規劃 MBAM 2.5 組策略需求
使用下列資訊來判斷 BitLocker 保護裝置的類型,您可以用來管理企業中) 用戶端電腦Microsoft BitLocker 管理與監視 (MBAM。
MBAM 支援的 BitLocker 保護裝置類型
MBAM 支援下列類型的 BitLocker 保護裝置。
| 磁碟驅動器或磁碟區類型 | 支援的 BitLocker 保護工具 |
|---|---|
| 操作系統磁碟區 |
-
信賴平臺模組 (TPM) - TPM + PIN - TPM + USB 金鑰 - 只有在安裝 MBAM 之前加密作業系統磁碟區時才支援 - TPM + PIN + USB 金鑰 - 只有在安裝 MBAM 之前作業系統磁碟區加密時才支援 - 密碼 - 僅支援 Windows To Go 裝置、固定數據磁碟驅動器,以及沒有 TPM 的 Windows 8、Windows 8.1和 Windows 10 裝置 - 數值密碼 - 自動套用為磁碟區加密的一部分,除了 Windows 7 上的 FIPS 模式以外,不需要設定 - 數據復原代理程式 (DRA) |
| 固定數據磁碟驅動器 |
-
密碼 - 自動解除鎖定 - 數值密碼 - 自動套用為磁碟區加密的一部分,除了 Windows 7 上的 FIPS 模式以外,不需要設定 - 數據復原代理程式 (DRA) |
| 卸載式磁碟驅動器 |
-
密碼 - 自動解除鎖定 - 數值密碼 - 自動套用為磁碟區加密的一部分,不需要設定 - 數據復原代理程式 (DRA) |
支援 Used Space Encryption BitLocker 原則
在 MBAM 2.5 SP1 中,如果您透過 BitLocker 組策略啟用 Used Space Encryption,MBAM 用戶端會接受它。
此組策略設定稱為在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型,位於下列 GPO 節點:計算機>設定系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器。 如果您啟用此原則,並選取加密類型作為 [僅使用空間加密],則 MBAM 會遵守原則,而 BitLocker 只會加密磁碟區上使用的磁碟空間。
如何取得 MBAM 組策略範本並編輯設定
當您準備好要設定 MBAM 組策略設定時,請執行下列步驟:
從 MDOP 組 策略範本複製 MBAM 組策略範本,並將其安裝在能夠執行組策略管理控制台的電腦上, (GPMC) 或進階組策略管理 (AGPM) 。 如需詳細資訊,請 參閱複製 MBAM 2.5 組策略範本。
設定您想要在企業中使用的組策略設定。 如需詳細資訊,請 參閱編輯 MBAM 2.5 組策略設定。
MBAM 組策略設定的描述
MDOP MBAM (BitLocker Management) GPO 節點包含四個全域原則設定和四個子 GPO 節點:用戶端管理、固定磁碟驅動器、操作系統磁碟驅動器和卸除式磁碟驅動器。 下列各節說明並建議 MBAM 組策略設定的設定。
重要
請勿變更 BitLocker 磁碟驅動器加密 節點中的組策略設定,否則 MBAM 將無法正常運作。 當您在 MDOP MBAM (BitLocker Management ) 節點中設定設定時,MBAM 會自動為您設定此節點中的設定。
全域組策略定義
本節說明下列 GPO 節點上的 MBAM 全域組策略定義:計算機>>設定原則系統管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) 。
| 原則名稱 | 概觀和建議的組策略設定 |
|---|---|
| 選擇磁碟驅動器加密方法和加密強度 |
