BitLocker 组策略参考.doc

BitLocker 组策略参考BitLocker 最初打开驱动器时，将应用的大多数 BitLocker 组策略设置。如果计算机不符合现有的组策略设置，BitLocker 可能无法打开或修改计算机中的法规遵从性状态之前。合规性组策略设置 （例如，如果组策略设置已更改您的单位在初始 BitLocker 部署完成后，然后应用到以前加密的驱动器） 的驱动器时，可以对除改变，使其符合该驱动器的 BitLocker 配置不进行任何更改。如果不将驱动器放入法规遵从性需要多个更改，您必须挂起 BitLocker 保护、 进行必要的更改，然后恢复保护。发生这种情况，例如，如果要使用密码取消锁定最初配置可移动驱动器，然后更改组策略设置以禁止密码，并要求使用智能卡。在此情况下，BitLocker 保护需要使用 manage-bde 命令行工具，挂起密码取消锁定方法删除，并添加智能卡方法。在完成此操作后，BitLocker 与组策略设置符合标准，并可以恢复 BitLocker 保护驱动器上。有关使用 manage-bde 命令行工具的详细信息，请参阅管理 bde.exe 参数引用.以下各节提供了使用按组织的策略设置的完整列表。BitLocker 组策略设置包括对特定的驱动器类型 （操作系统驱动器、 固定数据驱动器和可移动数据驱动器） 和应用到所有驱动器的设置。 解除锁定的方法 访问和使用 BitLocker 驱动器 加密强度 驱动器故障恢复 部署选项每一节列出的策略设置的影响类型的用法的并提供对使用该策略设置，如果您启用此策略设置与策略设置路径、 策略设置描述，以及任何潜在的冲突区域使用的驱动器类型的引用。解除锁定的方法以下策略设置可用于确定如何受 BitLocker 保护的驱动器可以解锁。 要求在启动时的其他身份验证 允许增强的 Pin 进行启动 配置最小 PIN 长度 需要额外的身份验证 （Windows Server 2008 和 Windows Vista） 启动时 固定的数据驱动器上配置使用的智能卡 固定的数据驱动器上配置使用的密码 可移动数据驱动器上配置使用的智能卡 可移动数据驱动器上配置使用的密码 验证智能卡证书使用规则一致性要求在启动时的其他身份验证此策略设置用于控制 Windows 7 操作系统驱动器提供了哪些解除锁定选项。驱动器类型操作系统驱动器 （Windows 7 和 Windows Server 2008 R2）策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器 EncryptionOperating 系统驱动器说明此策略设置允许您配置是否 BitLocker 需要额外的身份验证每次计算机启动的时，无论您使用 BitLocker 与或不受信任的平台模块 (TPM)。当您打开 BitLocker 时，将应用此策略设置。如果您要在没有 TPM 的计算机上使用 BitLocker，选择不兼容的 TPM 的情况下允许 BitLocker复选框。在此模式中，USB 驱动器启动时必须和用来加密驱动器的关键信息存储在 USB 驱动器中，创建 usb 闪存盘上。当插入 usb 闪存盘时，驱动器的访问进行身份验证并且可以访问该驱动器。如果 usb 闪存盘丢失或不可用，您需要使用 BitLocker 恢复选项之一来访问该驱动器。在兼容的 TPM 的计算机，四种类型的身份验证方法可用来在启动时提供的加密数据的附加的保护。当计算机启动时，计算机可以仅 TPM 用于身份验证，或它还可以要求插入 USB 闪存驱动器包含启动密钥、 4 位到 20 位个人识别码 (PIN)，或这二者的条目。如果您启用此策略设置，用户可以配置 BitLocker 安装向导中的高级的启动选项。如果您禁用或不配置此策略设置，用户可以使用 TPM 配置只有基本选项的计算机上。请注意可以在启动; 要求进行额外的身份验证选项中只有一个否则，将策略发生错误。如果您要用于身份验证之前解锁操作系统驱动器启动 PIN 和 USB 闪存驱动器，则必须启用 BitLocker 的 BitLocker 驱动器加密安装向导而不是使用 manage-bde 命令行工具。在此情况下，此策略设置应保留为不配置。冲突如果需要一个身份验证方法，则不能允许使用其他方法。使用的不兼容的 TPM BitLocker，TPM 启动密钥，TPM 启动密钥或 PIN 必须禁止如果启用了拒绝写入访问可移动驱动器不受 BitLocker策略设置。允许增强的 Pin 进行启动使用包含一个 PIN 解除锁定方法时，此策略设置将允许使用增强的 Pin。驱动器类型操作系统驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器 EncryptionOperating 系统驱动器说明此策略设置允许您配置是否使用 BitLocker 使用增强的启动 Pin。