下表列出了适用于所有驱动器类型的 BitLocker 策略,指示它们是否通过配置服务提供商 (CSP) 和/或组策略 (GPO) 适用。 有关更多详细信息,请选择策略名称。
允许标准用户加密
使用此策略,可以在当前登录用户没有管理权限时应用策略的情况下强制实施 “需要设备加密 ”策略。
选择恢复密码的默认文件夹
指定 当 BitLocker 驱动器加密设置向导 提示用户输入要在其中保存恢复密码的文件夹的位置时显示的默认路径。 可以指定完全限定的路径,也可以在路径中包含目标计算机的环境变量:
- 如果路径无效,则 BitLocker 安装向导将显示计算机的顶级文件夹视图
- 如果禁用或未配置此策略设置,则当用户选择将恢复密码保存到文件夹中的选项时,BitLocker 安装向导会显示计算机的顶级文件夹视图
注意
此策略设置不会阻止用户将恢复密码保存在另一个文件夹中。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密 |
选择驱动器加密方法和密码强度
使用此策略,可以单独为固定数据驱动器、操作系统驱动器和可移动数据驱动器配置加密算法和密钥加密强度。
建议的设置: XTS-AES
所有驱动器的算法。 密钥大小(128 位或 256 位)的选择取决于设备的性能。 对于性能更高的硬盘驱动器和 CPU,请选择 256 位密钥,对于性能较差的密钥,请使用 128。
如果禁用或未配置此策略设置,BitLocker 将使用 的默认加密方法 XTS-AES 128-bit
。
注意
此策略不适用于加密驱动器。 加密驱动器使用自己的算法,该算法在分区期间由驱动器设置。
使用此策略,可以在已加入和Microsoft Entra混合联接的设备上配置操作系统和固定 Microsoft Entra驱动器时使用的数字恢复密码轮换。
可能的值为:
-
0
:数字恢复密码轮换已关闭
-
1
:已加入Microsoft Entra的设备在使用时启用数字恢复密码轮换。 这也是默认值
-
2
:已加入Microsoft Entra设备和Microsoft Entra混合联接设备在使用时启用数字恢复密码轮换
注意
仅当恢复密码的 Micropsoft Entra ID 或 Active Directory 备份配置为必需时,策略才有效
- 对于 OS 驱动器:启用 在将恢复信息存储到操作系统驱动器的 AD DS 之前,不要启用 BitLocker
- 对于固定驱动器:启用“在将恢复信息存储到固定数据驱动器的 AD DS 之前,不要启用 BitLocker
锁定此计算机时禁用新的 DMA 设备
启用后,此策略设置会阻止所有热插拔 PCI 端口的直接内存访问 (DMA) ,直到用户登录到 Windows。
用户登录后,Windows 会枚举连接到主机 Thunderbolt PCI 端口的 PCI 设备。 每次用户锁定设备时,DMA 都会阻止热插拔 Thunderbolt PCI 端口(没有子设备),直到用户再次登录。
设备解锁时已枚举的设备将继续运行,直到拔出,或者系统重新启动或休眠。
仅当启用 BitLocker 或设备加密时,才会强制实施此策略设置。
重要提示
此策略与 内核 DMA 保护不兼容。 如果系统支持内核 DMA 保护,建议禁用此策略,因为内核 DMA 保护为系统提供更高的安全性。 有关内核 DMA 保护的详细信息,请参阅 内核 DMA 保护。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密 |
防止重启时内存覆盖
此策略设置用于控制设备重启时是否覆盖计算机的内存。 BitLocker 机密包括用于加密数据的密钥材料。
- 如果启用此策略设置,则计算机重启时不会覆盖内存。 防止内存覆盖可以提高重启性能,但会增加公开 BitLocker 机密的风险。
- 如果禁用或未配置此策略设置,则在计算机重启时,将从内存中删除 BitLocker 机密。
注意
仅当启用了 BitLocker 保护时,此策略设置才适用。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密 |
为组织提供唯一标识符
此策略设置允许你将唯一的组织标识符关联到使用 BitLocker 加密的驱动器。 标识符存储为 标识字段 和 允许的标识字段:
- 标识字段允许你将唯一的组织标识符关联到受 BitLocker 保护的驱动器。 此标识符会自动添加到受 BitLocker 保护的新驱动器,并且可以使用 BitLocker 驱动器加密:配置工具 (
manage-bde.exe
)
- 允许的标识字段与 拒绝对不受 BitLocker 保护的可移动驱动器的写入访问 策略设置结合使用,以帮助控制组织中可移动驱动器的使用。 它是组织或其他外部组织的标识字段的逗号分隔列表。 可以使用 在现有驱动器
manage-bde.exe
上配置标识字段。
如果启用此策略设置,则可以在受 BitLocker 保护的驱动器以及组织使用的任何允许的标识字段上配置标识字段。 在另一台启用了 BitLocker 的设备上装载受 BitLocker 保护的驱动器时,将使用标识字段和允许的标识字段来确定该驱动器是否来自其他组织。
如果禁用或未配置此策略设置,则不需要标识字段。
重要提示
在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理时,需要标识字段。 BitLocker 仅在驱动器上存在标识字段且与设备上配置的值相同时管理和更新基于证书的数据恢复代理。 标识字段可以是 260 个字符或更少的任何值。
|
路径 |
CSP |
./Device/Vendor/MSFT/BitLocker/
IdentificationField |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密 |
要求设备加密
此策略设置确定是否需要 BitLocker:
- 如果启用,则会根据 允许其他磁盘 加密策略的警告以无提示或非无提示方式在所有驱动器上触发加密
- 如果禁用,则不会关闭系统驱动器的 BitLocker,但会停止提示用户打开 BitLocker。
注意
通常,BitLocker 遵循 选择驱动器加密方法和密码强度 策略配置。 但是,对于自加密固定驱动器和自加密 OS 驱动器,将忽略此策略设置。
可加密固定数据卷的处理方式与 OS 卷类似,但它们必须满足其他条件才能进行加密:
