下表列出適用于所有磁片磁碟機類型的 BitLocker 原則,指出這些原則是否適用于設定服務提供者 (CSP) 和/或群組原則 (GPO) 。 如需詳細資訊,請選取原則名稱。
允許標準使用者加密
您可以使用此原則,針對目前登入的使用者沒有系統管理許可權時套用原則的情況,強制執行 [ 需要裝置加密 ] 原則。
重要
必須停用 [允許其他磁片 加密的警告] 原則,才能允許標準使用者加密。
選擇修復密碼的預設資料夾
指定 當 BitLocker 磁片磁碟機加密安裝 精靈提示使用者輸入要儲存修復密碼的資料夾位置時所顯示的預設路徑。 您可以指定完整路徑,或在路徑中包含目的電腦的環境變數:
- 如果路徑無效,BitLocker 安裝精靈會顯示電腦的最上層資料夾檢視
- 如果停用或未設定此原則設定,當使用者選擇將修復密碼儲存在資料夾中的選項時,BitLocker 安裝精靈會顯示電腦的最上層資料夾檢視
注意
此原則設定不會防止使用者將修復密碼儲存在另一個資料夾中。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密 |
選擇磁片磁碟機加密方法和加密強度
透過此原則,您可以個別設定固定資料磁片磁碟機、作業系統磁片磁碟機和抽取式資料磁片磁碟機的加密演算法和金鑰加密強度。
建議的設定: XTS-AES 所有磁片磁碟機的演算法。 金鑰大小、128 位或 256 位的選擇取決於裝置的效能。 如需效能更高效能的硬碟和 CPU,請選擇 [256 位金鑰],讓效能較差的硬碟使用 128。
如果您停用或未設定此原則設定,BitLocker 會使用 的 XTS-AES 128-bit 預設加密方法。
注意
此原則不適用於加密的磁片磁碟機。 加密的磁片磁碟機會利用自己的演算法,這是由磁片磁碟機在資料分割期間設定的演算法。
使用此原則,您可以在已加入Microsoft Entra的裝置上,針對 OS 和固定磁片磁碟機使用時設定數值復原密碼輪替,並Microsoft Entra混合式聯結裝置。
可能值為:
0:數值復原密碼輪替已關閉1:已加入Microsoft Entra裝置使用時,會開啟數值復原密碼輪替。 這也是預設值2:已加入Microsoft Entra裝置和Microsoft Entra混合式聯結裝置使用時,數值復原密碼輪替已開啟
注意
只有在將修復密碼的 Micropsoft Entra ID 或 Active Directory 備份設定為必要時,原則才有效
- 針對作業系統磁片磁碟機:在 作業系統磁片磁碟機的復原資訊儲存至 AD DS 之前,啟用 [不要啟用 BitLocker]
- 針對固定磁片磁碟機:啟用「在固定資料磁片磁碟機的復原資訊儲存至 AD DS 之前,請勿啟用 BitLocker
當這部電腦鎖定時停用新的 DMA 裝置
啟用時,此原則設定會封鎖所有熱外掛程式 PCI 埠的直接記憶體存取 (DMA) ,直到使用者登入 Windows 為止。
一旦使用者登入,Windows 就會列舉連線到主機的 PCI 裝置,以布建的 PCI 埠。 每次使用者鎖定裝置時,在不含子系裝置的熱隨插即用 PCI 埠上都會封鎖 DMA,直到使用者再次登入為止。
裝置在解除鎖定時已列舉的裝置會繼續運作,直到解除封鎖,或系統重新開機或休眠為止。
只有在啟用 BitLocker 或裝置加密時,才會強制執行此原則設定。
重要
此原則與 核心 DMA 保護不相容。 如果系統支援 Kernel DMA Protection,建議您停用此原則,因為核心 DMA 保護會為系統提供更高的安全性。 如需 Kernel DMA Protection 的詳細資訊,請參閱 Kernel DMA Protection。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密 |
防止重新開機時覆寫記憶體
此原則設定可用來控制裝置重新開機時是否覆寫電腦的記憶體。 BitLocker 秘密包含用來加密資料的金鑰資料。
- 如果您啟用此原則設定,當電腦重新開機時,不會覆寫記憶體。 防止記憶體覆寫可能會改善重新開機效能,但會增加公開 BitLocker 秘密的風險。
- 如果停用或未設定此原則設定,當電腦重新開機時,BitLocker 秘密會從記憶體中移除。
注意
只有在啟用 BitLocker 保護時,才會套用此原則設定。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密 |
為您的組織提供唯一識別碼
此原則設定可讓您將唯一組織識別碼與使用 BitLocker 加密的磁片磁碟機建立關聯。 識別碼會儲存為 識別欄位 和 允許的識別欄位:
- 識別欄位可讓您將唯一組織識別碼與受 BitLocker 保護的磁片磁碟機建立關聯。 此識別碼會自動新增至受 BitLocker 保護的新磁片磁碟機,並可使用 BitLocker 磁片磁碟機加密 在現有受 BitLocker 保護的磁片磁碟機上更新:設定工具 (
manage-bde.exe)
- 允許的識別欄位會與 [拒絕寫入不受 BitLocker 保護的抽取式磁片磁碟機 ] 原則設定搭配使用,以協助控制組織中抽取式磁片磁碟機的使用。 這是以逗號分隔的識別欄位清單,來自您的組織或其他外部組織。 您可以使用
manage-bde.exe 在現有的磁片磁碟機上設定識別欄位。
如果啟用此原則設定,您可以在受 BitLocker 保護的磁片磁碟機上設定識別欄位,以及組織所使用的任何允許識別欄位。 當受 BitLocker 保護的磁片磁碟機掛接在另一個已啟用 BitLocker 的裝置上時,會使用識別欄位和允許的識別欄位來判斷磁片磁碟機是否來自不同的組織。
如果您停用或未設定此原則設定,則不需要識別碼欄位。
重要
需要識別欄位,才能在受 BitLocker 保護的磁片磁碟機上管理憑證型資料復原代理程式。 BitLocker 只會在磁片磁碟機上存在識別欄位且與裝置上設定的值相同時,管理及更新憑證型資料復原代理程式。 識別欄位可以是任何 260 個字元或更少的值。
|
路徑 |
| Csp |
./Device/Vendor/MSFT/BitLocker/IdentificationField |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密 |
需要裝置加密
此原則設定會判斷是否需要 BitLocker:
- 啟用時,會根據允許 其他磁片 加密原則的警告,在所有磁片磁碟機上以無訊息或非無訊息方式觸發加密
