агенты восстановления данных на основе сертификатов только в том случае, если поле идентификации присутствует на диске и идентично значению, настроенном на компьютере. Поле идентификации может содержать любое значение из 260 символов или меньше.
Элементы идентификатора данных:
- IdentificationField: это поле идентификации BitLocker.
- SecIdentificationField: это допустимое поле идентификации BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | IdentificationField_Name |
| Понятное имя | Укажите уникальные идентификаторы для вашей организации |
| Location | Конфигурация компьютера |
| Путь | Шифрование диска BitLocker компонентов > Windows |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | IdentificationField |
| Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
Этот параметр политики управляет использованием BitLocker на съемных дисках с данными. Этот параметр политики применяется при включении BitLocker.
Если этот параметр политики включен, можно выбрать параметры свойств, которые определяют способ настройки BitLocker пользователями. Выберите "Разрешить пользователям применять защиту BitLocker на съемных дисках с данными", чтобы разрешить пользователю запускать мастер настройки BitLocker на съемном диске с данными. Выберите "Разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными", чтобы разрешить пользователю удалить шифрование диска BitLocker с диска или приостановить шифрование во время обслуживания. Сведения о приостановке защиты BitLocker см. в статье Базовое развертывание BitLocker.
Если этот параметр политики не настроен, пользователи могут использовать BitLocker на съемных дисках.
Если этот параметр политики отключен, пользователи не смогут использовать BitLocker на съемных дисках.
Элементы идентификатора данных:
- RDVAllowBDE_Name: разрешить пользователям применять защиту BitLocker на съемных дисках с данными.
- RDVDisableBDE_Name: разрешить пользователям приостанавливать и расшифровывать BitLocker на съемных дисках с данными.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | RDVConfigureBDE |
| Понятное имя | Управление использованием BitLocker на съемных дисках |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | RDVConfigureBDE |
| Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesEncryptionType
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Зависимость [BDEAllowed] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE Тип допустимого значения зависимостей: ADMX |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | RDVEncryptionType_Name |
| Понятное имя | Применение типа шифрования диска на съемных дисках с данными |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | RDVEncryptionType |
| Имя файла ADMX | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
Если этот параметр включен, вы можете исключить съемные диски и устройства, подключенные через USB-интерфейс, из шифрования устройств BitLocker. Исключенные устройства не могут быть зашифрованы даже вручную. Кроме того, если настроен параметр Запрет доступа на запись к съемным дискам, не защищенным BitLocker, пользователю не будет предложено шифрование, и диск будет подключен в режиме чтения и записи. Укажите разделенный запятыми список исключенных съемных дисков\устройств с помощью идентификатора оборудования дискового устройства. Пример USBSTOR\SEAGATE_ST39102LW_______0004.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: ,) |
RemovableDrivesRequireEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
Этот параметр политики определяет, требуется ли защита BitLocker, чтобы компьютер мог записывать данные на съемный диск.
- Если этот параметр политики включен, все съемные диски с данными, которые не защищены BitLocker, будут подключены как доступные только для чтения. Если диск защищен с помощью BitLocker, он будет подключен с доступом для чтения и записи.
Если выбран параметр "Запретить доступ на запись для устройств, настроенных в другой организации", доступ на запись будет предоставлен только дискам с полями идентификации, соответствующими полям идентификации компьютера. При обращении к съемным дискам с данными проверяется допустимое поле идентификации и допустимые поля идентификации. Эти поля определяются параметром политики "Укажите уникальные идентификаторы для организации".
- Если этот параметр политики отключен или не настроен, все съемные диски с данными на компьютере будут подключены с доступом на чтение и запись.
Примечание.
Этот параметр политики можно переопределить с помощью параметров политики в разделе Конфигурация пользователя\Административные шаблоны\Система\Доступ к съемным хранилищам. Если параметр политики "Съемные диски: запрет доступа на запись" включен, этот параметр политики будет игнорироваться.
