配置 BitLocker

若要配置 BitLocker,可以使用以下选项之一:

  • 配置服务提供程序 (CSP) :此选项通常用于移动设备管理 (MDM) 解决方案(如Microsoft Intune)管理的设备。 BitLocker CSP 用于配置 BitLocker,以及向 MDM 解决方案报告不同 BitLocker 函数的状态。 使用 Microsoft Intune,可以在合规性策略中使用 BitLocker 状态,并将其与条件访问相结合。 条件访问可以根据 BitLocker 的状态阻止或授予对 Exchange Online 和 SharePoint Online 等服务的访问权限。 若要详细了解配置和监视 BitLocker 的Intune选项,检查以下文章:
  • 组策略 (GPO) :此选项可用于已加入 Active Directory 域且不受设备管理解决方案管理的设备。 组策略还可用于未加入 Active Directory 域的设备,使用本地组策略编辑器
  • Microsoft Configuration Manager:此选项可用于使用 BitLocker 管理代理由 Microsoft Configuration Manager 管理的设备。 若要详细了解通过Microsoft Configuration Manager配置 BitLocker 的选项,请参阅部署 BitLocker 管理

注意

Windows Server 不支持使用 CSP 或 Microsoft Configuration Manager 配置 BitLocker。 请改用 GPO。

虽然许多 BitLocker 策略设置都可以使用 CSP 和 GPO 进行配置,但有些设置只能使用其中一个选项。 若要了解适用于 CSP 和 GPO 的策略设置,请查看 BitLocker 策略设置部分。

Windows 版本和许可要求

下表列出了支持 BitLocker 管理的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

BitLocker 管理许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

BitLocker 策略设置

本部分介绍通过配置服务提供程序 (CSP) 和组策略 (GPO) 配置 BitLocker 的策略设置。

重要提示

最初为驱动器打开 BitLocker 时,将强制实施大多数 BitLocker 策略设置。 如果设置发生更改,则不会重启加密。

策略设置列表

设置列表按字母顺序排序,分为四个类别:

  • 常见设置:适用于所有受 BitLocker 保护的驱动器的设置
  • 操作系统驱动器:适用于安装 Windows 的驱动器的设置
  • 固定的数据驱动器:适用于除操作系统驱动器以外的任何本地驱动器的设置
  • 可移动数据驱动器:适用于任何可移动驱动器的设置

选择其中一个选项卡以查看可用设置的列表:

下表列出了适用于所有驱动器类型的 BitLocker 策略,指示它们是否通过配置服务提供商 (CSP) 和/或组策略 (GPO) 适用。 有关更多详细信息,请选择策略名称。

策略名称 CSP GPO
允许标准用户加密
选择恢复密码的默认文件夹
选择驱动器加密方法和密码强度
配置恢复密码轮换
锁定此计算机时禁用新的 DMA 设备
防止重启时内存覆盖
为组织提供唯一标识符
要求设备加密
验证智能卡证书使用规则符合性

允许标准用户加密

使用此策略,可以在当前登录用户没有管理权限时应用策略的情况下强制实施 “需要设备加密 ”策略。

重要提示

必须禁用 其他磁盘加密策略的“允许警告 ”才能允许标准用户加密。

路径
CSP ./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO 不可用

选择恢复密码的默认文件夹

指定 当 BitLocker 驱动器加密设置向导 提示用户输入要在其中保存恢复密码的文件夹的位置时显示的默认路径。 可以指定完全限定的路径,也可以在路径中包含目标计算机的环境变量:

  • 如果路径无效,则 BitLocker 安装向导将显示计算机的顶级文件夹视图
  • 如果禁用或未配置此策略设置,则当用户选择将恢复密码保存到文件夹中的选项时,BitLocker 安装向导会显示计算机的顶级文件夹视图

注意

此策略设置不会阻止用户将恢复密码保存在另一个文件夹中。

路径
CSP 不可用
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

选择驱动器加密方法和密码强度

使用此策略,可以单独为固定数据驱动器、操作系统驱动器和可移动数据驱动器配置加密算法和密钥加密强度。

建议的设置: XTS-AES 所有驱动器的算法。 密钥大小(128 位或 256 位)的选择取决于设备的性能。 对于性能更高的硬盘驱动器和 CPU,请选择 256 位密钥,对于性能较差的密钥,请使用 128。

