1、bitlocker組策略參考bitlocker最初打開(kāi)驅(qū)動(dòng)器時(shí)，將應(yīng)用的大多數(shù)bitlocker組策略設(shè)置。如果計(jì)算機(jī)不符合現(xiàn)有 的組策略設(shè)置，bitlocker可能無(wú)法打開(kāi)或修改計(jì)算機(jī)中的法規(guī)遵從性狀態(tài)之前。合規(guī)性紐策略 設(shè)置（例如，如果組策略設(shè)置已更改您的單位在初始bitlocker部署完成后，然后應(yīng)用到以而 加密的驅(qū)動(dòng)器）的驅(qū)動(dòng)器時(shí)，可以對(duì)除改變，使其符合該驅(qū)動(dòng)器的bitlocker配置不進(jìn)行任何 更改。如果不將驅(qū)動(dòng)器放入法規(guī)遵從性需耍多個(gè)更改，您必須掛起bitlocker保護(hù)、進(jìn)行必耍 的更改，然后恢復(fù)保護(hù)。發(fā)生這種惜況，例如，如果要使用密碼取消鎖定最初配置可移動(dòng)驅(qū)動(dòng) 器，然后更改組策

2、略設(shè)過(guò)以禁止密碼，并要求使用科能卡。在此悄況下，bitlocker保護(hù)需要使 用manage-bde命令行工具，掛起密碼取消鎖立方法刪除，并添加智能卡方法。在完成此操作 后，bitlocker與組策略設(shè)置符合標(biāo)準(zhǔn)，并可以恢復(fù)bitlocker保護(hù)驅(qū)動(dòng)器上。有關(guān)使用 manage-bde命令行工具的詳細(xì)信息，請(qǐng)參閱管理bde.exe參數(shù)引用.以下各節(jié)提供了使用按組織的策略設(shè)置的完整列表。bitlocker組策略設(shè)置包括對(duì)特定的驅(qū)動(dòng)器 類型（操作系統(tǒng)張動(dòng)器、同定數(shù)據(jù)驅(qū)動(dòng)器和可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器）和應(yīng)用到所冇張動(dòng)器的設(shè)置。 解除鎖定的方法 訪問(wèn)和使川 bitlocker驅(qū)動(dòng)器 加密強(qiáng)度 驅(qū)動(dòng)器故障恢復(fù)

3、部署選項(xiàng)毎一節(jié)列出的策略設(shè)置的影響類型的用法的并提供對(duì)使用該策略設(shè)宜，如果您啟用此策略設(shè)置與 策略設(shè)置路徑、策略設(shè)置描述，以及任何潛在的沖突區(qū)域使用的驅(qū)動(dòng)器類型的引用。解除鎖定的方法以卜策略設(shè)置可用于確定如何受bitlocker保護(hù)的驅(qū)動(dòng)器可以解鎖。 耍求在啟動(dòng)時(shí)的其他身份驗(yàn)證 允許增強(qiáng)的pin進(jìn)行啟動(dòng) 配首最小pin長(zhǎng)度 需要額外的身份驗(yàn)證（windows server 2008 和 windows vista） 啟動(dòng)時(shí) 固定的數(shù)據(jù)驅(qū)動(dòng)器上配置使用的智能卡 固疋的數(shù)據(jù)驅(qū)動(dòng)器上配置使用的密碼 町移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上配置使用的智能卡 可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上配宜使用的粥碼 驗(yàn)證列能卡證卩使用規(guī)則一致性要求

4、在啟動(dòng)時(shí)的其他身份驗(yàn)證此策略設(shè)置用于控制windows 7操作系統(tǒng)驅(qū)動(dòng)器提供了哪些解除鎖能選項(xiàng)。驅(qū)動(dòng)器類型操作系統(tǒng)駁動(dòng)器(windows 7 和 windows server 2008 r2)策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您配置是否bitlocker需要額外的身份驗(yàn)證每次計(jì)算機(jī)啟動(dòng)的時(shí)，無(wú)論您使用bitlocker與或不受信任的平臺(tái)模塊ctpm)。當(dāng)您打開(kāi)bitlocker吋，將應(yīng)用此策略設(shè)置。如果您要在沒(méi)有tpm的計(jì)算機(jī)上使用bitlocker,選擇不兼容的tpm的

5、情況下允許bitlocker復(fù)選框。在此模式屮，usb驅(qū)動(dòng)器啟動(dòng)時(shí)必須和用來(lái)加密驅(qū)動(dòng)器的關(guān)鍵信息存儲(chǔ)在usb驅(qū)動(dòng)器中，創(chuàng)建usb閃存盤(pán)上。當(dāng)插入usb閃存盤(pán)時(shí)，驅(qū)動(dòng)器的訪問(wèn)進(jìn)行身份驗(yàn)證并且 可以訪問(wèn)該驅(qū)動(dòng)器。如果usb閃存盤(pán)丟失或不可用，您需耍使用bitlocker恢復(fù)選項(xiàng)之一來(lái)訪 問(wèn)該驅(qū)動(dòng)器。在兼容的tpm的計(jì)算機(jī)，四利啖型的身份驗(yàn)證方法可用來(lái)在啟動(dòng)時(shí)提供的加密數(shù)據(jù)的附加的保 護(hù)。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，計(jì)算機(jī)可以僅tpm用于身份驗(yàn)證，或它還可以要求插入usb閃存驅(qū) 動(dòng)骼包含啟動(dòng)密鑰、4位到20位個(gè)人識(shí)別碼(pin),或這二者的條目。如果您啟用此策略設(shè)置，用戶可以配置bitlocker安裝向?qū)у母?/p>

6、級(jí)的啟動(dòng)選項(xiàng)。如果您禁用或不配置此策略設(shè)置，用戶可以使用tpm配置只有基本選項(xiàng)的計(jì)算機(jī)上。請(qǐng)注意可以在啟動(dòng)；要求進(jìn)行額外的身份驗(yàn)證選項(xiàng)中只有一個(gè)否則，將策略發(fā)生錯(cuò)誤。如果您要用于身份驗(yàn)證之前解鎖操作系統(tǒng)驅(qū)動(dòng)器啟動(dòng)pin和usb閃存驅(qū)動(dòng)器，則必須啟用bit 裝向?qū)Ф皇鞘褂胢anage-bde命令行工具。在此情況下，此策略設(shè)置應(yīng)保留為不配置。沖突如果需耍一個(gè)身份驗(yàn)證方法，則不能允許使用其他方法。使用的不兼容的tpm bitlocker, tpm啟動(dòng)密鑰，tpm啟動(dòng)密鑰或pin必須禁止如果啟用了 拒絕寫(xiě)入訪問(wèn)可移動(dòng)驅(qū)動(dòng)器不受bitlocker策略設(shè)置。允許增強(qiáng)的pin進(jìn)行啟動(dòng)使用包含一個(gè)pin解除

7、鎖定方法時(shí)，此策略設(shè)置將允許使用増強(qiáng)的pin0驅(qū)動(dòng)器類型操作系統(tǒng)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您配置是否使用bitlocker使用增強(qiáng)的啟動(dòng)pin。増強(qiáng)的啟動(dòng)pin允許使用的字符包括大寫(xiě)和小寫(xiě)字母、符號(hào)、數(shù)字和空格。當(dāng)您打開(kāi)bitlocker 時(shí)，將應(yīng)用此策略設(shè)置。如果您啟用此策略設(shè)置，設(shè)置將為所有新bitlocker啟動(dòng)pin增強(qiáng)的針腳。受使用標(biāo)準(zhǔn)啟動(dòng)pin不受影響的現(xiàn)有騾動(dòng)器。重要并非所有計(jì)算機(jī)都支持預(yù)啟動(dòng)環(huán)境中的增強(qiáng)的pin碼字符。強(qiáng)烈建議用戶執(zhí)行系統(tǒng)檢查