- 如果停用,系統磁片磁碟機的 BitLocker 不會關閉,但會停止提示使用者開啟 BitLocker。
注意
一般而言,BitLocker 會遵循 選擇磁片磁碟機加密方法和加密強度 原則設定。 不過,對於自我加密固定磁片磁碟機和自我加密 OS 磁片磁碟機,將會忽略此原則設定。
可加密的固定資料磁片區會被視為類似 OS 磁片區,但必須符合其他準則才能加密:
- 它不能是動態磁碟區
- 不得為復原分割區
- 它不能是隱藏的磁片區
- 不得為系統分割區
- 它不能由虛擬儲存體支援
- BCD 存放區中不能有參考
驗證智慧卡憑證使用規則合規性
此原則設定可用來判斷要搭配 BitLocker 使用的憑證,方法是將物件識別碼 (OID) 從智慧卡憑證關聯到受 BitLocker 保護的磁片磁碟機。 物件識別碼是在憑證的增強金鑰使用 (EKU) 中指定。
BitLocker 可以藉由比對憑證中的物件識別碼與此原則設定所定義的物件識別碼,來識別哪些憑證可用來向受 BitLocker 保護的磁片磁碟機驗證使用者憑證。 預設 OID 為 1.3.6.1.4.1.311.67.1.1 。
如果啟用此原則設定,則 [ 物件識別碼 ] 欄位中指定的物件識別碼必須符合智慧卡憑證中的物件識別碼。 如果您停用或未設定此原則設定,則會使用預設 OID。
注意
BitLocker 不需要憑證具有 EKU 屬性;不過,如果已針對憑證設定憑證,則必須將它設定為符合針對 BitLocker 設定之物件識別碼的物件識別碼。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密 |
允許符合 InstantGo 或 HSTI 規範的裝置退出宣告預先啟動 PIN
此原則設定可讓符合 InstantGo 或 Microsoft 硬體安全性測試介面 (HSTI) 裝置上的使用者沒有 PIN 進行預先啟動驗證。
此原則會覆寫 [在符合規範的硬體上需要在啟動時進行額外驗證] 原則中的 [需要啟動 PIN 搭配 TPM] 和 [需要啟動金鑰和 PIN] 選項。
- 如果您啟用此原則設定,則 InstantGo 和 HSTI 相容裝置上的使用者可以開啟 BitLocker,而不需要預先啟動驗證
- 如果停用或未設定原則,則會套用 [ 在啟動時需要其他驗證 ] 原則的選項
允許增強型 PIN 以啟動
使用包含 PIN 的解除鎖定方法時,此設定允許使用增強型 PIN。
增強的啟動 PIN 允許使用字元 (包括大寫和小寫字母、符號、數位和空格) 。
重要
並非所有電腦都支援在啟動前環境中增強的 PIN 字元。 強烈建議使用者在 BitLocker 安裝期間執行系統檢查,以確認可以使用增強的 PIN 字元。
|
路徑 |
| Csp |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
在啟動時允許網路解除鎖定
此原則設定可控制連線到受信任的有線區域網路 (LAN) 受 BitLocker 保護的裝置,是否可以在啟用 TPM 的電腦上建立和使用網路金鑰保護裝置,以便在電腦啟動時自動解除鎖定作業系統磁片磁碟機。
如果您啟用此原則,設定 BitLocker 網路解除鎖定憑證的 裝置可以建立和使用網路金鑰保護裝置。 若要使用網路金鑰保護裝置來解除鎖定電腦,必須使用網路解除鎖定憑證布建電腦和 BitLocker 磁片磁碟機加密網路解除鎖定伺服器。 網路解除鎖定憑證可用來建立網路金鑰保護裝置,並保護與伺服器交換的資訊,以解除鎖定電腦。
群組原則設定電腦> 設定Windows 設定安全性>> 設定公開金鑰原則>BitLocker 磁片磁碟機加密網路解除鎖定憑證可以在網域控制站上使用,將此憑證散發給組織中的電腦。 此解除鎖定方法會使用電腦上的 TPM,因此沒有 TPM 的電腦無法建立網路金鑰保護裝置,以使用網路解除鎖定自動解除鎖定。
如果您停用或未設定此原則設定,BitLocker 用戶端將無法建立和使用網路金鑰保護裝置。
注意
為了可靠性和安全性,電腦也應該有 TPM 啟動 PIN,當電腦在啟動時與有線網路或伺服器中斷連線時,可以使用此 PIN。
如需網路解除鎖定功能的詳細資訊,請參閱 BitLocker:如何啟用網路解除鎖定
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
允許安全開機進行完整性驗證
此原則設定可讓您設定是否允許安全開機作為 BitLocker 作業系統磁片磁碟機的平臺完整性提供者。
安全開機可確保裝置的預先啟動環境只會載入由授權軟體發行者數位簽署的韌體。
- 如果您啟用或未設定此原則設定,如果平臺能夠進行安全開機型完整性驗證,BitLocker 會使用安全開機來進行平臺完整性
- 如果您停用此原則設定,BitLocker 會使用舊版平臺完整性驗證,即使在能夠安全開機型完整性驗證的系統上也一樣
啟用此原則且硬體能夠使用 BitLocker 安全開機案例時,會忽略 [ 使用增強的開機設定資料驗證設定檔] 原則 設定,而 [安全開機] 會根據安全開機原則設定來驗證 BCD 設定,此設定會與 BitLocker 分開設定。
警告
當製造商特定韌體更新時,停用此原則可能會導致 BitLocker 復原。 如果停用此原則,請在套用韌體更新之前暫停 BitLocker。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
允許其他磁片加密的警告
使用此原則,您可以停用加密的所有通知、其他磁片加密的警告提示,以及以無訊息方式開啟加密。
重要
此原則僅適用于已加入Microsoft Entra裝置。
只有在啟用 [需要裝置加密 原則] 時,此原則才會生效。
警告
當您在具有協力廠商加密的裝置上啟用 BitLocker 時,可能會使裝置無法使用,而且需要重新安裝 Windows。
此原則的預期值為:
- 啟用 (預設) :允許警告提示和加密通知
- 已停用:隱藏警告提示和加密通知。 Windows 會嘗試以無訊息方式啟用 BitLocker
注意
當您停用警告提示時,OS 磁片磁碟機的修復金鑰會備份至使用者的Microsoft Entra識別碼帳戶。 當您允許警告提示時,收到提示的使用者可以選取要備份 OS 磁片磁碟機修復金鑰的位置。
固定資料磁片磁碟機備份的端點會以下列順序選擇:
- 使用者的Windows Server Active Directory Domain Services帳戶
- 使用者的Microsoft Entra識別碼帳戶