Элементы идентификатора данных:
- RDVCrossOrg: запретить доступ на запись устройствам, настроенным в другой организации
Пример значения для этого узла для включения этой политики:
<enabled/><data id="RDVCrossOrg" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | RDVDenyWriteAccess_Name |
| Понятное имя | Запретить запись на съемные диски, не защищенные BitLocker |
| Location | Конфигурация компьютера |
| Путь | Компоненты > Windows BitLocker, шифрование > съемных дисков с данными |
| Имя раздела реестра | System\CurrentControlSet\Policies\Microsoft\FVE |
| Имя значения реестра | RDVDenyWriteAccess |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Позволяет Администратор требовать включения шифрования с помощью BitLocker\Device Encryption.
Пример значения для этого узла, чтобы включить эту политику:
1
Отключение политики не приведет к отключению шифрования на системном диске. Но перестанет предлагать пользователю включить его.
Примечание.
В настоящее время при использовании этого CSP для автоматического шифрования поддерживается только полное шифрование диска. Для нестандартного шифрования тип шифрования будет зависеть SystemDrivesEncryptionType от и FixedDrivesEncryptionType настроенного на устройстве.
Состояние томов ОС и зашифрованных томов данных проверяется с помощью операции Get. Как правило, шифрование BitLocker или устройства будет соответствовать значению политики EncryptionMethodByDriveType . Однако этот параметр политики будет игнорироваться для самошифровки фиксированных дисков и самошифрующихся дисков ОС.
Зашифрованные фиксированные тома данных обрабатываются аналогично томам ОС. Тем не менее, фиксированные тома данных должны соответствовать другим критериям, чтобы считаться зашифрованными:
- Он не должен быть динамическим томом.
- Он не должен быть разделом восстановления.
- Он не должен быть скрытым томом.
- Это не должна быть системная секция.
- Он не должен поддерживаться виртуальным хранилищем.
- Он не должен содержать ссылку в хранилище BCD.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключить. Если параметр политики не задан или имеет значение 0, состояние принудительного применения устройства не проверяется. Политика не применяет шифрование и не расшифровывает зашифрованные тома. |
| 1 | Включить. Проверяется состояние принудительного применения устройства. Установка для этой политики значения 1 активирует шифрование всех дисков (автоматически или не автоматически на основе политики AllowWarningForOtherDiskEncryption). |
Пример:
Чтобы отключить RequireDeviceEncryption, выполните приведенные далее действия.
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
Примечание.
Эта политика является устаревшей и может быть удалена в будущем выпуске.
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
Позволяет Администратор требовать шифрования карта хранилища на устройстве.
Эта политика действительна только для номера SKU для мобильных устройств.
Пример значения для этого узла, чтобы включить эту политику:
1
Отключение политики не приведет к отключению шифрования на карта хранилища. Но перестанет предлагать пользователю включить его.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Карты памяти не нужно шифровать. |
| 1 | Требовать шифрование карт памяти. |
RotateRecoveryPasswords
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1909 [10.0.18363] и более поздние |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
Позволяет администратору отправлять однократную смену всех числовых паролей восстановления для дисков ОС и фиксированных данных на устройстве Microsoft Entra ID или гибридном присоединении.
Эта политика имеет тип выполнения и сменяет все числовые пароли при выдаче из средств MDM.
Политика вступает в силу только в том случае, если для резервного копирования Active Directory для пароля восстановления настроено значение "обязательный".
Для дисков ОС включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в доменные службы Active Directory для дисков операционной системы".
Для фиксированных дисков включите параметр "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в доменные службы Active Directory для фиксированных дисков с данными".
Клиент возвращает состояние DM_S_ACCEPTED_FOR_PROCESSING для указания начала смены. Сервер может запрашивать состояние со следующими узлами состояния:
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID.
Поддерживаемые значения: строковая форма идентификатора запроса. Пример формата идентификатора запроса — GUID. Сервер может выбрать нужный формат в соответствии со средствами управления.
Примечание.
Смена ключей поддерживается только для этих типов регистрации. Дополнительные сведения см. в разделе перечисление deviceEnrollmentType.
- windowsAzureADJoin.
- windowsBulkAzureDomainJoin.
- windowsAzureADJoinUsingDeviceAuth.
- windowsCoManagement.
Совет
Функция смены ключей будет работать только в том случае, если:
Для дисков операционной системы:
- OSRequireActiveDirectoryBackup_Name задано значение 1 ("Обязательный").
- OSActiveDirectoryBackup_Name задано значение true.