8、，以張 bitlocker安裝過(guò)程中。如果您禁用或不配冠際略設(shè)瓦將不使用增疵tpin沖突無(wú)配置最小pin長(zhǎng)度此策略設(shè)置用于設(shè)置最小pin長(zhǎng)度時(shí)使用的包含一個(gè)pin解除鎖定方法。驅(qū)動(dòng)器類型操作系統(tǒng)蘇動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您配置tpm啟動(dòng)pin的最小長(zhǎng)度。當(dāng)您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。啟動(dòng)pin必須4位數(shù)字的最小長(zhǎng)度，并且可以具有最大長(zhǎng)度為20位數(shù)。如果您啟用此策略設(shè)宣，您可以要求設(shè)置啟動(dòng)pin時(shí)使用最小位數(shù)。如果您禁用或不配置此策略設(shè)置，用

9、八可以配置啟動(dòng)4到20位數(shù)之間任意長(zhǎng)度的旋轉(zhuǎn)中心點(diǎn)。沖突需要額外的身份驗(yàn)證(windows server 2008和 windows vista)啟動(dòng)時(shí)此策略設(shè)置用控制哪些解鎖選項(xiàng)對(duì)運(yùn)行windows server 2008或windows vista的計(jì)算機(jī) 可用。驅(qū)動(dòng)器類型操作系統(tǒng)驅(qū)動(dòng)器(windows server 2008 和 windows vista)策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器 encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您控制是否在運(yùn)彳亍windows vista或windows server

10、 2008的計(jì)算機(jī)上的 bitlocker驅(qū)動(dòng)器加密安裝向?qū)⒛軌蛟O(shè)宜每次計(jì)算機(jī)啟動(dòng)的時(shí)所需的其他身份驗(yàn)證方法。半您 打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。在兼容的tpm的計(jì)算機(jī)，這兩種身份驗(yàn)證方法可用來(lái)在啟動(dòng)時(shí)提供的加密數(shù)據(jù)的附加的保 護(hù)。當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)，它可以要求用戶插入包含啟動(dòng)密鑰的usb閃存驅(qū)動(dòng)器。它還可以要求 用戶為20位啟動(dòng)pin輸入4位數(shù)字。不兼容的tpm的計(jì)算機(jī)上需要包含啟動(dòng)密鑰的usb閃存驅(qū)動(dòng)器。tpm,而不只被受此usb 閃存驅(qū)動(dòng)器上的密鑰材料bitlocker加密數(shù)據(jù)。如果您啟用此策略設(shè)置，則向?qū)@示以允許用戶配置bitlocker的高級(jí)的啟動(dòng)選項(xiàng)貝。使用 和不t

11、pm,您可以進(jìn)一步配置計(jì)算機(jī)的設(shè)置選項(xiàng)。如果您禁用或不配置此策略設(shè)置，bitlocker安裝向?qū)@示允許用戶使用tpm的計(jì)算機(jī)上啟 用bitlocker的基木步驟。在此基本向?qū)е?，可以配置任何其他的啟?dòng)密鑰或啟動(dòng)pin。沖突如果您選擇需耍額外的身份驗(yàn)證方法，英他人不能允許使用的身份驗(yàn)證方法。固定的數(shù)據(jù)驅(qū)動(dòng)器上配置使用的智能卡此策略設(shè)置川于要求、允許或拒絕使川科能卡與固定的數(shù)據(jù)驅(qū)動(dòng)器。驅(qū)動(dòng)器類型固定的數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的 encryptionfixed 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您指定是否可以使用智能卡進(jìn)行身

12、份驗(yàn)證的用戶訪問(wèn)計(jì)算機(jī)上的受bitlocker 保護(hù)固定的數(shù)據(jù)驅(qū)動(dòng)器。如果您啟用此策略設(shè)置，智能卡可用于進(jìn)行身份驗(yàn)證的用戶訪問(wèn)該驅(qū)動(dòng)器。您可以通過(guò)選擇要 求使用固定的數(shù)據(jù)驅(qū)動(dòng)器上的智能卡復(fù)選框來(lái)要求智能卡身份驗(yàn)證。請(qǐng)注意當(dāng)打開(kāi)bitlockcr,而不是解除鎖定的驅(qū)動(dòng)器時(shí)，這些設(shè)置會(huì)強(qiáng)制執(zhí)行。bitlocker將允許對(duì) 程序。如果禁川此策略設(shè)置，不允許用戶使用肆能卡進(jìn)行身份驗(yàn)證他們對(duì)bitlocker保護(hù)固定的數(shù)據(jù) 驅(qū)動(dòng)器的訪問(wèn)。如果不配置此策略設(shè)置，智能卡可用于驗(yàn)證用戶對(duì)bitlocker保護(hù)的驅(qū)動(dòng)器的訪問(wèn)。沖突若要使用狎能卡使用bitlocker,可能還需要修改計(jì)算機(jī)配置管理模板templa

13、tesbitlocker驅(qū)動(dòng)器encryptionvalidate智能卡證書(shū)使用規(guī)則法規(guī)遵從性策略設(shè) 置以匹配您的智能卡證書(shū)的對(duì)象標(biāo)識(shí)符屮的対象的標(biāo)識(shí)符設(shè)置。固定的數(shù)據(jù)驅(qū)動(dòng)器上配置使用的密碼此策略設(shè)宜川于要求、允許或拒絕使川固定的數(shù)據(jù)驅(qū)動(dòng)器使川的密碼。驅(qū)動(dòng)器類型尚定的數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的 encryptionfixed 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置用于指是是否需耍密碼來(lái)解鎖受bitlocker保護(hù)固立的數(shù)據(jù)驅(qū)動(dòng)器。如果您選擇允 許使用的密碼，您可以要求使用密碼，強(qiáng)制執(zhí)行密碼復(fù)雜性要求和配置的密碼的最小長(zhǎng)度。為 有效

14、的復(fù)雜性要求設(shè)置，必須還啟用組策略設(shè)置的計(jì)算機(jī)配置windows設(shè)置安全設(shè)置 帳戶策略密碼必須符合復(fù)雜性要求。請(qǐng)注意當(dāng)打開(kāi)bitlocker,而不是解除鎖定的驅(qū)動(dòng)器時(shí)，這些設(shè)置會(huì)強(qiáng)制執(zhí)行。bitlocker將允許對(duì): 程序。如果您啟用此策略設(shè)置，用戶町以配置符合您定義的要求的密碼。如果需要使用密碼，請(qǐng)選擇 需要密碼對(duì)固定的數(shù)據(jù)驅(qū)動(dòng)器。若要強(qiáng)制對(duì)密碼復(fù)雜性要求，請(qǐng)選中要求復(fù)雜性。如果設(shè)置為要求的復(fù)雜性，域控制器的連接則需要啟用bitlocker,以驗(yàn)證密碼的復(fù)雜性。設(shè)置 為允許復(fù)雜性時(shí)，域控制器的連接將嘗試驗(yàn)證符合復(fù)雜性策略設(shè)置的規(guī)則。但是，如果發(fā)現(xiàn)沒(méi)有域控制器，密碼將仍然被接受而無(wú)需考慮的實(shí)際

15、密碼復(fù)雜性，驅(qū)動(dòng)器將被加密為保護(hù)器使用該 密碼。如果設(shè)置為不允許的復(fù)雜性，沒(méi)仃密碼復(fù)雜性驗(yàn)證將不會(huì)完成。密碼必須至少為8個(gè)字符。若耍配置一個(gè)更人的最小長(zhǎng)度的密碼，請(qǐng)?jiān)谧钚∶艽a長(zhǎng)度框屮輸入 所需的字符數(shù)。如果禁用此策略設(shè)置，用戶不允許使用的密碼。如果不配置此策略設(shè)置，將使用默認(rèn)設(shè)置，這不包括密碼復(fù)雜性要求，并要求僅為8個(gè)字符支 持密碼。重要如果啟用了 fips兼容，則不能使用密碼。系統(tǒng)加密：使用fips兼容的算法來(lái)加密、哈希. 的算法來(lái)加密、哈希和簽名在計(jì)算機(jī)配置windows設(shè)置安全設(shè)置本地策略安全選 法規(guī)遵從性。沖突若要使用密碼復(fù)雜性，還必須啟用計(jì)算機(jī)配置windows設(shè)置安全設(shè)置帳戶策略密