- 它不能是动态卷
- 它不能是恢复分区
- 它不能是隐藏卷
- 它不能是系统分区
- 它不能由虚拟存储提供支持
- BCD 存储中不能有引用
验证智能卡证书使用规则符合性
此策略设置用于通过将对象标识符 (OID) 从智能卡证书关联到受 BitLocker 保护的驱动器来确定要用于 BitLocker 的证书。 对象标识符在证书的增强密钥用法 (EKU) 中指定。
BitLocker 可以通过将证书中的对象标识符与此策略设置定义的对象标识符匹配来标识哪些证书可用于对受 BitLocker 保护的驱动器的用户证书进行身份验证。 默认 OID 为 1.3.6.1.4.1.311.67.1.1
。
如果启用此策略设置,则“对象标识符”字段中指定的对象标识符必须与智能卡证书中的对象标识符匹配。 如果禁用或未配置此策略设置,则使用默认 OID。
注意
BitLocker 不要求证书具有 EKU 属性;但是,如果为证书配置了一个,则必须将其设置为与为 BitLocker 配置的对象标识符匹配的对象标识符。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密 |
允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN
此策略设置允许符合 InstantGo 或 Microsoft 硬件安全测试接口的设备上的用户 (HSTI) 没有用于预启动身份验证的 PIN。
该策略覆盖在合规硬件上启动时需要其他身份验证策略的“使用 TPM 需要启动 PIN”和“使用 TPM 需要启动密钥和 PIN”选项。
- 如果启用此策略设置,则符合 InstantGo 和 HSTI 标准的设备上的用户无需预启动身份验证即可打开 BitLocker
- 如果策略已禁用或未配置,则“ 启动时需要其他身份验证” 策略的选项适用
允许用于启动的增强型 PIN
使用包含 PIN 的解锁方法时,此设置允许使用增强型 PIN。
增强的启动 PIN 允许使用字符 (包括大写字母、符号、数字和空格) 。
重要提示
并非所有计算机在预启动环境中都支持增强的 PIN 字符。 强烈建议用户在 BitLocker 设置期间执行系统检查,以验证是否可以使用增强的 PIN 字符。
允许在启动时解锁网络
此策略设置控制连接到受信任的有线局域网 (LAN) 的受 BitLocker 保护的设备是否可以在启用 TPM 的计算机上创建和使用网络密钥保护程序,以便在计算机启动时自动解锁操作系统驱动器。
如果启用此策略,则配置有 BitLocker 网络解锁证书 的设备可以创建和使用网络密钥保护程序。 若要使用网络密钥保护程序解锁计算机,计算机和 BitLocker 驱动器加密网络解锁服务器都必须使用网络解锁证书进行预配。 网络解锁证书用于创建网络密钥保护程序,并保护与服务器交换以解锁计算机的信息。
组策略设置计算机配置>Windows 设置>安全设置>公钥策略>BitLocker 驱动器加密网络解锁证书可用于在域控制器上将此证书分发到组织中的计算机。 此解锁方法在计算机上使用 TPM,因此没有 TPM 的计算机无法创建网络密钥保护程序以使用网络解锁自动解锁。
如果禁用或未配置此策略设置,BitLocker 客户端将无法创建和使用网络密钥保护程序。
注意
为了提高可靠性和安全性,计算机还应具有 TPM 启动 PIN,当计算机在启动时与有线网络或服务器断开连接时,可以使用该 PIN。
有关网络解锁功能的详细信息,请参阅 BitLocker:如何启用网络解锁
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
允许安全启动进行完整性验证
使用此策略设置,可以配置是否允许安全启动作为 BitLocker 操作系统驱动器的平台完整性提供程序。
安全启动可确保设备的预启动环境仅加载由授权软件发布者进行数字签名的固件。
- 如果启用或未配置此策略设置,则如果平台能够进行基于安全启动的完整性验证,则 BitLocker 使用安全启动实现平台完整性
- 如果禁用此策略设置,则 BitLocker 使用旧平台完整性验证,即使在能够进行基于安全启动的完整性验证的系统上也是如此
启用此策略并且硬件能够使用适用于 BitLocker 方案的安全启动时, 将忽略“使用增强的启动配置数据验证配置文件” 策略设置,并且安全启动将根据独立于 BitLocker 配置的安全启动策略设置来验证 BCD 设置。
警告
在更新特定于制造商的固件时,禁用此策略可能会导致 BitLocker 恢复。 如果禁用此策略,请在应用固件更新之前暂停 BitLocker。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
允许对其他磁盘加密发出警告
使用此策略,可以禁用所有加密通知、其他磁盘加密的警告提示,以及以无提示方式启用加密。
重要提示
此策略仅适用于已加入Microsoft Entra设备。
仅当启用了 “需要设备加密策略” 时,此策略才会生效。
警告
在具有非Microsoft加密的设备上启用 BitLocker 时,它可能会使设备不可用,并且需要重新安装 Windows。
此策略的预期值为:
- 启用 (默认) :允许警告提示和加密通知
- 已禁用:禁止显示警告提示和加密通知。 Windows 将尝试以无提示方式启用 BitLocker
注意
禁用警告提示时,OS 驱动器的恢复密钥将备份到用户的Microsoft Entra ID帐户。 当你允许警告提示时,收到提示的用户可以选择备份 OS 驱动器的恢复密钥的位置。
固定数据驱动器备份的终结点按以下顺序选择:
- 用户的Windows Server Active Directory 域服务帐户
- 用户的Microsoft Entra ID帐户
- 用户的个人 OneDrive (MDM/MAM 仅)
加密将等到这三个位置之一成功备份。
选择如何恢复受 BitLocker 保护的操作系统驱动器
通过此策略设置,可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的操作系统驱动器。 如果启用此策略设置,则可以控制用户可从受 BitLocker 保护的操作系统驱动器恢复数据的方法。 下面是可用的选项:
-
允许基于证书的数据恢复代理:指定数据恢复代理是否可以与受 BitLocker 保护的 OS 驱动器一起使用。 必须先从组策略管理控制台或本地组策略 编辑器的公钥策略项添加数据恢复代理,然后才能使用数据恢复代理
