BitLocker 設定參考
適用於:Configuration Manager (目前的分支)
Configuration Manager 中的 BitLocker 管理原則包含下列原則群組:
- 安裝程式
- 操作系統磁碟驅動器
- 固定磁碟驅動器
- 卸載式磁碟驅動器
- 用戶端管理
下列各節說明並建議每個群組中設定的組態。
安裝程式
此頁面上的設定會設定全域 BitLocker 加密選項。
磁碟驅動器加密方法和加密強度
建議的設定:使用預設或更大的加密方法啟 用 。
注意事項
[安裝程序屬性] 頁面包含不同 Windows 版本的兩組設定。 本節將說明這兩者。
Windows 8.1裝置
針對 Windows 8.1 裝置,請啟用磁碟驅動器加密方法和加密強度的選項,然後選取下列其中一個加密方法:
- AES 128 位與 Diffuser
- AES 256 位與 Diffuser
- AES 128 位 (預設)
- AES 256 位
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMBLEncryptionMethodPolicy。
Windows 10 或更新版本裝置
針對 Windows 10 或更新版本的裝置,請啟用磁碟驅動器加密方法和加密強度 (Windows 10 或更新版本的選項,) 。 然後針對 OS 磁碟驅動器、固定資料磁碟驅動器和抽取式數據磁碟驅動器個別選取下列其中一個加密方法:
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128-bit (預設值)
- XTS-AES 256-bit
提示
BitLocker 使用進階加密標準 (AES) 作為其加密演算法,其可設定的密鑰長度為 128 或 256 位。 在 Windows 10 或更新版本的裝置上,AES 加密支援加密區塊鏈結 (CBC) 或加密文字竊取 (XTS) 。
如果您需要在未執行 Windows 10 的裝置上使用卸載式磁碟驅動器,請使用 AES-CBC。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMBLEncryptionMethodWithXts。
磁碟驅動器加密和加密強度的一般使用注意事項
如果您停用或未設定這些設定,BitLocker 會使用預設加密方法。
Configuration Manager 在開啟 BitLocker 時套用這些設定。
如果磁碟驅動器已加密或進行中,這些原則設定的任何變更都不會變更裝置上的磁碟驅動器加密。
如果您使用預設值,BitLocker 計算機合規性報告可能會將加密強度顯示為 未知。 若要解決此問題,請啟用此設定,並設定加密強度的明確值。
防止重新啟動時覆寫記憶體
建議的設定: 未設定
設定此原則可改善重新啟動效能,而不會在重新啟動時覆寫記憶體中的 BitLocker 秘密。
當您未設定此原則時,BitLocker 會在電腦重新啟動時,從記憶體中移除其秘密。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMNoOverwritePolicy。
驗證智慧卡憑證使用規則合規性
建議的設定: 未設定
設定此原則以使用智慧卡憑證型 BitLocker 保護。 然後指定憑證 物件標識碼。
當您未設定此原則時,BitLocker 會使用預設物件標識碼 1.3.6.1.4.1.311.67.1.1
來指定憑證。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMScCompliancePolicy。
組織唯一標識碼
建議的設定: 未設定
將此原則設定為使用憑證型數據復原代理程式或 BitLocker To Go 讀取器。
當您未設定此原則時,BitLocker 不會使用 [ 識別 ] 字段。
如果您的組織需要更高的安全性度量,請設定 [ 識別 ] 欄位。 在所有目標 USB 裝置上設定此欄位,並配合此設定。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMUidPolicy。
OS 磁碟驅動器
此頁面上的設定會設定 Windows 安裝所在磁碟驅動器的加密設定。
操作系統磁碟驅動器加密設定
建議的設定: 已啟用
如果啟用此設定,用戶必須保護 OS 磁碟驅動器,而 BitLocker 會加密磁碟驅動器。 如果停用,用戶就無法保護磁碟驅動器。 如果您未設定此原則,操作系統磁碟驅動器上就不需要 BitLocker 保護。
注意事項
如果磁碟驅動器已加密,且您停用此設定,BitLocker 會解密磁碟驅動器。