- 使用者的個人 OneDrive (僅限 MDM/MAM)
加密會等到這三個位置的其中一個成功備份為止。
選擇如何復原受 BitLocker 保護的作業系統磁片磁碟機
此原則設定可讓您控制在不需要啟動金鑰資訊的情況下,如何復原受 BitLocker 保護的作業系統磁片磁碟機。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的作業系統磁片磁碟機復原資料的方法。 以下是可用的選項:
- 允許以憑證為基礎的資料復原代理程式:指定資料復原代理程式是否可以與受 BitLocker 保護的 OS 磁片磁碟機搭配使用。 您必須先從 群組原則 管理主控台或本機群組原則編輯器中的公開金鑰原則專案新增資料復原代理程式,才能使用資料復原代理程式
- 設定 BitLocker 修復資訊的使用者儲存體:選取是否允許、必要或不允許使用者產生 48 位數的修復密碼或 256 位修復金鑰
- 省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁片磁碟機的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁片磁碟機的 BitLocker 復原選項取決於原則設定
- 將 BitLocker 修復資訊儲存Active Directory 網域服務:選擇要儲存在作業系統磁片磁碟機之 AD DS 中的 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁片磁碟機復原資料。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
- 在作業系統磁片磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,並將 BitLocker 修復資訊備份至 AD DS 成功,否則會防止使用者啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復金鑰,且復原資訊不會備份至 AD DS。
此原則會設定信賴平臺模組 (TPM) 啟動 PIN 的最小長度。 啟動 PIN 的最小長度必須為 4 位數,且長度上限為 20 位數。
如果您啟用此原則設定,則在設定啟動 PIN 時,可能需要使用最少位數的數位。
如果您停用或未設定此原則設定,使用者可以設定長度介於 6 到 20 位數之間的啟動 PIN。
TPM 可以設定為使用字典攻擊防護參數 (鎖定閾值和鎖定持續時間 ,以控制在 TPM 鎖定之前允許多少次失敗的授權嘗試,以及必須經過多少時間才能進行另一次嘗試。
字典攻擊防護參數可讓您平衡安全性需求與可用性。 例如,當 BitLocker 與 TPM + PIN 組態搭配使用時,PIN 猜測數目會隨著時間限制。 在此範例中,TPM 2.0 可以設定為只立即允許 32 個 PIN 猜測,然後每兩小時再多猜測一次。 此嘗試次數總計為每年最多約 4415 次猜測。 如果 PIN 是四位數,則在兩年內可以嘗試所有 9999 可能的 PIN 組合。
提示
增加 PIN 長度需要有更多攻擊者的猜測。 在此情況下,每個猜測之間的鎖定持續時間可以縮短,以允許合法的使用者更快重試失敗的嘗試,同時維持類似的保護層級。
注意
如果 PIN 長度下限設定為低於 6 位數,Windows 會嘗試將 TPM 2.0 鎖定期間更新為大於 PIN 變更時的預設值。 如果成功,如果 TPM 重設,Windows 只會將 TPM 鎖定期間重設回預設值。
此原則設定可用來設定復原訊息,以及取代 OS 磁片磁碟機鎖定時顯示在啟動前復原畫面上的現有 URL。
- 如果您選取 [ 使用預設修復訊息和 URL] 選項,預設的 BitLocker 修復訊息和 URL 會顯示在開機前金鑰復原畫面中。 如果您先前已設定自訂修復訊息或 URL,而且想要還原為預設訊息,則必須保持啟用原則,並選取 [ 使用預設復原訊息和 URL] 選項
- 如果您選取 [ 使用自訂修復訊息 ] 選項,您新增至 [ 自訂修復訊息選項 ] 文字方塊的訊息會顯示在開機前金鑰修復畫面中。 如果有可用的復原 URL,請將其包含在訊息中
- 如果您選取 [ 使用自訂復原 URL ] 選項,您新增至 [ 自訂復原 URL] 選項 文字方塊的 URL 會取代預設復原訊息中的預設 URL,其會顯示在開機前金鑰復原畫面中
注意
開機前不支援所有字元和語言。 強烈建議您測試用於自訂訊息或 URL 的字元是否正確出現在開機前復原畫面上。
如需 BitLocker 啟動前復原畫面的詳細資訊,請參閱 啟動前復原畫面。
此原則設定會決定 TPM 在使用 BIOS 設定或已啟用相容性支援模組的 UEFI 韌體 (CSM) 解除鎖定電腦上的作業系統磁片磁碟機之前,驗證早期開機元件時所測量的值。
- 啟用時,可以設定 TPM 在解除鎖定對 BitLocker 加密作業系統磁片磁碟機的存取之前驗證的開機元件。 如果其中任何一個元件在 BitLocker 保護生效時變更,則 TPM 不會釋出加密金鑰來解除鎖定磁片磁碟機。 相反地,電腦會顯示 BitLocker Recovery 主控台,並要求提供修復密碼或修復金鑰來解除鎖定磁片磁碟機。
- 停用或未設定時,TPM 會使用安裝腳本所指定的預設平臺驗證設定檔或平臺驗證設定檔。
如果電腦沒有相容的 TPM,或 BitLocker 已使用 TPM 保護開啟,則不適用此原則設定。
重要
此群組原則設定僅適用于具有 BIOS 設定的電腦,或啟用 CSM 的 UEFI 韌體電腦。 使用原生 UEFI 韌體設定的電腦會將不同的值儲存在平臺設定暫存器 (PCR) 中。 使用設定 原生 UEFI 韌體組態的 TPM 平臺驗證設定檔 原則設定,為使用原生 UEFI 韌體的電腦設定 TPM PCR 設定檔。
平臺驗證設定檔是由一組介於 0 到 23 的 PCR 索引所組成。 每個 PCR 索引都代表 TPM 在早期開機期間驗證的特定度量。 預設平臺驗證設定檔會針對下列 PCR 的變更保護加密金鑰:
| Pcr |
描述 |
| PCR 0 |
度量、BIOS 和平臺延伸模組的核心根信任 |
| PCR 2 |
選項 ROM 程式碼 |
| PCR 4 |
MBR) 程式碼 (主開機記錄 |
| PCR 8 |
NTFS 開機磁區 |
| PCR 9 |
NTFS 開機區塊 |
| PCR 10 |
開機管理員 |
| PCR 11 |
BitLocker 存取控制 |
注意
從預設平臺驗證設定檔變更會影響電腦的安全性和管理性。 BitLocker 對於惡意或授權) (平臺修改的敏感度,會分別根據 PCR 的包含或排除 (增加或減少) 。
下列清單會識別所有可用的 PCR:
| Pcr |
描述 |
| PCR 0 |
度量、BIOS 和平臺延伸模組的核心根信任 |
| PCR 1 |
平臺和主機板設定和資料。 |
| PCR 2 |
選項 ROM 程式碼 |
| PCR 3 |
選項 ROM 資料和組態 |
| PCR 4 |
MBR) 程式碼 (主開機記錄 |
| PCR 5 |
MBR) 分割區資料表 (主開機記錄 |
| PCR 6 |
狀態轉換和喚醒事件 |
| PCR 7 |
電腦製造商專屬 |
| PCR 8 |
NTFS 開機磁區 |
| PCR 9 |
NTFS 開機區塊 |
| PCR 10 |
開機管理員 |
| PCR 11 |
BitLocker 存取控制 |
| PCR 12-23 |
保留供日後使用 |
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
此原則設定會決定 TPM 在原生 UEFI 韌體裝置上解除鎖定 OS 磁片磁碟機之前,驗證早期開機元件時所測量的值。
- 如果您在開啟 BitLocker 之前啟用此原則設定,您可以先設定 TPM 驗證的開機元件,再解除鎖定對 BitLocker 加密 OS 磁片磁碟機的存取。 如果其中任何一個元件在 BitLocker 保護生效時變更,TPM 就不會釋出加密金鑰來解除鎖定磁片磁碟機。 裝置會顯示 BitLocker Recovery 主控台,並要求提供修復密碼或修復金鑰來解除鎖定磁片磁碟機
- 如果停用或未設定此原則設定,BitLocker 會使用可用硬體的預設平臺驗證設定檔,或安裝腳本所指定的平臺驗證設定檔
重要
此原則設定僅適用于具有原生 UEFI 韌體設定的裝置。 已啟用相容性支援模組的 BIOS 或 UEFI 韌體 (CSM) 的電腦會將不同的值儲存在 [平臺設定暫存器] (PCR) 中。 使用設定 BIOS 型韌體組態原則設定的 TPM 平臺驗證設定檔 ,為具有 BIOS 組態的裝置或啟用 CSM 的 UEFI 韌體裝置設定 TPM PCR 設定檔。
平臺驗證設定檔是由一組 PCR 索引所組成,範圍從 0 到 23。 預設平臺驗證設定檔會針對下列 PCR 的變更保護加密金鑰:
| Pcr |
描述 |
| PCR 0 |
核心系統韌體可執行程式碼 |
| PCR 2 |
擴充或可插入的可執行程式碼 |
| PCR 4 |
開機管理員 |
| PCR 11 |
BitLocker 存取控制 |
注意
當 [安全開機狀態] (PCR7) 支援可用時,預設平臺驗證設定檔會使用安全開機狀態 (PCR 7) 保護加密金鑰,而 BitLocker 存取控制 (PCR 11) 。
下列清單會識別所有可用的 PCR:
| Pcr |
描述 |
| PCR 0 |
核心系統韌體可執行程式碼 |
| PCR 1 |
核心系統韌體資料 |
| PCR 2 |
擴充或可插入的可執行程式碼 |
| PCR 3 |
擴充或可插入的韌體資料 |
| PCR 4 |
開機管理員 |
| PCR 5 |
GPT/資料分割資料表 |
| PCR 6 |
從 S4 和 S5 電源狀態事件繼續 |
| PCR 7 |
安全開機狀態 |
| PCR 8 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 9 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 10 |
初始化為 0,但未保留擴充 (供日後使用) |
| PCR 11 |
BitLocker 存取控制 |
| PCR 12 |
資料事件和高度變動性事件 |
| PCR 13 |
開機模組詳細資料 |
| PCR 14 |
開機授權單位 |
| PCR 15 - 23 |
保留供日後使用 |
警告
從預設平臺驗證設定檔變更會影響裝置的安全性和管理性。 BitLocker 對於惡意或授權) (平臺修改的敏感度,會分別根據 PCR 的包含或排除 (增加或減少) 。
在省略 PCR 7 時設定此原則時,會覆寫 允許安全開機的完整性驗證 原則,防止 BitLocker 針對平臺使用安全開機或開機設定資料 (BCD) 完整性驗證。
當韌體更新時,設定此原則可能會導致 BitLocker 復原。 如果您將此原則設定為包含 PCR 0,請在套用韌體更新之前暫停 BitLocker。 建議您不要設定此原則,以允許 Windows 根據每個裝置上的可用硬體,選取 PCR 設定檔,以獲得最佳的安全性和可用性組合。
PCR 7 會測量安全開機的狀態。 使用 PCR 7 時,BitLocker 可以使用安全開機進行完整性驗證。 安全開機可確保電腦的預先啟動環境只會載入經授權軟體發行者數位簽署的韌體。 PCR 7 度量會指出安全開機是否開啟,以及平臺上信任哪些金鑰。 如果安全開機已開啟,且韌體會根據 UEFI 規格正確地測量 PCR 7,BitLocker 可以系結至此資訊,而不是系結至 PCR 0、2 和 4,其會載入確切韌體和 Bootmgr 映射的度量。 此程式可降低由於韌體和映射更新而以復原模式啟動 BitLocker 的可能性,並提供更大的彈性來管理啟動前設定。
PCR 7 度量必須遵循 附錄「受信任的執行環境 EFI 通訊協定」中所述的指引。
PCR 7 度量是支援新式待命 (也稱為 Always On、Always Connected 電腦) 之系統的必要標誌需求。 在這類系統上,如果已正確設定具有 PCR 7 度量和安全開機的 TPM,BitLocker 預設會系結至 PCR 7 和 PCR 11。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
此原則設定可讓您管理 BitLocker 在作業系統磁片磁碟機上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁片磁碟機作業的效能,這些作業涉及經常讀取或寫入資料到磁片磁碟機。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果停用此原則設定,BitLocker 就無法搭配作業系統磁片磁碟機使用硬體型加密,且在加密磁片磁碟機時,預設會使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁片磁碟機加密方法和加密強度原則設定不適用於硬體型加密。 磁片磁碟機分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁片磁碟機上設定的演算法來加密磁片磁碟機。