-
配置 BitLocker 恢复信息的用户存储:选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥
-
省略 BitLocker 安装向导中的恢复选项:阻止用户在为驱动器打开 BitLocker 时指定恢复选项。 这意味着用户无法在打开 BitLocker 时指定要使用的恢复选项。 驱动器的 BitLocker 恢复选项由策略设置确定
-
将 BitLocker 恢复信息保存到Active Directory 域服务:选择要在操作系统驱动器的 AD DS 中存储的 BitLocker 恢复信息。 如果选择 “备份恢复密码和密钥包”,则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择“ 仅备份恢复密码”,则仅恢复密码存储在 AD DS 中
-
在操作系统驱动器的恢复信息存储在 AD DS 中之前,请勿启用 BitLocker:除非设备已连接到域,并且 BitLocker 恢复信息备份到 AD DS 成功,否则阻止用户启用 BitLocker。 使用此选项时,会自动生成恢复密码。
如果禁用或未配置此策略设置,则 BitLocker 恢复支持默认恢复选项。 默认情况下,允许 DRA,恢复选项可由用户指定,包括恢复密码和恢复密钥,并且恢复信息不会备份到 AD DS。
对于Microsoft Entra混合联接的设备,BitLocker 恢复密码将备份到 Active Directory 和 Entra ID。
此策略为受信任的平台模块配置最小长度, (TPM) 启动 PIN。 启动 PIN 的最小长度必须为 4 位,最大长度为 20 位。
如果启用此策略设置,则可以要求在设置启动 PIN 时使用最少的位数。
如果禁用或未配置此策略设置,用户可以配置 6 到 20 位之间的任意长度的启动 PIN。
可以将 TPM 配置为使用字典攻击防护参数 (锁定阈值和锁定持续时间 来控制在锁定 TPM 之前允许的失败授权尝试次数,以及必须经过多少时间才能进行另一次尝试。
字典攻击防护参数提供了一种平衡安全需求和可用性的方法。 例如,当 BitLocker 与 TPM + PIN 配置一起使用时,PIN 猜测数会随时间推移而受到限制。 此示例中的 TPM 2.0 可以配置为立即只允许 32 个 PIN 猜测,然后每两小时只能再进行一次猜测。 此尝试次数总计每年最多约 4415 次。 如果 PIN 为四位数,则两年内可以尝试所有 9999 可能的 PIN 组合。
提示
增加 PIN 长度需要攻击者进行较多的猜测。 在这种情况下,可以缩短每个猜测之间的锁定持续时间,以允许合法用户更快地重试失败的尝试,同时保持类似的保护级别。
注意
如果最小 PIN 长度设置为低于 6 位,则 Windows 将尝试在更改 PIN 时将 TPM 2.0 锁定期更新为大于默认值。 如果成功,仅当重置 TPM 时,Windows 才会将 TPM 锁定期重置回默认值。
此策略设置用于配置恢复消息,并替换在 OS 驱动器锁定时在预启动恢复屏幕上显示的现有 URL。
- 如果选择“ 使用默认恢复消息和 URL ”选项,默认 BitLocker 恢复消息和 URL 将显示在预启动密钥恢复屏幕中。 如果以前配置了自定义恢复消息或 URL,并且想要还原到默认消息,则必须保持策略启用状态,然后选择“使用默认恢复消息和 URL”选项
- 如果选择“ 使用自定义恢复消息” 选项,则添加到“ 自定义恢复消息”选项 文本框中的消息将显示在预启动密钥恢复屏幕中。 如果恢复 URL 可用,请将其包含在消息中
- 如果选择“ 使用自定义恢复 URL” 选项,则添加到“ 自定义恢复 URL”选项 文本框中的 URL 将替换默认恢复消息中的默认 URL,该消息显示在预启动密钥恢复屏幕中
注意
预启动并非支持所有字符和语言。 强烈建议测试用于自定义消息或 URL 的字符是否在预启动恢复屏幕上正确显示。
有关 BitLocker 预启动恢复屏幕的详细信息,请参阅 预启动恢复屏幕。
此策略设置确定 TPM 在解锁具有 BIOS 配置或启用了 CSM) 兼容性支持模块 (的 UEFI 固件的计算机上的操作系统驱动器之前验证早期启动组件时测量的值。
- 启用后,可以配置 TPM 在解锁对 BitLocker 加密操作系统驱动器的访问权限之前验证的启动组件。 如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,则 TPM 不会释放加密密钥来解锁驱动器。 相反,计算机显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解锁驱动器。
- 禁用或未配置时,TPM 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。
如果计算机没有兼容的 TPM,或者 BitLocker 已打开 TPM 保护,则此策略设置不适用。
重要提示
此组策略设置仅适用于 BIOS 配置的计算机或启用了 CSM 的 UEFI 固件的计算机。 使用本机 UEFI 固件配置的计算机将不同的值存储在平台配置寄存器 (PCR) 。 使用 “为本机 UEFI 固件配置配置 TPM 平台验证配置文件” 策略设置,为使用本机 UEFI 固件的计算机配置 TPM PCR 配置文件。
平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。 每个 PCR 索引表示 TPM 在早期启动期间验证的特定度量值。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥:
PCR |
描述 |
PCR 0 |
用于度量、BIOS 和平台扩展的核心信任根 |
PCR 2 |
选项 ROM 代码 |
PCR 4 |
主启动记录 (MBR) 代码 |
PCR 8 |
NTFS 启动扇区 |
PCR 9 |
NTFS 启动块 |
PCR 10 |
启动管理器 |
PCR 11 |
BitLocker 访问控制 |
注意
从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。
以下列表标识了所有可用的 PCR:
PCR |
描述 |
PCR 0 |