建議的設定:已啟用 將此原則設定為使用特定加密方法和加密強度。 未設定此原則時,BitLocker 會使用預設加密方法:AES 128 位與 Diffuser。 注意:BitLocker 計算機合規性報告的問題會導致加密強度顯示「未知」,即使您使用預設值也一樣。 若要解決此問題,請務必啟用此設定,並設定加密強度的值。 - AES 128 位與 Diffuser - 僅適用於 Windows 7 - 適用於 Windows 8、Windows 8.1、Windows 10 和 Windows 11 的 AES 128 |
| 防止重新啟動時覆寫記憶體 |
建議的設定:未設定 設定此原則可改善重新啟動效能,而不會在重新啟動時覆寫記憶體中的 BitLocker 秘密。 未設定此原則時,計算機重新啟動時,會從記憶體中移除 BitLocker 秘密。 |
| 驗證智慧卡憑證使用規則 |
建議的設定:未設定 設定此原則以使用智慧卡憑證型 BitLocker 保護。 未設定此原則時,會使用預設物件標識 1.3.6.1.4.1.311.67.1.1 符來指定憑證。 |
| 為您的組織提供唯一標識碼 |
建議的設定:未設定 將此原則設定為使用憑證型數據復原代理程式或 BitLocker To Go 讀取器。 未設定此原則時,不會使用 [ 識別 ] 字段。 如果您的公司需要更高的安全性度量,您可以設定 [ 識別 ] 欄位,以確保所有 USB 裝置都已設定此字段,且它們符合此組策略設定。 |
用戶端管理組策略定義
本節說明下列 GPO 節點上 MBAM 的用戶端管理原則定義:計算機>>設定原則系統管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) >用戶端管理。
您可以為獨立和 System Center Configuration Manager 整合拓撲設定相同的組策略設定,但其中一個例外:如果您使用 Configuration Manager 整合拓撲,請停用 [設定 MBAM 服務 > MBAM 狀態報告服務端點 ] 設定,如下表所示。
| 原則名稱 | 概觀和建議的組策略設定 |
|---|---|
| 設定 MBAM 服務 |
建議的設定:已啟用 - MBAM 復原和硬體服務端點:使用此設定可啟用 MBAM 用戶端 BitLocker 加密管理。 輸入類似下列範例的端點位置: HTTP (s) ://<MBAM Administration and Monitoring Server Name>:<Web 服務系結至>/MBAMRecoveryAndHardwareService/CoreService.svc 的埠。 - 選取要儲存的 BitLocker 修復資訊:此原則設定可讓您設定密鑰復原服務來備份 BitLocker 修復資訊。 它也可讓您設定狀態報告服務來收集報表。 此原則提供系統管理方法來復原由 BitLocker 加密的數據,以避免因為缺少密鑰資訊而遺失數據。 狀態報表和金鑰復原活動會自動以無訊息方式傳送至設定的報表伺服器位置。 如果您未設定此原則設定,或是停用此原則設定,則不會儲存密鑰修復資訊,而且狀態報表和密鑰復原活動不會回報給伺服器。 當此設定設定為 [修復密碼] 和 [金鑰套件] 時,修復密碼和密鑰套件會自動以無訊息方式備份至設定的金鑰復原伺服器位置。 - 以分鐘為單位輸入客戶端檢查狀態頻率:此原則設定可管理用戶端在用戶端計算機上檢查 BitLocker 保護原則和狀態的頻率。 此原則也會管理客戶端合規性狀態儲存至伺服器的頻率。 用戶端會檢查客戶端電腦上的 BitLocker 保護原則和狀態,並以設定的頻率備份用戶端修復金鑰。 根據貴公司針對檢查計算機合規性狀態的頻率以及備份用戶端修復密鑰的頻率所設定的需求,設定此頻率。 - MBAM 狀態報告服務端點: - 針對獨立拓撲中的 MBAM:您必須設定此設定以啟用 MBAM 用戶端 BitLocker 加密管理。 輸入類似下列範例的端點位置: HTTP (s) ://<MBAM Administration and Monitoring Server Name>:<Web 服務系結至>/MBAMComplianceStatusService/StatusReportingService.svc 的埠。 - 針對 Configuration Manager 整合拓撲中的 MBAM:停用此設定。 |