Для фиксированных дисков с данными:
- FDVRequireActiveDirectoryBackup_Name задано значение 1 = ("Обязательный").
- FDVActiveDirectoryBackup_Name задано значение true.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Exec |
Состояние
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/BitLocker/Status
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | node |
| Тип доступа | Получите |
Status/DeviceEncryptionStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1903 [10.0.18362] и более поздние |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
Этот узел сообщает о состоянии соответствия шифрования устройств в системе.
Значение "0" означает, что устройство соответствует требованиям. Любое другое значение представляет устройство, не соответствующее требованиям.
Это значение представляет битовую маску с каждым битом и соответствующий код ошибки, описанный в следующей таблице:
| Разрядной | Код ошибки |
|---|---|
| 0 | Политика BitLocker требует согласия пользователя на запуск мастера шифрования дисков BitLocker, чтобы начать шифрование тома ОС, но пользователь не предоставил согласие. |
| 1 | Метод шифрования тома ОС не соответствует политике BitLocker. |
| 2 | Том ОС не защищен. |
| 3 | Для политики BitLocker требуется только предохранитель TPM для тома ОС, но защита доверенного платформенного модуля не используется. |
| 4 | Для политики BitLocker требуется защита доверенного платформенного модуля и ПИН-кода для тома ОС, но предохранитель доверенного платформенного модуля и ПИН-кода не используется. |
| 5 | Политика BitLocker требует защиты TPM+ключа запуска для тома ОС, но предохранитель ключа доверенного платформенного модуля и ключа запуска не используется. |
| 6 | Политика BitLocker требует защиты TPM+ПИН-кода+ключа запуска для тома ОС, но предохранитель TPM+ПИН-код+ключ запуска не используется. |
| 7 | Политика BitLocker требует защиты доверенного платформенного модуля для защиты тома ОС, но TPM не используется. |
| 8 | Сбой резервного копирования ключа восстановления. |
| 9 | Фиксированный диск не защищен. |
| 10 | Метод шифрования фиксированного диска не соответствует политике BitLocker. |
| 11 | Чтобы зашифровать диски, политика BitLocker требует, чтобы пользователь вошел в систему с правами администратора, или если устройство присоединено к Microsoft Entra ID, политика AllowStandardUserEncryption должна иметь значение 1. |
| 12 | Среда восстановления Windows (WinRE) не настроена. |
| 13 | TPM недоступен для BitLocker, так как он отсутствует, он недоступен в реестре или ос находится на съемном диске. |
| 14 | TPM не готов к использованию BitLocker. |
| 15 | Сеть недоступна, что требуется для резервного копирования ключей восстановления. |
| 16 | Тип шифрования тома ОС для полного диска и шифрования только используемого пространства не соответствует политике BitLocker. |
| 17 | Тип шифрования фиксированного диска для полного диска и шифрования только используемого пространства не соответствует политике BitLocker. |
| 18-31 | Для использования в будущем. |
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Status/RemovableDrivesEncryptionStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
Этот узел сообщает о состоянии соответствия шифрования диска удаления. Значение "0" означает, что диск для удаления зашифрован в соответствии со всеми заданными параметрами диска удаления.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
Status/RotateRecoveryPasswordsRequestID
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1909 [10.0.18363] и более поздние |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
Этот узел сообщает Идентификатор запроса, соответствующий Параметру RotateRecoveryPasswordsStatus.
Этот узел необходимо запрашивать в синхронизации с RotateRecoveryPasswordsStatus, чтобы обеспечить правильное соответствие состояния идентификатору запроса.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Получите |
Status/RotateRecoveryPasswordsStatus
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1909 [10.0.18363] и более поздние |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
Этот узел сообщает о состоянии запроса RotateRecoveryPasswords.
Код состояния может быть одним из следующих:
NotStarted(2), Pending (1), Pass (0), Другие коды ошибок в случае сбоя.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Получите |
SystemDrivesDisallowStandardUsersCanChangePIN
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
Этот параметр политики позволяет настроить, разрешено ли стандартным пользователям изменять ПИН-коды тома BitLocker при условии, что они могут сначала указать существующий ПИН-код.
Этот параметр политики применяется при включении BitLocker.
