BitLocker 设置参考
适用于: Configuration Manager(current branch)
Configuration Manager 中的 BitLocker 管理策略包含以下策略组:
- 安装
- 操作系统驱动器
- 固定驱动器
- 可移动驱动器
- 客户端管理
以下部分介绍并建议每个组中的设置的配置。
安装
此页上的设置配置全局 BitLocker 加密选项。
驱动器加密方法和密码强度
建议的配置:使用默认或更高的加密方法 启用 。
注意
安装程序属性页包括适用于不同版本的 Windows 的两组设置。 本部分介绍这两者。
Windows 8.1设备
对于Windows 8.1设备,请启用驱动器加密方法和密码强度选项,并选择以下加密方法之一:
- 带漫射器的 AES 128 位
- 带漫射器的 AES 256 位
- AES 128 位 (默认)
- AES 256 位
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMBLEncryptionMethodPolicy。
Windows 10 或更高版本的设备
对于Windows 10或更高版本的设备,请启用驱动器加密方法和密码强度 (Windows 10 或更高版本) 选项。 然后单独为 OS 驱动器、固定数据驱动器和可移动数据驱动器选择以下加密方法之一:
- AES-CBC 128 位
- AES-CBC 256 位
- XTS-AES 128 位(默认)
- XTS-AES 256 位
提示
BitLocker 使用高级加密标准 (AES) 作为其加密算法,可配置密钥长度为 128 或 256 位。 在Windows 10或更高版本的设备上,AES 加密支持加密块链接 (CBC) 或密码文本窃取 (XTS) 。
如果需要在未运行 Windows 10 的设备上使用可移动驱动器,请使用 AES-CBC。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMBLEncryptionMethodWithXts。
驱动器加密和密码强度的一般用法说明
如果禁用或不配置这些设置,BitLocker 将使用默认加密方法。
Configuration Manager在打开 BitLocker 时应用这些设置。
如果驱动器已加密或正在进行中,则对这些策略设置的任何更改都不会更改设备上的驱动器加密。
如果使用默认值,BitLocker 计算机符合性报告可能会将密码强度显示为 未知。 若要解决此问题,请启用此设置并设置密码强度的显式值。
防止重启时内存覆盖
建议的配置: 未配置
配置此策略以提高重启性能,而不会在重启时覆盖内存中的 BitLocker 机密。
如果未配置此策略,则当计算机重启时,BitLocker 会从内存中删除其机密。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMNoOverwritePolicy。
验证智能卡证书使用规则符合性
建议的配置: 未配置
将此策略配置为使用基于智能卡证书的 BitLocker 保护。 然后指定证书 对象标识符。
如果未配置此策略,BitLocker 将使用默认对象标识符 1.3.6.1.4.1.311.67.1.1 来指定证书。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMScCompliancePolicy。
组织唯一标识符
建议的配置: 未配置
将此策略配置为使用基于证书的数据恢复代理或 BitLocker To Go 读取器。
如果未配置此策略,BitLocker 不会使用 “标识” 字段。
如果组织需要更高的安全度量值,请配置 “标识” 字段。 在所有目标 USB 设备上设置此字段,并将其与此设置对齐。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMUidPolicy。
OS 驱动器
此页上的设置配置安装了 Windows 的驱动器的加密设置。
操作系统驱动器加密设置
建议的配置: 已启用
如果启用此设置,用户必须保护 OS 驱动器,BitLocker 会加密驱动器。 如果禁用它,则用户无法保护驱动器。 如果未配置此策略,则无需在 OS 驱动器上提供 BitLocker 保护。
注意
如果驱动器已加密,并且禁用此设置,BitLocker 将解密驱动器。
如果设备没有 受信任的平台模块 (TPM) ,请使用选项 允许没有兼容的 TPM 的 BitLocker (需要密码) 。 此设置允许 BitLocker 加密 OS 驱动器,即使设备没有 TPM。 如果允许此选项,Windows 会提示用户指定 BitLocker 密码。