| 設定使用者豁免原則 |
建議的設定:未設定 此原則設定可讓您設定網站位址、電子郵件地址或電話號碼,以指示使用者要求豁免 BitLocker 加密。 如果您啟用此原則設定並提供網站位址、電子郵件地址或電話號碼,使用者會看到對話方塊,其中包含如何申請 BitLocker 保護豁免的指示。 如需為使用者啟用 BitLocker 加密豁免的詳細資訊,請參閱 如何管理使用者 BitLocker 加密豁免。 如果您停用或未設定此原則設定,則不會向用戶顯示豁免要求指示。 注意:使用者豁免是依每位使用者管理,而不是每部計算機。 如果多位使用者登入同一部計算機,且任何一位使用者未豁免,則會加密計算機。 |
| 設定客戶經驗改進計劃 |
建議的設定:已啟用 此原則設定可讓您設定 MBAM 使用者如何加入客戶經驗改進計劃。 此程式會收集計算機硬體的相關信息,以及使用者如何在不中斷工作的情況下使用 MBAM。 此資訊可協助Microsoft識別要改善的 MBAM 功能。 Microsoft不會使用此資訊來識別或連絡 MBAM 使用者。 如果您啟用此原則設定,使用者可以加入客戶經驗改進計劃。 如果您停用此原則設定,使用者就無法加入客戶經驗改進計劃。 如果您未設定此原則設定,用戶可以加入客戶經驗改進計劃。 |
| 提供安全策略連結的 URL |
建議的設定:已啟用 使用此原則設定來指定將用戶顯示為名為「公司安全策略」連結的URL。連結會指向貴公司的內部安全策略,併為使用者提供加密需求的相關信息。 當 MBAM 提示使用者加密磁碟驅動器時,就會出現連結。 如果啟用此原則設定,您可以設定安全策略連結的 URL。 如果停用或未設定此原則設定,則不會向用戶顯示 [安全策略] 連結。 |
固定磁碟驅動器組策略定義
本節說明下列 GPO 節點Microsoft BitLocker 管理和監視的固定磁碟驅動器原則定義:計算機>設定原則> 系統管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) >固定磁碟驅動器。
| 原則名稱 | 概觀和建議的組策略設定 |
|---|---|
| 固定數據磁碟驅動器加密設定 |
建議的設定:已啟用 此原則設定可讓您管理固定數據磁碟驅動器是否必須加密。 如果需要加密作業系統磁碟區,請選取 [ 啟用自動解除鎖定固定數據磁碟驅動器]。 當您啟用此原則時,除非您啟用或要求使用 固定數據磁碟驅動器的 自動解除封鎖,否則不得停用設定固定數據磁碟驅動器密碼的使用原則。 如果您必須針對固定數據磁碟驅動器使用 autounlock,則必須設定要加密的作業系統磁碟區。 如果您啟用此原則設定,用戶必須將所有固定數據磁碟驅動器置於 BitLocker 保護之下,然後數據磁碟驅動器就會加密。 如果您未設定此原則設定,使用者就不需要將固定數據磁碟驅動器置於 BitLocker 保護之下。 如果您在固定數據磁碟驅動器加密之後套用此原則,MBAM 代理程式會解密加密的固定數據磁碟驅動器。 如果您停用此原則設定,使用者就無法將其固定數據磁碟驅動器置於 BitLocker 保護之下。 |
| 拒絕寫入存取不受 BitLocker 保護的固定式磁碟機 |
建議的設定:未設定 此原則設定可決定計算機上固定數據磁碟驅動器是否需要 BitLocker 保護。 當您開啟 BitLocker 時,會套用此原則設定。 未設定原則時,計算機上的所有固定數據磁碟驅動器都會掛接讀取/寫入許可權。 |
| 允許從舊版 Windows 存取受 BitLocker 保護的固定磁碟驅動器 |
建議的設定:未設定 啟用此原則,以便在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定及檢視具有 FAT 檔案系統的固定磁碟驅動器。 啟用或未設定原則時,可以解除鎖定使用 FAT 檔案系統格式化的固定磁碟驅動器,而且可以在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上檢視其內容。 這些操作系統具有受 BitLocker 保護之磁碟驅動器的唯讀許可權。 停用原則時,無法解除鎖定以 FAT 檔案系統格式化的固定磁碟驅動器,且其內容無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或具有 SP2 的 Windows XP 的電腦上檢視。 |
| 設定固定磁碟驅動器的密碼使用 |
建議的設定:未設定 使用此原則來指定是否需要密碼才能解除鎖定受 BitLocker 保護的固定數據磁碟驅動器。 如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。 BitLocker 可讓使用者使用磁碟驅動器上可用的任何保護裝置來解除鎖定磁碟驅動器。 當您開啟 BitLocker 時,不會在解除鎖定磁碟區時強制執行這些設定。 如果您停用此原則設定,則不允許使用者使用密碼。 未設定原則時,預設設定會支持密碼,其中不包含密碼複雜性需求,而且只需要八個字元。 若要提高安全性,請啟用此原則,然後選取 [ 需要固定數據磁碟驅動器的密碼],選取 [ 需要密碼複雜度],然後設定您想要的 密碼長度下限 。 如果您停用此原則設定,則不允許使用者使用密碼。 如果您未設定此原則設定,則預設設定支持密碼,其中不包含密碼複雜性需求,而且只需要八個字元。 |
| 選擇如何復原受 BitLocker 保護的固定磁碟驅動器 |
建議的設定:未設定 設定此原則以啟用 BitLocker 數據復原代理程式,或將 BitLocker 復原資訊儲存至 Active Directory Domain Services (AD DS) 。 未設定原則時,會允許 BitLocker 數據復原代理程式,且復原資訊不會備份至 AD DS。 MBAM 不需要將復原資訊備份至 AD DS。 |
| 加密原則強制執行設定 |
建議的設定:已啟用 使用此原則設定來設定固定數據磁碟驅動器在強制遵守 MBAM 原則之前,可能保持不相容的天數。 用戶無法延後必要的動作,或在寬限期之後要求豁免。 當固定數據磁碟驅動器判斷為不符合規範時,就會開始寬限期。 不過,在操作系統磁碟驅動器符合規範之前,不會強制執行固定數據磁碟驅動器原則。 如果寬限期到期,且固定數據磁碟驅動器仍然不符合規範,使用者就無法選擇延後或要求豁免。 如果加密程式需要使用者輸入,則會出現對話框,讓使用者在提供必要資訊之前無法關閉。 在設定固定磁碟驅動器的不符合規範寬限期天數中輸入0,以強制加密程式在作業系統磁碟驅動器的寬限期到期之後立即開始。 如果您停用或未設定此設定,則不會強制使用者遵守 MBAM 原則。 如果不需要用戶互動即可新增保護裝置,則加密會在寬限期到期後於背景開始。 |
操作系統磁碟驅動器組策略定義
本節說明下列 GPO 節點Microsoft BitLocker 管理和監視的操作系統磁碟驅動器原則定義:計算機>設定原則> 系統管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) >操作系統磁碟驅動器。
| 原則名稱 | 概觀和建議的組策略設定 |
|---|---|
| 操作系統磁碟驅動器加密設定 |
建議的設定:已啟用 此原則設定可讓您管理作業系統磁碟驅動器是否必須加密。 為了提高安全性,當您使用 TPM + PIN 保護裝置啟用 系統>電源管理>睡眠設定 時,請考慮停用下列原則設定:
在具有相容 TPM 的計算機上,兩種驗證方法可以在啟動時用來為加密數據提供額外的保護。 當計算機啟動時,它只能使用 TPM 進行驗證,也可以要求輸入個人識別碼 (PIN) 。 如果啟用此原則設定,用戶必須將操作系統磁碟驅動器置於 BitLocker 保護之下,然後磁碟驅動器就會加密。 如果您停用此原則,使用者就無法將操作系統磁碟驅動器置於 BitLocker 保護之下。 如果您在作業系統磁碟驅動器加密之後套用此原則,磁碟驅動器就會解密。 如果您未設定此原則,操作系統磁碟驅動器就不需要置於 BitLocker 保護之下。 |
| 允許增強型 PIN 以啟動 |
建議的設定:未設定 使用此原則設定來設定是否搭配 BitLocker 使用增強型啟動 PIN。 增強的啟動 PIN 允許使用字元,包括大寫和小寫字母、符號、數位和空格。 當您開啟 BitLocker 時,會套用此原則設定。 如果您啟用此原則設定,所有新的 BitLocker 啟動 PIN 集都會讓終端使用者建立增強的 PIN。 不過,並非所有計算機都可以在啟動前環境中支援增強的 PIN。 強烈建議系統管理員在啟用此功能之前,先評估其系統是否與這項功能相容。 選取 [ 需要僅限 ASCII 的 PIN ] 複選框,以協助讓增強型 PIN 與限制可在啟動前環境中輸入的字元類型或字元數的計算機更相容。 如果您停用或未設定此原則設定,則不會使用增強型 PIN。 |
| 選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器 |
建議的設定:未設定 設定此原則以啟用 BitLocker 數據復原代理程式,或將 BitLocker 復原資訊儲存至 Active Directory Domain Services (AD DS) 。 未設定此原則時,會允許數據復原代理程式,且復原資訊不會備份至 AD DS。 MBAM 作業不需要將復原資訊備份至 AD DS。 |
| 設定作業系統磁碟驅動器的密碼使用 |
建議的設定:未設定 使用此原則設定來設定密碼的條件約束,這些密碼是用來解除鎖定受 BitLocker 保護的作業系統磁碟驅動器。 如果操作系統磁碟驅動器上允許非 TPM 保護裝置,您可以布建密碼、強制執行密碼的複雜性需求,以及設定密碼的最小長度。 若要讓複雜性需求設定生效,您也必須啟用位於計算機 > 設定Windows 設定 > 安全性設定 > 帳戶 > 原則密碼原則中的組策略設定 [密碼必須符合複雜性需求]。 注意: 當您開啟 BitLocker 時,不會在解除鎖定磁碟區時強制執行這些設定。 BitLocker 可讓您使用磁碟驅動器上可用的任何保護裝置來解除鎖定磁碟驅動器。 如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要密碼複雜度]。 |
| 設定 BIOS 型韌體設定的 TPM 平台驗證配置檔 |
建議的設定:未設定 此原則設定可讓您設定計算機信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果計算機沒有相容的 TPM,或 BitLocker 已使用 TPM 保護開啟,則不適用此原則設定。 重要: 此組策略設定僅適用於具有 BIOS 設定的電腦,或啟用相容性服務模組 (CSM) 的 UEFI 韌體電腦。 使用原生 UEFI 韌體設定的電腦會將不同的值儲存到平臺設定快取器 (PCR) 。 使用 [設定原生 UEFI 韌體組態的 TPM 平台驗證配置檔] 組策略設定,為使用原生 UEFI 韌體的計算機設定 TPM PCR 配置檔。 如果您在開啟 BitLocker 之前啟用此原則設定,可以在解除鎖定對 BitLocker 加密作業系統磁碟驅動器的存取之前,設定 TPM 驗證的開機組件。 如果其中任何一個元件在 BitLocker 保護生效時變更,TPM 不會釋出加密密鑰來解除鎖定磁碟驅動器,而電腦會改為顯示 BitLocker Recovery 控制台,並要求您提供修復密碼或修復密鑰來解除鎖定磁碟驅動器。 如果您停用或未設定此原則設定,BitLocker 會使用安裝腳本所指定的預設平台驗證配置檔或平台驗證配置檔。 |
| 設定 TPM 平台驗證配置檔 |
建議的設定:未設定 此原則設定可讓您設定計算機信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果計算機沒有相容的 TPM,或 BitLocker 已使用 TPM 保護開啟,則不適用此原則設定。 如果您在開啟 BitLocker 之前啟用此原則設定,可以在解除鎖定對 BitLocker 加密作業系統磁碟驅動器的存取之前,設定 TPM 驗證的開機組件。 如果其中任何一個元件在 BitLocker 保護生效時變更,TPM 不會釋出加密密鑰來解除鎖定磁碟驅動器,而電腦會改為顯示 BitLocker Recovery 控制台,並要求您提供修復密碼或修復密鑰來解除鎖定磁碟驅動器。 如果您停用或未設定此原則設定,BitLocker 會使用安裝腳本所指定的預設平台驗證配置檔或平台驗證配置檔。 |
| 設定原生 UEFI 韌體組態的 TPM 平台驗證配置檔 |
建議的設定:未設定 此原則設定可讓您設定計算機信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果計算機沒有相容的 TPM,或 BitLocker 已使用 TPM 保護開啟,則不適用此原則設定。 重要: 此組策略設定僅適用於具有原生 UEFI 韌體設定的電腦。 如果您在開啟 BitLocker 之前啟用此原則設定,您可以先設定 TPM 驗證的開機組件,再解除鎖定對 BitLocker 加密作業系統磁碟驅動器的存取。 如果其中任何一個元件在 BitLocker 保護生效時變更,TPM 不會釋出加密密鑰來解除鎖定磁碟驅動器,而電腦會改為顯示 BitLocker Recovery 控制台,並要求您提供修復密碼或修復密鑰來解除鎖定磁碟驅動器。 如果您停用或未設定此原則設定,BitLocker 會使用安裝腳本所指定的預設平台驗證配置檔或平台驗證配置檔。 |
| 在 BitLocker 復原之後重設平台驗證數據 |
建議的設定:未設定 使用此原則設定來控制在 BitLocker 復原之後啟動 Windows 時,是否重新整理平臺驗證數據。 如果啟用此原則設定,則在 BitLocker 復原之後啟動 Windows 時,會重新整理平臺驗證數據。 如果您停用此原則設定,當 Windows 在 BitLocker 複原之後啟動時,不會重新整理平臺驗證數據。 如果您未設定此原則設定,則在 BitLocker 復原之後啟動 Windows 時,會重新整理平臺驗證數據。 |
| 使用增強型開機設定數據驗證配置檔 |
建議的設定:未設定 此原則設定可讓您選擇特定開機設定數據 (BCD) 設定,以在平臺驗證期間進行驗證。 如果啟用此原則設定,您可以新增其他設定、移除預設設定,或兩者皆可。 如果您停用此原則設定,計算機會還原為 BCD 配置檔,類似於 Windows 7 所使用的預設 BCD 配置檔。 如果您未設定此原則設定,計算機會驗證預設的 Windows BCD 設定。 注意: 當 BitLocker 針對平臺和開機設定數據使用安全開機 (BCD) 完整性驗證時,如「允許安全開機進行完整性驗證」原則所定義,則會忽略「使用增強的開機設定數據驗證配置檔」原則。 控制開機偵錯 (0x16000010) 的設定一律會經過驗證,如果包含在提供的欄位中,則不會有任何作用。 |
| 加密原則強制執行設定 |
建議的設定:已啟用 使用此原則設定來設定使用者可以延遲遵守其操作系統磁碟驅動器之 MBAM 原則的天數。 第一次偵測到操作系統不符合規範時,即會開始寬限期。 在此寬限期到期之後,用戶無法延後必要的動作或要求豁免。 如果加密程式需要使用者輸入,則會出現對話框,讓使用者在提供必要資訊之前無法關閉。 如果您停用或未設定此設定,則不會強制使用者遵守 MBAM 原則。 如果不需要用戶互動即可新增保護裝置,則加密會在寬限期到期後於背景開始。 |