16、碼 必須符合復(fù)雜性要求策略設(shè)置。每臺(tái)計(jì)算機(jī)的基礎(chǔ)上配置此策略設(shè)置。這意味著它將應(yīng)用于木地用戶帳戶和域用戶帳戶。因?yàn)?用來(lái)驗(yàn)證密碼復(fù)雜性密碼篩選器位于域的域控制器上，木地用戶帳戶將不能訪問(wèn)密碼篩選器，因 為它們不需耍身份驗(yàn)證的域訪問(wèn)。啟用此策略設(shè)置吋，如果您使用本地用八帳八身份登錄，并 h您嘗試對(duì)驅(qū)動(dòng)器進(jìn)行加密或現(xiàn)肓的bitlocker保護(hù)的驅(qū)動(dòng)器上更改密碼，將顯示”訪問(wèn)被拒絕“ 錯(cuò)誤消息。在此情況下，密碼密鑰保護(hù)程序不能添加到報(bào)動(dòng)器。啟川此策略設(shè)置，則需要將密碼密鑰保護(hù)程序添加到受bitlocker保護(hù)張動(dòng)器z前建立連接到 域。實(shí)現(xiàn)遠(yuǎn)程工作及具冇長(zhǎng)時(shí)間無(wú)法連接到域的用戶應(yīng)當(dāng)了解的這一要求，以便

17、他們可以安排 的時(shí)間時(shí)它們將連接到域打開(kāi)bitlocker或受bitlocker保護(hù)的數(shù)據(jù)驅(qū)動(dòng)器上更改密碼?？梢苿?dòng)數(shù)據(jù)驅(qū)動(dòng)器上配置使用的智能卡此策略設(shè)置用于要求、允許或拒絕使用可移動(dòng)數(shù)據(jù)駁動(dòng)器使用的智能卡。驅(qū)動(dòng)器類型可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的 encryptionremovable 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您指定是否可以使川科能卡進(jìn)行身份驗(yàn)證的川戶訪問(wèn)計(jì)算機(jī)上的受bitlocker 保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器。如果您啟用此策略設(shè)置，智能卡可用于進(jìn)行身份驗(yàn)證的用戶訪問(wèn)該驅(qū)動(dòng)器。您可以通過(guò)選擇需 要使用的可移動(dòng)數(shù)據(jù)驅(qū)

18、動(dòng)器上的智能卡復(fù)選框來(lái)要求智能卡身份驗(yàn)證。請(qǐng)注意當(dāng)打開(kāi)bitlocker,而不是解除鎖定的驅(qū)動(dòng)器時(shí)，這些設(shè)置會(huì)強(qiáng)制執(zhí)行。bitlocker將允許對(duì)1 程序。如果禁用此朵略設(shè)範(fàn)不允許甬7鹼麗能e進(jìn)行可份驗(yàn)圧他們x寸bitlocker保護(hù)$移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器的訪問(wèn)。如果不配置此策略設(shè)置，智能卡可供進(jìn)行身份驗(yàn)證的川戶訪問(wèn)受bitlocker保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器。沖突若要使用智能卡使用bitlocker,可能述需要修改計(jì)算機(jī)配置管理模板templatesbitlocker驅(qū)動(dòng)器encryptionwalidate智能卡證書(shū)使用規(guī)則法規(guī)遵從性策略設(shè)置以匹配您的智能卡證書(shū)的對(duì)象標(biāo)識(shí)符中的對(duì)象的標(biāo)識(shí)符設(shè)置?？梢?/p>

19、動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上配置使用的密碼此策略設(shè)置用于要求、允許或拒絕使用可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器使用的密碼。驅(qū)動(dòng)器類型可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的encryptionremovable 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置用于指定是否需要密碼來(lái)解鎖受bitlocker保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器。如果您選擇允 許使用密碼，您可以要求使用、強(qiáng)制實(shí)施的復(fù)雜性要求，以及配置最小長(zhǎng)度的密碼。為有效， 組策略設(shè)置位丁計(jì)算機(jī)配置windows設(shè)置安全設(shè)置帳戶策略屮的密碼必須符合復(fù)雜 性要求還必須啟用的復(fù)雜性耍求設(shè)置。請(qǐng)注意當(dāng)打開(kāi)bitlocker,而不是解除鎖定

20、的驅(qū)動(dòng)器時(shí)，這些設(shè)置會(huì)強(qiáng)制執(zhí)行。bitlocker將允許對(duì), 程序。如果您啟用此策略設(shè)置，用戶可以配置符合您定義的要求的密碼。若要要求使用密碼，請(qǐng)選屮 需要密碼的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器。若要強(qiáng)制對(duì)密碼復(fù)雜性要求，請(qǐng)選中要求復(fù)雜性。如果設(shè)置為要求的復(fù)雜性，域控制器的連接則需要啟用bitlocker,以驗(yàn)證密碼的復(fù)雜性。設(shè)置 為允許復(fù)雜性時(shí)，域控制器的連接將嘗試驗(yàn)證符合復(fù)雜性策略設(shè)置的規(guī)則。但是，如果發(fā)現(xiàn)沒(méi) 有域控制器，密碼將仍然被接受而無(wú)需考慮的實(shí)際密碼復(fù)雜性，驅(qū)動(dòng)器將被加密為保護(hù)器使用該 密碼。如果設(shè)置為不允許的復(fù)雜性，沒(méi)仃密碼復(fù)雜性驗(yàn)證將不會(huì)完成。密碼必須至少為8個(gè)字符。若要配置一個(gè)更大的最小長(zhǎng)度

21、的密碼，請(qǐng)?jiān)谧钚∶艽a長(zhǎng)度榊中輸入 所需的字符數(shù)。如果禁用此策略設(shè)置，用戶不允許使用的密碼。如果不配置此策略設(shè)置，將使用默認(rèn)設(shè)置，這不包括密碼復(fù)雜性耍求，并耍求僅為8個(gè)字符支 持密碼。請(qǐng)注意使用fips兼容的算法來(lái)加密、哈希如果啟用了 fips兼容，則不能使用密碼。系統(tǒng)加密:的算法來(lái)加密、哈希和簽名在計(jì)算機(jī)配置windows設(shè)置安全設(shè)本地策略法規(guī)遵從性。沖突若要使用密碼復(fù)雜性，還必須啟用了密碼必須符合復(fù)雜性要求策略設(shè)置位于計(jì)算機(jī)配置 windows設(shè)置安全設(shè)置帳戶策略:，驗(yàn)證智能卡證書(shū)使用規(guī)則一致性此策略設(shè)置用于確定要使用bitlocker使用何種證書(shū)。驅(qū)動(dòng)器類型固定和可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)

22、算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置允許您將對(duì)象標(biāo)識(shí)符從智能卡證書(shū)到受bitlocker保護(hù)的駅動(dòng)器相關(guān)聯(lián)。當(dāng)您打開(kāi) bitlocker時(shí)，將應(yīng)用此策略設(shè)置。增強(qiáng)型密鑰用法(eku)的證書(shū)中指定的對(duì)象標(biāo)識(shí)符。bitlocker w確定哪些證書(shū)可用于匹配的 證書(shū)屮的對(duì)彖標(biāo)識(shí)符，由該策略設(shè)置定義的對(duì)彖標(biāo)識(shí)符與使用bitlocker保護(hù)的驅(qū)動(dòng)器的用戶 證書(shū)進(jìn)行身份驗(yàn)證。默認(rèn)的對(duì)象標(biāo)識(shí)符是136.1.4.l3：l1.67.1.：l。請(qǐng)注意bitlocker不需要證書(shū)具有eku屬性。但是，如果其中一個(gè)配置的證書(shū)，它必須設(shè)置為匹配bi 標(biāo)識(shí)符中