增强的启动 Pin 允许使用的字符包括大写和小写字母、 符号、 数字和空格。当您打开 BitLocker 时，将应用此策略设置。如果您启用此策略设置，设置将为所有新 BitLocker 启动 Pin 增强的针脚。受使用标准启动 PIN 不受影响的现有驱动器。重要并非所有计算机都支持预启动环境中的增强的 pin 码字符。强烈建议用户执行系统检查，以验证可以使用增强的 pin 码字符的 BitLocker 安装过程中。如果您禁用或不配置此策略设置，将不使用增强的 Pin。冲突无配置最小 PIN 长度此策略设置用于设置最小 PIN 长度时使用的包含一个 PIN 解除锁定方法。驱动器类型操作系统驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器 EncryptionOperating 系统驱动器说明此策略设置允许您配置 TPM 启动 PIN 的最小长度。当您打开 BitLocker 时，将应用此策略设置。启动 PIN 必须 4 位数字的最小长度，并且可以具有最大长度为 20 位数。如果您启用此策略设置，您可以要求设置启动 PIN 时使用最小位数。如果您禁用或不配置此策略设置，用户可以配置启动 4 到 20 位数之间任意长度的旋转中心点。冲突无需要额外的身份验证 （Windows Server 2008 和 Windows Vista） 启动时此策略设置用于控制哪些解锁选项对运行 Windows Server 2008 或 Windows Vista 的计算机可用。驱动器类型操作系统驱动器 （Windows Server 2008 和 Windows Vista）策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器 EncryptionOperating 系统驱动器说明此策略设置允许您控制是否在运行 Windows Vista 或 Windows Server 2008 的计算机上的 BitLocker 驱动器加密安装向导将能够设置每次计算机启动的时所需的其他身份验证方法。当您打开 BitLocker 时，将应用此策略设置。在兼容的 TPM 的计算机，这两种身份验证方法可用来在启动时提供的加密数据的附加的保护。当计算机启动时，它可以要求用户插入包含启动密钥的 USB 闪存驱动器。它还可以要求用户为 20 位启动 PIN 输入 4 位数字。不兼容的 TPM 的计算机上需要包含启动密钥的 USB 闪存驱动器。TPM，而不只被受此 USB 闪存驱动器上的密钥材料 BitLocker 加密数据。如果您启用此策略设置，则向导将显示以允许用户配置 BitLocker 的高级的启动选项页。使用和不 TPM，您可以进一步配置计算机的设置选项。如果您禁用或不配置此策略设置，BitLocker 安装向导将显示允许用户使用 TPM 的计算机上启用 BitLocker 的基本步骤。在此基本向导中，可以配置任何其他的启动密钥或启动 PIN。冲突如果您选择需要额外的身份验证方法，其他人不能允许使用的身份验证方法。固定的数据驱动器上配置使用的智能卡此策略设置用于要求、 允许或拒绝使用智能卡与固定的数据驱动器。驱动器类型固定的数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionFixed 数据驱动器说明此策略设置允许您指定是否可以使用智能卡进行身份验证的用户访问计算机上的受 BitLocker 保护固定的数据驱动器。如果您启用此策略设置，智能卡可用于进行身份验证的用户访问该驱动器。您可以通过选择要求使用固定的数据驱动器上的智能卡复选框来要求智能卡身份验证。请注意当打开 BitLocker，而不是解除锁定的驱动器时，这些设置会强制执行。BitLocker 将允许对驱动器解锁任何驱动器上可用的保护程序。如果禁用此策略设置，不允许用户使用智能卡进行身份验证他们对 BitLocker 保护固定的数据驱动器的访问。如果不配置此策略设置，智能卡可用于验证用户对 BitLocker 保护的驱动器的访问。冲突若要使用智能卡使用 BitLocker，可能还需要修改计算机配置 管理模板 TemplatesBitLocker 驱动器 EncryptionValidate 智能卡证书使用规则法规遵从性策略设置以匹配您的智能卡证书的对象标识符中的对象的标识符设置。固定的数据驱动器上配置使用的密码此策略设置用于要求、 允许或拒绝使用固定的数据驱动器使用的密码。驱动器类型固定的数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionFixed 数据驱动器说明此策略设置用于指定是否需要密码来解锁受 BitLocker 保护固定的数据驱动器。如果您选择允许使用的密码，您可以要求使用密码，强制执行密码复杂性要求和配置的密码的最小长度。