规划 MBAM 2.5 组策略要求
使用以下信息确定 BitLocker 保护程序的类型,这些保护程序可用于管理企业中Microsoft BitLocker 管理和监视 (MBAM) 客户端计算机。
MBAM 支持的 BitLocker 保护程序类型
MBAM 支持以下类型的 BitLocker 保护程序。
| 驱动器或卷的类型 | 支持的 BitLocker 保护程序 |
|---|---|
| 操作系统卷 |
-
受信任的平台模块 (TPM) - TPM + PIN - TPM + USB 密钥 - 仅当操作系统卷在安装 MBAM 之前加密时才受支持 - TPM + PIN + USB 密钥 - 仅当操作系统卷在安装 MBAM 之前加密时才受支持 - 密码 - 仅支持没有 TPM 的 Windows To Go 设备、固定数据驱动器和 Windows 8、Windows 8.1和 Windows 10 设备 - 数字密码 - 作为卷加密的一部分自动应用,除了在 Windows 7 上的 FIPS 模式下外,不需要配置 - 数据恢复代理 (DRA) |
| 固定数据驱动器 |
-
密码 - 自动解锁 - 数字密码 - 作为卷加密的一部分自动应用,除了在 Windows 7 上的 FIPS 模式下外,不需要配置 - 数据恢复代理 (DRA) |
| 可移动驱动器 |
-
密码 - 自动解锁 - 数字密码 - 作为卷加密的一部分自动应用,无需配置 - 数据恢复代理 (DRA) |
支持已用空间加密 BitLocker 策略
在 MBAM 2.5 SP1 中,如果通过 BitLocker 组策略启用已用空间加密,则 MBAM 客户端会遵循它。
此组策略设置称为 在操作系统驱动器上强制实施驱动器加密类型 ,位于以下 GPO 节点中: 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器。 如果启用此策略并选择加密类型为 “仅使用的空间加密”,则 MBAM 将遵循该策略,BitLocker 将仅加密卷上使用的磁盘空间。
如何获取 MBAM 组策略模板并编辑设置
准备好配置所需的 MBAM 组策略设置时,请执行以下步骤:
从 MDOP 组策略模板复制 MBAM 组策略模板 ,并将其安装在能够运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 的计算机上。 有关详细信息,请参阅 复制 MBAM 2.5 组策略模板。
配置要在企业中使用的组策略设置。 有关详细信息,请参阅 编辑 MBAM 2.5 组策略设置。
MBAM 组策略设置的说明
MDOP MBAM (BitLocker Management) GPO 节点包含四个全局策略设置和四个子 GPO 节点:客户端管理、固定驱动器、操作系统驱动器和可移动驱动器。 以下部分介绍并建议 MBAM 组策略设置的设置。
重要提示
不要更改 BitLocker 驱动器加密 节点中的组策略设置,否则 MBAM 将无法正常工作。 在 MDOP MBAM (BitLocker Management) 节点中配置设置时,MBAM 会自动为你配置此节点中的设置。
全局组策略定义
本部分介绍以下 GPO 节点上的 MBAM 全局组策略定义: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) 。
| 策略名称 | 概述和建议的组策略设置 |
|---|---|
| 选择驱动器加密方法和密码强度 |
建议的配置:已启用 将此策略配置为使用特定的加密方法和密码强度。 如果未配置此策略,BitLocker 将使用默认加密方法:AES 128 位和扩散器。 注意:BitLocker 计算机符合性报告的问题会导致它显示“未知”的密码强度,即使使用的是默认值也是如此。 若要解决此问题,请确保启用此设置并设置密码强度值。 - 具有扩散器的 AES 128 位 - 仅适用于 Windows 7 - 适用于 Windows 8、Windows 8.1、Windows 10 和 Windows 11 的 AES 128 |
| 防止重启时内存覆盖 |
建议的配置:未配置 配置此策略以提高重启性能,而不会在重启时覆盖内存中的 BitLocker 机密。 如果未配置此策略,则会在计算机重启时从内存中删除 BitLocker 机密。 |
| 验证智能卡证书使用规则 |
建议的配置:未配置 将此策略配置为使用基于智能卡证书的 BitLocker 保护。 如果未配置此策略,则默认对象标识符 1.3.6.1.4.1.311.67.1.1 用于指定证书。 |
| 为组织提供唯一标识符 |
建议的配置:未配置 将此策略配置为使用基于证书的数据恢复代理或 BitLocker To Go 读取器。 如果未配置此策略,则不使用 “标识” 字段。 如果你的公司需要更高的安全度量,你可以配置 “标识” 字段,以确保所有 USB 设备都具有此字段集,并且它们与此组策略设置保持一致。 |