重要提示

监管机构或行业可能要求密钥大小。

如果禁用或未配置此策略设置,BitLocker 将使用 的默认加密方法 XTS-AES 128-bit

注意

此策略不适用于加密驱动器。 加密驱动器使用自己的算法,该算法在分区期间由驱动器设置。

路径
CSP ./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

配置恢复密码轮换

使用此策略,可以在已加入和Microsoft Entra混合联接的设备上配置操作系统和固定 Microsoft Entra驱动器时使用的数字恢复密码轮换。

可能的值为:

  • 0:数字恢复密码轮换已关闭
  • 1已加入Microsoft Entra的设备在使用时启用数字恢复密码轮换。 这也是默认值
  • 2:已加入Microsoft Entra设备和Microsoft Entra混合联接设备在使用时启用数字恢复密码轮换

注意

仅当恢复密码的 Micropsoft Entra ID 或 Active Directory 备份配置为必需时,策略才有效

  • 对于 OS 驱动器:启用 在将恢复信息存储到操作系统驱动器的 AD DS 之前,不要启用 BitLocker
  • 对于固定驱动器:启用“在将恢复信息存储到固定数据驱动器的 AD DS 之前,不要启用 BitLocker
路径
CSP ./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO 不可用

锁定此计算机时禁用新的 DMA 设备

启用后,此策略设置会阻止所有热插拔 PCI 端口的直接内存访问 (DMA) ,直到用户登录到 Windows。

用户登录后,Windows 会枚举连接到主机 Thunderbolt PCI 端口的 PCI 设备。 每次用户锁定设备时,DMA 都会阻止热插拔 Thunderbolt PCI 端口(没有子设备),直到用户再次登录。

设备解锁时已枚举的设备将继续运行,直到拔出,或者系统重新启动或休眠。

仅当启用 BitLocker 或设备加密时,才会强制实施此策略设置。

重要提示

此策略与 内核 DMA 保护不兼容。 如果系统支持内核 DMA 保护,建议禁用此策略,因为内核 DMA 保护为系统提供更高的安全性。 有关内核 DMA 保护的详细信息,请参阅 内核 DMA 保护

路径
CSP 不可用
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

防止重启时内存覆盖

此策略设置用于控制设备重启时是否覆盖计算机的内存。 BitLocker 机密包括用于加密数据的密钥材料。

  • 如果启用此策略设置,则计算机重启时不会覆盖内存。 防止内存覆盖可以提高重启性能,但会增加公开 BitLocker 机密的风险。
  • 如果禁用或未配置此策略设置,则在计算机重启时,将从内存中删除 BitLocker 机密。

注意

仅当启用了 BitLocker 保护时,此策略设置才适用。

路径
CSP 不可用
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

为组织提供唯一标识符

此策略设置允许你将唯一的组织标识符关联到使用 BitLocker 加密的驱动器。 标识符存储为 标识字段允许的标识字段

  • 标识字段允许你将唯一的组织标识符关联到受 BitLocker 保护的驱动器。 此标识符会自动添加到受 BitLocker 保护的新驱动器,并且可以使用 BitLocker 驱动器加密:配置工具 (manage-bde.exe)
  • 允许的标识字段与 拒绝对不受 BitLocker 保护的可移动驱动器的写入访问 策略设置结合使用,以帮助控制组织中可移动驱动器的使用。 它是组织或其他外部组织的标识字段的逗号分隔列表。 可以使用 在现有驱动器 manage-bde.exe上配置标识字段。

如果启用此策略设置,则可以在受 BitLocker 保护的驱动器以及组织使用的任何允许的标识字段上配置标识字段。 在另一台启用了 BitLocker 的设备上装载受 BitLocker 保护的驱动器时,将使用标识字段和允许的标识字段来确定该驱动器是否来自其他组织。

如果禁用或未配置此策略设置,则不需要标识字段。

重要提示

在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理时,需要标识字段。 BitLocker 仅在驱动器上存在标识字段且与设备上配置的值相同时管理和更新基于证书的数据恢复代理。 标识字段可以是 260 个字符或更少的任何值。

路径
CSP ./Device/Vendor/MSFT/BitLocker/ IdentificationField
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

要求设备加密

此策略设置确定是否需要 BitLocker:

  • 如果启用,则会根据 允许其他磁盘 加密策略的警告以无提示或非无提示方式在所有驱动器上触发加密
  • 如果禁用,则不会关闭系统驱动器的 BitLocker,但会停止提示用户打开 BitLocker。