为有效的复杂性要求设置，必须还启用组策略设置的计算机配置 windows 设置 安全设置 帐户策略 密码必须符合复杂性要求。请注意当打开 BitLocker，而不是解除锁定的驱动器时，这些设置会强制执行。BitLocker 将允许对驱动器解锁任何驱动器上可用的保护程序。如果您启用此策略设置，用户可以配置符合您定义的要求的密码。如果需要使用密码，请选择需要密码对固定的数据驱动器。若要强制对密码复杂性要求，请选中要求复杂性。如果设置为要求的复杂性，域控制器的连接则需要启用 BitLocker，以验证密码的复杂性。设置为允许复杂性时，域控制器的连接将尝试验证符合复杂性策略设置的规则。但是，如果发现没有域控制器，密码将仍然被接受而无需考虑的实际密码复杂性，驱动器将被加密为保护器使用该密码。如果设置为不允许的复杂性，没有密码复杂性验证将不会完成。密码必须至少为 8 个字符。若要配置一个更大的最小长度的密码，请在最小密码长度框中输入所需的字符数。如果禁用此策略设置，用户不允许使用的密码。如果不配置此策略设置，将使用默认设置，这不包括密码复杂性要求，并要求仅为 8 个字符支持密码。重要如果启用了 FIPS 兼容，则不能使用密码。系统加密： 使用 FIPS 兼容的算法来加密、 哈希和签名系统加密： 使用 FIPS 兼容的算法来加密、 哈希和签名在计算机配置 windows 设置 安全设置 本地策略 安全选项策略设置用于指定是否启用 FIPS 法规遵从性。冲突若要使用密码复杂性，还必须启用计算机配置 windows 设置 安全设置 帐户策略 密码必须符合复杂性要求策略设置。每台计算机的基础上配置此策略设置。这意味着它将应用于本地用户帐户和域用户帐户。因为用来验证密码复杂性密码筛选器位于域的域控制器上，本地用户帐户将不能访问密码筛选器，因为它们不需要身份验证的域访问。启用此策略设置时，如果您使用本地用户帐户身份登录，并且您尝试对驱动器进行加密或现有的 BitLocker 保护的驱动器上更改密码，将显示访问被拒绝错误消息。在此情况下，密码密钥保护程序不能添加到驱动器。启用此策略设置，则需要将密码密钥保护程序添加到受 BitLocker 保护驱动器之前建立连接到域。实现远程工作及具有长时间无法连接到域的用户应当了解的这一要求，以便他们可以安排的时间时它们将连接到域打开 BitLocker 或受 BitLocker 保护的数据驱动器上更改密码。可移动数据驱动器上配置使用的智能卡此策略设置用于要求、 允许或拒绝使用可移动数据驱动器使用的智能卡。驱动器类型可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionRemovable 数据驱动器说明此策略设置允许您指定是否可以使用智能卡进行身份验证的用户访问计算机上的受 BitLocker 保护可移动数据驱动器。如果您启用此策略设置，智能卡可用于进行身份验证的用户访问该驱动器。您可以通过选择需要使用的可移动数据驱动器上的智能卡复选框来要求智能卡身份验证。请注意当打开 BitLocker，而不是解除锁定的驱动器时，这些设置会强制执行。BitLocker 将允许对驱动器解锁任何驱动器上可用的保护程序。如果禁用此策略设置，不允许用户使用智能卡进行身份验证他们对 BitLocker 保护可移动数据驱动器的访问。如果不配置此策略设置，智能卡可供进行身份验证的用户访问受 BitLocker 保护可移动数据驱动器。冲突若要使用智能卡使用 BitLocker，可能还需要修改计算机配置 管理模板 TemplatesBitLocker 驱动器 EncryptionValidate 智能卡证书使用规则法规遵从性策略设置以匹配您的智能卡证书的对象标识符中的对象的标识符设置。可移动数据驱动器上配置使用的密码此策略设置用于要求、 允许或拒绝使用可移动数据驱动器使用的密码。驱动器类型可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionRemovable 数据驱动器说明此策略设置用于指定是否需要密码来解锁受 BitLocker 保护可移动数据驱动器。如果您选择允许使用密码，您可以要求使用、 强制实施的复杂性要求，以及配置最小长度的密码。为有效，组策略设置位于计算机配置 windows 设置 安全设置 帐户策略中的密码必须符合复杂性要求还必须启用的复杂性要求设置。请注意当打开 BitLocker，而不是解除锁定的驱动器时，这些设置会强制执行。BitLocker 将允许对驱动器解锁任何驱动器上可用的保护程序。如果您启用此策略设置，用户可以配置符合您定义的要求的密码。若要要求使用密码，请选中需要密码的可移动数据驱动器。若要强制对密码复杂性要求，请选中要求复杂性。如果设置为要求的复杂性，域控制器的连接则需要启用 BitLocker，以验证密码的复杂性。设置为允许复杂性时，域控制器的连接将尝试验证符合复杂性策略设置的规则。