用于度量、BIOS 和平台扩展的核心信任根 |
PCR 1 |
平台和主板配置以及数据。 |
PCR 2 |
选项 ROM 代码 |
PCR 3 |
选项 ROM 数据和配置 |
PCR 4 |
主启动记录 (MBR) 代码 |
PCR 5 |
主启动记录 (MBR) 分区表 |
PCR 6 |
状态转换和唤醒事件 |
PCR 7 |
特定于计算机制造商 |
PCR 8 |
NTFS 启动扇区 |
PCR 9 |
NTFS 启动块 |
PCR 10 |
启动管理器 |
PCR 11 |
BitLocker 访问控制 |
PCR 12-23 |
保留供将来使用 |
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
此策略设置确定 TPM 在解锁本机 UEFI 固件设备上 OS 驱动器之前验证早期启动组件时所测量的值。
- 如果在启用 BitLocker 之前启用此策略设置,则可以配置 TPM 在解锁对 BitLocker 加密 OS 驱动器的访问权限之前验证的启动组件。 如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,TPM 不会释放加密密钥来解锁驱动器。 设备显示 BitLocker 恢复控制台,并要求提供恢复密码或恢复密钥来解锁驱动器
- 如果禁用或未配置此策略设置,BitLocker 将使用可用硬件的默认平台验证配置文件,或者使用由安装脚本指定的平台验证配置文件
重要提示
此策略设置仅适用于具有本机 UEFI 固件配置的设备。 具有 BIOS 或 UEFI 固件且具有兼容性支持模块 (CSM) 的计算机在平台配置寄存器 (PCR) 中存储不同的值。 使用 “为基于 BIOS 的固件配置配置 TPM 平台验证配置文件 ”策略设置,为具有 BIOS 配置的设备或启用了 CSM 的 UEFI 固件的设备配置 TPM PCR 配置文件。
平台验证配置文件包含一组从 0 到 23 的 PCR 索引。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥:
PCR |
描述 |
PCR 0 |
核心系统固件可执行代码 |
PCR 2 |
扩展或可插入的可执行代码 |
PCR 4 |
启动管理器 |
PCR 11 |
BitLocker 访问控制 |
注意
当提供安全启动状态 (PCR7) 支持时,默认平台验证配置文件使用安全启动状态 (PCR 7) 和 BitLocker 访问控制 (PCR 11) 来保护加密密钥。
以下列表标识了所有可用的 PCR:
PCR |
描述 |
PCR 0 |
核心系统固件可执行代码 |
PCR 1 |
核心系统固件数据 |
PCR 2 |
扩展或可插入的可执行代码 |
PCR 3 |
扩展或可插入固件数据 |
PCR 4 |
启动管理器 |
PCR 5 |
GPT/分区表 |
PCR 6 |
从 S4 和 S5 Power State 事件恢复 |
PCR 7 |
安全启动状态 |
PCR 8 |
初始化为 0,没有保留扩展 (供将来使用) |
PCR 9 |
初始化为 0,没有保留扩展 (供将来使用) |
PCR 10 |
初始化为 0,没有保留扩展 (供将来使用) |
PCR 11 |
BitLocker 访问控制 |
PCR 12 |
数据事件和高度易失性事件 |
PCR 13 |
启动模块详细信息 |
PCR 14 |
启动颁发机构 |
PCR 15 - 23 |
保留供将来使用 |
警告
从默认平台验证配置文件更改会影响设备的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。
如果省略了 PCR 7,则设置此策略会替代 “允许安全启动进行完整性验证 ”策略,防止 BitLocker 将安全启动用于平台或启动配置数据 (BCD) 完整性验证。
更新固件时,设置此策略可能会导致 BitLocker 恢复。 如果将此策略设置为包含 PCR 0,请在应用固件更新之前暂停 BitLocker。 建议不要配置此策略,以允许 Windows 根据每个设备上的可用硬件选择 PCR 配置文件,以实现安全性和可用性的最佳组合。
PCR 7 测量安全启动的状态。 使用 PCR 7,BitLocker 可以使用安全启动进行完整性验证。 安全启动可确保计算机的预启动环境仅加载由授权软件发布者进行数字签名的固件。 PCR 7 度量指示安全启动是否处于打开状态,以及平台上受信任的密钥。 如果安全启动处于打开状态,并且固件根据 UEFI 规范正确测量了 PCR 7,则 BitLocker 可以绑定到此信息,而不是绑定到 PCR 0、2 和 4,PCR 0、2 和 4 中加载了确切固件和 Bootmgr 映像的度量值。 此过程可降低由于固件和映像更新而导致 BitLocker 在恢复模式下启动的可能性,并提供更大的灵活性来管理预启动配置。
PCR 7 测量必须遵循 附录 A 受信任的执行环境 EFI 协议中所述的指导。
对于支持新式待机 (也称为Always On、Always Connected 电脑) 的系统,PCR 7 测量是必须满足的徽标要求。 在此类系统上,如果正确配置了具有 PCR 7 测量和安全启动的 TPM,则 BitLocker 默认绑定到 PCR 7 和 PCR 11。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
使用此策略设置,可以管理 BitLocker 对操作系统驱动器上基于硬件的加密的使用,并指定它可以用于基于硬件的加密的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能,这些操作涉及频繁将数据读取或写入驱动器。
如果启用此策略设置,则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。
如果禁用此策略设置,BitLocker 无法对操作系统驱动器使用基于硬件的加密,并且默认情况下,在加密驱动器时,将使用基于 BitLocker 软件的加密。
如果不配置此策略设置,BitLocker 将使用基于软件的加密,而不考虑基于硬件的加密可用性。
注意
选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时,将设置基于硬件的加密使用的加密算法。 默认情况下,BitLocker 使用驱动器上配置的算法来加密驱动器。