在具有兼容 TPM 的设备上,启动时可以使用两种类型的身份验证方法,为加密数据提供额外的保护。 计算机启动时,它只能使用 TPM 进行身份验证,也可以要求输入个人标识号 (PIN) 。 配置以下设置:
为操作系统驱动器选择保护程序:将其配置为使用 TPM 和 PIN,或者仅使用 TPM。
为启动配置最小 PIN 长度:如果需要 PIN,此值是用户可以指定的最短长度。 当计算机启动以解锁驱动器时,用户输入此 PIN。 默认情况下,最小 PIN 长度为
4。
提示
为提高安全性,启用具有 TPM + PIN 保护程序的设备时,请考虑在“系统>电源管理>睡眠设置”中禁用以下组策略设置:
睡眠时允许待机状态 (S1-S3) (插入)
在电池) (睡眠时允许 (S1-S3) 待机状态
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMBMSOSDEncryptionPolicy。
允许增强型启动 PIN
建议的配置: 未配置
将 BitLocker 配置为使用增强的启动 PIN。 这些 PIN 允许使用更多字符,例如大写字母和小写字母、符号、数字和空格。 此设置在打开 BitLocker 时适用。
重要
并非所有计算机都可以在预启动环境中支持增强型 PIN。 在启用其使用之前,请评估设备是否与此功能兼容。
如果启用此设置,则所有新的 BitLocker 启动 PIN 允许用户创建增强的 PIN。
- 需要仅限 ASCII 的 PIN:帮助使增强型 PIN 与限制可在预启动环境中输入的字符类型或数量的计算机更兼容。
如果禁用或未配置此策略设置,则 BitLocker 不使用增强型 PIN。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMEnhancedPIN。
操作系统驱动器密码策略
建议的配置: 未配置
使用这些设置可设置密码的约束,以解锁受 BitLocker 保护的 OS 驱动器。 如果允许 OS 驱动器上使用非 TPM 保护程序,请配置以下设置:
为操作系统驱动器配置密码复杂性:若要对密码强制实施复杂性要求,请选择“ 要求密码复杂性”。
操作系统驱动器的最小密码长度:默认情况下,最小长度为
8。要求对可移动 OS 驱动器使用仅限 ASCII 的密码
如果启用此策略设置,用户可以配置满足你定义要求的密码。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-VMPassphrase。
OS 驱动器密码策略的常规用法说明
若要使这些复杂性要求设置生效,还要在计算机配置 Windows 设置>安全>设置帐户>策略密码策略中启用组策略设置>密码必须满足复杂性要求。
BitLocker 在打开时(而不是解锁卷时)会强制实施这些设置。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。
如果使用组策略为加密、哈希和签名启用符合 FIPS 的算法,则不能允许密码作为 BitLocker 保护程序。
在 BitLocker 恢复后重置平台验证数据
建议的配置: 未配置
控制 Windows 在 BitLocker 恢复后启动时是否刷新平台验证数据。
如果启用或未配置此设置,则在这种情况下,Windows 会刷新平台验证数据。
如果禁用此策略设置,则在这种情况下,Windows 不会刷新平台验证数据。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMTpmAutoResealPolicy。
预启动恢复消息和 URL
建议的配置: 未配置
当 BitLocker 锁定 OS 驱动器时,使用此设置在预启动 BitLocker 恢复屏幕上显示自定义恢复消息或 URL。 此设置仅适用于Windows 10或更高版本的设备。
启用此设置时,为预启动恢复消息选择以下选项之一:
使用默认恢复消息和 URL:在预启动 BitLocker 恢复屏幕中显示默认的 BitLocker 恢复消息和 URL。 如果以前配置了自定义恢复消息或 URL,请使用此选项将还原到默认消息。
使用自定义恢复消息:在预启动 BitLocker 恢复屏幕中包含自定义消息。
- 自定义恢复消息选项:键入要显示的自定义消息。 如果还需要指定恢复 URL,请将其包含在此自定义恢复消息中。 最大字符串长度为 32,768 个字符。