23、。如果您啟丿ij此策略設(shè)置，請(qǐng)?jiān)趯?duì)象標(biāo)識(shí)符設(shè)置中指定的對(duì)象標(biāo)識(shí)符必須匹配的時(shí)能k證i沖的對(duì) 象標(biāo)識(shí)符。如果您禁用或不配置此策略設(shè)置，則使用默認(rèn)的對(duì)象標(biāo)識(shí)符。沖突無(wú)訪問(wèn)和使用bitlocker驅(qū)動(dòng)器以下策略設(shè)置用于控制用戶如何訪問(wèn)驅(qū)動(dòng)器以及他們?nèi)绾问褂胋itlocker他們的計(jì)算機(jī)上。 拒絕不受bitlocker的固沱驅(qū)動(dòng)器的寫(xiě)入訪問(wèn)權(quán)限 拒絕不受bitlocker的可移動(dòng)驅(qū)動(dòng)器的寫(xiě)入訪問(wèn)權(quán)限 控制使用 bitlocker 的町移動(dòng)騎動(dòng)器上拒絕不受bitlocker的固定驅(qū)動(dòng)器的寫(xiě)入訪問(wèn)權(quán)限此策略設(shè)置用于需耍加密的固定驅(qū)動(dòng)器才能授予寫(xiě)訪問(wèn)權(quán)限。驅(qū)動(dòng)器類型固定的數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板

24、windows組件 componentsbitlocker驅(qū)動(dòng)器上的 encryptionfixed 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明該策略設(shè)置確肚是否需耍為一臺(tái)計(jì)算機(jī)上可寫(xiě)入的周泄的數(shù)據(jù)驅(qū)動(dòng)器bitlocker保護(hù)。當(dāng)您打 開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。如果您啟用此策略設(shè)迸，將以只讀方式裝載不受bitlocker保護(hù)的所冇固定的數(shù)據(jù)驅(qū)動(dòng)器。如 果驅(qū)動(dòng)器受bitlocker,它將裝載使用讀/寫(xiě)訪問(wèn)權(quán)限。如果您禁用或不配置此策略設(shè)置，將會(huì)在計(jì)算機(jī)上的所冇固定的數(shù)據(jù)驅(qū)動(dòng)器裝入使用讀/寫(xiě)訪 問(wèn)權(quán)限。沖突啟用此策略設(shè)置時(shí)，用戶將收到”訪問(wèn)被拒絕”錯(cuò)誤消息，當(dāng)他們?cè)噲D將保存到未加密的固定的數(shù) 據(jù)驅(qū)動(dòng)器。如杲啟

25、用此策略設(shè)置片，將在計(jì)算機(jī)1二運(yùn)行bdehdcfg，您可能會(huì)遇到以下問(wèn)題： 如果您嘗試縮小該驅(qū)動(dòng)器并創(chuàng)建系統(tǒng)驅(qū)動(dòng)器，驅(qū)動(dòng)器大小將會(huì)成功地減小并創(chuàng)建原始分 區(qū)。但是，原始分區(qū)將被格式化。將顯示以下借誤消息：“的新的活動(dòng)驅(qū)動(dòng)器無(wú)法格式 化?？赡苄枰謩?dòng)將您的驅(qū)動(dòng)器準(zhǔn)備bitlockero如果您試圖使用未分配的空問(wèn)創(chuàng)建系統(tǒng)驅(qū)動(dòng)器，將創(chuàng)建原始分區(qū)。但是，原始分區(qū)將被 格式化。將顯示以下錯(cuò)謀消息：”的新的活動(dòng)驅(qū)動(dòng)器無(wú)法格式化?？赡苄枰謩?dòng)將您的 驅(qū)動(dòng)器準(zhǔn)備bitlocker。 如果您試圖將現(xiàn)有驅(qū)動(dòng)器合并到系統(tǒng)驅(qū)動(dòng)器，該丁具將無(wú)法復(fù)制到目標(biāo)驅(qū)動(dòng)器創(chuàng)建系統(tǒng) 驅(qū)動(dòng)器上的所需的引導(dǎo)程序文件。將顯示以下錯(cuò)誤消息：

26、“bitlocker安裝程序無(wú)法復(fù)制 啟動(dòng)文件?？赡苄杷Ｊ謩?dòng)將您的驅(qū)動(dòng)器準(zhǔn)備bitlocker.如果實(shí)施該策略設(shè)置時(shí)，因?yàn)轵?qū)動(dòng)器受到保護(hù)一個(gè)硬驅(qū)不能被重新分區(qū)。如果在您的紐織從以 前版木的windows屮升級(jí)計(jì)算機(jī)，這些計(jì)算機(jī)配置帶仃單個(gè)分區(qū)，則應(yīng)創(chuàng)建所需的bitlocker 系統(tǒng)分區(qū)z前應(yīng)用于計(jì)算機(jī)的策略設(shè)置。拒絕不受bitlocker的可移動(dòng)驅(qū)動(dòng)器的寫(xiě)入訪問(wèn)權(quán)限需耍加密的可移動(dòng)驅(qū)動(dòng)器才能授予寫(xiě)訪問(wèn)權(quán)限并控制是否可以具有寫(xiě)訪問(wèn)權(quán)限打開(kāi)bitlocker 保護(hù)的可移動(dòng)驅(qū)動(dòng)器配置另一組織屮的使用此策略設(shè)置。驅(qū)動(dòng)器類型町移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 component

27、sbitlocker驅(qū)動(dòng)器上的encryptionremovable 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置配置是否bitlocker保護(hù)計(jì)算機(jī)都必須能夠?qū)?shù)據(jù)寫(xiě)入可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器。 如果您啟用此策略設(shè)置，不受bitlocker保護(hù)的所有可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器將以只讀方式裝載。如 杲驅(qū)動(dòng)器受bitlocker,它將裝載使用讀/寫(xiě)訪問(wèn)權(quán)限。如果選擇拒絕寫(xiě)入訪問(wèn)另一組織中配置設(shè)備選項(xiàng)，則僅使川標(biāo)識(shí)字段醫(yī)配的計(jì)算機(jī)的標(biāo)識(shí)字段 的驅(qū)動(dòng)器將授予寫(xiě)訪問(wèn)權(quán)限°當(dāng)訪問(wèn)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器時(shí)，它將檢查對(duì)有效的身份證字段并允 許標(biāo)識(shí)字段。通過(guò)提供為您的組織的唯一標(biāo)識(shí)符策略設(shè)置定義這些字段。如果您禁用或不配置此策略設(shè)置，將會(huì)在計(jì)

28、算機(jī)上的所有可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器裝入使用讀/寫(xiě)訪 問(wèn)權(quán)限。請(qǐng)注意在用戶配置管理模板系統(tǒng)可移動(dòng)存儲(chǔ)訪問(wèn)下的策略設(shè)置可以重寫(xiě)此策略設(shè)置。如果可移; 此策略設(shè)置將被忽略。沖突使用如杲啟用可移動(dòng)驅(qū)動(dòng)器不受bitlocker拒絕寫(xiě)入訪問(wèn)策略設(shè)置，則必須的bitlocker不兼 容tpm, tpm +啟動(dòng)密鑰，或tpm + pin +啟動(dòng)的情況下允許密鑰。如果啟用了不受bitlocker的可移動(dòng)驅(qū)動(dòng)器拒絕寫(xiě)入訪問(wèn)策略設(shè)置，必須不允許使用的恢復(fù)密 鑰。您必須啟用提供您的組織的唯一標(biāo)識(shí)符策略設(shè)置如果您耍拒絕在另一個(gè)紐織中配置的驅(qū)動(dòng)器的 寫(xiě)入訪問(wèn)權(quán)限。控制使用bitlocker的可移動(dòng)驅(qū)動(dòng)器上此策略設(shè)置用于阻止標(biāo)準(zhǔn)