Если этот параметр политики включен, обычные пользователи не смогут изменять ПИН-коды Или пароли BitLocker.
Если этот параметр политики отключен или не настроен, стандартные пользователи смогут изменять ПИН-коды и пароли BitLocker.
Примечание.
Чтобы изменить ПИН-код или пароль, пользователь должен иметь возможность указать текущий ПИН-код или пароль.
Пример значения для этого узла для отключения этой политики: <disabled/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | DisallowStandardUsersCanChangePIN_Name |
| Понятное имя | Запретить стандартным пользователям изменять ПИН-код или пароль |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | DisallowStandardUserPINReset |
| Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
Этот параметр политики позволяет пользователям включать параметры проверки подлинности, требующие ввода пользователем из среды перед загрузкой, даже если платформа не имеет возможности ввода перед загрузкой.
Сенсорная клавиатура Windows (например, используемая планшетами) недоступна в среде перед загрузкой, где bitLocker требуется дополнительная информация, например ПИН-код или пароль.
Если этот параметр политики включен, устройства должны иметь альтернативные средства ввода перед загрузкой (например, подключенную USB-клавиатуру).
Если эта политика не включена, среда восстановления Windows должна быть включена на планшетах для поддержки ввода пароля восстановления BitLocker. Если среда восстановления Windows не включена и эта политика не включена, вы не сможете включить BitLocker на устройстве, на котором используется сенсорная клавиатура Windows.
Обратите внимание, что если этот параметр политики не включен, параметры политики "Требовать дополнительную проверку подлинности при запуске" могут быть недоступны на таких устройствах. Ниже приведены следующие варианты:
- Настройка ПИН-кода запуска доверенного платформенного модуля: обязательный или разрешенный
- Настройка ключа запуска доверенного платформенного модуля и ПИН-кода: обязательный/разрешенный
- Настройка использования паролей для дисков операционной системы.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | EnablePrebootInputProtectorsOnSlates_Name |
| Понятное имя | Включение использования проверки подлинности BitLocker, требующей предварительной загрузки ввода с клавиатуры на слоях |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | OSEnablePrebootInputProtectorsOnSlates |
| Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Этот параметр политики позволяет пользователям на устройствах, совместимых с InstantGo или Microsoft Hardware Security Test Interface (HSTI), не иметь ПИН-код для проверки подлинности перед загрузкой. Это переопределяет параметры "Требовать ПИН-код запуска с доверенным платформенный модуль" и "Требовать ключ запуска и ПИН-код с доверенным платформенный платформенный модуль" политики "Требовать дополнительную проверку подлинности при запуске" на совместимом оборудовании.
Если этот параметр политики включен, пользователи на устройствах, совместимых с InstantGo и HSTI, смогут включить BitLocker без проверки подлинности перед загрузкой.
Если эта политика не включена, применяются параметры политики "Требовать дополнительную проверку подлинности при запуске".
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | EnablePreBootPinExceptionOnDECapableDevice_Name |
| Понятное имя | Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от пин-кода перед загрузкой. |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | OSEnablePreBootPinExceptionOnDECapableDevice |
| Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEncryptionType
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
Этот параметр политики позволяет настроить тип шифрования, используемый шифрованием диска BitLocker. Этот параметр политики применяется при включении BitLocker. Изменение типа шифрования не действует, если диск уже зашифрован или выполняется шифрование. Выберите полное шифрование, чтобы требовать шифрования всего диска при включении BitLocker. Выберите шифрование только используемого пространства, чтобы при включении BitLocker шифровалась только часть диска, используемого для хранения данных.
Если этот параметр политики включен, тип шифрования, который BitLocker будет использовать для шифрования дисков, определяется этой политикой, и параметр типа шифрования не будет представлен в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, мастер настройки BitLocker попросит пользователя выбрать тип шифрования перед включением BitLocker.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
Возможные значения:
- 0: разрешить пользователю выбирать.
- 1. Полное шифрование.
- 2: используется только шифрование пространства.
Примечание.
Эта политика игнорируется при сжатии или расширении тома, а драйвер BitLocker использует текущий метод шифрования.
Например, при расширении диска, использующего шифрование только используемого пространства, новое свободное пространство не очищается, как для диска, использующего полное шифрование. Пользователь может очистить свободное место на диске только для используемого пространства с помощью следующей команды: manage-bde -w. Если том сжат, для нового свободного пространства не выполняется никаких действий.