使用自定义恢复 URL:替换预启动 BitLocker 恢复屏幕中显示的默认 URL。
- 自定义恢复 URL 选项:键入要显示的 URL。 最大字符串长度为 32,768 个字符。
注意
预启动并非支持所有字符和语言。 首先测试自定义消息或 URL,确保它在预启动 BitLocker 恢复屏幕上正确显示。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMPrebootRecoveryInfo。
OS 驱动器) (加密策略强制设置
建议的配置: 已启用
配置用户可以推迟 OS 驱动器的 BitLocker 合规性的天数。 非符合性宽限期从Configuration Manager首次将其检测为不符合时开始。 此宽限期到期后,用户无法推迟所需的操作或请求豁免。
如果加密过程需要用户输入,则 Windows 中会显示一个对话框,该对话框在用户提供所需信息之前无法关闭。 将来的错误或状态通知将不具有此限制。
如果 BitLocker 不需要用户交互来添加保护程序,则宽限期到期后,BitLocker 会在后台开始加密。
如果禁用或未配置此设置,Configuration Manager不要求用户遵守 BitLocker 策略。
若要立即强制实施策略,请设置宽限期 0。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMUseOsEnforcePolicy。
固定驱动器
此页上的设置为设备中的其他数据驱动器配置加密。
固定数据驱动器加密
建议的配置: 已启用
管理固定数据驱动器加密的要求。 如果启用此设置,BitLocker 要求用户将所有固定数据驱动器置于保护之下。 然后,它会加密数据驱动器。
启用此策略时,请启用自动解锁或 固定数据驱动器密码策略的设置。
- 为固定数据驱动器配置自动解锁:允许或要求 BitLocker 自动解锁任何加密的数据驱动器。 若要使用自动解锁,还需要 BitLocker 来加密 OS 驱动器。
如果未配置此设置,则 BitLocker 不要求用户将固定数据驱动器置于保护之下。
如果禁用此设置,则用户无法将其固定数据驱动器置于 BitLocker 保护下。 如果在 BitLocker 加密固定数据驱动器后禁用此策略,BitLocker 将解密固定数据驱动器。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMBMSFDVEncryptionPolicy。
拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限
建议的配置: 未配置
要求 Windows 的 BitLocker 保护将数据写入设备上的固定驱动器。 BitLocker 在打开时应用此策略。
启用此设置时:
如果 BitLocker 保护固定数据驱动器,则 Windows 会以读取和写入访问权限装载该驱动器。
对于 BitLocker 不保护的任何固定数据驱动器,Windows 将其装载为只读。
如果未配置此设置,Windows 会装载具有读取和写入访问权限的所有固定数据驱动器。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMFDVDenyWriteAccessPolicy。
修复了数据驱动器密码策略
建议的配置: 未配置
使用这些设置可设置密码的约束,以解锁受 BitLocker 保护的固定数据驱动器。
如果启用此设置,用户可以配置满足定义的要求的密码。
为了提高安全性,请启用此设置,然后配置以下设置:
固定数据驱动器需要密码:用户必须指定密码才能解锁受 BitLocker 保护的固定数据驱动器。
为固定数据驱动器配置密码复杂性:若要对密码强制实施复杂性要求,请选择“ 要求密码复杂性”。
固定数据驱动器的最小密码长度:默认情况下,最小长度为
8。
如果禁用此设置,则用户无法配置密码。
如果未配置策略,则 BitLocker 支持使用默认设置的密码。 默认设置不包括密码复杂性要求,并且只需要 8 个字符。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMFDVPassPhrasePolicy。
固定数据驱动器密码策略的常规用法说明
若要使这些复杂性要求设置生效,还要在计算机配置 Windows 设置>安全>设置帐户>策略密码策略中启用组策略设置>密码必须满足复杂性要求。
BitLocker 在打开时(而不是解锁卷时)会强制实施这些设置。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。
如果使用组策略为加密、哈希和签名启用符合 FIPS 的算法,则不能允许密码作为 BitLocker 保护程序。
固定数据驱动器) (加密策略强制设置
建议的配置: 已启用
配置用户可以推迟固定数据驱动器的 BitLocker 合规性的天数。 当Configuration Manager首次将固定数据驱动器检测为不符合时,“不符合”宽限期即开始。 在 OS 驱动器符合要求之前,它不会强制实施固定数据驱动器策略。 宽限期到期后,用户无法推迟所需的操作或请求豁免。
如果加密过程需要用户输入,则 Windows 中会显示一个对话框,该对话框在用户提供所需信息之前无法关闭。 将来的错误或状态通知将不具有此限制。
如果 BitLocker 不需要用户交互来添加保护程序,则宽限期到期后,BitLocker 会在后台开始加密。
如果禁用或未配置此设置,Configuration Manager不要求用户遵守 BitLocker 策略。
若要立即强制实施策略,请设置宽限期 0。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMUseFddEnforcePolicy。
可移动驱动器
此页上的设置为可移动驱动器(例如 USB 密钥)配置加密。
可移动数据驱动器加密
建议的配置: 已启用
此设置控制对可移动驱动器的 BitLocker 的使用。
允许用户对可移动数据驱动器应用 BitLocker 保护:用户可以为可移动驱动器启用 BitLocker 保护。
允许用户在可移动数据驱动器上挂起和解密 BitLocker:用户可以从可移动驱动器中删除或暂时挂起 BitLocker 驱动器加密。
启用此设置并允许用户应用 BitLocker 保护时,Configuration Manager客户端会将有关可移动驱动器的恢复信息保存到管理点上的恢复服务。 此行为允许用户在忘记或丢失保护程序 (密码) 时恢复驱动器。
启用此设置时:
启用可移动数据驱动器密码策略的设置
在“系统>可移动存储访问”中对用户 & 计算机配置禁用以下组策略设置:
- 所有可移动存储类:拒绝所有访问
- 可移动磁盘:拒绝写入访问
- 可移动磁盘:拒绝读取访问权限
如果禁用此设置,则用户无法在可移动驱动器上使用 BitLocker。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMRDVConfigureBDEPolicy。
拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限
建议的配置: 未配置
要求 Windows 的 BitLocker 保护将数据写入设备上的可移动驱动器。 BitLocker 在打开时应用此策略。
启用此设置时:
如果 BitLocker 保护可移动驱动器,Windows 会以读取和写入访问权限装载该驱动器。
对于 BitLocker 不保护的任何可移动驱动器,Windows 会将其装载为只读驱动器。
如果启用 “拒绝对其他组织中配置的设备的写入访问权限”选项,则 BitLocker 仅授予对具有与允许标识字段匹配的标识字段的可移动驱动器的写入访问权限。 在“设置”页上使用“组织唯一标识符”全局设置定义这些字段。
禁用或未配置此设置时,Windows 会装载具有读取和写入访问权限的所有可移动驱动器。
注意
可以使用 系统>可移动存储访问中的组策略设置替代此设置。 如果启用组策略设置可移动磁盘:拒绝写入访问,则 BitLocker 将忽略此Configuration Manager设置。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMRDVDenyWriteAccessPolicy。
可移动数据驱动器密码策略
建议的配置: 已启用
使用这些设置可设置密码的约束,以解锁受 BitLocker 保护的可移动驱动器。
如果启用此设置,用户可以配置满足定义的要求的密码。
为了提高安全性,请启用此设置,然后配置以下设置:
需要可移动数据驱动器的密码:用户必须指定密码才能解锁受 BitLocker 保护的可移动驱动器。
为可移动数据驱动器配置密码复杂性:若要对密码强制实施复杂性要求,请选择“ 要求密码复杂性”。
可移动数据驱动器的最小密码长度:默认情况下,最小长度为
8。
如果禁用此设置,则用户无法配置密码。
如果未配置策略,则 BitLocker 支持使用默认设置的密码。 默认设置不包括密码复杂性要求,并且只需要 8 个字符。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMRDVPassPhrasePolicy。
可移动数据驱动器密码策略的一般用法说明
若要使这些复杂性要求设置生效,还要在计算机配置 Windows 设置>安全>设置帐户>策略密码策略中启用组策略设置>密码必须满足复杂性要求。
BitLocker 在打开时(而不是解锁卷时)会强制实施这些设置。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。
如果使用组策略为加密、哈希和签名启用符合 FIPS 的算法,则不能允许密码作为 BitLocker 保护程序。
客户端管理
此页上的设置配置 BitLocker 管理服务和客户端。
BitLocker Management Services
建议的配置: 已启用
启用此设置后,Configuration Manager自动且无提示地备份站点数据库中的密钥恢复信息。 如果禁用或未配置此设置,Configuration Manager不会保存密钥恢复信息。
选择要存储的 BitLocker 恢复信息:配置密钥恢复服务以备份 BitLocker 恢复信息。 它提供了恢复 BitLocker 加密的数据的管理方法,这有助于防止由于缺少密钥信息而丢失数据。
允许以纯文本形式存储恢复信息:如果没有用于SQL Server的 BitLocker 管理加密证书,Configuration Manager以纯文本形式存储密钥恢复信息。 有关详细信息,请参阅 加密数据库中的恢复数据。
客户端检查状态频率 (分钟) :在配置的频率下,客户端会检查计算机上的 BitLocker 保护策略和状态,并备份客户端恢复密钥。 默认情况下,Configuration Manager客户端每 90 分钟检查一次 BitLocker 状态。
重要
不要将此值设置为小于 60。 较小的频率值可能会导致客户端简要报告不准确的符合性状态。
有关如何使用 Windows PowerShell 创建这些策略的详细信息,请参阅:
用户豁免策略
建议的配置: 未配置
为用户配置联系人方法,以请求 BitLocker 加密的豁免。
如果启用此策略设置,请提供以下信息:
要推迟的最长天数:用户可以推迟强制策略的天数。 默认情况下,此值为
7天 (一周) 。联系人方法:指定用户请求豁免的方式:URL、电子邮件地址或电话号码。
联系人:指定 URL、电子邮件地址或电话号码。 当用户请求 BitLocker 保护的豁免时,他们会看到一个 Windows 对话框,其中包含有关如何应用的说明。 Configuration Manager不会验证输入的信息。
URL:使用标准 URL 格式
https://website.domain.tld。 Windows 将 URL 显示为超链接。Email地址:使用标准电子邮件地址格式
user@domain.tld。 Windows 将地址显示为以下超链接:mailto:user@domain.tld?subject=Request exemption from BitLocker protection。电话号码:指定希望用户呼叫的号码。 Windows 显示具有以下说明的数字:
Please call <your number> for applying exemption。
如果禁用或未配置此设置,Windows 不会向用户显示豁免请求说明。
注意
BitLocker 管理每个用户(而不是每台计算机)的豁免。 如果多个用户登录到同一台计算机,并且任何一个用户都不受豁免,则 BitLocker 将加密计算机。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMBMSUserExemptionPolicy。
安全策略链接的 URL
建议的配置: 已启用
指定要在 Windows 中显示为 公司安全策略 的用户的 URL。 使用此链接为用户提供有关加密要求的信息。 它显示 BitLocker 何时提示用户加密驱动器。
如果启用此设置,请配置 安全策略链接 URL。
如果禁用或未配置此设置,则 BitLocker 不会显示安全策略链接。
有关如何使用 Windows PowerShell 创建此策略的详细信息,请参阅 New-CMMoreInfoUrlPolicy。
后续步骤
如果使用 Windows PowerShell 创建这些策略对象,请使用 New-CMBlmSetting cmdlet。 此 cmdlet 创建包含所有指定策略的 BitLocker 管理策略设置对象。 若要将策略设置部署到集合,请使用 New-CMSettingDeployment cmdlet。