如果您的裝置沒有 信賴平臺模組 (TPM) ,請使用 [ 允許不使用相容 TPM 的 BitLocker] 選項 (需要密碼) 。 此設定可讓 BitLocker 加密 OS 磁碟驅動器,即使裝置沒有 TPM 也一樣。 如果您允許此選項,Windows 會提示使用者指定 BitLocker 密碼。
在具有相容 TPM 的裝置上,兩種驗證方法可以在啟動時用來為加密數據提供額外的保護。 當計算機啟動時,它只能使用 TPM 進行驗證,也可以要求輸入個人識別碼 (PIN) 。 進行下列設定:
選取操作系統磁碟驅動器的保護裝置:將它設定為使用 TPM 和 PIN,或只使用 TPM。
設定啟動的最小 PIN 長度:如果您需要 PIN,此值是使用者可以指定的最短長度。 當電腦開機以解除鎖定磁碟驅動器時,用戶會輸入此 PIN。 根據預設,PIN 長度下限為
4
。
提示
為了提高安全性,當您使用 TPM + PIN 保護裝置啟用裝置時,請考慮停用系統>電源管理>睡眠設定中的下列組策略設定:
允許在睡眠 (插入時 (S1-S3) 待命狀態)
在電池) 上睡眠 (時,允許 S1-S3 () 待命狀態
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMBMSOSDEncryptionPolicy。
允許增強型 PIN 以啟動
建議的設定: 未設定
設定 BitLocker 以使用增強型啟動 PIN。 這些 PIN 允許使用更多字元,例如大寫和小寫字母、符號、數位和空格。 當您開啟 BitLocker 時,就會套用此設定。
重要事項
並非所有電腦都可以在開機前環境中支持增強的 PIN。 啟用它之前,請先評估您的裝置是否與這項功能相容。
如果您啟用此設定,所有新的 BitLocker 啟動 PIN 都會允許使用者建立增強的 PIN。
- 需要僅限 ASCII 的 PIN:協助讓增強型 PIN 與電腦更相容,以限制您可以在開機前環境中輸入的字元類型或數目。
如果您停用或未設定此原則設定,BitLocker 不會使用增強型 PIN。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMEnhancedPIN。
操作系統磁碟驅動器密碼原則
建議的設定: 未設定
使用這些設定來設定密碼的條件約束,以解除鎖定受 BitLocker 保護的 OS 磁碟驅動器。 如果您在 OS 磁碟驅動器上允許非 TPM 保護裝置,請設定下列設定:
設定操作系統磁碟驅動器的密碼複雜度:若要強制執行密碼的複雜性需求,請選取 [需要密碼複雜度]。
作業系統磁碟驅動器的最小密碼長度:根據預設,最小長度為
8
。需要卸除式 OS 磁碟驅動器的僅限 ASCII 密碼
如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMOSPassphrase。
操作系統磁碟驅動器密碼原則的一般使用方式注意事項
為了讓這些複雜性需求設定生效,也請啟用組策略設定 密碼必須符合計算機>設定Windows 設定安全性>設定>帳戶>原則密碼原則中的複雜性需求。
BitLocker 會在您開啟時強制執行這些設定,而不是在解除鎖定磁碟區時強制執行。 BitLocker 可讓您使用磁碟驅動器上可用的任何保護裝置來解除鎖定磁碟驅動器。
如果您使用組策略來啟用符合 FIPS 規範的演算法來進行加密、哈希和簽署,則無法允許密碼作為 BitLocker 保護裝置。
在 BitLocker 復原之後重設平台驗證數據
建議的設定: 未設定
控制 Windows 是否在 BitLocker 復原之後啟動時重新整理平臺驗證數據。
如果您啟用或未設定此設定,Windows 會在此情況下重新整理平臺驗證數據。
如果您停用此原則設定,Windows 不會在此情況下重新整理平臺驗證數據。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMTpmAutoResealPolicy。
開機前復原訊息和 URL
建議的設定: 未設定
當 BitLocker 鎖定 OS 磁碟驅動器時,請使用此設定在開機前 BitLocker 復原畫面上顯示自定義修復訊息或 URL。 此設定僅適用於 Windows 10 或更新版本的裝置。
當您啟用此設定時,請針對開機前復原訊息選取下列其中一個選項:
使用預設修復訊息和 URL:在開機前 BitLocker 復原畫面中顯示預設的 BitLocker 修復訊息和 URL。 如果您先前已設定自定義修復訊息或 URL,請使用此選項還原為預設訊息。
使用自定義修復訊息:在開機前 BitLocker 復原畫面中包含自定義訊息。
- 自訂修復訊息選項:輸入要顯示的自定義訊息。 如果您也想要指定復原 URL,請將它納入此自定義復原訊息中。 字串長度上限為 32,768 個字元。