29、用戶帳戶能夠可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上打開(kāi)bitlocker打開(kāi)或關(guān)閉。驅(qū)動(dòng)器類型可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的encryptionremovable 數(shù)據(jù)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置控制使用bitlocker的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上。當(dāng)您打開(kāi)bitlocker時(shí)，將應(yīng)用此策 略設(shè)置。啟用此策略設(shè)置時(shí)，您可以選擇控制如何，用戶可以配置bitlocker的屬性設(shè)置。若要允許用 八在口j移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上運(yùn)行bitlocker安裝向?qū)нx擇允許用戶應(yīng)用bitlocker保護(hù)可移動(dòng)數(shù) 據(jù)驅(qū)動(dòng)器上。耍允許用戶從驅(qū)動(dòng)器中取出bitlocker驅(qū)動(dòng)器

30、加密或執(zhí)行維護(hù)時(shí)暫停加密選擇允 許用戶暫停和解密bitlocker可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器上。如果不配置此策略設(shè)置，用戶可以使用bitlocker可移動(dòng)磁盤(pán)驅(qū)動(dòng)器上。如果禁用此策略設(shè)置，用戶不能在可移動(dòng)磁盤(pán)驅(qū)動(dòng)器上使用bitlockero沖突無(wú)加密強(qiáng)度下面的策略設(shè)置確泄使用bitlocker使用的加密方法。 選擇驅(qū)動(dòng)器加密方法和加密強(qiáng)度選擇驅(qū)動(dòng)器加密方法和加密強(qiáng)度此策略設(shè)置用于控制加密方法和密碼長(zhǎng)度。驅(qū)動(dòng)器類型所有驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置允許您配置該算法和密碼使用bitlocker驅(qū)動(dòng)器加密強(qiáng)度。當(dāng)您打開(kāi)bitl

31、ocker時(shí), 將應(yīng)用此策略設(shè)置。如果驅(qū)動(dòng)器已被加密或加密過(guò)程中，更改加密方法沒(méi)有任何影響。如果您啟用此策略設(shè)置，您將能夠選擇一個(gè)加密算法和加密驅(qū)動(dòng)器使用bitlocker密鑰的密鑰長(zhǎng) 度。如果您禁用或不配置此策略設(shè)置，bitlocker將使用默認(rèn)的加密方法的aes 128位擴(kuò)散器或安 裝腳本所指定的加密方法。沖突無(wú)驅(qū)動(dòng)器故障恢復(fù)以下策略設(shè)置泄義可用于恢復(fù)bitlocker保護(hù)的驅(qū)動(dòng)器的訪問(wèn)，如果身份驗(yàn)證方法失敗或無(wú)法 使用的恢復(fù)方法。 選擇如何受bitlocker保護(hù)操作系統(tǒng)可以恢復(fù)驅(qū)動(dòng)器 選擇用戶女口何恢復(fù)受 bitlocker 保護(hù)的驅(qū)動(dòng)器(windows server 2008 和 w

32、indows vista) 將 bitlocker 恢復(fù)信息存儲(chǔ)在 active directory 域服務(wù)(windows server 2008 和 windows vista ) 選擇恢復(fù)密碼的默認(rèn)文件夾 選擇如何可以恢復(fù)受bitlocker保護(hù)固定的驅(qū)動(dòng)器 選擇如何受bitlocker保護(hù)的可移動(dòng)驅(qū)動(dòng)器町以恢復(fù)選擇如何受bitlocker保護(hù)操作系統(tǒng)可以恢復(fù)驅(qū)動(dòng)器此策略設(shè)置用于配置的操作系統(tǒng)驅(qū)動(dòng)器的恢復(fù)方法。驅(qū)動(dòng)器類型操作系統(tǒng)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允

33、許您控制如何受bitlocker保護(hù)操作系統(tǒng)所需的啟動(dòng)密鑰信息沒(méi)有恢復(fù)驅(qū)動(dòng) 器。當(dāng)您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。允許基于證書(shū)的數(shù)據(jù)恢復(fù)代理程序允許基于證書(shū)的數(shù)據(jù)恢復(fù)代理程序復(fù)選框用丁指泄是否可 以使用數(shù)據(jù)恢復(fù)代理使用bitlocker保護(hù)操作系統(tǒng)驅(qū)動(dòng)器。可以使用數(shù)據(jù)恢復(fù)代理之前，必須 添加從gpmc或木地組策略編輯器中的公鑰策略項(xiàng)。在配置用戶存儲(chǔ)的bitlocker恢復(fù)信息，選擇是否允許、必需的也不允許生成了 256位恢復(fù) 密鑰或48位的恢復(fù)密碼的用戶。選擇以防止用戶指定恢復(fù)選項(xiàng)，它們?cè)隍?qū)動(dòng)器上啟用bitlocker時(shí)忽略從bitlocker安裝向?qū)?中的恢復(fù)選項(xiàng)。這意味著您將

34、不能指泄啟用bitlocker;時(shí)耍使用的恢復(fù)選項(xiàng)相反，bitlocker驅(qū) 動(dòng)器的恢復(fù)選項(xiàng)取決于該策略設(shè)置。在active directory域服務(wù)保存bitlocker恢復(fù)信息，請(qǐng)選擇耍將存儲(chǔ)在active directory域 服務(wù)(ad ds),為操作系統(tǒng)驅(qū)動(dòng)器的bitlocker恢復(fù)信息。如果您選擇備份恢復(fù)密碼和密鑰包， 這兩個(gè)bitlocker恢復(fù)密碼和密鑰包存儲(chǔ)在ad ds屮。存儲(chǔ)密鑰包支持已被物理?yè)p壞的驅(qū)動(dòng) 器屮恢復(fù)數(shù)擁。如果您選擇僅備份恢復(fù)密碼，僅恢復(fù)密碼存儲(chǔ)在ad ds中。如果您要防止用戶啟用bitlocker,除非計(jì)算機(jī)連接到域，并且與ad ds bitlocker恢復(fù)信

35、息的 備份會(huì)成功，請(qǐng)選擇請(qǐng)不要啟用bitlocker之前恢復(fù)信息存儲(chǔ)在adds操作系統(tǒng)驅(qū)動(dòng)器復(fù)選 框。請(qǐng)注意如果選小不啟用bitlocker之前恢復(fù)信息存儲(chǔ)在ad ds操作系統(tǒng)驅(qū)動(dòng)器復(fù)選框，則會(huì)自動(dòng)生"如果您啟用此策略設(shè)置，您可以控制可供用戶從受bitlocker保護(hù)操作系統(tǒng)驅(qū)動(dòng)器屮恢復(fù)數(shù)據(jù) 的方法。如果禁用或未配置此策略設(shè)置，bitlocker恢復(fù)支持默認(rèn)恢復(fù)選項(xiàng)。默認(rèn)悄況下允許數(shù)據(jù)恢復(fù)代 理、包括恢復(fù)密碼和恢復(fù)密鑰，用戶可以指定恢復(fù)選項(xiàng)和恢復(fù)信息不備份到adds。沖突如果啟用了不受bitlocker的可移動(dòng)驅(qū)動(dòng)器拒絕寫(xiě)入訪問(wèn)策略設(shè)置，必須不允許使用的恢復(fù)密 鑰。在使川數(shù)據(jù)恢復(fù)代理

