New-CMBMSOSDEncryptionPolicy
创建策略来管理是否使用 BitLocker 加密 OS 驱动器。
语法
New-CMBMSOSDEncryptionPolicy
[-PolicyState <State>]
[-RequireTpm]
[-MinimumPinLength <UInt32>]
[-Protector <TpmProtector>]
[-DisableWildcardHandling]
[-ForceWildcardHandling]
[<CommonParameters>] 说明
使用此 cmdlet 创建策略来管理是否使用 BitLocker 加密 OS 驱动器。
如果要在没有 受信任的平台模块 (TPM) 的计算机上使用 BitLocker,请不要使用 -RequireTpm 参数。 在此模式下,设备启动时,BitLocker 需要密码。 如果忘记了密码,请使用 BitLocker 恢复选项来访问驱动器。
在具有兼容 TPM 的计算机上,BitLocker 可以在设备启动时使用两种身份验证方法。 此行为为加密数据提供了额外的保护。 计算机启动时,它只能使用 TPM 进行身份验证,也可以要求输入个人标识号 (PIN) 。
提示
为提高安全性,启用具有 TPM + PIN 保护程序的设备时,请考虑在 “系统>电源管理>睡眠设置”中禁用以下组策略设置:
睡眠时允许待机状态 (S1-S3) (插入)
在电池) (睡眠时允许 (S1-S3) 待机状态
示例
示例 1:创建需要具有 PIN 的 TPM 的新策略
此示例创建一个使用以下属性启用的新策略:
- 需要 TPM
- 需要具有 TPM 的 PIN
- PIN 需要至少为 16 个数字
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin示例 2:仅为 TPM 创建新策略
此示例创建一个已启用且只需要 TPM 的新策略。
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly参数
-DisableWildcardHandling
此参数将通配符视为文本字符值。 不能将其与 ForceWildcardHandling 组合使用。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ForceWildcardHandling
此参数处理通配符,并可能导致意外行为, (不建议) 。 不能将其与 DisableWildcardHandling 组合使用。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-MinimumPinLength
如果需要 PIN,此值是用户可以指定的最短长度。 当计算机启动以解锁驱动器时,用户输入此 PIN。 默认情况下,最小 PIN 长度为 4。 将值从 4 设置为 20。
| 类型: | UInt32 |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-PolicyState
使用此参数配置策略。
Enabled:如果启用此策略,用户必须将 OS 驱动器置于 BitLocker 保护下,并加密驱动器。Disabled:如果禁用此策略,则用户无法将 OS 驱动器置于 BitLocker 保护之下。 如果在 OS 驱动器加密后应用此策略,BitLocker 会解密该驱动器。NotConfigured:如果未配置此策略,则 OS 驱动器上不需要 BitLocker。
| 类型: | State |
| 接受的值: | Enabled, Disabled, NotConfigured |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Protector
使用此参数为 OS 驱动器指定保护程序:
TpmOnly:仅使用 TPM 作为保护程序TpmAndPin:将 PIN 与 TPM 配合使用
| 类型: | TpmProtector |
| 接受的值: | TpmOnly, TpmAndPin |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-RequireTpm
添加此参数可将策略配置为要求设备具有兼容的 TPM。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | None |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
None
输出
Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject