下表列出適用於所有磁碟驅動器類型的 BitLocker 原則,指出這些原則是否適用於設定服務提供者 (CSP) 和/或組策略 (GPO) 。 如需詳細資訊,請選取原則名稱。
允許標準使用者加密
您可以使用此原則,針對目前登入的用戶沒有系統管理許可權時套用原則的情況,強制執行 [ 需要裝置加密 ] 原則。
重要
必須停用 [允許其他磁碟 加密的警告] 原則,才能允許標準使用者加密。
選擇修復密碼的預設資料夾
指定 當 BitLocker 磁碟驅動器加密安裝 精靈提示使用者輸入要儲存修復密碼的資料夾位置時所顯示的預設路徑。 您可以指定完整路徑,或在路徑中包含目標電腦的環境變數:
- 如果路徑無效,BitLocker 安裝精靈會顯示計算機的最上層資料夾檢視
- 如果停用或未設定此原則設定,當用戶選擇將修復密碼儲存在資料夾中的選項時,BitLocker 安裝精靈會顯示電腦的最上層資料夾檢視
注意
此原則設定不會防止使用者將修復密碼儲存在另一個資料夾中。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密 |
選擇磁碟驅動器加密方法和加密強度
透過此原則,您可以個別設定固定數據磁碟驅動器、操作系統磁碟驅動器和抽取式數據磁碟驅動器的加密演算法和金鑰加密強度。
建議的設定: XTS-AES 所有磁碟驅動器的演算法。 金鑰大小、128 位或 256 位的選擇取決於裝置的效能。 如需效能更高效能的硬碟和CPU,請選擇 [256 位密鑰],讓效能較差的硬碟使用 128。
如果您停用或未設定此原則設定,BitLocker 會使用的 XTS-AES 128-bit預設加密方法。
注意
此原則不適用於加密的磁碟驅動器。 加密的磁碟驅動器會利用自己的演算法,這是由磁碟驅動器在數據分割期間設定的演算法。
使用此原則時,您可以在已加入混合式裝置的 Microsoft Entra 和 Microsoft Entra 上,針對 OS 和固定磁碟驅動器使用時,設定數值修復密碼輪替。
可能值為:
-
0:數值復原密碼輪替已關閉
-
1:已加入 Microsoft Entra 裝置使用時,會開啟數值復原密碼輪替。 這也是預設值
-
2:數值復原密碼在使用時會針對已加入 Microsoft Entra 裝置和 Microsoft Entra 混合式聯結裝置開啟
注意
只有在將修復密碼的Micropsoft Entra ID 或Active Directory備份設定為必要時,原則才有效
- 針對操作系統磁碟驅動器:在 操作系統磁碟驅動器的復原資訊儲存至 AD DS 之前,啟用 [不要啟用 BitLocker]
- 針對固定磁碟驅動器:啟用「在固定數據磁碟驅動器的復原資訊儲存至 AD DS 之前,請勿啟用 BitLocker
當這部電腦鎖定時停用新的 DMA 裝置
啟用時,此原則設定會封鎖所有熱外掛程式 PCI 埠的直接記憶體存取 (DMA) ,直到使用者登入 Windows 為止。
一旦使用者登入,Windows 就會列舉連線到主機的PCI裝置,以布建的PCI埠。 每次使用者鎖定裝置時,在不含子系裝置的熱即插即用PCI埠上都會封鎖 DMA,直到使用者再次登入為止。
裝置在解除鎖定時已列舉的裝置會繼續運作,直到解除封鎖,或系統重新啟動或休眠為止。
只有在啟用 BitLocker 或裝置加密時,才會強制執行此原則設定。
重要
此原則與 核心 DMA 保護不相容。 如果系統支援 Kernel DMA Protection,建議您停用此原則,因為核心 DMA 保護會為系統提供更高的安全性。 如需 Kernel DMA Protection 的詳細資訊,請參閱 Kernel DMA Protection。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密 |
防止重新啟動時覆寫記憶體
此原則設定可用來控制裝置重新啟動時是否覆寫電腦的記憶體。 BitLocker 秘密包含用來加密數據的金鑰數據。
- 如果您啟用此原則設定,當計算機重新啟動時,不會覆寫記憶體。 防止記憶體覆寫可能會改善重新啟動效能,但會增加公開 BitLocker 秘密的風險。
- 如果停用或未設定此原則設定,當計算機重新啟動時,BitLocker 秘密會從記憶體中移除。
注意
只有在啟用 BitLocker 保護時,才會套用此原則設定。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密 |
為您的組織提供唯一標識碼
此原則設定可讓您將唯一組織標識碼與使用 BitLocker 加密的磁碟驅動器建立關聯。 識別元會儲存為 識別欄位 和 允許的識別欄位:
- 識別欄位可讓您將唯一組織標識碼與受 BitLocker 保護的磁碟驅動器建立關聯。 此標識元會自動新增至受 BitLocker 保護的新磁碟驅動器,並可使用 BitLocker 磁碟驅動器加密 在現有受 BitLocker 保護的磁碟驅動器上更新:設定工具 (
manage-bde.exe)
- 允許的識別欄位會與 [拒絕寫入不受 BitLocker 保護的抽取式磁碟驅動器 ] 原則設定搭配使用,以協助控制組織中抽取式磁碟驅動器的使用。 這是以逗號分隔的識別字段清單,來自您的組織或其他外部組織。 您可以使用
manage-bde.exe在現有的磁碟驅動器上設定識別欄位。
如果啟用此原則設定,您可以在受 BitLocker 保護的磁碟驅動器上設定識別欄位,以及組織所使用的任何允許識別欄位。 當受 BitLocker 保護的磁碟驅動器掛接在另一個已啟用 BitLocker 的裝置上時,會使用識別字段和允許的識別欄位來判斷磁碟驅動器是否來自不同的組織。
如果您停用或未設定此原則設定,則不需要標識符字段。
重要
需要識別欄位,才能在受 BitLocker 保護的磁碟驅動器上管理憑證型數據復原代理程式。 BitLocker 只會在磁碟驅動器上存在識別欄位且與裝置上設定的值相同時,管理及更新憑證型數據復原代理程式。 識別欄位可以是任何 260 個字元或更少的值。
|
路徑 |
|
Csp |
./Device/Vendor/MSFT/BitLocker/
IdentificationField |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密 |
需要裝置加密
此原則設定會判斷是否需要 BitLocker:
- 啟用時,會根據允許 其他磁碟 加密原則的警告,在所有磁碟驅動器上以無訊息或非無訊息方式觸發加密
- 如果停用,系統磁碟驅動器的 BitLocker 不會關閉,但會停止提示用戶開啟 BitLocker。
注意
一般而言,BitLocker 會遵循 選擇磁碟驅動器加密方法和加密強度 原則設定。 不過,對於自我加密固定磁碟驅動器和自我加密 OS 磁碟驅動器,將會忽略此原則設定。
可加密的固定數據磁碟區會被視為類似 OS 磁碟區,但必須符合其他準則才能加密:
- 它不能是動態磁碟區
- 不得為復原分割區
- 它不能是隱藏的磁碟區
- 不得為系統分割區
- 它不能由虛擬記憶體支援
- BCD 存放區中不能有參考
驗證智慧卡憑證使用規則合規性
此原則設定可用來判斷要搭配 BitLocker 使用的憑證,方法是將對象標識碼 (OID) 從智慧卡憑證關聯到受 BitLocker 保護的磁碟驅動器。 物件標識元是在憑證的增強密鑰使用 (EKU) 中指定。
BitLocker 可以藉由比對憑證中的物件識別碼與此原則設定所定義的物件識別碼,來識別哪些憑證可用來向受 BitLocker 保護的磁碟驅動器驗證用戶憑證。 預設 OID 為 1.3.6.1.4.1.311.67.1.1。
如果啟用此原則設定,則 [ 對象標識符 ] 字段中指定的物件標識碼必須符合智慧卡憑證中的物件標識碼。 如果您停用或未設定此原則設定,則會使用預設 OID。
注意
BitLocker 不需要憑證具有 EKU 屬性;不過,如果已針對憑證設定憑證,則必須將它設定為符合針對 BitLocker 設定之物件標識碼的物件標識符。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密 |
允許符合 InstantGo 或 HSTI 規範的裝置退出宣告預先啟動 PIN
此原則設定可讓裝置上符合 InstantGo 或 Microsoft 硬體安全性測試介面 (HSTI) 的使用者沒有 PIN 進行預先啟動驗證。
此原則會覆寫 [在符合規範的硬體上需要在啟動時進行額外驗證] 原則中的 [需要啟動 PIN 搭配 TPM] 和 [需要啟動密鑰和 PIN] 選項。
- 如果您啟用此原則設定,則 InstantGo 和 HSTI 相容裝置上的使用者可以開啟 BitLocker,而不需要預先啟動驗證
- 如果停用或未設定原則,則會套用 [ 在啟動時需要其他驗證 ] 原則的選項
允許增強型 PIN 以啟動
使用包含 PIN 的解除鎖定方法時,此設定允許使用增強型 PIN。
增強的啟動 PIN 允許使用字元 (包括大寫和小寫字母、符號、數位和空格) 。
重要
並非所有計算機都支援在啟動前環境中增強的 PIN 字元。 強烈建議使用者在 BitLocker 安裝期間執行系統檢查,以確認可以使用增強的 PIN 字元。
|
路徑 |
|
Csp |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEnhancedPIN |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
在啟動時允許網路解除鎖定
此原則設定可控制連線到受信任的有線局域網路 (LAN) 受 BitLocker 保護的裝置,是否可以在啟用 TPM 的電腦上建立和使用網路密鑰保護裝置,以便在電腦啟動時自動解除鎖定操作系統磁碟驅動器。
如果您啟用此原則,設定 BitLocker 網路解除鎖定憑證的 裝置可以建立和使用網路密鑰保護裝置。 若要使用網路密鑰保護裝置來解除鎖定計算機,必須使用網路解除鎖定憑證布建計算機和 BitLocker 磁碟驅動器加密網路解除鎖定伺服器。 網路解除鎖定憑證可用來建立網路密鑰保護裝置,並保護與伺服器交換的資訊,以解除鎖定計算機。
群組原則 設定計算機>設定Windows 設定>安全性>設定公鑰原則>BitLocker 磁碟驅動器加密網路解除鎖定憑證可以在域控制器上使用,將此憑證散發給組織中的計算機。 此解除鎖定方法會使用電腦上的 TPM,因此沒有 TPM 的電腦無法建立網路密鑰保護裝置,以使用網路解除鎖定自動解除鎖定。
如果您停用或未設定此原則設定,BitLocker 用戶端將無法建立和使用網路密鑰保護裝置。
注意
為了可靠性和安全性,計算機也應該有 TPM 啟動 PIN,當電腦在啟動時與有線網路或伺服器中斷連線時,可以使用此 PIN。
如需網路解除鎖定功能的詳細資訊,請參閱 BitLocker:如何啟用網路解除鎖定
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
允許安全開機進行完整性驗證
此原則設定可讓您設定是否允許安全開機作為 BitLocker 作業系統磁碟驅動器的平臺完整性提供者。
安全開機可確保裝置的預先啟動環境只會載入由授權軟體發行者數位簽署的韌體。
- 如果您啟用或未設定此原則設定,如果平臺能夠進行安全開機型完整性驗證,BitLocker 會使用安全開機來進行平臺完整性
- 如果您停用此原則設定,BitLocker 會使用舊版平臺完整性驗證,即使在能夠安全開機型完整性驗證的系統上也一樣
啟用此原則且硬體能夠使用 BitLocker 安全開機案例時,會忽略 [ 使用增強的開機設定數據驗證配置檔] 原則 設定,而 [安全開機] 會根據安全開機原則設定來驗證 BCD 設定,此設定會與 BitLocker 分開設定。
警告
當製造商特定韌體更新時,停用此原則可能會導致 BitLocker 復原。 如果停用此原則,請在套用韌體更新之前暫停 BitLocker。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
允許其他磁碟加密的警告
使用此原則,您可以停用加密的所有通知、其他磁碟加密的警告提示,以及以無訊息方式開啟加密。
重要
此原則僅適用於已加入 Microsoft Entra 裝置。
只有在啟用 [需要裝置加密 原則] 時,此原則才會生效。
警告
當您在具有非Microsoft加密的裝置上啟用 BitLocker 時,可能會使裝置無法使用,而且需要重新安裝 Windows。
此原則的預期值為:
- 啟用 (預設) :允許警告提示和加密通知
- 已停用:隱藏警告提示和加密通知。 Windows 會嘗試以無訊息方式啟用 BitLocker
注意
當您停用警告提示時,OS 磁碟驅動器的修復金鑰會備份至使用者的 Microsoft Entra ID 帳戶。 當您允許警告提示時,收到提示的使用者可以選取要備份 OS 磁碟驅動器修復密鑰的位置。
固定資料磁碟驅動器備份的端點會以下列順序選擇:
- 使用者的 Windows Server Active Directory Domain Services 帳戶
- 使用者的 Microsoft Entra ID 帳戶
- 用戶的個人 OneDrive (僅限 MDM/MAM)
加密會等到這三個位置的其中一個成功備份為止。
選擇如何復原受 BitLocker 保護的作業系統磁碟驅動器
此原則設定可讓您控制在不需要啟動密鑰資訊的情況下,如何復原受 BitLocker 保護的作業系統磁碟驅動器。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的作業系統磁碟驅動器復原數據的方法。 以下是可用的選項:
-
允許以憑證為基礎的數據復原代理程式:指定數據復原代理程式是否可以與受 BitLocker 保護的 OS 磁碟驅動器搭配使用。 在使用數據復原代理程式之前,必須先從 群組原則 管理控制台或本機 群組原則 中的 [公鑰原則] 專案新增 編輯器
-
設定 BitLocker 修復資訊的使用者記憶體:選取是否允許、必要或不允許用戶產生 48 位數的修復密碼或 256 位修復密鑰
-
省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁碟驅動器的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁碟驅動器的 BitLocker 復原選項取決於原則設定
-
將 BitLocker 修復資訊儲存 Active Directory 網域服務:選擇要儲存在作業系統磁碟驅動器之 AD DS 中的 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁碟驅動器復原數據。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
-
在操作系統磁碟驅動器的AD DS 中儲存復原資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,並將 BitLocker 修復資訊備份至 AD DS 成功,否則會防止用戶啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復密鑰,且復原資訊不會備份至 AD DS。
針對 Microsoft Entra 混合式聯結裝置,BitLocker 修復密碼會備份至 Active Directory 和 Entra ID。
此原則會設定信賴平臺模組 (TPM) 啟動 PIN 的最小長度。 啟動 PIN 的最小長度必須為 4 位數,且長度上限為 20 位數。
如果您啟用此原則設定,則在設定啟動 PIN 時,可能需要使用最少位數的數位。
如果您停用或未設定此原則設定,用戶可以設定長度介於 6 到 20 位數之間的啟動 PIN。
TPM 可以設定為使用字典攻擊防護參數 (鎖定閾值和鎖定持續時間 ,以控制在 TPM 鎖定之前允許多少次失敗的授權嘗試,以及必須經過多少時間才能進行另一次嘗試。
字典攻擊防護參數可讓您平衡安全性需求與可用性。 例如,當 BitLocker 與 TPM + PIN 組態搭配使用時,PIN 猜測數目會隨著時間限制。 在此範例中,TPM 2.0 可以設定為只立即允許 32 個 PIN 猜測,然後每兩小時再多猜測一次。 此嘗試次數總計為每年最多約4415次猜測。 如果 PIN 是四位數,則在兩年內可以嘗試所有 9999 可能的 PIN 組合。
提示
增加 PIN 長度需要有更多攻擊者的猜測。 在此情況下,每個猜測之間的鎖定持續時間可以縮短,以允許合法的使用者更快重試失敗的嘗試,同時維持類似的保護層級。
注意
如果 PIN 長度下限設定為低於 6 位數,Windows 會嘗試將 TPM 2.0 鎖定期間更新為大於 PIN 變更時的預設值。 如果成功,如果 TPM 重設,Windows 只會將 TPM 鎖定期間重設回預設值。
此原則設定可用來設定復原訊息,以及取代OS磁碟驅動器鎖定時顯示在啟動前復原畫面上的現有URL。
- 如果您選取 [ 使用預設修復訊息和 URL] 選項,預設的 BitLocker 修復訊息和 URL 會顯示在開機前密鑰復原畫面中。 如果您先前已設定自定義修復訊息或 URL,而且想要還原為預設訊息,則必須保持啟用原則,並選取 [ 使用預設復原訊息和 URL] 選項
- 如果您選取 [ 使用自定義修復訊息 ] 選項,您新增至 [ 自定義修復訊息選項 ] 文本框的訊息會顯示在開機前密鑰修復畫面中。 如果有可用的復原 URL,請將其包含在訊息中
- 如果您選取 [ 使用自定義復原 URL ] 選項,您新增至 [ 自定義復原 URL] 選項 文本框的 URL 會取代預設復原訊息中的預設 URL,其會顯示在開機前密鑰復原畫面中
注意
開機前不支援所有字元和語言。 強烈建議您測試用於自定義訊息或 URL 的字元是否正確出現在開機前復原畫面上。
如需 BitLocker 啟動前復原畫面的詳細資訊,請參閱 啟動前復原畫面。
此原則設定會決定 TPM 在使用 BIOS 設定或已啟用相容性支援模組的 UEFI 韌體 (CSM) 解除鎖定電腦上的操作系統磁碟驅動器之前,驗證早期開機組件時所測量的值。
- 啟用時,可以設定 TPM 在解除鎖定對 BitLocker 加密作業系統磁碟驅動器的存取之前驗證的開機組件。 如果其中任何一個元件在 BitLocker 保護生效時變更,則 TPM 不會釋出加密密鑰來解除鎖定磁碟驅動器。 相反地,計算機會顯示 BitLocker Recovery 控制台,並要求提供修復密碼或修復密鑰來解除鎖定磁碟驅動器。
- 停用或未設定時,TPM 會使用安裝腳本所指定的預設平台驗證配置檔或平台驗證配置檔。
如果計算機沒有相容的 TPM,或 BitLocker 已使用 TPM 保護開啟,則不適用此原則設定。
重要
此 群組原則 設定僅適用於具有BIOS設定的電腦,或啟用CSM的 UEFI 韌體電腦。 使用原生 UEFI 韌體設定的電腦會將不同的值儲存在平臺設定快取器 (PCR) 中。 使用設定 原生 UEFI 韌體組態的 TPM 平台驗證配置檔 原則設定,為使用原生 UEFI 韌體的電腦設定 TPM PCR 配置檔。
平台驗證配置檔是由一組介於 0 到 23 的 PCR 索引所組成。 每個 PCR 索引都代表 TPM 在早期開機期間驗證的特定度量。 預設平台驗證設定檔會針對下列 PCR 的變更保護加密金鑰:
| PCR |
描述 |
| PCR 0 |
度量、BIOS 和平臺延伸模組的核心根信任 |
| PCR 2 |
選項 ROM 程式代碼 |
| PCR 4 |
MBR) 程式代碼 (主啟動記錄 |
| PCR 8 |
NTFS 開機扇區 |
| PCR 9 |
NTFS 開機區塊 |
| PCR 10 |
開機管理員 |
| PCR 11 |
BitLocker 訪問控制 |
注意
從預設平台驗證配置檔變更會影響計算機的安全性和管理性。 BitLocker 對於惡意或授權) (平臺修改的敏感度,會分別根據 PCR 的包含或排除 (增加或減少) 。
下列清單會識別所有可用的 PCR:
| PCR |
描述 |
| PCR 0 |
度量、BIOS 和平臺延伸模組的核心根信任 |
| PCR 1 |
平臺和主機板設定和數據。 |
| PCR 2 |
選項 ROM 程式代碼 |
| PCR 3 |
選項 ROM 數據和組態 |
| PCR 4 |
MBR) 程式代碼 (主啟動記錄 |
| PCR 5 |
MBR) 分割區數據表 (主啟動記錄 |
| PCR 6 |
狀態轉換和喚醒事件 |
| PCR 7 |
計算機製造商專屬 |
| PCR 8 |
NTFS 開機扇區 |
| PCR 9 |
NTFS 開機區塊 |
| PCR 10 |
開機管理員 |
| PCR 11 |
BitLocker 訪問控制 |
| PCR 12-23 |
保留供日後使用 |
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
此原則設定會決定 TPM 在原生 UEFI 韌體裝置上解除鎖定 OS 磁碟驅動器之前,驗證早期開機組件時所測量的值。
- 如果您在開啟 BitLocker 之前啟用此原則設定,您可以先設定 TPM 驗證的開機組件,再解除鎖定對 BitLocker 加密 OS 磁碟驅動器的存取。 如果其中任何一個元件在 BitLocker 保護生效時變更,TPM 就不會釋出加密密鑰來解除鎖定磁碟驅動器。 裝置會顯示 BitLocker Recovery 控制台,並要求提供修復密碼或修復金鑰來解除鎖定磁碟驅動器
- 如果停用或未設定此原則設定,BitLocker 會使用可用硬體的預設平台驗證配置檔,或安裝腳本所指定的平臺驗證配置檔
重要
此原則設定僅適用於具有原生 UEFI 韌體設定的裝置。 已啟用相容性支援模組的BIOS或 UEFI 韌體 (CSM) 的電腦會將不同的值儲存在 [平台設定快取器] (PCR) 中。 使用設定 BIOS 型韌體組態原則設定的 TPM 平台驗證配置檔 ,為具有 BIOS 組態的裝置或啟用 CSM 的 UEFI 韌體裝置設定 TPM PCR 配置檔。
平台驗證配置檔是由一組 PCR 索引所組成,範圍從 0 到 23。 預設平台驗證設定檔會針對下列 PCR 的變更保護加密金鑰:
| PCR |
描述 |
| PCR 0 |
核心系統韌體可執行程序代碼 |
| PCR 2 |
擴充或可插入的可執行程序代碼 |
| PCR 4 |
開機管理員 |
| PCR 11 |
BitLocker 訪問控制 |
注意
當 [安全開機狀態] (PCR7) 支援可用時,預設平臺驗證配置檔會使用安全開機狀態 (PCR 7) 保護加密密鑰,而 BitLocker 存取控制 (PCR 11) 。
下列清單會識別所有可用的 PCR:
| PCR |
描述 |
| PCR 0 |
核心系統韌體可執行程序代碼 |
| PCR 1 |
核心系統韌體數據 |
| PCR 2 |
擴充或可插入的可執行程序代碼 |
| PCR 3 |
擴充或可插入的韌體數據 |
| PCR 4 |
開機管理員 |
| PCR 5 |
GPT/資料分割數據表 |
| PCR 6 |
從 S4 和 S5 電源狀態事件繼續 |
| PCR 7 |
安全開機狀態 |
| PCR 8 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 9 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 10 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 11 |
BitLocker 訪問控制 |
| PCR 12 |
數據事件和高度變動性事件 |
| PCR 13 |
開機模組詳細數據 |
| PCR 14 |
開機授權單位 |
| PCR 15 - 23 |
保留供日後使用 |
警告
從預設平台驗證配置檔變更會影響裝置的安全性和管理性。 BitLocker 對於惡意或授權) (平臺修改的敏感度,會分別根據 PCR 的包含或排除 (增加或減少) 。
在省略 PCR 7 時設定此原則時,會覆寫 允許安全開機的完整性驗證 原則,防止 BitLocker 針對平臺使用安全開機或開機設定數據 (BCD) 完整性驗證。
當韌體更新時,設定此原則可能會導致 BitLocker 復原。 如果您將此原則設定為包含 PCR 0,請在套用韌體更新之前暫停 BitLocker。 建議您不要設定此原則,以允許 Windows 根據每個裝置上的可用硬體,選取 PCR 配置檔,以獲得最佳的安全性和可用性組合。
PCR 7 會測量安全開機的狀態。 使用 PCR 7 時,BitLocker 可以使用安全開機進行完整性驗證。 安全開機可確保計算機的預先啟動環境只會載入經授權軟體發行者數位簽署的韌體。 PCR 7 度量會指出安全開機是否開啟,以及平臺上信任哪些密鑰。 如果安全開機已開啟,且韌體會根據 UEFI 規格正確地測量 PCR 7,BitLocker 可以系結至此資訊,而不是系結至 PCR 0、2 和 4,其會載入確切韌體和 Bootmgr 映射的度量。 此程式可降低由於韌體和映像更新而以恢復模式啟動 BitLocker 的可能性,並提供更大的彈性來管理啟動前設定。
PCR 7 度量必須遵循 附錄「受信任的執行環境 EFI 通訊協定」中所述的指引。
PCR 7 度量是支援新式待命 (也稱為 Always On、Always Connected 計算機) 之系統的必要標誌需求。 在這類系統上,如果已正確設定具有 PCR 7 度量和安全開機的 TPM,BitLocker 預設會系結至 PCR 7 和 PCR 11。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
此原則設定可讓您管理 BitLocker 在作業系統磁碟驅動器上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁碟驅動器作業的效能,這些作業涉及經常讀取或寫入數據到磁碟驅動器。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果停用此原則設定,BitLocker 就無法搭配作業系統磁碟驅動器使用硬體型加密,且在加密磁碟驅動器時,預設會使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁碟驅動器加密方法和加密強度原則設定不適用於硬體型加密。 磁碟驅動器分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁碟驅動器上設定的演算法來加密磁碟驅動器。
[ 限制硬體型加密允許的加密演演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁碟驅動器設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
此原則設定會指定用來解除鎖定受 BitLocker 保護之作業系統磁碟驅動器之密碼的條件約束。 如果操作系統磁碟驅動器上允許非 TPM 保護裝置,您可以布建密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用組策略設定密碼必須符合計算機設定Windows 設定安全性>設定>帳戶>原則密碼原則中的>複雜性需求。
如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜度時,就必須連線到域控制器
- 當設定為 [允許複雜度] 時,會嘗試連線到域控制器,以驗證複雜性是否符合原則所設定的規則。 如果找不到域控制器,不論實際的密碼複雜度為何,都會接受密碼,而且磁碟驅動器會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為八個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則操作系統磁碟驅動器密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
不允許標準使用者變更 PIN 或密碼
此原則允許設定是否允許標準使用者變更用來保護作業系統磁碟驅動器的 PIN 或密碼,如果他們可以先提供現有的 PIN 碼。
如果您啟用此原則,標準使用者就無法變更 BitLocker PIN 或密碼。
如果您停用或未設定此原則,標準使用者可以變更 BitLocker PIN 和密碼。
此原則設定可讓用戶開啟需要使用者從啟動前環境輸入的驗證選項,即使平臺缺少啟動前輸入功能也一樣。 Windows 觸控式鍵盤 (例如,在 BitLocker 需要其他資訊的開機前環境中,無法使用) 電腦所使用的觸控式鍵盤,例如 PIN 或密碼。
- 如果您啟用此原則設定,裝置必須有預先啟動輸入 (的替代方法,例如連結的 USB 鍵盤) 。
- 如果未啟用此原則,則必須在Tablet上啟用 Windows 復原環境,以支援 BitLocker 修復密碼的輸入。
建議系統管理員只針對已驗證為具有預先啟動輸入替代方法的裝置啟用此原則,例如附加USB鍵盤。
當 Windows Recovery Environment (WinRE) 未啟用且未啟用此原則時,BitLocker 無法在使用觸控式鍵盤的裝置上開啟。
如果未啟用此原則設定,可能無法使用啟動 時需要其他驗證 原則中的下列選項:
- 設定 TPM 啟動 PIN:必要和允許
- 設定 TPM 啟動金鑰和 PIN:必要和允許
- 設定作業系統磁碟驅動器的密碼使用
在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型
此原則設定可讓您設定 BitLocker 磁碟驅動器加密所使用的加密類型。
開啟此原則設定時,BitLocker 安裝精靈中不會提供 加密類型 選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁碟驅動器
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。
注意
如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁碟區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁碟驅動器展開時,不會像使用 完整加密的磁碟驅動器一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁碟驅動器上的可用空間: manage-bde.exe -w。 如果磁碟區已壓縮,則不會對新的可用空間採取任何動作。
啟動時需要額外的驗證
此原則設定會設定每次裝置啟動時,BitLocker 是否需要額外的驗證。
如果您啟用此原則,用戶可以在 BitLocker 安裝精靈中設定進階啟動選項。
如果您停用或未設定此原則設定,使用者只能在具有 TPM 的電腦上設定基本選項。
注意
啟動時只需要一個額外的驗證選項,否則會發生原則錯誤。
如果您想要在沒有 TPM 的裝置上使用 BitLocker,請選取 [ 允許不使用兼容 TPM 的 BitLocker] 選項。 在此模式中,啟動時需要密碼或USB磁碟驅動器。
使用啟動金鑰時,用來加密磁碟驅動器的金鑰資訊會儲存在 USB 磁碟驅動器上,以建立 USB 金鑰。 插入 USB 金鑰時,會驗證磁碟驅動器的存取權,並可存取磁碟驅動器。 如果USB金鑰遺失或無法使用,或您忘記密碼,則必須使用其中一個 BitLocker 修復選項來存取磁碟驅動器。
在具有相容 TPM 的計算機上,四種驗證方法可以在啟動時用來為加密數據提供額外的保護。 當電腦啟動時,它可以使用:
- 僅限 TPM
- 包含啟動金鑰的 USB 快閃磁碟驅動器
- PIN (6 位數到 20 位數的)
- PIN + USB 快閃磁碟驅動器
注意
如果您想要要求使用啟動 PIN 和 USB 快閃磁碟驅動器,您必須使用命令行工具 manage-bde 而不是 BitLocker 磁碟驅動器加密安裝精靈來設定 BitLocker 設定。
啟用 TPM 的裝置有四個選項:
設定 TPM 啟動
設定 TPM 啟動 PIN
- 允許使用 TPM 啟動 PIN
- 需要搭配 TPM 的啟動 PIN
- 不允許使用 TPM 啟動 PIN
設定 TPM 啟動金鑰
- 使用 TPM 允許啟動金鑰
- 需要使用 TPM 的啟動金鑰
- 不允許使用 TPM 的啟動金鑰
設定 TPM 啟動金鑰和 PIN
- 允許 TPM 啟動金鑰搭配 PIN
- 需要搭配 TPM 的啟動金鑰和 PIN
- 不允許 TPM 啟動金鑰搭配 PIN
此原則設定會決定當 Windows 在 BitLocker 復原之後啟動時,平臺驗證數據是否應該重新整理。 平台驗證數據配置檔是由一組平臺設定緩存器 (PCR) 介於 0 到 23 的索引中的值所組成。
如果您啟用此原則設定,當 Windows 在 BitLocker 複原之後啟動時,會重新整理平臺驗證數據。 這是預設行為。
如果您停用此原則設定,當 Windows 在 BitLocker 複原之後啟動時,將不會重新整理平臺驗證數據。
如需復原程式的詳細資訊,請參閱 BitLocker 復原概觀。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
使用增強型開機設定數據驗證配置檔
此原則設定會決定要在平臺驗證期間驗證的特定開機設定數據 (BCD) 設定。 平台驗證會使用平台驗證配置檔中的數據,其中包含一組平臺設定緩存器 (PCR) 介於 0 到 23 的索引。
如果您未設定此原則設定,裝置將會驗證預設的 Windows BCD 設定。
注意
當 BitLocker 使用安全開機進行平臺和 BCD 完整性驗證時,如 允許安全開機的完整性驗證 原則設定所定義,則會忽略此原則設定。 控制開機偵 0x16000010 錯的設定一律會經過驗證,如果包含或排除清單中包含,則不會有任何作用。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器 |
選擇如何復原受 BitLocker 保護的固定磁碟驅動器
此原則設定可讓您控制在沒有必要啟動密鑰資訊的情況下,如何復原受 BitLocker 保護的固定數據磁碟驅動器。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的固定數據磁碟驅動器復原數據的方法。 以下是可用的選項:
-
允許以憑證為基礎的數據復原代理程式:指定數據復原代理程式是否可以與受 BitLocker 保護的固定數據磁碟驅動器搭配使用。 在使用數據復原代理程式之前,必須先從 群組原則 管理主控台或本機 群組原則 中的公鑰原則專案新增 編輯器
-
設定 BitLocker 修復資訊的使用者記憶體:選取是否允許、必要或不允許用戶產生 48 位數的修復密碼或 256 位修復密鑰
-
省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁碟驅動器的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁碟驅動器的 BitLocker 復原選項取決於原則設定
-
將 BitLocker 修復資訊儲存至 Active Directory 網域服務:選擇要在 AD DS 中儲存的固定數據磁碟驅動器 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁碟驅動器復原數據。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
-
在固定數據磁碟驅動器的 AD DS 中儲存修復資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,而且將 BitLocker 修復資訊備份至 AD DS 成功,否則會防止用戶啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
重要
如果啟用 [ 拒絕未受 BitLocker 保護的固定磁碟驅動器寫 入存取權] 原則設定,就必須不允許使用修復密鑰。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復密鑰,且復原資訊不會備份至 AD DS。
此原則設定可讓您管理 BitLocker 在固定數據磁碟驅動器上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁碟驅動器作業的效能,這些作業涉及經常讀取或寫入數據到磁碟驅動器。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果您停用此原則設定,BitLocker 就無法搭配固定數據磁碟驅動器使用硬體型加密,而且在加密磁碟驅動器時,預設會使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁碟驅動器加密方法和加密強度原則設定不適用於硬體型加密。 磁碟驅動器分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁碟驅動器上設定的演算法來加密磁碟驅動器。
[ 限制硬體型加密允許的加密演演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁碟驅動器設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>固定數據磁碟驅動器 |
此原則設定會指定是否需要密碼才能解除鎖定受 BitLocker 保護的固定數據磁碟驅動器。 如果您選擇允許使用密碼,您可以要求使用密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用組策略設定密碼必須符合計算機設定Windows 設定安全性>設定>帳戶>原則密碼原則中的>複雜性需求。
如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜度時,就必須連線到域控制器
- 當設定為 [允許複雜度] 時,會嘗試連線到域控制器,以驗證複雜性是否符合原則所設定的規則。 如果找不到域控制器,不論實際的密碼複雜度為何,都會接受密碼,而且磁碟驅動器會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為八個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則操作系統磁碟驅動器密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>固定數據磁碟驅動器 |
此原則設定可讓您指定智慧卡是否可用來驗證使用者對受 BitLocker 保護之固定數據磁碟驅動器的存取權。
- 如果您啟用此原則設定,智慧卡可用來驗證使用者對磁碟驅動器的存取
- 您可以選取 [ 需要在固定數據磁碟驅動器上使用智慧卡 ] 選項來要求智慧卡驗證
- 如果您停用此原則設定,使用者就無法使用智慧卡來驗證其對受 BitLocker 保護之固定數據磁碟驅動器的存取
- 如果您未設定此原則設定,智慧卡可用來驗證使用者存取受 BitLocker 保護的磁碟驅動器
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>固定數據磁碟驅動器 |
拒絕寫入存取不受 BitLocker 保護的固定式磁碟機
此原則設定可用來要求在授與 寫 入存取權之前加密固定磁碟驅動器。
如果您啟用此原則設定,所有不受 BitLocker 保護的固定數據磁碟驅動器都會掛接為唯讀。 如果磁碟驅動器受到 BitLocker 保護,則會掛接具有讀取和寫入存取權的磁碟驅動器。
如果您停用或未設定此原則設定,計算機上的所有固定數據磁碟驅動器都會掛接讀取和寫入存取權。
注意
啟用此原則設定時,當使用者嘗試將數據儲存至未加密的固定數據磁碟驅動器時,會收到 拒絕存取 錯誤訊息。
如果啟用此原則設定時,在計算機上執行 BitLocker 磁碟驅動器準備工具BdeHdCfg.exe ,可能會遇到下列問題:
- 如果您嘗試壓縮磁碟驅動器以建立系統磁碟驅動器,磁碟驅動器大小會成功縮減,並建立原始磁碟分區。 不過,未經處理的數據分割並未格式化。 顯示下列錯誤訊息: 無法格式化新的使用中磁碟驅動器。您可能需要手動準備適用於 BitLocker 的磁碟驅動器。
- 如果您嘗試使用未配置的空間來建立系統磁碟驅動器,則會建立原始磁碟分區。 不過,原始數據分割不會格式化。 顯示下列錯誤訊息: 無法格式化新的使用中磁碟驅動器。您可能需要手動準備適用於 BitLocker 的磁碟驅動器。
- 如果您嘗試將現有的磁碟驅動器合併到系統磁碟驅動器,此工具將無法將必要的開機檔案複製到目標磁碟驅動器上,以建立系統磁碟驅動器。 顯示下列錯誤訊息: BitLocker 安裝程式無法複製開機檔案。您可能需要手動準備適用於 BitLocker 的磁碟驅動器。
在固定數據磁碟驅動器上強制執行磁碟驅動器加密類型
此原則設定可控制在固定數據磁碟驅動器上使用 BitLocker。
如果您啟用此原則設定,BitLocker 用來加密磁碟驅動器的加密類型是由此原則所定義,而且 BitLocker 安裝精靈不會顯示加密類型選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁碟驅動器
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。
注意
如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁碟區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁碟驅動器展開時,不會像使用 完整加密的磁碟驅動器一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁碟驅動器上的可用空間: manage-bde.exe -w。 如果磁碟區已壓縮,則不會對新的可用空間採取任何動作。
選擇如何復原受 BitLocker 保護的卸除式磁碟驅動器
此原則設定可讓您控制在沒有必要啟動密鑰資訊的情況下,如何復原受 BitLocker 保護的卸載式數據磁碟驅動器。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的抽取式數據磁碟驅動器復原數據的方法。 以下是可用的選項:
-
允許以憑證為基礎的數據復原代理程式:指定數據復原代理程式是否可以與受 BitLocker 保護的抽取式數據磁碟驅動器搭配使用。 數據復原代理程式必須先從 群組原則 管理主控台或本機 群組原則 中的 [公鑰原則] 專案新增 編輯器
-
設定 BitLocker 修復資訊的使用者記憶體:選取是否允許、必要或不允許用戶產生 48 位數的修復密碼或 256 位修復密鑰
-
省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁碟驅動器的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁碟驅動器的 BitLocker 復原選項取決於原則設定
-
將 BitLocker 修復資訊儲存 Active Directory 網域服務:選擇要儲存在 AD DS 中用於卸載式數據磁碟驅動器的 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁碟驅動器復原數據。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
-
在卸除式數據磁碟驅動器的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,而且 BitLocker 修復資訊備份至 AD DS 成功,否則會防止使用者啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
重要
如果啟用 [ 拒絕寫入不受 BitLocker 保護的抽取式磁碟驅動器 ] 原則設定,就必須不允許使用修復密鑰。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復密鑰,且復原資訊不會備份至 AD DS。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>卸除式數據磁碟驅動器 |