但是，如果发现没有域控制器，密码将仍然被接受而无需考虑的实际密码复杂性，驱动器将被加密为保护器使用该密码。如果设置为不允许的复杂性，没有密码复杂性验证将不会完成。密码必须至少为 8 个字符。若要配置一个更大的最小长度的密码，请在最小密码长度框中输入所需的字符数。如果禁用此策略设置，用户不允许使用的密码。如果不配置此策略设置，将使用默认设置，这不包括密码复杂性要求，并要求仅为 8 个字符支持密码。请注意如果启用了 FIPS 兼容，则不能使用密码。系统加密： 使用 FIPS 兼容的算法来加密、 哈希和签名系统加密： 使用 FIPS 兼容的算法来加密、 哈希和签名在计算机配置 windows 设置 安全设置 本地策略 安全选项策略设置用于指定是否启用 FIPS 法规遵从性。冲突若要使用密码复杂性，还必须启用了密码必须符合复杂性要求策略设置位于计算机配置 windows 设置 安全设置 帐户策略。验证智能卡证书使用规则一致性此策略设置用于确定要使用 BitLocker 使用何种证书。驱动器类型固定和可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置允许您将对象标识符从智能卡证书到受 BitLocker 保护的驱动器相关联。当您打开 BitLocker 时，将应用此策略设置。增强型密钥用法 (EKU) 的证书中指定的对象标识符。BitLocker 可确定哪些证书可用于匹配的证书中的对象标识符，由该策略设置定义的对象标识符与使用 BitLocker 保护的驱动器的用户证书进行身份验证。默认的对象标识符是 1.3.6.1.4.1.311.67.1.1。请注意BitLocker 不需要证书具有 EKU 属性。但是，如果其中一个配置的证书，它必须设置为匹配 BitLocker 为配置的对象标识符的对象标识符中。如果您启用此策略设置，请在对象标识符设置中指定的对象标识符必须匹配的智能卡证书中的对象标识符。如果您禁用或不配置此策略设置，则使用默认的对象标识符。冲突无访问和使用 BitLocker 驱动器以下策略设置用于控制用户如何访问驱动器以及他们如何使用 BitLocker 他们的计算机上。 拒绝不受 BitLocker 的固定驱动器的写入访问权限 拒绝不受 BitLocker 的可移动驱动器的写入访问权限 控制使用 BitLocker 的可移动驱动器上拒绝不受 BitLocker 的固定驱动器的写入访问权限此策略设置用于需要加密的固定驱动器才能授予写访问权限。驱动器类型固定的数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionFixed 数据驱动器说明该策略设置确定是否需要为一台计算机上可写入的固定的数据驱动器 BitLocker 保护。当您打开 BitLocker 时，将应用此策略设置。如果您启用此策略设置，将以只读方式装载不受 BitLocker 保护的所有固定的数据驱动器。如果驱动器受 BitLocker，它将装载使用读 / 写访问权限。如果您禁用或不配置此策略设置，将会在计算机上的所有固定的数据驱动器装入使用读 / 写访问权限。冲突启用此策略设置时，用户将收到访问被拒绝错误消息，当他们试图将保存到未加密的固定的数据驱动器。如果启用此策略设置后，将在计算机上运行 BdeHdCfg，您可能会遇到以下问题： 如果您尝试缩小该驱动器并创建系统驱动器，驱动器大小将会成功地减小并创建原始分区。但是，原始分区将被格式化。将显示以下错误消息：的新的活动驱动器无法格式化。可能需要手动将您的驱动器准备 BitLocker。 如果您试图使用未分配的空间创建系统驱动器，将创建原始分区。但是，原始分区将被格式化。将显示以下错误消息：的新的活动驱动器无法格式化。可能需要手动将您的驱动器准备 BitLocker。 如果您试图将现有驱动器合并到系统驱动器，该工具将无法复制到目标驱动器创建系统驱动器上的所需的引导程序文件。将显示以下错误消息：BitLocker 安装程序无法复制启动文件。可能需要手动将您的驱动器准备 BitLocker。如果实施该策略设置时，因为驱动器受到保护一个硬驱不能被重新分区。如果在您的组织从以前版本的 Windows 中升级计算机，这些计算机配置带有单个分区，则应创建所需的 BitLocker 系统分区之前应用于计算机的策略设置。拒绝不受 BitLocker 的可移动驱动器的写入访问权限需要加密的可移动驱动器才能授予写访问权限并控制是否可以具有写访问权限打开 BitLocker 保护的可移动驱动器配置另一组织中的使用此策略设置。驱动器类型可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionRemovable 数据驱动器说明此策略设置配置是否 BitLocker 保护计算机都必须能够将数据写入可移动数据驱动器。如果您启用此策略设置，不受 BitLocker 保护的所有可移动数据驱动器将以只读方式装载。如果驱动器受 BitLocker，它将装载使用读 / 写访问权限。如果选择拒绝写入访问另一组织中配置设备选项，则仅使用标识字段匹配的计算机的标识字段的驱动器将授予写访问权限。当访问可移动数据驱动器时，它将检查对有效的身份证字段并允许标识字段。通过提供为您的组织的唯一标识符策略设置定义这些字段。如果您禁用或不配置此策略设置，将会在计算机上的所有可移动数据驱动器装入使用读 / 写访问权限。请注意在用户配置 管理模板系统 可移动存储访问下的策略设置可以重写此策略设置。如果可移动磁盘： 拒绝写入访问策略设置，则此策略设置将被忽略。冲突使用如果启用可移动驱动器不受 BitLocker 拒绝写入访问策略设置，则必须的 BitLocker 不兼容 TPM，TPM + 启动密钥，或 TPM + PIN + 启动的情况下允许密钥。如果启用了不受 BitLocker 的可移动驱动器拒绝写入访问策略设置，必须不允许使用的恢复密钥。您必须启用提供您的组织的唯一标识符策略设置如果您要拒绝在另一个组织中配置的驱动器的写入访问权限。控制使用 BitLocker 的可移动驱动器上此策略设置用于阻止标准用户帐户能够可移动数据驱动器上打开 BitLocker 打开或关闭。驱动器类型可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionRemovable 数据驱动器说明此策略设置控制使用 BitLocker 的可移动数据驱动器上。当您打开 BitLocker 时，将应用此策略设置。启用此策略设置时，您可以选择控制如何，用户可以配置 BitLocker 的属性设置。若要允许用户在可移动数据驱动器上运行 BitLocker 安装向导选择允许用户应用 BitLocker 保护可移动数据驱动器上。要允许用户从驱动器中取出 BitLocker 驱动器加密或执行维护时暂停加密选择允许用户暂停和解密 BitLocker 可移动数据驱动器上。如果不配置此策略设置，用户可以使用 BitLocker 可移动磁盘驱动器上。如果禁用此策略设置，用户不能在可移动磁盘驱动器上使用 BitLocker。冲突无加密强度下面的策略设置确定使用 BitLocker 使用的加密方法。 选择驱动器加密方法和加密强度选择驱动器加密方法和加密强度此策略设置用于控制加密方法和密码长度。驱动器类型所有驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置允许您配置该算法和密码使用 BitLocker 驱动器加密强度。当您打开 BitLocker 时，将应用此策略设置。如果驱动器已被加密或加密过程中，更改加密方法没有任何影响。如果您启用此策略设置，您将能够选择一个加密算法和加密驱动器使用 bitlocker 密钥的密钥长度。如果您禁用或不配置此策略设置，BitLocker 将使用默认的加密方法的 AES 128 位扩散器或安装脚本所指定的加密方法。冲突无驱动器故障恢复以下策略设置定义可用于恢复 BitLocker 保护的驱动器的访问，如果身份验证方法失败或无法使用的恢复方法。 选择如何受 BitLocker 保护操作系统可以恢复驱动器 选择用户如何恢复受 BitLocker 保护的驱动器 （Windows Server 2008 和 Windows Vista） 将 BitLocker 恢复信息存储在 Active Directory 域服务 （Windows Server 2008 和 Windows Vista） 选择恢复密码的默认文件夹 选择如何可以恢复受 BitLocker 保护固定的驱动器 选择如何受 BitLocker 保护的可移动驱动器可以恢复选择如何受 BitLocker 保护操作系统可以恢复驱动器此策略设置用于配置的操作系统驱动器的恢复方法。驱动器类型操作系统驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器 EncryptionOperating 系统驱动器说明此策略设置允许您控制如何受 BitLocker 保护操作系统所需的启动密钥信息没有恢复驱动器。当您打开 BitLocker 时，将应用此策略设置。允许基于证书的数据恢复代理程序允许基于证书的数据恢复代理程序复选框用于指定是否可以使用数据恢复代理使用 BitLocker 保护操作系统驱动器。可以使用数据恢复代理之前，必须添加从 GPMC 或本地组策略编辑器中的公钥策略项。在配置用户存储的 BitLocker 恢复信息，选择是否允许、 必需的也不允许生成了 256 位恢复密钥或 48 位的恢复密码的用户。选择以防止用户指定恢复选项，它们在驱动器上启用 BitLocker 时忽略从 BitLocker 安装向导中的恢复选项。