36、程序時(shí)，必須啟川提供了您的組織的唯一標(biāo)識(shí)符策略設(shè)置。選擇用戶如何恢復(fù)受bitlocker保護(hù)的驅(qū)動(dòng)器(windows server2008 和 windows vista)此策略設(shè)逬川于配置運(yùn)行windows server 2008或windows vista的計(jì)算機(jī)上的恢復(fù)方法驅(qū) 動(dòng)器。驅(qū)動(dòng)器類型運(yùn)行windows server 2008和windows vista的計(jì)算機(jī)上的操作系統(tǒng)蘇動(dòng)器和固定的數(shù)據(jù)駁 動(dòng)骼策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置允許您控制是否bitlocker驅(qū)動(dòng)器加密安裝向?qū)ь燥@示和指泄bitloc

37、ker恢復(fù)選 項(xiàng)。此策略僅適用于運(yùn)行 windows server 2008或 windows vista的計(jì)算機(jī)。當(dāng)您打開(kāi) bitlocker時(shí)，將應(yīng)用此策略設(shè)置。兩個(gè)恢復(fù)選項(xiàng)可以用于解鎖bitlocker加密數(shù)據(jù)，如果不存在所需的啟動(dòng)密鑰信息。在川戶可 以鍵入48位數(shù)字的恢復(fù)密碼或插入usb閃存蘇動(dòng)器包含256位的恢復(fù)密鑰。如果您啟用此策略設(shè)置，您可以配置安裝向?qū)?lái)恢復(fù)bitlocker加密的數(shù)據(jù)顯示給用八的選 項(xiàng)。將保存到usb閃存驅(qū)動(dòng)器將將48位的恢復(fù)密碼存儲(chǔ)為文木文件，并作為隱藏文件的256 位的恢復(fù)密鑰。保存到一個(gè)文件夾將存儲(chǔ)為文本文件的48位的恢復(fù)密碼。打印到默認(rèn)打印機(jī) 將48位

38、的恢復(fù)密碼。例如，不允許的48位的恢復(fù)密碼將禁止用戶能夠打印或保存到文件夾 的恢復(fù)信息。如果您禁用或不配置此策略設(shè)置,bitlocker安裝向?qū)⑾蛴脩麸@示恢復(fù)選項(xiàng)的存儲(chǔ)方式。重要如果bitlocker安裝過(guò)程中執(zhí)行tpm初始化，則會(huì)保存tpm所有者信息，或?qū)⑵浯蛴〉腷it 48位的恢復(fù)密碼在fips兼容模式屮不可用。此策略設(shè)置提供了管理方法來(lái)恢復(fù)加密的bitlocker以防止數(shù)據(jù)丟失，由于缺少關(guān)鍵信息的數(shù)? 不允許選項(xiàng)，則必須啟用的active directory域服務(wù) (windows server 2008和windows v: 信息策略，以防止策略錯(cuò)誤設(shè)置。沖突無(wú)將bitlocker恢

39、復(fù)信息存儲(chǔ)在active directory域服務(wù)(windowsserver 2008 和 windows vista)此策略設(shè)直用于配置的bitlocker恢復(fù)信息存儲(chǔ)在ad ds中。驅(qū)動(dòng)器類型運(yùn)行windows server 2008和windows vista的計(jì)算機(jī)上的操作系統(tǒng)驅(qū)動(dòng)器和固龍的數(shù)據(jù)驅(qū) 動(dòng)器。策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置允許您管理bitlocker駛動(dòng)器加密恢復(fù)信息的ad ds備份。這提供了管理方法來(lái) 恢復(fù)加密的bitlocker以防止數(shù)據(jù)丟失，由于缺少關(guān)鍵信息的數(shù)據(jù)。此策略僅適用于運(yùn)行 wi

40、ndows server 2008 或 windows vista 的計(jì)算機(jī)。如果您啟用此策略設(shè)置，bitlocker恢復(fù)信息將口動(dòng)、無(wú)提示地備份到ad ds bitlocker開(kāi)啟計(jì)算機(jī)時(shí)。當(dāng)您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。bitlocker恢復(fù)信息包括恢復(fù)密碼和一些唯一標(biāo)識(shí)符的數(shù)據(jù)。您述町以包括包含bitlocker保護(hù) 驅(qū)動(dòng)器的加密密鑰的包。此密鑰包由一個(gè)或多個(gè)恢復(fù)密碼保護(hù)，并有助于執(zhí)行專門(mén)的恢復(fù)時(shí)磁 盤(pán)已損壞或已損壞。如果您選擇需要bitlocker備份到adds, bitlocker無(wú)法開(kāi)啟除非計(jì)算機(jī)連接到域，并且與 ad ds bitlocker恢復(fù)信息的備份會(huì)成功。

41、此選項(xiàng)默認(rèn)悄況下，有助于確保bitlocke恢復(fù)是可 能的。如果未選中此選項(xiàng)后，重試ad ds備份，但網(wǎng)絡(luò)或其他備份故障不會(huì)阻止bitlocker安 裝。不會(huì)自動(dòng)重試備份和恢復(fù)密碼可能不存儲(chǔ)在ad ds中bitlocker安裝過(guò)程中。如果您禁用或不配逬此策略設(shè)宣，bitlocker恢復(fù)信息將不會(huì)備份到adds。tpm初始化可能需要bitlocker安裝過(guò)程中。啟用計(jì)算機(jī)配置管理模板系統(tǒng)受信任的平 臺(tái)模塊服務(wù)以確保也備份tpm信息屮的打開(kāi)tpm備份到active directory域服務(wù)策略設(shè) 置。如果您使用的service pack 1與運(yùn)行windows server 2003的域控制器,必

42、須首先設(shè)置適當(dāng)?shù)?架構(gòu)擴(kuò)展和ad ds備份可以成功完成z前訪問(wèn)控制設(shè)置的域。有關(guān)詳細(xì)信息，請(qǐng)參閱備份到 ad ds bitlocker 和 tpm 恢復(fù)信息.沖突無(wú)選擇恢復(fù)密碼的默認(rèn)文件夾此策略設(shè)置用于配置恢復(fù)密碼的默認(rèn)文件夾。驅(qū)動(dòng)器類型所有驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置允許您指定當(dāng)bitlocker驅(qū)動(dòng)器加密安裝向?qū)⑻崾居脩糨斎胨Ｔ谄渲斜４婊謴?fù)密 碼的文件夾的位置時(shí)，顯示的默認(rèn)路徑。當(dāng)您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。如果您啟用此策略設(shè)置，您可以指定當(dāng)用戶選擇的選項(xiàng)將恢復(fù)密碼保存到文件夾時(shí)將川作

43、默認(rèn)文 件夾位置的路徑。您可以指定完全限定的路徑或路徑屮包括口標(biāo)計(jì)算機(jī)的環(huán)境變量。如果路徑 無(wú)效，bitlocker安裝向?qū)@示計(jì)算機(jī)的最上層的文件夾視圖。如果您禁用或不配置此策略設(shè)置，bitlocker安裝向?qū)@示計(jì)算機(jī)的垠上層的文件夾視圖，當(dāng) 用戶選擇的選項(xiàng)將恢復(fù)密碼保存到文件夾。請(qǐng)注意此策略設(shè)置不會(huì)防止用戶將恢復(fù)密碼保存在另一個(gè)文件夾中。沖突無(wú)選擇如何可以恢復(fù)受bitlocker保護(hù)固定的驅(qū)動(dòng)器此策略設(shè)置用于配置的固定的數(shù)據(jù)驅(qū)動(dòng)器的恢復(fù)方法。驅(qū)動(dòng)器類型固定的數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的encryptionfi