使用自定義復原 URL:取代開機前 BitLocker 復原畫面中顯示的預設 URL。
- 自定義復原 URL 選項:輸入要顯示的 URL。 字串長度上限為 32,768 個字元。
注意事項
開機前不支援所有字元和語言。 請先測試您的自定義訊息或 URL,以確定它在開機前 BitLocker 復原畫面上正確顯示。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMPrebootRecoveryInfo。
OS 磁碟驅動器 () 的加密原則強制執行設定
建議的設定: 已啟用
設定使用者可以延後操作系統磁碟驅動器 BitLocker 合規性的天數。 [不符合規範] 寬限期會在 Configuration Manager 第一次偵測為不符合規範時開始。 在此寬限期到期之後,用戶無法延後必要的動作或要求豁免。
如果加密程式需要使用者輸入,Windows 中會出現一個對話框,用戶必須提供必要的資訊才能關閉該對話方塊。 未來的錯誤或狀態通知不會有此限制。
如果 BitLocker 不需要使用者互動即可新增保護裝置,則在寬限期到期之後,BitLocker 就會在背景中開始加密。
如果您停用或未設定此設定,Configuration Manager 不需要使用者遵守 BitLocker 原則。
若要立即強制執行原則,請設定的 0
寬限期。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMUseOsEnforcePolicy。
固定磁碟驅動器
此頁面上的設定會設定裝置中其他數據磁碟驅動器的加密。
固定數據磁碟驅動器加密
建議的設定: 已啟用
管理固定數據磁碟驅動器的加密需求。 如果啟用此設定,BitLocker 會要求使用者將所有固定數據磁碟驅動器置於保護之下。 然後會加密數據磁碟驅動器。
當您啟用此原則時,請啟用自動解除鎖定或 固定資料磁碟驅動器密碼原則的設定。
- 設定固定數據磁碟驅動器的自動解除鎖定:允許或要求 BitLocker 自動解除鎖定任何加密的數據磁碟驅動器。 若要使用自動解除鎖定,也需要 BitLocker 來加密 OS 磁碟驅動器。
如果您未設定此設定,BitLocker 就不需要使用者將固定數據磁碟驅動器置於保護之下。
如果您停用此設定,使用者就無法將其固定數據磁碟驅動器置於 BitLocker 保護之下。 如果您在 BitLocker 加密固定數據磁碟驅動器之後停用此原則,BitLocker 會解密固定數據磁碟驅動器。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMBMSFDVEncryptionPolicy。
拒絕寫入不受 BitLocker 保護的固定磁碟驅動器
建議的設定: 未設定
需要 Windows 的 BitLocker 保護,才能將數據寫入裝置上的固定磁碟驅動器。 BitLocker 會在您開啟時套用此原則。
開啟這個設定時:
如果 BitLocker 保護固定數據磁碟驅動器,Windows 會以讀取和寫入存取權掛接它。
對於 BitLocker 無法保護的任何固定數據磁碟驅動器,Windows 會將它掛接為唯讀。
當您未設定此設定時,Windows 會掛接具有讀取和寫入存取權的所有固定數據磁碟驅動器。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMFDVDenyWriteAccessPolicy。
固定數據磁碟驅動器密碼原則
建議的設定: 未設定
使用這些設定來設定密碼的條件約束,以解除鎖定受 BitLocker 保護的固定數據磁碟驅動器。
如果啟用此設定,用戶可以設定符合您定義需求的密碼。
若要提高安全性,請啟用此設定,然後設定下列設定:
固定數據磁碟驅動器需要密碼:用戶必須指定密碼才能解除鎖定受 BitLocker 保護的固定數據磁碟驅動器。
設定固定數據磁碟驅動器的密碼複雜度:若要強制執行密碼的複雜性需求,請選取 [需要密碼複雜度]。
固定資料磁碟驅動器的密碼長度下限:根據預設,最小長度為
8
。
如果您停用此設定,使用者就無法設定密碼。
未設定原則時,BitLocker 支援具有預設設定的密碼。 默認設定不包含密碼複雜性需求,而且只需要八個字元。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMFDVPassPhrasePolicy。
固定數據磁碟驅動器密碼原則的一般使用方式注意事項
為了讓這些複雜性需求設定生效,也請啟用組策略設定 密碼必須符合計算機>設定Windows 設定安全性>設定>帳戶>原則密碼原則中的複雜性需求。
BitLocker 會在您開啟時強制執行這些設定,而不是在解除鎖定磁碟區時強制執行。 BitLocker 可讓您使用磁碟驅動器上可用的任何保護裝置來解除鎖定磁碟驅動器。