[ 限制硬體型加密允許的加密演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁片磁碟機設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
此原則設定會指定用來解除鎖定受 BitLocker 保護之作業系統磁片磁碟機之密碼的條件約束。 如果作業系統磁片磁碟機上允許非 TPM 保護裝置,您可以布建密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用群組原則設定密碼必須符合電腦設定Windows 設定安全性>設定>帳戶> 原則密碼原則中的 >複雜性需求。
如果您啟用此原則設定,使用者可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜度時,就必須連線到網域控制站
- 當設定為 [允許複雜度] 時,會嘗試連線到網域控制站,以驗證複雜性是否符合原則所設定的規則。 如果找不到網域控制站,不論實際的密碼複雜度為何,都會接受密碼,而且磁片磁碟機會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為八個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則作業系統磁片磁碟機密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
不允許標準使用者變更 PIN 或密碼
此原則允許設定是否允許標準使用者變更用來保護作業系統磁片磁碟機的 PIN 或密碼,如果他們可以先提供現有的 PIN 碼。
如果您啟用此原則,標準使用者就無法變更 BitLocker PIN 或密碼。
如果您停用或未設定此原則,標準使用者可以變更 BitLocker PIN 和密碼。
此原則設定可讓使用者開啟需要使用者從啟動前環境輸入的驗證選項,即使平臺缺少啟動前輸入功能也一樣。 Windows 觸控式鍵盤 (例如,在 BitLocker 需要其他資訊的開機前環境中,無法使用) 電腦所使用的觸控式鍵盤,例如 PIN 或密碼。
- 如果您啟用此原則設定,裝置必須有預先啟動輸入 (的替代方法,例如連結的 USB 鍵盤) 。
- 如果未啟用此原則,則必須在 Tablet 上啟用 Windows 復原環境,以支援 BitLocker 修復密碼的輸入。
建議系統管理員只針對已驗證為具有預先啟動輸入替代方法的裝置啟用此原則,例如附加 USB 鍵盤。
當 Windows Recovery Environment (WinRE) 未啟用且未啟用此原則時,BitLocker 無法在使用觸控式鍵盤的裝置上開啟。
如果未啟用此原則設定,可能無法使用啟動 時需要其他驗證 原則中的下列選項:
- 設定 TPM 啟動 PIN:必要和允許
- 設定 TPM 啟動金鑰和 PIN:必要和允許
- 設定作業系統磁片磁碟機的密碼使用
在作業系統磁片磁碟機上強制執行磁片磁碟機加密類型
此原則設定可讓您設定 BitLocker 磁片磁碟機加密所使用的加密類型。
當您啟用此原則設定時,BitLocker 安裝精靈中不會提供 加密類型 選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁片磁碟機
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存資料的磁片磁碟機部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求使用者在開啟 BitLocker 之前選取加密類型。
注意
如果磁片磁碟機已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁片區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁片磁碟機展開時,不會像使用 完整加密的磁片磁碟機一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁片磁碟機上的可用空間: manage-bde.exe -w 。 如果磁片區已壓縮,則不會對新的可用空間採取任何動作。
啟動時需要額外的驗證
此原則設定會設定每次裝置啟動時,BitLocker 是否需要額外的驗證。
如果您啟用此原則,使用者可以在 BitLocker 安裝精靈中設定進階啟動選項。
如果您停用或未設定此原則設定,使用者只能在具有 TPM 的電腦上設定基本選項。
注意
啟動時只需要一個額外的驗證選項,否則會發生原則錯誤。
如果您想要在沒有 TPM 的裝置上使用 BitLocker,請選取 [ 允許不使用相容 TPM 的 BitLocker] 選項。 在此模式中,啟動時需要密碼或 USB 磁片磁碟機。
使用啟動金鑰時,用來加密磁片磁碟機的金鑰資訊會儲存在 USB 磁片磁碟機上,以建立 USB 金鑰。 插入 USB 金鑰時,會驗證磁片磁碟機的存取權,並可存取磁片磁碟機。 如果 USB 金鑰遺失或無法使用,或您忘記密碼,則必須使用其中一個 BitLocker 修復選項來存取磁片磁碟機。
在具有相容 TPM 的電腦上,四種驗證方法可以在啟動時用來為加密資料提供額外的保護。 當電腦啟動時,它可以使用:
- 僅限 TPM
- 包含啟動金鑰的 USB 快閃磁片磁碟機
- PIN (6 位數到 20 位數的)
- PIN + USB 快閃磁片磁碟機
注意
如果您想要要求使用啟動 PIN 和 USB 快閃磁片磁碟機,您必須使用命令列工具 manage-bde 而不是 BitLocker 磁片磁碟機加密安裝精靈來設定 BitLocker 設定。
啟用 TPM 的裝置有四個選項:
設定 TPM 啟動
設定 TPM 啟動 PIN
- 允許使用 TPM 啟動 PIN
- 需要搭配 TPM 的啟動 PIN
- 不允許使用 TPM 啟動 PIN
設定 TPM 啟動金鑰
- 使用 TPM 允許啟動金鑰
- 需要使用 TPM 的啟動金鑰