Дополнительные сведения о средстве для управления BitLocker см. в разделе manage-bde.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | OSEncryptionType_Name |
| Понятное имя | Принудительное применение типа шифрования диска на дисках операционной системы |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | OSEncryptionType |
| Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
Этот параметр политики позволяет настроить использование расширенных ПИН-кодов запуска с BitLocker.
Расширенные ПИН-коды запуска позволяют использовать символы, включая прописные и строчные буквы, символы, цифры и пробелы. Этот параметр политики применяется при включении BitLocker.
- Если этот параметр политики включен, все новые ПИН-коды запуска BitLocker будут расширены.
Примечание.
Не все компьютеры могут поддерживать расширенные ПИН-коды в среде перед загрузкой. Настоятельно рекомендуется, чтобы пользователи выполняли системные проверка во время настройки BitLocker.
- Если этот параметр политики отключен или не настроен, расширенные ПИН-коды не будут использоваться.
Пример значения для этого узла для включения этой политики: <enabled/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | EnhancedPIN_Name |
| Понятное имя | Разрешение расширенных ПИН-кодов для запуска |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя значения реестра | UseEnhancedPin |
| Имя файла ADMX | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
Этот параметр политики позволяет настроить минимальную длину ПИН-кода запуска доверенного платформенного модуля (TPM). Этот параметр политики применяется при включении BitLocker. ПИН-код запуска должен иметь не менее 4 цифр, а максимальная длина может составлять 20 цифр.
Если этот параметр политики включен, при настройке ПИН-кода запуска можно использовать минимальное число цифр.
Если этот параметр политики отключен или не настроен, пользователи могут настроить ПИН-код запуска любой длины от 6 до 20 цифр.
Примечание.
Если минимальная длина ПИН-кода меньше 6 цифр, Windows попытается обновить период блокировки доверенного платформенного модуля 2.0, чтобы он превышал значение по умолчанию при изменении ПИН-кода. В случае успешного выполнения Windows сбросит период блокировки доверенного платформенного модуля до значения по умолчанию, только если доверенный платформенный модуль сброшен.
Примечание.
В Windows 10 версии 1703 выпуска B можно использовать минимальную длину ПИН-кода в 4 цифры.
Пример значения для этого узла для включения этой политики:
<enabled/><data id="MinPINLength" value="xx"/>
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | MinimumPINLength_Name |
| Понятное имя | Настройка минимальной длины ПИН-кода для запуска |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Этот параметр политики позволяет настроить все сообщение о восстановлении или заменить существующий URL-адрес, отображаемый на экране восстановления ключа перед загрузкой, когда диск ОС заблокирован.
Если выбрать параметр "Использовать сообщение о восстановлении и URL-адрес по умолчанию", на экране восстановления перед загрузкой будут отображаться сообщение и URL-адрес восстановления BitLocker по умолчанию. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите отменить изменения к сообщению по умолчанию, необходимо оставить политику включенной и выбрать параметр "Использовать сообщение восстановления и URL-адрес по умолчанию".
Если выбрать параметр "Использовать пользовательское сообщение о восстановлении", сообщение, введенное в текстовое поле "Настраиваемое сообщение о восстановлении", будет отображаться на экране восстановления ключа перед загрузкой. Если URL-адрес восстановления доступен, добавьте его в сообщение.
Если выбрать параметр "Использовать пользовательский URL-адрес восстановления", URL-адрес, введенный в текстовом поле "Настраиваемый URL-адрес восстановления", заменит URL-адрес по умолчанию в сообщении восстановления по умолчанию, которое будет отображаться на экране восстановления ключа перед загрузкой.
Примечание.
Не все символы и языки поддерживаются при предварительной загрузке. Настоятельно рекомендуется проверить, правильно ли отображаются символы, используемые для пользовательского сообщения или URL-адреса, на экране восстановления перед загрузкой.
Элементы идентификатора данных:
- PrebootRecoveryInfoDropDown_Name. Выберите параметр для сообщения о восстановлении перед загрузкой.