如果您使用組策略來啟用符合 FIPS 規範的演算法來進行加密、哈希和簽署,則無法允許密碼作為 BitLocker 保護裝置。
固定數據磁碟驅動器 (加密原則強制執行設定)
建議的設定: 已啟用
設定使用者可以延後固定數據磁碟驅動器的 BitLocker 合規性的天數。 當 Configuration Manager 第一次偵測到固定數據磁碟驅動器不符合規範時,即會開始「不符合規範」寬限期。 除非操作系統磁碟驅動器符合規範,否則不會強制執行固定數據磁碟驅動器原則。 寬限期到期之後,用戶無法延後必要的動作或要求豁免。
如果加密程式需要使用者輸入,Windows 中會出現一個對話框,用戶必須提供必要的資訊才能關閉該對話方塊。 未來的錯誤或狀態通知不會有此限制。
如果 BitLocker 不需要使用者互動即可新增保護裝置,則在寬限期到期之後,BitLocker 就會在背景中開始加密。
如果您停用或未設定此設定,Configuration Manager 不需要使用者遵守 BitLocker 原則。
若要立即強制執行原則,請設定的 0
寬限期。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMUseFddEnforcePolicy。
卸載式磁碟驅動器
此頁面上的設定會設定卸載式磁碟驅動器的加密,例如USB金鑰。
抽取式數據磁碟驅動器加密
建議的設定: 已啟用
此設定可控制卸載式磁碟驅動器上的 BitLocker 使用。
允許使用者在卸除式數據磁碟驅動器上套用 BitLocker 保護:用戶可以開啟卸載式磁碟驅動器的 BitLocker 保護。
允許使用者在抽取式數據磁碟驅動器上暫停和解密 BitLocker:使用者可以從卸載式磁碟驅動器移除或暫時暫停 BitLocker 磁碟驅動器加密。
當您啟用此設定並允許使用者套用 BitLocker 保護時,Configuration Manager 用戶端會將卸載式磁碟驅動器的復原資訊儲存到管理點上的復原服務。 如果使用者忘記或遺失保護裝置 (密碼) ,此行為可讓用戶復原磁碟驅動器。
開啟這個設定時:
啟用卸除式數據磁碟驅動器密碼原則的設定
針對 兩個使用者 & 計算機設定,停用 系統>卸載式記憶體 存取中的下列組策略設定:
- 所有抽取式儲存類別:拒絕所有存取
- 卸除式磁碟:拒絕寫入存取
- 卸除式磁碟:拒絕讀取存取
如果您停用此設定,使用者就無法在卸除式磁碟驅動器上使用 BitLocker。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMRDVConfigureBDEPolicy。
拒絕寫入不受 BitLocker 保護的抽取式磁碟驅動器
建議的設定: 未設定
需要 Windows 的 BitLocker 保護,才能將數據寫入裝置上的卸載式磁碟驅動器。 BitLocker 會在您開啟時套用此原則。
開啟這個設定時:
如果 BitLocker 保護卸載式磁碟驅動器,Windows 會使用讀取和寫入存取權掛接它。
對於 BitLocker 無法保護的任何卸載式磁碟驅動器,Windows 會將它掛接為唯讀。
如果您啟用 [拒絕對 另一個組織中設定的裝置進行寫入存取] 選項,BitLocker 只會提供可移動磁碟驅動器的寫入存取權,其標識符欄位符合允許的識別字段。 使用 [設定] 頁面上的 [組織唯一標識符全域設定] 來定義這些字段。
當您停用或未設定此設定時,Windows 會掛接具有讀取和寫入存取權的所有卸載式磁碟驅動器。
注意事項
您可以使用 系統>卸除式記憶體存取中的組策略設定來覆寫此設定。 如果您啟用組策略設定卸除式磁碟:拒絕寫入存取,則 BitLocker 會忽略此 Configuration Manager 設定。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMRDVDenyWriteAccessPolicy。
卸除式數據磁碟驅動器密碼原則
建議的設定: 已啟用
使用這些設定來設定密碼的條件約束,以解除鎖定受 BitLocker 保護的卸載式磁碟驅動器。
如果啟用此設定,用戶可以設定符合您定義需求的密碼。
若要提高安全性,請啟用此設定,然後設定下列設定:
卸除式數據磁碟驅動器需要密碼:用戶必須指定密碼才能解除鎖定受 BitLocker 保護的卸載式磁碟驅動器。
設定抽取式數據磁碟驅動器的密碼複雜度:若要強制執行密碼的複雜性需求,請選取 [需要密碼複雜度]。
卸除式資料磁碟驅動器的最小密碼長度:根據預設,最小長度為
8
。
如果您停用此設定,使用者就無法設定密碼。