通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项,可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用,BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如:
- CBC 模式下的 AES 128 OID:
2.16.840.1.101.3.4.1.2
- CBC 模式下的 AES 256 OID:
2.16.840.1.101.3.4.1.42
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
此策略设置指定用于解锁受 BitLocker 保护的操作系统驱动器的密码的约束。 如果操作系统驱动器上允许使用非 TPM 保护程序,则可以预配密码、强制实施复杂性要求以及配置最小长度。
重要提示
若要使复杂性要求设置生效,还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。
如果启用此策略设置,用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求,请选择“ 要求复杂性”:
- 设置为 “需要复杂性”时,启用 BitLocker 以验证密码的复杂性时,必须连接到域控制器
- 设置为 “允许复杂性”时,尝试连接到域控制器,以验证复杂性是否符合策略设置的规则。 如果未找到域控制器,则无论实际密码复杂程度如何,都接受密码,并将使用该密码作为保护程序对驱动器进行加密
- 设置为 “不允许复杂性”时,不会验证密码复杂性
密码必须至少为 8 个字符。 若要为密码配置更大的最小长度,请在“最小密码长度”下指定所需的字符数
如果禁用或未配置此策略设置,则 8 个字符的默认长度约束适用于操作系统驱动器密码,并且不会进行复杂性检查。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
禁止标准用户更改 PIN 或密码
此策略允许配置是否允许标准用户更改用于保护操作系统驱动器的 PIN 或密码(如果他们可以先提供现有 PIN)。
如果启用此策略,标准用户无法更改 BitLocker PIN 或密码。
如果禁用或未配置此策略,标准用户可以更改 BitLocker PIN 和密码。
此策略设置允许用户打开需要预启动环境中用户输入的身份验证选项,即使平台缺少预启动输入功能也是如此。 ) 平板电脑使用的 Windows 触摸键盘 (在 BitLocker 需要其他信息(如 PIN 或密码)的预启动环境中不可用。
- 如果启用此策略设置,设备必须具有预启动输入 (的替代方法,例如附加的 USB 键盘) 。
- 如果未启用此策略,则必须在平板电脑上启用 Windows 恢复环境,以支持输入 BitLocker 恢复密码。
建议管理员仅对已验证具有其他预启动输入方式(例如附加 USB 键盘)的设备启用此策略。
如果未启用 Windows 恢复环境 (WinRE) 且未启用此策略,则无法使用触摸键盘的设备打开 BitLocker。
如果未启用此策略设置,则 “启动时需要其他身份验证” 策略中的以下选项可能不可用:
- 配置 TPM 启动 PIN:必需和允许
- 配置 TPM 启动密钥和 PIN:必需和允许
- 为操作系统驱动器配置密码的使用
在操作系统驱动器上强制实施驱动器加密类型
此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。
启用此策略设置时,BitLocker 安装向导中不提供 加密类型 选项:
- 选择 完全加密 以要求在 BitLocker 处于打开状态时加密整个驱动器
- 选择 “仅使用的空间加密 ”,要求在 BitLocker 处于打开状态时,仅加密用于存储数据的驱动器部分
如果禁用或未配置此策略设置,BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。
注意
如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。
收缩或扩展卷时忽略此策略,BitLocker 驱动程序使用当前加密方法。 例如,当扩展使用 仅使用空间加密 的驱动器时,不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间: manage-bde.exe -w
。 如果卷收缩,则不会对新的可用空间执行任何操作。
启动时需要其他身份验证
此策略设置配置每次设备启动时 BitLocker 是否需要额外的身份验证。
如果启用此策略,用户可以在 BitLocker 安装向导中配置高级启动选项。
如果禁用或不配置此策略设置,则用户只能在具有 TPM 的计算机上配置基本选项。
注意
启动时只能需要一个附加的身份验证选项,否则会发生策略错误。
如果要在没有 TPM 的设备上使用 BitLocker,请选择选项 “允许没有兼容的 TPM 的 BitLocker”。 在此模式下,启动需要密码或 U 盘。
使用启动密钥时,用于加密驱动器的密钥信息存储在 U 盘上,从而创建 USB 密钥。 插入 USB 密钥时,将对驱动器的访问进行身份验证,并且可以访问驱动器。 如果 USB 密钥丢失或不可用,或者忘记了密码,则必须使用 BitLocker 恢复选项之一来访问驱动器。
在具有兼容 TPM 的计算机上,启动时可以使用四种类型的身份验证方法,为加密数据提供额外的保护。 计算机启动时,可以使用:
- 仅限 TPM
- 包含启动密钥的 U 盘
- PIN (6 位到 20 位)
- PIN + U 盘
注意
如果要要求使用启动 PIN 和 U 盘,则必须使用命令行工具 manage-bde 而不是 BitLocker 驱动器加密设置向导来配置 BitLocker 设置。
支持 TPM 的设备有四个选项:
配置 TPM 启动
配置 TPM 启动 PIN
- 允许使用 TPM 启动 PIN
- 需要使用 TPM 启动 PIN
- 不允许使用 TPM 启动 PIN
配置 TPM 启动密钥
- 允许使用 TPM 的启动密钥
- 需要使用 TPM 的启动密钥
- 不允许使用 TPM 的启动密钥
配置 TPM 启动密钥和 PIN
- 允许使用 PIN 的 TPM 启动密钥