这意味着您将不能指定启用 BitLocker; 时要使用的恢复选项相反，BitLocker 驱动器的恢复选项取决于该策略设置。在Active Directory 域服务保存 BitLocker 恢复信息，请选择要将存储在 Active Directory 域服务 (AD DS)，为操作系统驱动器的 BitLocker 恢复信息。如果您选择备份恢复密码和密钥包，这两个 BitLocker 恢复密码和密钥包存储在 AD DS 中。存储密钥包支持已被物理损坏的驱动器中恢复数据。如果您选择仅备份恢复密码，仅恢复密码存储在 AD DS 中。如果您要防止用户启用 BitLocker，除非计算机连接到域，并且与 AD DS BitLocker 恢复信息的备份会成功，请选择请不要启用 BitLocker 之前恢复信息存储在 AD DS 操作系统驱动器复选框。请注意如果选中不启用 BitLocker 之前恢复信息存储在 AD DS 操作系统驱动器复选框，则会自动生成一个恢复密码。如果您启用此策略设置，您可以控制可供用户从受 BitLocker 保护操作系统驱动器中恢复数据的方法。如果禁用或未配置此策略设置，BitLocker 恢复支持默认恢复选项。默认情况下允许数据恢复代理、 包括恢复密码和恢复密钥，用户可以指定恢复选项和恢复信息不备份到 AD DS。冲突如果启用了不受 BitLocker 的可移动驱动器拒绝写入访问策略设置，必须不允许使用的恢复密钥。在使用数据恢复代理程序时，必须启用提供了您的组织的唯一标识符策略设置。选择用户如何恢复受 BitLocker 保护的驱动器 （Windows Server 2008 和 Windows Vista）此策略设置用于配置运行 Windows Server 2008 或 Windows Vista 的计算机上的恢复方法驱动器。驱动器类型运行 Windows Server 2008 和 Windows Vista 的计算机上的操作系统驱动器和固定的数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置允许您控制是否 BitLocker 驱动器加密安装向导可以显示和指定 BitLocker 恢复选项。此策略仅适用于运行 Windows Server 2008 或 Windows Vista 的计算机。当您打开 BitLocker 时，将应用此策略设置。两个恢复选项可以用于解锁 BitLocker 加密数据，如果不存在所需的启动密钥信息。在用户可以键入 48 位数字的恢复密码或插入 USB 闪存驱动器包含 256 位的恢复密钥。如果您启用此策略设置，您可以配置安装向导来恢复 BitLocker 加密的数据显示给用户的选项。将保存到 USB 闪存驱动器将将 48 位的恢复密码存储为文本文件，并作为隐藏文件的 256 位的恢复密钥。保存到一个文件夹将存储为文本文件的 48 位的恢复密码。打印到默认打印机将 48 位的恢复密码。例如，不允许的 48 位的恢复密码将禁止用户能够打印或保存到文件夹的恢复信息。如果您禁用或不配置此策略设置，BitLocker 安装向导将向用户显示恢复选项的存储方式。重要如果 BitLocker 安装过程中执行 TPM 初始化，则会保存 TPM 所有者信息，或将其打印的 BitLocker 恢复信息。48 位的恢复密码在 FIPS 兼容模式中不可用。此策略设置提供了管理方法来恢复加密的 BitLocker 以防止数据丢失，由于缺少关键信息的数据。如果选择这两个用户恢复选项的不允许选项，则必须启用的Active Directory 域服务 （Windows Server 2008 和 Windows Vista） 中的存储区 BitLocker 恢复信息策略，以防止策略错误设置。冲突无将 BitLocker 恢复信息存储在 Active Directory 域服务 （Windows Server 2008 和 Windows Vista）此策略设置用于配置的 BitLocker 恢复信息存储在 AD DS 中。驱动器类型运行 Windows Server 2008 和 Windows Vista 的计算机上的操作系统驱动器和固定的数据驱动器。策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置允许您管理 BitLocker 驱动器加密恢复信息的 AD DS 备份。这提供了管理方法来恢复加密的 BitLocker 以防止数据丢失，由于缺少关键信息的数据。此策略仅适用于运行 Windows Server 2008 或 Windows Vista 的计算机。如果您启用此策略设置，BitLocker 恢复信息将自动、 无提示地备份到 AD DS BitLocker 开启计算机时。当您打开 BitLocker 时，将应用此策略设置。BitLocker 恢复信息包括恢复密码和一些唯一标识符的数据。您还可以包括包含 BitLocker 保护驱动器的加密密钥的包。此密钥包由一个或多个恢复密码保护，并有助于执行专门的恢复时磁盘已损坏或已损坏。如果您选择需要 BitLocker 备份到 AD DS，BitLocker 无法开启除非计算机连接到域，并且与 AD DS BitLocker 恢复信息的备份会成功。此选项默认情况下，有助于确保 BitLocker 恢复是可能的。如果未选中此选项后, 重试 AD DS 备份，但网络或其他备份故障不会阻止 BitLocker 安装。不会自动重试备份和恢复密码可能不存储在 AD DS 中 BitLocker 安装过程中。如果您禁用或不配置此策略设置，BitLocker 恢复信息将不会备份到 AD DS。TPM 初始化可能需要 BitLocker 安装过程中。启用计算机配置 管理模板系统 受信任的平台模块服务以确保也备份 TPM 信息中的打开 TPM 备份到 Active Directory 域服务策略设置。如果您使用的 Service Pack 1 与运行 Windows Server 2003 的域控制器，必须首先设置适当的架构扩展和 AD DS 备份可以成功完成之前访问控制设置的域。有关详细信息，请参阅备份到 AD DS BitLocker 和 TPM 恢复信息.冲突无选择恢复密码的默认文件夹此策略设置用于配置恢复密码的默认文件夹。驱动器类型所有驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置允许您指定当 BitLocker 驱动器加密安装向导将提示用户输入要在其中保存恢复密码的文件夹的位置时，显示的默认路径。当您打开 BitLocker 时，将应用此策略设置。如果您启用此策略设置，您可以指定当用户选择的选项将恢复密码保存到文件夹时将用作默认文件夹位置的路径。您可以指定完全限定的路径或路径中包括目标计算机的环境变量。如果路径无效，BitLocker 安装向导将显示计算机的最上层的文件夹视图。如果您禁用或不配置此策略设置，BitLocker 安装向导将显示计算机的最上层的文件夹视图，当用户选择的选项将恢复密码保存到文件夹。请注意此策略设置不会防止用户将恢复密码保存在另一个文件夹中。冲突无选择如何可以恢复受 BitLocker 保护固定的驱动器此策略设置用于配置的固定的数据驱动器的恢复方法。驱动器类型固定的数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionFixed 数据驱动器说明此策略设置允许您控制如何受 BitLocker 保护固定的数据驱动器将恢复所需的凭据不存在。当您打开 BitLocker 时，将应用此策略设置。允许数据恢复代理程序允许数据恢复代理程序复选框用于指定是否可以使用 BitLocker 保护固定的数据驱动器使用数据恢复代理。可以使用数据恢复代理之前，必须添加从 GPMC 或本地组策略编辑器中的公钥策略项。在配置用户存储的 BitLocker 恢复信息，选择是否允许、 必需的也不允许生成了 256 位恢复密钥或 48 位的恢复密码的用户。选择以防止用户指定恢复选项，它们在驱动器上启用 BitLocker 时忽略从 BitLocker 安装向导中的恢复选项。这意味着您将不能指定启用 BitLocker; 时要使用的恢复选项相反，BitLocker 驱动器的恢复选项取决于该策略设置。在Active Directory 域服务保存 BitLocker 恢复信息，请选择要存储为固定的数据驱动器的 AD DS 中的 BitLocker 恢复信息。如果您选择备份恢复密码和密钥包，这两个 BitLocker 恢复密码和密钥包存储在 AD DS 中。存储密钥包支持已修复 bde 命令行工具使用物理损坏的驱动器中恢复数据。如果您选择仅备份恢复密码，仅恢复密码存储在 AD DS 中。如果您要防止用户启用 BitLocker，除非计算机连接到域，并且与 AD DS BitLocker 恢复信息的备份会成功，请选择请不要启用 BitLocker 之前恢复信息存储在 AD DS 为固定的数据驱动器复选框。请注意如果选中不启用 BitLocker 之前恢复信息存储在 AD DS 为固定的数据驱动器复选框，则会自动生成一个恢复密码。如果您启用此策略设置，您可以控制固定数据驱动器可供用户从受 BitLocker 保护恢复数据的方法。如果禁用或未配置此策略设置，BitLocker 恢复支持默认恢复选项。默认情况下允许数据恢复代理、 包括恢复密码和恢复密钥，用户可以指定恢复选项和恢复信息不备份到 AD DS。冲突如果启用了不受 BitLocker 的可移动驱动器拒绝写入访问策略设置，必须不允许使用的恢复密钥。在使用数据恢复代理程序时，您必须启用并配置提供您的组织的唯一标识符策略设置。选择如何受 BitLocker 保护的可移动驱动器可以恢复此策略设置用于配置的可移动数据驱动器的恢复方法。