未設定原則時,BitLocker 支援具有預設設定的密碼。 默認設定不包含密碼複雜性需求,而且只需要八個字元。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMRDVPassPhrasePolicy。
卸除式數據磁碟驅動器密碼原則的一般使用注意事項
為了讓這些複雜性需求設定生效,也請啟用組策略設定 密碼必須符合計算機>設定Windows 設定安全性>設定>帳戶>原則密碼原則中的複雜性需求。
BitLocker 會在您開啟時強制執行這些設定,而不是在解除鎖定磁碟區時強制執行。 BitLocker 可讓您使用磁碟驅動器上可用的任何保護裝置來解除鎖定磁碟驅動器。
如果您使用組策略來啟用符合 FIPS 規範的演算法來進行加密、哈希和簽署,則無法允許密碼作為 BitLocker 保護裝置。
用戶端管理
此頁面上的設定會設定 BitLocker 管理服務和用戶端。
BitLocker 管理服務
建議的設定: 已啟用
當您啟用此設定時,Configuration Manager 會自動以無訊息方式備份月臺資料庫中的金鑰復原資訊。 如果您停用或未設定此設定,Configuration Manager 不會儲存金鑰修復資訊。
選取要儲存的 BitLocker 修復資訊:設定金鑰復原服務以備份 BitLocker 復原資訊。 它提供系統管理方法來復原由 BitLocker 加密的數據,這有助於防止數據遺失,因為缺少密鑰資訊。
允許以純文本儲存復原資訊:如果沒有適用於 SQL Server 的 BitLocker 管理加密憑證,Configuration Manager 會以純文本儲存密鑰修復資訊。 如需詳細資訊,請 參閱加密資料庫中的復原數據。
用戶端檢查狀態頻率 (分鐘) :用戶端會依設定的頻率檢查計算機上的 BitLocker 保護原則和狀態,並備份用戶端修復密鑰。 根據預設,Configuration Manager 用戶端會每隔 90 分鐘檢查一次 BitLocker 狀態。
重要事項
請勿將此值設定為小於 60。 頻率值較小可能會導致客戶端短暫回報不正確的合規性狀態。
如需如何使用 Windows PowerShell 建立這些原則的詳細資訊,請參閱:
使用者豁免原則
建議的設定: 未設定
設定連絡人方法,讓使用者要求豁免 BitLocker 加密。
如果您啟用此原則設定,請提供下列資訊:
延遲天數上限:用戶可以延遲強制執行原則的天數。 根據預設,此值為
7
一周) (天數。聯繫人方法:指定使用者如何要求豁免:URL、電子郵件地址或電話號碼。
聯繫人:指定 URL、電子郵件地址或電話號碼。 當使用者要求豁免 BitLocker 保護時,他們會看到 Windows 對話方塊,其中包含如何套用的指示。 Configuration Manager 不會驗證您輸入的資訊。
URL:使用標準 URL 格式 。
https://website.domain.tld
Windows 會將URL顯示為超連結。Email 位址:使用標準電子郵件地址格式
user@domain.tld
Windows 會將地址顯示為下列超連結:mailto:user@domain.tld?subject=Request exemption from BitLocker protection
。電話號碼:指定您要讓使用者撥打的號碼。 Windows 會顯示具有下列描述的數位:
Please call <your number> for applying exemption
。
如果您停用或未設定此設定,Windows 不會向用戶顯示豁免要求指示。
注意事項
BitLocker 會管理每位使用者的豁免,而不是每部計算機的豁免。 如果多位使用者登入同一部計算機,且任何一位使用者未豁免,BitLocker 會加密計算機。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMBMSUserExemptionPolicy。
安全策略連結的 URL
建議的設定: 已啟用
指定要向用戶顯示為 Windows 中公司安全策略 的 URL。 使用此連結為使用者提供加密需求的相關信息。 它會顯示 BitLocker 提示使用者加密磁碟驅動器的時機。
如果您啟用此設定,請設定 安全策略連結 URL。
如果您停用或未設定此設定,BitLocker 就不會顯示安全策略連結。
如需如何使用 Windows PowerShell 建立此原則的詳細資訊,請參閱 New-CMMoreInfoUrlPolicy。
後續步驟
如果您使用 Windows PowerShell 來建立這些原則物件,請使用 New-CMBlmSetting Cmdlet。 此 Cmdlet 會建立包含所有指定原則的 BitLocker 管理原則設定物件。 若要將原則設定部署至集合,請使用 New-CMSettingDeployment Cmdlet。