- 需要具有 TPM 的启动密钥和 PIN
- 不允许使用 PIN 的 TPM 启动密钥
此策略设置确定在 BitLocker 恢复后启动 Windows 时是否应刷新平台验证数据。 平台验证数据配置文件由一组平台配置寄存器中的值组成, (从 0 到 23 的 PCR) 索引。
如果启用此策略设置,则当 Windows 在 BitLocker 恢复后启动时,平台验证数据将刷新。 这是默认行为。
如果禁用此策略设置,则当 Windows 在 BitLocker 恢复后启动时,平台验证数据将不会刷新。
有关恢复过程的详细信息,请参阅 BitLocker 恢复概述。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
使用增强的启动配置数据验证配置文件
此策略设置确定在平台验证期间要验证的特定启动配置数据 (BCD) 设置。 平台验证使用平台验证配置文件中的数据,该配置文件由一组平台配置寄存器 (PCR) 范围从 0 到 23 的索引组成。
如果未配置此策略设置,设备将验证默认的 Windows BCD 设置。
注意
当 BitLocker 使用安全启动进行平台和 BCD 完整性验证时,如 允许安全启动完整性验证 策略设置所定义,则忽略此策略设置。 控制启动调试 0x16000010
的设置始终经过验证,如果包含在包含或排除列表中,则它不起作用。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器 |
选择如何恢复受 BitLocker 保护的固定驱动器
此策略设置允许在缺少所需的启动密钥信息的情况下控制如何恢复受 BitLocker 保护的固定数据驱动器。 如果启用此策略设置,则可以控制用户可从受 BitLocker 保护的固定数据驱动器恢复数据的方法。 下面是可用的选项:
-
允许基于证书的数据恢复代理:指定数据恢复代理是否可以与受 BitLocker 保护的固定数据驱动器一起使用。 必须先从组策略管理控制台或本地组策略 编辑器的公钥策略项添加数据恢复代理,然后才能使用数据恢复代理
-
配置 BitLocker 恢复信息的用户存储:选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥
-
省略 BitLocker 安装向导中的恢复选项:阻止用户在为驱动器打开 BitLocker 时指定恢复选项。 这意味着用户无法在打开 BitLocker 时指定要使用的恢复选项。 驱动器的 BitLocker 恢复选项由策略设置确定
-
将 BitLocker 恢复信息保存到Active Directory 域服务:选择要在 AD DS 中存储固定数据驱动器的 BitLocker 恢复信息。 如果选择 “备份恢复密码和密钥包”,则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择“ 仅备份恢复密码”,则仅恢复密码存储在 AD DS 中
-
在将恢复信息存储在固定数据驱动器的 AD DS 中之前,请勿启用 BitLocker:除非设备已连接到域,并且 BitLocker 恢复信息备份到 AD DS 成功,否则阻止用户启用 BitLocker。 使用此选项时,会自动生成恢复密码。
重要提示
如果启用了 “拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限 ”策略设置,则必须禁止使用恢复密钥。
如果禁用或未配置此策略设置,则 BitLocker 恢复支持默认恢复选项。 默认情况下,允许 DRA,恢复选项可由用户指定,包括恢复密码和恢复密钥,并且恢复信息不会备份到 AD DS。
使用此策略设置,可以管理 BitLocker 对固定数据驱动器上基于硬件的加密的使用,并指定它可以与基于硬件的加密配合使用的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能,这些操作涉及频繁将数据读取或写入驱动器。
如果启用此策略设置,则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。
如果禁用此策略设置,则 BitLocker 无法对固定数据驱动器使用基于硬件的加密,在加密驱动器时,将默认使用基于 BitLocker 软件的加密。
如果不配置此策略设置,BitLocker 将使用基于软件的加密,而不考虑基于硬件的加密可用性。
注意
选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时,将设置基于硬件的加密使用的加密算法。 默认情况下,BitLocker 使用驱动器上配置的算法来加密驱动器。
通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项,可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用,BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如:
- CBC 模式下的 AES 128 OID:
2.16.840.1.101.3.4.1.2
- CBC 模式下的 AES 256 OID:
2.16.840.1.101.3.4.1.42
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器 |
此策略设置指定是否需要密码才能解锁受 BitLocker 保护的固定数据驱动器。 如果选择允许使用密码,则可以要求使用密码、强制实施复杂性要求并配置最小长度。
重要提示
若要使复杂性要求设置生效,还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。
如果启用此策略设置,用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求,请选择“ 要求复杂性”:
- 设置为 “需要复杂性”时,启用 BitLocker 以验证密码的复杂性时,必须连接到域控制器
- 设置为 “允许复杂性”时,尝试连接到域控制器,以验证复杂性是否符合策略设置的规则。 如果未找到域控制器,则无论实际密码复杂程度如何,都接受密码,并将使用该密码作为保护程序对驱动器进行加密
- 设置为 “不允许复杂性”时,不会验证密码复杂性