| 設定啟動前復原訊息和 URL |
建議的設定:未設定 啟用此原則設定以設定自定義修復訊息,或指定 URL,然後在 OS 磁碟驅動器鎖定時顯示在預先啟動的 BitLocker 修復畫面上。 此設定僅適用於執行 Windows 11 和 Windows 10 的用戶端電腦。 啟用此原則時,您可以針對啟動前復原訊息選取下列其中一個選項:
|
卸除式磁碟驅動器組策略定義
本節說明下列 GPO 節點Microsoft BitLocker 管理和監視的卸載式磁碟驅動器組策略定義:計算機>>設定原則 管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) >卸除式磁碟驅動器。
| 原則名稱 | 概觀和建議的組策略設定 |
|---|---|
| 控制卸除式磁碟驅動器上的 BitLocker 使用 |
建議的設定:已啟用 此原則可控制在抽取式數據磁碟驅動器上使用 BitLocker。 選 取 [允許使用者在抽取式數據磁碟驅動器上套用 BitLocker 保護 ],以允許使用者在卸載式數據磁碟驅動器上執行 BitLocker 安裝精靈。 選 取 [允許使用者在卸除式數據磁碟驅動器上暫停及解密 BitLocker ],讓用戶能夠從磁碟驅動器移除 BitLocker 磁碟驅動器加密,或在執行維護時暫停加密。 當啟用此原則,而且您選取 [ 允許使用者在卸載式數據磁碟驅動器上套用 BitLocker 保護] 時,MBAM 用戶端會將卸除式磁碟驅動器的修復資訊儲存至 MBAM 密鑰修復伺服器,並允許使用者在遺失密碼時復原磁碟驅動器。 |
| 拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機 |
建議的設定:未設定 啟用此原則,只允許對受 BitLocker 保護的磁碟驅動器進行寫入許可權。 啟用此原則時,計算機上的所有卸載式數據磁碟驅動器都需要加密,才能允許寫入許可權。 |
| 允許從舊版 Windows 存取受 BitLocker 保護的卸除式磁碟驅動器 |
建議的設定:未設定 啟用此原則可讓具有 FAT 文件系統的固定磁碟驅動器在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定和檢視。 未設定此原則時,使用 FAT 檔案系統格式化的卸載式磁碟驅動器可以在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或具有 SP2 的 Windows XP 的電腦上解除鎖定,並可檢視其內容。 這些操作系統具有受 BitLocker 保護之磁碟驅動器的唯讀許可權。 停用原則時,無法解除鎖定以 FAT 檔案系統格式化的卸載式磁碟驅動器,而且無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上檢視其內容。 |
| 設定抽取式數據磁碟驅動器的密碼使用 |
建議的設定:未設定 啟用此原則以在抽取式數據磁碟驅動器上設定密碼保護。 未設定此原則時,預設設定會支持密碼,其中不包含密碼複雜性需求,而且只需要八個字元。 若要提高安全性,您可以啟用此原則,然後選取 [ 需要卸除式數據磁碟驅動器的密碼]、選取 [ 需要密碼複雜度],然後設定慣用 的最小密碼長度。 |
| 選擇如何復原受 BitLocker 保護的卸除式磁碟驅動器 |
建議的設定:未設定 設定此原則以啟用 BitLocker 數據復原代理程式,或將 BitLocker 復原資訊儲存至 Active Directory Domain Services (AD DS) 。 當設定為 [未設定] 時,會允許數據復原代理程式,且復原資訊不會備份至 AD DS。 MBAM 作業不需要將復原資訊備份至 AD DS。 |