- 不允許使用 TPM 的啟動金鑰
設定 TPM 啟動金鑰和 PIN
- 允許 TPM 啟動金鑰搭配 PIN
- 需要搭配 TPM 的啟動金鑰和 PIN
- 不允許 TPM 啟動金鑰搭配 PIN
此原則設定會決定當 Windows 在 BitLocker 復原之後啟動時,平臺驗證資料是否應該重新整理。 平臺驗證資料設定檔是由一組平臺設定暫存器 (PCR) 介於 0 到 23 的索引中的值所組成。
如果您啟用此原則設定,當 Windows 在 BitLocker 復原之後啟動時,會重新整理平臺驗證資料。 這是預設行為。
如果您停用此原則設定,當 Windows 在 BitLocker 復原之後啟動時,將不會重新整理平臺驗證資料。
如需復原程式的詳細資訊,請參閱 BitLocker 復原概觀。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
使用增強型開機設定資料驗證設定檔
此原則設定會決定要在平臺驗證期間驗證的特定開機設定資料 (BCD) 設定。 平臺驗證會使用平臺驗證設定檔中的資料,其中包含一組平臺設定暫存器 (PCR) 介於 0 到 23 的索引。
如果您未設定此原則設定,裝置將會驗證預設的 Windows BCD 設定。
注意
當 BitLocker 使用安全開機進行平臺和 BCD 完整性驗證時,如 允許安全開機的完整性驗證 原則設定所定義,則會忽略此原則設定。 控制開機偵 0x16000010 錯的設定一律會經過驗證,如果包含或排除清單中包含,則不會有任何作用。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機 |
選擇如何復原受 BitLocker 保護的固定磁片磁碟機
此原則設定可讓您控制在沒有必要啟動金鑰資訊的情況下,如何復原受 BitLocker 保護的固定資料磁片磁碟機。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的固定資料磁片磁碟機復原資料的方法。 以下是可用的選項:
- 允許以憑證為基礎的資料復原代理程式:指定資料復原代理程式是否可以與受 BitLocker 保護的固定資料磁片磁碟機搭配使用。 您必須先從 群組原則 管理主控台或本機群組原則編輯器中的公開金鑰原則專案新增資料復原代理程式,才能使用資料復原代理程式
- 設定 BitLocker 修復資訊的使用者儲存體:選取是否允許、必要或不允許使用者產生 48 位數的修復密碼或 256 位修復金鑰
- 省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁片磁碟機的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁片磁碟機的 BitLocker 復原選項取決於原則設定
- 將 BitLocker 修復資訊儲存至Active Directory 網域服務:選擇要在 AD DS 中儲存的固定資料磁片磁碟機 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁片磁碟機復原資料。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
- 在固定資料磁片磁碟機的 AD DS 中儲存修復資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,而且將 BitLocker 修復資訊備份至 AD DS 成功,否則會防止使用者啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
重要
如果啟用 [ 拒絕未受 BitLocker 保護的固定磁片磁碟機寫 入存取權] 原則設定,就必須不允許使用修復金鑰。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復金鑰,且復原資訊不會備份至 AD DS。
此原則設定可讓您管理 BitLocker 在固定資料磁片磁碟機上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁片磁碟機作業的效能,這些作業涉及經常讀取或寫入資料到磁片磁碟機。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果您停用此原則設定,BitLocker 就無法搭配固定資料磁片磁碟機使用硬體型加密,而且在加密磁片磁碟機時,預設會使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁片磁碟機加密方法和加密強度原則設定不適用於硬體型加密。 磁片磁碟機分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁片磁碟機上設定的演算法來加密磁片磁碟機。
[ 限制硬體型加密允許的加密演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁片磁碟機設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>固定資料磁片磁碟機 |
此原則設定會指定是否需要密碼才能解除鎖定受 BitLocker 保護的固定資料磁片磁碟機。 如果您選擇允許使用密碼,您可以要求使用密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用群組原則設定密碼必須符合電腦設定Windows 設定安全性>設定>帳戶> 原則密碼原則中的 >複雜性需求。
如果您啟用此原則設定,使用者可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜度時,就必須連線到網域控制站
- 當設定為 [允許複雜度] 時,會嘗試連線到網域控制站,以驗證複雜性是否符合原則所設定的規則。 如果找不到網域控制站,不論實際的密碼複雜度為何,都會接受密碼,而且磁片磁碟機會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為八個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則作業系統磁片磁碟機密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>固定資料磁片磁碟機 |
此原則設定可讓您指定智慧卡是否可用來驗證使用者對受 BitLocker 保護之固定資料磁片磁碟機的存取權。
- 如果您啟用此原則設定,智慧卡可用來驗證使用者對磁片磁碟機的存取
- 您可以選取 [ 需要在固定資料磁片磁碟機上使用智慧卡 ] 選項來要求智慧卡驗證
- 如果您停用此原則設定,使用者就無法使用智慧卡來驗證其對受 BitLocker 保護之固定資料磁片磁碟機的存取
- 如果您未設定此原則設定,智慧卡可用來驗證使用者存取受 BitLocker 保護的磁片磁碟機
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>固定資料磁片磁碟機 |
拒絕寫入存取不受 BitLocker 保護的固定式磁碟機
此原則設定可用來要求在授與 寫 入存取權之前加密固定磁片磁碟機。
如果您啟用此原則設定,所有不受 BitLocker 保護的固定資料磁片磁碟機都會掛接為唯讀。 如果磁片磁碟機受到 BitLocker 保護,則會掛接具有讀取和寫入存取權的磁片磁碟機。
如果您停用或未設定此原則設定,電腦上的所有固定資料磁片磁碟機都會掛接讀取和寫入存取權。
注意
啟用此原則設定時,當使用者嘗試將資料儲存至未加密的固定資料磁片磁碟機時,會收到 拒絕存取 錯誤訊息。
如果啟用此原則設定時,在電腦上執行BitLocker 磁片磁碟機準備工具BdeHdCfg.exe ,可能會遇到下列問題:
- 如果您嘗試壓縮磁片磁碟機以建立系統磁片磁碟機,磁片磁碟機大小會成功縮減,並建立原始磁碟分割。 不過,未經處理的資料分割並未格式化。 顯示下列錯誤訊息: 無法格式化新的使用中磁片磁碟機。您可能需要手動準備適用于 BitLocker 的磁片磁碟機。
- 如果您嘗試使用未配置的空間來建立系統磁片磁碟機,則會建立原始磁碟分割。 不過,原始資料分割不會格式化。 顯示下列錯誤訊息: 無法格式化新的使用中磁片磁碟機。您可能需要手動準備適用于 BitLocker 的磁片磁碟機。
- 如果您嘗試將現有的磁片磁碟機合併到系統磁片磁碟機,此工具將無法將必要的開機檔案複製到目標磁片磁碟機上,以建立系統磁片磁碟機。 顯示下列錯誤訊息: BitLocker 安裝程式無法複製開機檔案。您可能需要手動準備適用于 BitLocker 的磁片磁碟機。
在固定資料磁片磁碟機上強制執行磁片磁碟機加密類型
此原則設定可控制在固定資料磁片磁碟機上使用 BitLocker。
如果您啟用此原則設定,BitLocker 用來加密磁片磁碟機的加密類型是由此原則所定義,而且 BitLocker 安裝精靈不會顯示加密類型選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁片磁碟機
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存資料的磁片磁碟機部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求使用者在開啟 BitLocker 之前選取加密類型。
注意
如果磁片磁碟機已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁片區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁片磁碟機展開時,不會像使用 完整加密的磁片磁碟機一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁片磁碟機上的可用空間: manage-bde.exe -w 。 如果磁片區已壓縮,則不會對新的可用空間採取任何動作。
選擇如何復原受 BitLocker 保護的卸載式磁片磁碟機
此原則設定可讓您控制在沒有必要啟動金鑰資訊的情況下,如何復原受 BitLocker 保護的卸載式資料磁片磁碟機。 如果啟用此原則設定,您可以控制可供使用者從受 BitLocker 保護的抽取式資料磁片磁碟機復原資料的方法。 以下是可用的選項:
- 允許以憑證為基礎的資料復原代理程式:指定資料復原代理程式是否可以與受 BitLocker 保護的抽取式資料磁片磁碟機搭配使用。 您必須先從 群組原則 管理主控台或本機群組原則編輯器中的公開金鑰原則專案新增資料復原代理程式,才能使用資料復原代理程式
- 設定 BitLocker 修復資訊的使用者儲存體:選取是否允許、必要或不允許使用者產生 48 位數的修復密碼或 256 位修復金鑰
- 省略 BitLocker 安裝精靈中的復原選項:防止使用者在開啟磁片磁碟機的 BitLocker 時指定復原選項。 這表示使用者在開啟 BitLocker 時,將無法指定要使用的復原選項。 磁片磁碟機的 BitLocker 復原選項取決於原則設定
- 將 BitLocker 修復資訊儲存至Active Directory 網域服務:選擇要儲存在 AD DS 中用於卸載式資料磁片磁碟機的 BitLocker 修復資訊。 如果您選取 [備份修復密碼] 和 [金鑰套件],BitLocker 修復密碼和金鑰套件都會儲存在 AD DS 中。 儲存金鑰套件支援從實際損毀的磁片磁碟機復原資料。 如果您只選取 [備份修復密碼],則只有修復密碼會儲存在 AD DS 中
- 在卸載式資料磁片磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker:除非裝置已連線到網域,而且 BitLocker 修復資訊備份至 AD DS 成功,否則會防止使用者啟用 BitLocker。 使用此選項時,系統會自動產生修復密碼。
重要
如果啟用 [ 拒絕寫入不受 BitLocker 保護的抽取式磁片磁碟機 ] 原則設定,就必須不允許使用修復金鑰。
如果停用或未設定此原則設定,BitLocker 復原會支援預設復原選項。 根據預設,允許 DRA,使用者可以指定復原選項,包括修復密碼和修復金鑰,且復原資訊不會備份至 AD DS。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>卸載式資料磁片磁碟機 |
此原則設定可讓您管理 BitLocker 在抽取式資料磁片磁碟機上使用硬體型加密,並指定可搭配硬體型加密使用的加密演算法。 使用硬體型加密可以改善磁片磁碟機作業的效能,這些作業涉及經常讀取或寫入資料到磁片磁碟機。
如果啟用此原則設定,您可以指定選項來控制是否在不支援硬體型加密的裝置上使用 BitLocker 軟體型加密,而不是硬體型加密。 您也可以指定是否要限制與硬體型加密搭配使用的加密演算法和加密套件。