注意

通常,BitLocker 遵循 选择驱动器加密方法和密码强度 策略配置。 但是,对于自加密固定驱动器和自加密 OS 驱动器,将忽略此策略设置。

可加密固定数据卷的处理方式与 OS 卷类似,但它们必须满足其他条件才能进行加密:

  • 它不能是动态卷
  • 它不能是恢复分区
  • 它不能是隐藏卷
  • 它不能是系统分区
  • 它不能由虚拟存储提供支持
  • BCD 存储中不能有引用

注意

使用此策略进行无提示加密时,仅支持完整磁盘加密。 对于非无提示加密,加密类型将取决于 在操作系统驱动器上强制实施驱动器加密类型和 在设备上配置的 固定数据驱动器上强制实施驱动器加密类型 策略。

路径
CSP ./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO 不可用

验证智能卡证书使用规则符合性

此策略设置用于通过将对象标识符 (OID) 从智能卡证书关联到受 BitLocker 保护的驱动器来确定要用于 BitLocker 的证书。 对象标识符在证书的增强密钥用法 (EKU) 中指定。

BitLocker 可以通过将证书中的对象标识符与此策略设置定义的对象标识符匹配来标识哪些证书可用于对受 BitLocker 保护的驱动器的用户证书进行身份验证。 默认 OID 为 1.3.6.1.4.1.311.67.1.1

如果启用此策略设置,则“对象标识符”字段中指定的对象标识符必须与智能卡证书中的对象标识符匹配。 如果禁用或未配置此策略设置,则使用默认 OID。

注意

BitLocker 不要求证书具有 EKU 属性;但是,如果为证书配置了一个,则必须将其设置为与为 BitLocker 配置的对象标识符匹配的对象标识符。

路径
CSP 不可用
GPO 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密

BitLocker 和策略设置符合性

如果设备不符合配置的策略设置,则 BitLocker 可能未打开,或者 BitLocker 配置可能被修改,直到设备处于合规状态。 当驱动器不符合策略设置时,仅允许对 BitLocker 配置进行更改以使其符合性。 例如,如果以前加密的驱动器因策略设置更改而变得不符合,则可能会出现这种情况。

如果需要进行多项更改才能使驱动器符合性,可能需要暂停 BitLocker 保护,进行必要的更改,然后恢复保护。 例如,如果可移动驱动器最初配置为使用密码解锁,然后将策略设置更改为需要智能卡,则可能会出现这种情况。 在此方案中,需要暂停 BitLocker 保护,删除密码解锁方法,并添加智能卡方法。 此过程完成后,BitLocker 符合策略设置,并且可以恢复驱动器上的 BitLocker 保护。

在其他情况下,若要使驱动器符合策略设置的更改,可能需要禁用 BitLocker 并解密驱动器,然后重新启用 BitLocker,然后重新加密驱动器。 此方案的一个示例是当 BitLocker 加密方法或密码强度发生更改时。

若要详细了解如何管理 BitLocker,请查看 BitLocker 操作指南

配置和管理服务器

通常使用 PowerShell 部署、配置和管理服务器。 建议使用组策略设置在服务器上配置 BitLocker,并使用 PowerShell 管理 BitLocker。

BitLocker 是 Windows Server 中的可选组件。 按照在 Windows Server 上安装 BitLocker 中的说明添加 BitLocker 可选组件。

最精简的服务器界面是一些 BitLocker 管理工具的先决条件。 在 服务器核心 安装中,必须首先添加必要的 GUI 组件。 结合使用按需功能和更新的系统与修补的映像如何更新本地源媒体以添加角色和功能中介绍了将 shell 组件添加到服务器核心的步骤。 如果手动安装服务器,则选择 具有桌面体验的服务器 是最简单的路径,因为它可避免执行将 GUI 添加到服务器核心的步骤。

熄灯的数据中心可以利用第二个因素的增强安全性,同时通过选择性地使用 BitLocker (TPM+PIN) 和 BitLocker 网络解锁的组合来避免在重启期间用户干预的需要。 BitLocker 网络解锁融合了最好的硬件保护、位置依赖关系和自动解锁,同时处于受信任的位置。 有关配置步骤,请参阅 网络解锁

后续步骤

查看 BitLocker 操作指南,了解如何使用不同的工具来管理和操作 BitLocker。

BitLocker 操作指南 >