- RecoveryMessage_Input. Пользовательское сообщение о восстановлении
- RecoveryUrl_Input: URL-адрес пользовательского восстановления
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
Возможные значения для "xx":
- 0 = пусто
- 1 = используйте сообщение восстановления и URL-адрес по умолчанию (в этом случае не нужно указывать значение "RecoveryMessage_Input" или "RecoveryUrl_Input").
- 2 = настраиваемое сообщение о восстановлении задано.
- 3 = задан пользовательский URL-адрес восстановления.
Возможное значение для "yy" и "zz" — это строка с максимальной длиной 900 и 500 соответственно.
Примечание.
- При включении SystemDrivesRecoveryMessage необходимо указать значения для всех трех параметров (экран восстановления перед загрузкой, сообщение о восстановлении и URL-адрес восстановления), в противном случае произойдет сбой (состояние возврата 500). Например, если указать только значения для сообщения и URL-адреса, вы получите состояние возврата 500.
- Не все символы и языки поддерживаются при предварительной загрузке. Настоятельно рекомендуется проверить, правильно ли отображаются символы, используемые для пользовательского сообщения или URL-адреса, на экране восстановления перед загрузкой.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | PrebootRecoveryInfo_Name |
| Понятное имя | Настройка сообщения и URL-адреса восстановления перед загрузкой |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | Software\Policies\Microsoft\FVE |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
Этот параметр политики позволяет управлять восстановлением дисков операционной системы, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска. Этот параметр политики применяется при включении BitLocker.
Поле "Разрешить агент восстановления данных на основе сертификатов" проверка используется для указания того, можно ли использовать агент восстановления данных с дисками операционной системы, защищенными BitLocker. Перед использованием агента восстановления данных его необходимо добавить из элемента Политики открытых ключей в консоли управления групповая политика или локальной групповая политика Редактор. Дополнительные сведения о добавлении агентов восстановления данных см. в руководстве по развертыванию шифрования дисков BitLocker в Microsoft TechNet.
В разделе Настройка пользовательского хранилища сведений о восстановлении BitLocker укажите, разрешено ли пользователям создавать 48-значный пароль восстановления или 256-разрядный ключ восстановления.
Выберите "Опустить параметры восстановления в мастере настройки BitLocker", чтобы запретить пользователям указывать параметры восстановления при включении BitLocker на диске. Это означает, что вы не сможете указать, какой параметр восстановления следует использовать при включении BitLocker. Вместо этого параметры восстановления BitLocker для диска определяются параметром политики.
В разделе "Сохранение сведений о восстановлении BitLocker для доменные службы Active Directory" выберите сведения о восстановлении BitLocker для хранения в AD DS для дисков операционной системы. При выборе параметра "Резервное копирование пароля восстановления и пакета ключей" оба пароля восстановления BitLocker и пакет ключей сохраняются в AD DS. Хранение пакета ключей поддерживает восстановление данных с диска, который был физически поврежден. Если выбрать параметр "Только резервный пароль восстановления", в AD DS сохраняется только пароль восстановления.
Установите флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы" проверка, чтобы запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование сведений о восстановлении BitLocker в AD DS будет успешно выполнено.
Примечание.
Если установлен флажок "Не включать BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы" проверка, автоматически создается пароль восстановления.
Если этот параметр политики включен, можно управлять методами, доступными пользователям для восстановления данных с дисков операционной системы, защищенных BitLocker.
Если этот параметр политики отключен или не настроен, параметры восстановления по умолчанию поддерживаются для восстановления BitLocker. По умолчанию разрешена DRA, пользователь может указать параметры восстановления, включая пароль восстановления и ключ восстановления, а сведения о восстановлении не резервируются в AD DS.
Элементы идентификатора данных:
- OSAllowDRA_Name: разрешить агент восстановления данных на основе сертификатов
- OSRecoveryPasswordUsageDropDown_Name и OSRecoveryKeyUsageDropDown_Name. Настройка пользовательского хранилища сведений о восстановлении BitLocker
- OSHideRecoveryPage_Name: опустить параметры восстановления в мастере настройки BitLocker
- OSActiveDirectoryBackup_Name и OSActiveDirectoryBackupDropDown_Name: сохранение сведений о восстановлении BitLocker в доменные службы Active Directory
- OSRequireActiveDirectoryBackup_Name: не включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 0 = запрещено
- 1 = обязательный
- 2 = разрешено
Возможные значения для zz:
- 1 = хранение паролей восстановления и пакетов ключей.