44、xed 數(shù)據(jù)驅(qū)動(dòng)器此策略設(shè)置允許您控制如何受bitlocker保護(hù)固定的數(shù)據(jù)驅(qū)動(dòng)器將恢復(fù)所需的憑據(jù)不存在。當(dāng) 您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。允許數(shù)據(jù)恢復(fù)代理程序允許數(shù)據(jù)恢復(fù)代理程序復(fù)選框用尸指定是否可以使用bitlocker保護(hù) 固定的數(shù)據(jù)驅(qū)動(dòng)器使用數(shù)據(jù)恢復(fù)代理。可以使用數(shù)據(jù)恢復(fù)代理之前，必須添加從gpmc或木 地組策略編輯器中的公鑰策略項(xiàng)。在配置用戶存儲(chǔ)的bitlocker恢復(fù)信息，選擇是否允許、必需的也不允許牛成了 256位恢復(fù) 密鑰或48位的恢復(fù)密碼的用戶。選擇以防止用戶指定恢復(fù)選項(xiàng)，它們?cè)隍?qū)動(dòng)器上啟用bitlocker時(shí)忽略從bitlocker安裝向?qū)?中的恢復(fù)選項(xiàng)。這

45、意味著您將不能指定啟川bitlocker;時(shí)要使川的恢復(fù)選項(xiàng)相反,bitlocker驅(qū) 動(dòng)器的恢復(fù)選項(xiàng)取決于該策略設(shè)置。在active directory域服務(wù)保存bitlocker恢復(fù)信息，請(qǐng)選擇耍存儲(chǔ)為固泄的數(shù)據(jù)驅(qū)動(dòng)器的 ad ds中的bitlocker恢復(fù)信息。如果您選擇備份恢復(fù)密碼和密鑰包，這兩個(gè)bitlocker恢復(fù) 密碼和密鑰包存儲(chǔ)在ad ds中。存儲(chǔ)密鑰包支持已修復(fù)bde命令行工具使用物理?yè)p壞的驅(qū)動(dòng) 器中恢復(fù)數(shù)據(jù)。如果您選擇僅備份恢復(fù)密碼，僅恢復(fù)密碼存儲(chǔ)在adds中。如果您耍防止用戶啟用bitlocker,除非計(jì)算機(jī)連接到域，并且與ad ds bitlocker恢復(fù)信息的 備份會(huì)

46、成功，請(qǐng)選擇請(qǐng)不要啟用bitlocker之前恢復(fù)信息存儲(chǔ)在adds為固定的數(shù)據(jù)驅(qū)動(dòng)器 復(fù)選框。請(qǐng)注意如果選中不啟用bitlocker之前恢復(fù)信息存儲(chǔ)在ad ds為定的數(shù)據(jù)驅(qū)動(dòng)器復(fù)選框，則會(huì)口瓦如果您啟用此策略設(shè)置，您可以控制固定數(shù)據(jù)張動(dòng)器可供用戶從受bitlocker保護(hù)恢復(fù)數(shù)據(jù)的 方法。如果禁用或耒配置此策略設(shè)置，bitlocker恢復(fù)支持默認(rèn)恢復(fù)選項(xiàng)。默認(rèn)悄況下允許數(shù)據(jù)恢復(fù)代 理、包括恢復(fù)密碼和恢復(fù)密鑰，用戶可以指定恢復(fù)選項(xiàng)和恢復(fù)信息不備份到ad dso沖突如果啟用了不受bitlocker的可移動(dòng)驅(qū)動(dòng)器拒絕寫(xiě)入訪問(wèn)策略設(shè)置，必須不允許使用的恢復(fù)密 鑰。在使用數(shù)據(jù)恢復(fù)代理程序時(shí)，您必須啟用并

47、配置提供您的組織的唯一標(biāo)識(shí)符策略設(shè)置。選擇如何受bitlocker保護(hù)的可移動(dòng)驅(qū)動(dòng)器可以恢復(fù)此策略設(shè)置川于配宜的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器的恢復(fù)方法。驅(qū)動(dòng)器類型町移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器上的 encryptionremovable 數(shù)據(jù)驅(qū)動(dòng)器此策略設(shè)置允許您控制如何受bitlocker保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器將恢復(fù)所需的憑據(jù)不存在。當(dāng) 您打開(kāi)bitlocker時(shí)，將應(yīng)用此策略設(shè)置。允許數(shù)據(jù)恢復(fù)代理程序允許數(shù)據(jù)恢復(fù)代理程序復(fù)選框用尸指定是否可以使用bitlocker保護(hù) 的可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器使用數(shù)據(jù)恢復(fù)代理。可以使用數(shù)據(jù)恢復(fù)代理之前

48、，必須添加從gpmc或 本地組策略編輯器中的公鑰策略項(xiàng)。在配置用戶存儲(chǔ)的bitlocker恢復(fù)信息，選擇是否允許、必需的也不允許牛成了 256位恢復(fù) 密鑰或48位的恢復(fù)密碼的用戶。選擇以防止用戶指定恢復(fù)選項(xiàng)，它們?cè)隍?qū)動(dòng)器上啟用bitlocker時(shí)忽略從bitlocker安裝向?qū)?中的恢復(fù)選項(xiàng)。這意味著您將不能指定啟川bitlocker;時(shí)要使川的恢復(fù)選項(xiàng)相反,bitlocker驅(qū) 動(dòng)器的恢復(fù)選項(xiàng)取決于該策略設(shè)置。在active directory域服務(wù)保存bitlocker恢復(fù)信息，請(qǐng)選擇耍存儲(chǔ)在可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器的 ad ds中的bitlocker恢復(fù)信息。如果您選擇備份恢復(fù)密碼和密鑰包，這兩

49、個(gè)bitlocker恢復(fù) 密碼和密鑰包存儲(chǔ)在ad ds中。如果您選擇僅備份恢復(fù)密碼，僅恢復(fù)密碼存儲(chǔ)在ad ds中。 如果您要防止用戶啟用bitlocker,除非計(jì)算機(jī)連接到域，并且與ad ds bitlocker恢復(fù)信息的 備份會(huì)成功，請(qǐng)選擇請(qǐng)不要啟用bitlocker之前恢復(fù)信息存儲(chǔ)在adds為可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器 復(fù)選框。請(qǐng)注意如果選中不啟用bitlocker之前恢復(fù)信息存儲(chǔ)在ad ds為固定的數(shù)據(jù)驅(qū)動(dòng)器復(fù)選框, 如果您麗此策略設(shè)巫7您可以而可供用0從受bitlocker保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器中恢復(fù)數(shù) 據(jù)的方法。如果禁用或未配宜此策略設(shè)置，bitlocker恢復(fù)支持默認(rèn)恢復(fù)選項(xiàng)。默認(rèn)悄況下允許數(shù)

50、據(jù)恢復(fù)代理、包把恢復(fù)密碼和恢復(fù)密鑰，用戶町以指定恢復(fù)選項(xiàng)和恢復(fù)信息不備份到ad dso 沖突如果啟用了不受bitlocker的可移動(dòng)驅(qū)動(dòng)器拒絕寫(xiě)入訪問(wèn)策略設(shè)置，必須不允許使用的恢復(fù)密鑰。在使用數(shù)據(jù)恢復(fù)代理程序時(shí)，您必須啟用并配胃提供您的組織的唯一標(biāo)識(shí)符策略設(shè)置。部署選項(xiàng)以下策略用于支持您的組織屮的口定義的部署方案o 為您的組織提供唯一標(biāo)識(shí)符 防止內(nèi)存覆蓋在巫新啟動(dòng) 配置tpm平臺(tái)驗(yàn)證配置文件 允許訪問(wèn)懐 bitlocker 保護(hù)固過(guò)數(shù)據(jù)驅(qū)動(dòng)器從 windows 的早期版木從早期版本的 windows, bitlocker保護(hù)可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器允許訪問(wèn)為您的組織提供唯一標(biāo)識(shí)符此策略設(shè)迸川于建立用于