此原則設定可讓您管理 BitLocker 在抽取式數據磁碟驅動器上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁碟驅動器作業的效能,這些作業涉及經常讀取或寫入數據到磁碟驅動器。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果停用此原則設定,BitLocker 就無法搭配抽取式數據磁碟驅動器使用硬體型加密,且預設會在磁碟驅動器加密時使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁碟驅動器加密方法和加密強度原則設定不適用於硬體型加密。 磁碟驅動器分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁碟驅動器上設定的演算法來加密磁碟驅動器。
[ 限制硬體型加密允許的加密演演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁碟驅動器設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>卸除式數據磁碟驅動器 |
此原則設定會指定是否需要密碼才能解除鎖定受 BitLocker 保護的卸載式數據磁碟驅動器。 如果您選擇允許使用密碼,您可以要求使用密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用組策略設定密碼必須符合計算機設定Windows 設定安全性>設定>帳戶>原則密碼原則中的>複雜性需求。
如果您啟用此原則設定,用戶可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜性時,就必須連線到域控制器
- 當設定為 [允許複雜度] 時,會嘗試連線到域控制器,以驗證複雜性是否符合原則所設定的規則。 如果找不到域控制器,不論實際的密碼複雜度為何,都會接受密碼,而且磁碟驅動器會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為8個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則操作系統磁碟驅動器密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>卸除式數據磁碟驅動器 |
此原則設定可讓您指定智慧卡是否可用來驗證使用者對受 BitLocker 保護的抽取式數據磁碟驅動器的存取權。
- 如果您啟用此原則設定,智慧卡可用來驗證使用者對磁碟驅動器的存取
- 您可以選取 [ 需要在抽取式數據磁碟驅動器上使用智慧卡 ] 選項來要求智慧卡驗證
- 如果您停用此原則設定,使用者就無法使用智慧卡來驗證其存取受 BitLocker 保護的抽取式數據磁碟驅動器
- 如果您未設定此原則設定,智慧卡可用來驗證使用者存取受 BitLocker 保護的磁碟驅動器
|
路徑 |
|
Csp |
無法使用 |
|
GPO |
計算機設定>系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>卸除式數據磁碟驅動器 |
控制卸除式磁碟驅動器上的 BitLocker 使用
此原則設定可控制在抽取式數據磁碟驅動器上使用 BitLocker。
啟用此原則設定時,您可以選取可控制使用者如何設定 BitLocker 的屬性設定:
- 選擇 [允許使用者在抽取式數據磁碟驅動器上套用 BitLocker 保護 ] 以允許使用者在卸載式數據磁碟驅動器上執行 BitLocker 安裝精靈
- 選擇 [允許使用者在卸除式數據磁碟驅動器上暫停及解密 BitLocker ],以允許使用者從磁碟驅動器移除 BitLocker 加密,或在執行維護時暫停加密
如果您停用此原則設定,用戶就無法在抽取式磁碟驅動器上使用 BitLocker。
拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機
此原則設定會設定裝置是否需要 BitLocker 保護,才能將數據寫入抽取式數據磁碟驅動器。
如果您啟用此原則設定:
- 所有不受 BitLocker 保護的卸載式數據磁碟驅動器都會掛接為唯讀
- 如果磁碟驅動器受到 BitLocker 保護,則會掛接讀取和寫入存取權
- 如果已選取 [ 拒絕對另一個組織中 設定的裝置進行寫入存取] 選項,則只有標識符字段符合計算機識別字段的磁碟驅動器會獲得寫入許可權
- 存取卸除式數據磁碟驅動器時,系統會檢查該磁碟驅動器是否有有效的識別欄位和允許的識別欄位。 這些欄位是由 (為您的組織提供唯一識別碼) [] 原則設定所定義
如果您停用或未設定此原則設定,則計算機上的所有卸載式數據磁碟驅動器都會掛接讀取和寫入存取權。
注意
如果已啟用原則設定 卸除式磁碟:拒絕寫入存取 ,則會忽略此原則設定。
重要
如果啟用此原則:
- 必須不允許使用 BitLocker 搭配 TPM 啟動金鑰或 TPM 金鑰和 PIN
- 必須不允許使用修復金鑰
在抽取式數據磁碟驅動器上強制執行磁碟驅動器加密類型
此原則設定可控制在抽取式數據磁碟驅動器上使用 BitLocker。
開啟此原則設定時,BitLocker 安裝精靈中不會提供 加密類型 選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁碟驅動器
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存數據的磁碟驅動器部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求用戶在開啟 BitLocker 之前選取加密類型。
注意
如果磁碟驅動器已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁碟區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁碟驅動器展開時,不會像使用 完整加密的磁碟驅動器一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁碟驅動器上的可用空間: manage-bde.exe -w。 如果磁碟區已壓縮,則不會對新的可用空間採取任何動作。
從加密中排除的卸載式磁碟驅動器
通用設定
操作系統磁碟驅動器
固定數據磁碟驅動器