密码必须至少为 8 个字符。 若要为密码配置更大的最小长度,请在“最小密码长度”下指定所需的字符数
如果禁用或未配置此策略设置,则 8 个字符的默认长度约束适用于操作系统驱动器密码,并且不会进行复杂性检查。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器 |
使用此策略设置,可以指定是否可以使用智能卡对用户对受 BitLocker 保护的固定数据驱动器的访问进行身份验证。
- 如果启用此策略设置,则可以使用智能卡对用户对驱动器的访问权限进行身份验证
- 可以通过选择“需要在固定数据驱动器上使用智能卡”选项来要求进行智能卡身份验证
- 如果禁用此策略设置,则用户无法使用智能卡对 BitLocker 保护的固定数据驱动器的访问权限进行身份验证
- 如果未配置此策略设置,可以使用智能卡对用户对受 BitLocker 保护的驱动器的访问权限进行身份验证
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>固定数据驱动器 |
拒绝对不受 BitLocker 保护的固定驱动器的写访问
此策略设置用于在授予 写入 访问权限之前要求加密固定驱动器。
如果启用此策略设置,所有不受 BitLocker 保护的固定数据驱动器都将装载为只读。 如果驱动器受 BitLocker 保护,它将装载具有读取和写入访问权限。
如果禁用或未配置此策略设置,将装载计算机上的所有固定数据驱动器,并具有读取和写入访问权限。
注意
启用此策略设置后,当用户尝试将数据保存到未加密的固定数据驱动器时,会收到 “拒绝访问 ”错误消息。
如果在启用此策略设置时在计算机上执行 BitLocker 驱动器准备工具BdeHdCfg.exe
,可能会遇到以下问题:
- 如果尝试收缩驱动器以创建系统驱动器,则会成功减小驱动器大小,并创建原始分区。 但是,原始分区未设置格式。 显示以下错误消息: 无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。
- 如果尝试使用未分配的空间来创建系统驱动器,则会创建一个原始分区。 但是,不会设置原始分区的格式。 显示以下错误消息: 无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。
- 如果尝试将现有驱动器合并到系统驱动器中,该工具无法将所需的启动文件复制到目标驱动器以创建系统驱动器。 显示以下错误消息: BitLocker 安装程序无法复制启动文件。可能需要手动为 BitLocker 准备驱动器。
在固定数据驱动器上强制实施驱动器加密类型
此策略设置控制在固定数据驱动器上使用 BitLocker。
如果启用此策略设置,则 BitLocker 用于加密驱动器的加密类型由此策略定义,并且 BitLocker 安装向导中不会显示加密类型选项:
- 选择 完全加密 以要求在 BitLocker 处于打开状态时加密整个驱动器
- 选择 “仅使用的空间加密 ”,要求在 BitLocker 处于打开状态时,仅加密用于存储数据的驱动器部分
如果禁用或未配置此策略设置,BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。
注意
如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。
收缩或扩展卷时忽略此策略,BitLocker 驱动程序使用当前加密方法。 例如,当扩展使用 仅使用空间加密 的驱动器时,不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间: manage-bde.exe -w
。 如果卷收缩,则不会对新的可用空间执行任何操作。
选择如何恢复受 BitLocker 保护的可移动驱动器
通过此策略设置,可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的可移动数据驱动器。 如果启用此策略设置,则可以控制用户可从受 BitLocker 保护的可移动数据驱动器恢复数据的方法。 下面是可用的选项:
-
允许基于证书的数据恢复代理:指定数据恢复代理是否可以与受 BitLocker 保护的可移动数据驱动器一起使用。 必须先从组策略管理控制台或本地组策略 编辑器的公钥策略项添加数据恢复代理,然后才能使用数据恢复代理
-
配置 BitLocker 恢复信息的用户存储:选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥
-
省略 BitLocker 安装向导中的恢复选项:阻止用户在为驱动器打开 BitLocker 时指定恢复选项。 这意味着用户无法在打开 BitLocker 时指定要使用的恢复选项。 驱动器的 BitLocker 恢复选项由策略设置确定
-
将 BitLocker 恢复信息保存到Active Directory 域服务:选择要在 AD DS 中存储的可移动数据驱动器的 BitLocker 恢复信息。 如果选择 “备份恢复密码和密钥包”,则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择“ 仅备份恢复密码”,则仅恢复密码存储在 AD DS 中
-
在可移动数据驱动器的恢复信息存储在 AD DS 中之前,请勿启用 BitLocker:除非设备已连接到域并将 BitLocker 恢复信息备份到 AD DS 成功,否则阻止用户启用 BitLocker。 使用此选项时,会自动生成恢复密码。
重要提示
如果启用了 “拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 ”策略设置,则必须禁止使用恢复密钥。
如果禁用或未配置此策略设置,则 BitLocker 恢复支持默认恢复选项。 默认情况下,允许 DRA,恢复选项可由用户指定,包括恢复密码和恢复密钥,并且恢复信息不会备份到 AD DS。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器 |
使用此策略设置,可以管理 BitLocker 对可移动数据驱动器基于硬件的加密的使用,并指定它可以与基于硬件的加密配合使用的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能,这些操作涉及频繁将数据读取或写入驱动器。