51、加密您的組織中的所冇驅(qū)動(dòng)器的標(biāo)識(shí)符。驅(qū)動(dòng)器類型所有驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置，可以使用bitlocker將唯一的組織標(biāo)識(shí)符，以啟用的新驅(qū)動(dòng)器相關(guān)聯(lián)。這些標(biāo)識(shí) 符都存儲(chǔ)為標(biāo)識(shí)字段，并允許標(biāo)識(shí)字段。標(biāo)識(shí)字段，可以將一個(gè)唯一的組織標(biāo)識(shí)符來(lái)受bitlocker 保護(hù)的張動(dòng)器相關(guān)聯(lián)。此標(biāo)識(shí)符將自動(dòng)添加到新的受bitlocker保護(hù)的驅(qū)動(dòng)器，可以使用 manage-bde命令行工具來(lái)更新現(xiàn)有受bitlocker保護(hù)驅(qū)動(dòng)器上。需要為受bitlocker保護(hù)的 驅(qū)動(dòng)器上的基于證書(shū)的數(shù)據(jù)恢復(fù)代理程序的管理和更新轉(zhuǎn)到讀者bit

52、locker標(biāo)識(shí)字 段。bitlocker將管理，并在驅(qū)動(dòng)器上的標(biāo)識(shí)字段與配置標(biāo)識(shí)字段屮的值相匹配時(shí)才更新數(shù)據(jù)恢 復(fù)代理。以類似的方式，bitlocker將驅(qū)動(dòng)器上的標(biāo)識(shí)字段與配置標(biāo)識(shí)字段的值相匹配時(shí)才更新 轉(zhuǎn)到讀者bitlocker。允許的標(biāo)識(shí)字段結(jié)合使用，與可移動(dòng)驅(qū)動(dòng)器不受bitlocker拒絕寫(xiě)入訪問(wèn)策略設(shè)置來(lái)控制您的 組織中的使用的可移動(dòng)驅(qū)動(dòng)器。它是從您的組織或其他外部組織的標(biāo)識(shí)字段以逗號(hào)分隔列表。 您可以使用manage-bde命令行工具現(xiàn)肓驅(qū)動(dòng)器上配過(guò)標(biāo)識(shí)字段。如果啟用此策略設(shè)置，您可以配置受bitlocker保護(hù)驅(qū)動(dòng)器上的標(biāo)識(shí)字段和任何允許的標(biāo)識(shí)字 段由您的組織。bitlocke

53、r啟用的另一臺(tái)計(jì)算機(jī)上裝載bitlocker保護(hù)的驅(qū)動(dòng)器時(shí)，將使用標(biāo)識(shí)字段和允許的標(biāo)識(shí)字段，以確定驅(qū)動(dòng)器是否來(lái)自外部組織。 如果您耋用或不配邕此策略設(shè)卷則不需要標(biāo)識(shí)字段。請(qǐng)注意標(biāo)識(shí)字段所需的管理bitlocker保護(hù)驅(qū)動(dòng)器上的基于證書(shū)的數(shù)據(jù)恢復(fù)代理。bitlocker將管理 在計(jì)算機(jī)上配置的值時(shí)，才更新基于證書(shū)的數(shù)據(jù)恢復(fù)代理程序。標(biāo)識(shí)字段可以是任何值的260沖突以逗號(hào)分隔的多個(gè)值可以輸入在標(biāo)識(shí)，并允許使用標(biāo)識(shí)字段。防止內(nèi)存覆蓋在重新啟動(dòng)該策略設(shè)置用于控制是否將覆蓋計(jì)算機(jī)內(nèi)存在下次重新啟動(dòng)計(jì)算機(jī)。驅(qū)動(dòng)器類型所有驅(qū)動(dòng)器策略路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlock

54、er驅(qū)動(dòng)器加密說(shuō)明此策略設(shè)置控制計(jì)算機(jī)重新啟動(dòng)性能公開(kāi)bitlocker機(jī)密信息的風(fēng)險(xiǎn)。當(dāng)您打開(kāi)bitlocker時(shí), 將應(yīng)用此策略設(shè)置。bitlocker機(jī)密信息包括用于加密數(shù)據(jù)的密鑰材料。僅當(dāng)啟用bitlocker保 護(hù)時(shí)，將應(yīng)用此策略設(shè)置。如果您啟用此策略設(shè)過(guò)，將不被計(jì)算機(jī)重新啟動(dòng)時(shí)覆蓋內(nèi)存。防止內(nèi)存改寫(xiě)可以提高重啟性能， 但會(huì)増加暴露bitlocker機(jī)密信息的風(fēng)險(xiǎn)。如果您禁用或不配置此策略設(shè)置，重新啟動(dòng)計(jì)算機(jī)時(shí)都從內(nèi)存中刪除bitlocker機(jī)密信息。沖突無(wú)配置tpm平臺(tái)驗(yàn)證配置文件該策略設(shè)置確定tpm測(cè)雖它對(duì)驗(yàn)證早期啟動(dòng)組件，然后解除鎖定驅(qū)動(dòng)器時(shí)哪些值。驅(qū)動(dòng)器類型操作系統(tǒng)驅(qū)動(dòng)器策略

55、路徑計(jì)算機(jī)配置管理模板windows組件 componentsbitlocker驅(qū)動(dòng)器 encryptionoperating 系統(tǒng)驅(qū)動(dòng)器說(shuō)明此策略設(shè)置允許您配置計(jì)算機(jī)的tpm安全硬件保護(hù)bitlocker加密密鑰的安全。此策略設(shè)置 不適或如果計(jì)算機(jī)沒(méi)有兼容的tpm如果bitlocker已經(jīng)打開(kāi)了 tpm保護(hù)。如果您啟用此策略設(shè)置，然后打開(kāi)bitlocker,您可以配置的啟動(dòng)組件，tpm將驗(yàn)證z前解鎖 bitlocker加密操作系統(tǒng)蘇動(dòng)器的訪問(wèn)。如果這些組件的更改牛效bitlocker保護(hù)時(shí)，tpm將 釋放加密密鑰，才能解除對(duì)驅(qū)動(dòng)器的鎖定，而是顯示bitlocker故障恢復(fù)控制臺(tái)并需要恢復(fù)密

56、碼或恢復(fù)密鑰町以提供以解除驅(qū)動(dòng)器鎖定計(jì)算機(jī)。如果您禁用或不配置此策略設(shè)置，tpm將使用默認(rèn)平臺(tái)驗(yàn)證配置文件或安裝腳本所指定的平臺(tái) 驗(yàn)證配置文件。平臺(tái)驗(yàn)證配置文件包含-組的范圍從0到23 z間的平臺(tái)配置注冊(cè)(pcr)索 引，默認(rèn)平臺(tái)驗(yàn)證配置文件保護(hù)加密密鑰來(lái)以下更改： 核心的度量單位(crtm)、bios和平臺(tái)擴(kuò)展(pcr0)的信任根 選項(xiàng)rom代碼(pcr2) 主引導(dǎo)記錄(mbr)代碼(pcr4) ntfs啟動(dòng)扇區(qū)(pcr8) ntfs 啟動(dòng)塊(pcr 9)啟動(dòng)管理器(pcr 10)bitlocker 訪問(wèn)控制(pcr 11)請(qǐng)注意使用可擴(kuò)展固件接口 (efi)的計(jì)算機(jī)的默認(rèn)tpm驗(yàn)證配置文件pcr設(shè)置是0、2、4和11卜而的列表列出所有可用pcrs： 系統(tǒng)rom、acpi靜態(tài)表，嵌入的smm代碼和bios代碼中嵌入的pcr 0：核心根信任測(cè)量、efi引導(dǎo)和運(yùn)行時(shí)服務(wù)，efi驅(qū)動(dòng)程序 pcr1：平臺(tái)和主板的配置和數(shù)據(jù)。在交付農(nóng)和efi變量影響的系統(tǒng)配過(guò) pcr2：選項(xiàng)rom代碼 pcr3：選項(xiàng)rom數(shù)據(jù)和配置 pcr4：主