- 2 = хранить только пароли восстановления.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | OSRecoveryUsage_Name |
| Понятное имя | Выберите способы восстановления дисков операционной системы с защитой BitLocker |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | OSRecovery |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
Этот параметр политики позволяет настроить, требуется ли BitLocker дополнительная проверка подлинности при каждом запуске компьютера и используется ли BitLocker с доверенным платформенным модулем (TPM) или без нее. Этот параметр политики применяется при включении BitLocker.
Примечание.
При запуске может потребоваться только один из дополнительных параметров проверки подлинности, в противном случае возникает ошибка политики.
Если вы хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок "Разрешить BitLocker без совместимого доверенного платформенного модуля" проверка. В этом режиме для запуска требуется пароль или USB-накопитель. При использовании ключа запуска сведения о ключах, используемых для шифрования диска, хранятся на USB-накопителе, создавая USB-ключ. После вставки USB-ключа доступ к диску проходит проверку подлинности и диск становится доступным. Если USB-ключ потерян или недоступен или вы забыли пароль, вам потребуется использовать один из параметров восстановления BitLocker для доступа к диску.
На компьютере с совместимым TPM при запуске можно использовать четыре типа методов проверки подлинности, чтобы обеспечить дополнительную защиту зашифрованных данных. Когда компьютер запускается, он может использовать только TPM для проверки подлинности или может потребовать вставки USB-устройства флэш-памяти, содержащего ключ запуска, запись от 6 до 20-значный личный идентификационный номер (ПИН-код) или и то, и другое.
Если этот параметр политики включен, пользователи могут настроить дополнительные параметры запуска в мастере настройки BitLocker.
Если этот параметр политики отключен или не настроен, пользователи могут настраивать только базовые параметры на компьютерах с доверенным платформенный платформенный модуль.
Примечание.
Если требуется использовать ПИН-код запуска и USB-устройство флэш-памяти, необходимо настроить параметры BitLocker с помощью средства командной строки manage-bde вместо мастера настройки шифрования дисков BitLocker.
Примечание.
- В Windows 10 версии 1703 выпуска B можно использовать не менее 4 цифр ПИН-кода. Политика SystemDrivesMinimumPINLength должна разрешать ПИН-коды короче 6 цифр.
- Устройства, прошедшие проверку спецификации тестирования безопасности оборудования (HSTI) или современные резервные устройства, не смогут настроить ПИН-код запуска с помощью этого CSP. Пользователи должны вручную настроить ПИН-код. Элементы идентификатора данных:
- ConfigureNonTPMStartupKeyUsage_Name = разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на USB-устройстве флэш-памяти).
- ConfigureTPMStartupKeyUsageDropDown_Name = (для компьютера с TPM) Настройка ключа запуска доверенного платформенного модуля.
- ConfigurePINUsageDropDown_Name = (для компьютера с TPM) Настройка ПИН-кода запуска доверенного платформенного модуля.
- ConfigureTPMPINKeyUsageDropDown_Name = (для компьютера с TPM) Настройте ключ запуска доверенного платформенного модуля и ПИН-код.
- ConfigureTPMUsageDropDown_Name = (для компьютера с доверенным платформенный платформенный модуль) — настройка запуска доверенного платформенного модуля.
Пример значения для этого узла для включения этой политики:
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
Возможные значения для "xx":
- true = явно разрешить
- false = политика не задана
Возможные значения для "yy":
- 2 = необязательный
- 1 = обязательный
- 0 = запрещено
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ConfigureAdvancedStartup_Name |
| Понятное имя | Требовать дополнительную проверку подлинности при запуске |
| Location | Конфигурация компьютера |
| Путь | Windows Components > BitLocker: диски операционной системы шифрования > диска BitLocker |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\FVE |
| Имя значения реестра | UseAdvancedStartup |
| Имя файла ADMX | VolumeEncryption.admx |
Пример:
Чтобы отключить эту политику, используйте следующую команду SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Пример SyncML
Следующий пример показан для отображения правильного формата и не должен приниматься в качестве рекомендации.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по