如果停用此原則設定,BitLocker 就無法搭配抽取式資料磁片磁碟機使用硬體型加密,且預設會在磁片磁碟機加密時使用 BitLocker 軟體型加密。
如果您未設定此原則設定,BitLocker 將使用軟體型加密,而不論硬體型加密可用性為何。
注意
選擇磁片磁碟機加密方法和加密強度原則設定不適用於硬體型加密。 磁片磁碟機分割時,會設定硬體型加密所使用的加密演算法。 根據預設,BitLocker 會使用磁片磁碟機上設定的演算法來加密磁片磁碟機。
[ 限制硬體型加密允許的加密演算法和加密套 件] 選項可讓您限制 BitLocker 可搭配硬體加密使用的加密演算法。 如果無法使用磁片磁碟機設定的演算法,BitLocker 會停用硬體型加密的使用。 加密演算法是由物件識別碼指定, (OID) 。 例如:
- CBC 模式 OID 中的 AES 128:
2.16.840.1.101.3.4.1.2
- CBC 模式 OID 中的 AES 256:
2.16.840.1.101.3.4.1.42
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>卸載式資料磁片磁碟機 |
此原則設定會指定是否需要密碼才能解除鎖定受 BitLocker 保護的卸載式資料磁片磁碟機。 如果您選擇允許使用密碼,您可以要求使用密碼、強制執行複雜性需求,以及設定最小長度。
重要
若要讓複雜性需求設定生效,也必須啟用群組原則設定密碼必須符合電腦設定Windows 設定安全性>設定>帳戶> 原則密碼原則中的 >複雜性需求。
如果您啟用此原則設定,使用者可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求,請選取 [需要複雜度]:
- 當設定為 [需要複雜性] 時,啟用 BitLocker 以驗證密碼的複雜度時,就必須連線到網域控制站
- 當設定為 [允許複雜度] 時,會嘗試連線到網域控制站,以驗證複雜性是否符合原則所設定的規則。 如果找不到網域控制站,不論實際的密碼複雜度為何,都會接受密碼,而且磁片磁碟機會使用該密碼作為保護裝置進行加密
- 當設定為 [不允許複雜度] 時,不會驗證密碼複雜度
密碼必須至少為 8 個字元。 若要設定密碼的最小長度,請在 [密碼長度下限] 下指定所需的字元數
如果停用或未設定此原則設定,則作業系統磁片磁碟機密碼會套用八個字元的預設長度條件約束,而且不會發生複雜性檢查。
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>卸載式資料磁片磁碟機 |
此原則設定可讓您指定智慧卡是否可用來驗證使用者對受 BitLocker 保護的抽取式資料磁片磁碟機的存取權。
- 如果您啟用此原則設定,智慧卡可用來驗證使用者對磁片磁碟機的存取
- 您可以選取 [ 需要在抽取式資料磁片磁碟機上使用智慧卡 ] 選項來要求智慧卡驗證
- 如果您停用此原則設定,使用者就無法使用智慧卡來驗證其存取受 BitLocker 保護的抽取式資料磁片磁碟機
- 如果您未設定此原則設定,智慧卡可用來驗證使用者存取受 BitLocker 保護的磁片磁碟機
|
路徑 |
| Csp |
無法使用 |
| Gpo |
電腦設定>系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>卸載式資料磁片磁碟機 |
控制卸載式磁片磁碟機上的 BitLocker 使用
此原則設定可控制在抽取式資料磁片磁碟機上使用 BitLocker。
啟用此原則設定時,您可以選取可控制使用者如何設定 BitLocker 的屬性設定:
- 選擇 [允許使用者在抽取式資料磁片磁碟機上套用 BitLocker 保護 ] 以允許使用者在卸載式資料磁片磁碟機上執行 BitLocker 安裝精靈
- 選擇 [允許使用者在卸載式資料磁片磁碟機上暫停及解密 BitLocker ],以允許使用者從磁片磁碟機移除 BitLocker 加密,或在執行維護時暫停加密
如果您停用此原則設定,使用者就無法在抽取式磁片磁碟機上使用 BitLocker。
拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機
此原則設定會設定裝置是否需要 BitLocker 保護,才能將資料寫入抽取式資料磁片磁碟機。
如果您啟用此原則設定:
- 所有不受 BitLocker 保護的卸載式資料磁片磁碟機都會掛接為唯讀
- 如果磁片磁碟機受到 BitLocker 保護,則會掛接讀取和寫入存取權
- 如果已選取 [ 拒絕對另一個組織中 設定的裝置進行寫入存取] 選項,則只有識別碼欄位符合電腦識別欄位的磁片磁碟機會獲得寫入權限
- 存取卸載式資料磁片磁碟機時,系統會檢查該磁片磁碟機是否有有效的識別欄位和允許的識別欄位。 這些欄位是由 (為您的組織提供唯一識別碼) [] 原則設定所定義
如果您停用或未設定此原則設定,則電腦上的所有卸載式資料磁片磁碟機都會掛接讀取和寫入存取權。
注意
如果已啟用原則設定 卸載式磁片:拒絕寫入存取 ,則會忽略此原則設定。
重要
如果啟用此原則:
- 必須不允許使用 BitLocker 搭配TPM 啟動金鑰或TPM 金鑰和 PIN
- 必須不允許使用修復金鑰
在抽取式資料磁片磁碟機上強制執行磁片磁碟機加密類型
此原則設定可控制在抽取式資料磁片磁碟機上使用 BitLocker。
當您啟用此原則設定時,BitLocker 安裝精靈中不會提供 加密類型 選項:
- 選擇 完整加密 ,要求在開啟 BitLocker 時加密整個磁片磁碟機
- 選擇 僅限使用的空間加密 ,以要求在 BitLocker 開啟時,只會加密用來儲存資料的磁片磁碟機部分
如果您停用或未設定此原則設定,BitLocker 安裝精靈會要求使用者在開啟 BitLocker 之前選取加密類型。
注意
如果磁片磁碟機已加密或加密正在進行中,變更加密類型將沒有任何作用。
壓縮或擴充磁片區時會忽略此原則,而 BitLocker 驅動程式會使用目前的加密方法。 例如,當使用 僅限使用空間加密 的磁片磁碟機展開時,不會像使用 完整加密的磁片磁碟機一樣抹除新的可用空間。 使用者可以使用下列命令抹除 「僅使用空間 」磁片磁碟機上的可用空間: manage-bde.exe -w 。 如果磁片區已壓縮,則不會對新的可用空間採取任何動作。
從加密中排除的卸載式磁片磁碟機
通用設定
作業系統磁片磁碟機
固定資料磁片磁碟機