如果启用此策略设置,则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。
如果禁用此策略设置,则 BitLocker 无法对可移动数据驱动器使用基于硬件的加密,在加密驱动器时,将默认使用基于 BitLocker 软件的加密。
如果不配置此策略设置,BitLocker 将使用基于软件的加密,而不考虑基于硬件的加密可用性。
注意
选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时,将设置基于硬件的加密使用的加密算法。 默认情况下,BitLocker 使用驱动器上配置的算法来加密驱动器。
通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项,可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用,BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如:
- CBC 模式下的 AES 128 OID:
2.16.840.1.101.3.4.1.2
- CBC 模式下的 AES 256 OID:
2.16.840.1.101.3.4.1.42
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器 |
此策略设置指定是否需要密码才能解锁受 BitLocker 保护的可移动数据驱动器。 如果选择允许使用密码,则可以要求使用密码、强制实施复杂性要求并配置最小长度。
重要提示
若要使复杂性要求设置生效,还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。
如果启用此策略设置,用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求,请选择“ 要求复杂性”:
- 设置为 “需要复杂性”时,启用 BitLocker 以验证密码的复杂性时,必须连接到域控制器
- 设置为 “允许复杂性”时,尝试连接到域控制器,以验证复杂性是否符合策略设置的规则。 如果未找到域控制器,则无论实际密码复杂程度如何,都接受密码,并将使用该密码作为保护程序对驱动器进行加密
- 设置为 “不允许复杂性”时,不会验证密码复杂性
密码必须至少为 8 个字符。 若要为密码配置更大的最小长度,请在“最小密码长度”下指定所需的字符数
如果禁用或未配置此策略设置,则 8 个字符的默认长度约束适用于操作系统驱动器密码,并且不会进行复杂性检查。
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器 |
使用此策略设置,可以指定是否可以使用智能卡对用户对受 BitLocker 保护的可移动数据驱动器的访问进行身份验证。
- 如果启用此策略设置,则可以使用智能卡对用户对驱动器的访问权限进行身份验证
- 可以通过选择“需要在可移动数据驱动器上使用智能卡”选项来要求进行智能卡身份验证
- 如果禁用此策略设置,则用户无法使用智能卡对受 BitLocker 保护的可移动数据驱动器的访问权限进行身份验证
- 如果未配置此策略设置,可以使用智能卡对用户对受 BitLocker 保护的驱动器的访问权限进行身份验证
|
路径 |
CSP |
不可用 |
GPO |
计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>可移动数据驱动器 |
控制在可移动驱动器上使用 BitLocker
此策略设置控制对可移动数据驱动器的 BitLocker 的使用。
启用此策略设置后,可以选择控制用户配置 BitLocker 的方式的属性设置:
- 选择 “允许用户对可移动数据驱动器应用 BitLocker 保护 ”以允许用户在可移动数据驱动器上运行 BitLocker 安装向导
- 选择 “允许用户暂停和解密可移动数据驱动器上的 BitLocker ”,以允许用户从驱动器中删除 BitLocker 加密,或者在执行维护时暂停加密
如果禁用此策略设置,则用户无法在可移动磁盘驱动器上使用 BitLocker。
拒绝对不受 BitLocker 保护的可移动驱动器的写访问
此策略设置配置设备是否需要 BitLocker 保护才能将数据写入可移动数据驱动器。
如果启用此策略设置:
- 所有不受 BitLocker 保护的可移动数据驱动器都装载为只读
- 如果驱动器受 BitLocker 保护,则使用读取和写入访问权限装载该驱动器
- 如果选择了 “拒绝对另一个组织中配置的设备的写入访问权限 ”选项,则仅向标识字段与计算机的标识字段匹配的驱动器提供写入访问权限
- 访问可移动数据驱动器时,会检查其是否有效标识字段和允许的标识字段。 这些字段由 (为组织提供唯一标识符) [] 策略设置定义
如果禁用或未配置此策略设置,将装载计算机上的所有可移动数据驱动器,并具有读取和写入访问权限。
注意
如果启用了可 移动磁盘:拒绝写入访问 的策略设置,则忽略此策略设置。
重要提示
如果启用此策略:
- 必须禁止将 BitLocker 与 TPM 启动密钥 或 TPM 密钥和 PIN 配合使用
- 必须禁止使用恢复密钥
在可移动数据驱动器上强制实施驱动器加密类型
此策略设置控制对可移动数据驱动器的 BitLocker 的使用。
启用此策略设置时,BitLocker 安装向导中不提供 加密类型 选项:
- 选择 完全加密 以要求在 BitLocker 处于打开状态时加密整个驱动器
- 选择 “仅使用的空间加密 ”,要求在 BitLocker 处于打开状态时,仅加密用于存储数据的驱动器部分
如果禁用或未配置此策略设置,BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。
注意
如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。
收缩或扩展卷时忽略此策略,BitLocker 驱动程序使用当前加密方法。 例如,当扩展使用 仅使用空间加密 的驱动器时,不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间: manage-bde.exe -w
。 如果卷收缩,则不会对新的可用空间执行任何操作。
从加密中排除的可移动驱动器