驱动器类型可移动数据驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器上的 EncryptionRemovable 数据驱动器说明此策略设置允许您控制如何受 BitLocker 保护可移动数据驱动器将恢复所需的凭据不存在。当您打开 BitLocker 时，将应用此策略设置。允许数据恢复代理程序允许数据恢复代理程序复选框用于指定是否可以使用 BitLocker 保护的可移动数据驱动器使用数据恢复代理。可以使用数据恢复代理之前，必须添加从 GPMC 或本地组策略编辑器中的公钥策略项。在配置用户存储的 BitLocker 恢复信息，选择是否允许、 必需的也不允许生成了 256 位恢复密钥或 48 位的恢复密码的用户。选择以防止用户指定恢复选项，它们在驱动器上启用 BitLocker 时忽略从 BitLocker 安装向导中的恢复选项。这意味着您将不能指定启用 BitLocker; 时要使用的恢复选项相反，BitLocker 驱动器的恢复选项取决于该策略设置。在Active Directory 域服务保存 BitLocker 恢复信息，请选择要存储在可移动数据驱动器的 AD DS 中的 BitLocker 恢复信息。如果您选择备份恢复密码和密钥包，这两个 BitLocker 恢复密码和密钥包存储在 AD DS 中。如果您选择仅备份恢复密码，仅恢复密码存储在 AD DS 中。如果您要防止用户启用 BitLocker，除非计算机连接到域，并且与 AD DS BitLocker 恢复信息的备份会成功，请选择请不要启用 BitLocker 之前恢复信息存储在 AD DS 为可移动数据驱动器复选框。请注意如果选中不启用 BitLocker 之前恢复信息存储在 AD DS 为固定的数据驱动器复选框，则会自动生成一个恢复密码。如果您启用此策略设置，您可以控制可供用户从受 BitLocker 保护可移动数据驱动器中恢复数据的方法。如果禁用或未配置此策略设置，BitLocker 恢复支持默认恢复选项。默认情况下允许数据恢复代理、 包括恢复密码和恢复密钥，用户可以指定恢复选项和恢复信息不备份到 AD DS。冲突如果启用了不受 BitLocker 的可移动驱动器拒绝写入访问策略设置，必须不允许使用的恢复密钥。在使用数据恢复代理程序时，您必须启用并配置提供您的组织的唯一标识符策略设置。部署选项以下策略用于支持您的组织中的自定义的部署方案。 为您的组织提供唯一标识符 防止内存覆盖在重新启动 配置 TPM 平台验证配置文件 允许访问受 BitLocker 保护固定数据驱动器从 Windows 的早期版本 从早期版本的 Windows，BitLocker 保护可移动数据驱动器允许访问为您的组织提供唯一标识符此策略设置用于建立用于加密您的组织中的所有驱动器的标识符。驱动器类型所有驱动器策略路径计算机配置 管理模板 windows 组件 ComponentsBitLocker 驱动器加密说明此策略设置，可以使用 BitLocker 将唯一的组织标识符，以启用的新驱动器相关联。这些标识符都存储为标识字段，并允许标识字段。标识字段，可以将一个唯一的组织标识符来受 BitLocker 保护的驱动器相关联。此标识符将自动添加到新的受 BitLocker 保护的驱动器，可以使用 manage-bde 命令行工具来更新现有受 BitLocker 保护驱动器上。需要为受 BitLocker 保护的驱动器上的基于证书的数据恢复代理程序的管理和更新转到读者 BitLocker 标识字段。BitLocker 将管理，并在驱动器上的标识字段与配置标识字段中的值相匹配时才更新数据恢复代理。以类似的方式，BitLocker 将驱动器上的标识字段与配置标识字段的值相匹配时才更新转到读者 BitLocker。允许的标识字段结合使用，与可移动驱动器不受 BitLocker 拒绝写入访问策略设置来控制您的组织中的使用的可移动驱动器。它是从您的组织或其他外部组织的标识字段以逗号分隔列表。您可以使用 manage-bde 命令行工具现有驱动器上配置标识字段。如果启用此策略设置，您可以配置受 BitLocker 保护驱动器上的标识字段和任何允许的标识字段由您的组织。BitLocker 启用的另一台计算机上装载 BitLocker 保护的驱动器时，将使用标识字段和允许的标识字段，以确定驱动器是否来自外部组织。如果您禁用或不配置此策略设置，则不需要标识字段。请注意标识字段所需的管理 BitLocker 保护驱动器上的基于证书的数据恢复代理。BitLocker 将管理和标识字段是驱动器上存在和等同于在计算机上配置的值时，才更新基于证书的数据恢复代理程序。标识字段可以是任何值的 260 个字符或更少。冲突以逗号分隔的多个值可以输入在标识，并允许使用标识字段。防止内存覆盖在重新启动该策略设置用于控制是否