客户端管理组策略定义
本部分介绍以下 GPO 节点中 MBAM 的客户端管理策略定义: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >客户端管理。
可以为独立拓扑和 System Center Configuration Manager 集成拓扑设置相同的组策略设置,但有一个例外:如果使用 Configuration Manager 集成拓扑,请禁用 配置 MBAM 服务 > MBAM 状态报告服务终结点 设置,如下表所示。
| 策略名称 | 概述和建议的组策略设置 |
|---|---|
| 配置 MBAM 服务 |
建议的配置:已启用 - MBAM 恢复和硬件服务终结点:使用此设置启用 MBAM 客户端 BitLocker 加密管理。 输入类似于以下示例的终结点位置:http () ://<MBAM 管理和监视服务器名称>:<Web 服务绑定到>的端口/MBAMRecoveryAndHardwareService/CoreService.svc。 - 选择要存储的 BitLocker 恢复信息:此策略设置允许配置密钥恢复服务以备份 BitLocker 恢复信息。 它还允许配置用于收集报表的状态报告服务。 该策略提供恢复 BitLocker 加密的数据的管理方法,以防止由于缺少密钥信息而导致数据丢失。 状态报告和密钥恢复活动会自动以无提示方式发送到配置的报表服务器位置。 如果未配置此策略设置或禁用它,则不会保存密钥恢复信息,并且不会向服务器报告状态报告和密钥恢复活动。 当此设置设置为 “恢复密码和密钥包”时,恢复密码和密钥包会自动以无提示方式备份到配置的密钥恢复服务器位置。 - 输入客户端检查状态频率(以分钟为单位):此策略设置管理客户端在客户端计算机上检查 BitLocker 保护策略和状态的频率。 此策略还管理客户端符合性状态保存到服务器的频率。 客户端检查客户端计算机上的 BitLocker 保护策略和状态,并按配置的频率备份客户端恢复密钥。 根据公司针对检查计算机符合性状态的频率和备份客户端恢复密钥的频率设置的要求设置此频率。 - MBAM 状态报告服务终结点: - 对于独立拓扑中的 MBAM:必须配置此设置才能启用 MBAM 客户端 BitLocker 加密管理。 输入类似于以下示例的终结点位置: http () ://<MBAM 管理和监视服务器名称>:<Web 服务绑定到>/MBAMComplianceStatusService/StatusReportingService.svc 的端口。 - 对于 Configuration Manager 集成拓扑中的 MBAM:禁用此设置。 |
| 配置用户豁免策略 |
建议的配置:未配置 此策略设置允许配置网站地址、电子邮件地址或电话号码,以指示用户请求 BitLocker 加密的豁免。 如果启用此策略设置并提供网站地址、电子邮件地址或电话号码,则用户会看到一个对话框,其中包含有关如何申请 BitLocker 保护豁免的说明。 有关为用户启用 BitLocker 加密豁免的详细信息,请参阅 如何管理用户 BitLocker 加密豁免。 如果禁用或未配置此策略设置,则不会向用户显示豁免请求说明。 注意:用户豁免按用户管理,而不是按计算机管理。 如果多个用户登录到同一台计算机,并且任何一个用户都不受豁免,则计算机已加密。 |
| 配置客户体验改善计划 |
建议的配置:已启用 此策略设置允许配置 MBAM 用户加入客户体验改善计划的方式。 此程序收集有关计算机硬件的信息,以及用户如何在不中断其工作的情况下使用 MBAM。 此信息可帮助Microsoft确定要改进的 MBAM 功能。 Microsoft不会使用此信息来标识或联系 MBAM 用户。 如果启用此策略设置,用户可以加入客户体验改善计划。 如果禁用此策略设置,用户将无法加入客户体验改善计划。 如果未配置此策略设置,用户可以加入客户体验改善计划。 |
| 提供安全策略链接的 URL |
建议的配置:已启用 使用此策略设置可以指定一个 URL,该 URL 显示为名为“公司安全策略”的链接。该链接指向公司的内部安全策略,并为最终用户提供有关加密要求的信息。 当 MBAM 提示用户加密驱动器时,将显示此链接。 如果启用此策略设置,则可以配置安全策略链接的 URL。 如果禁用或未配置此策略设置,则不会向用户显示安全策略链接。 |
固定驱动器组策略定义
本部分介绍以下 GPO 节点Microsoft BitLocker 管理和监视的固定驱动器策略定义: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >固定驱动器。
| 策略名称 | 概述和建议的组策略设置 |
|---|---|
| 修复了数据驱动器加密设置 |
建议的配置:已启用 通过此策略设置,可以管理是否必须加密固定数据驱动器。 如果需要加密操作系统卷,请选择“ 启用自动解锁固定数据驱动器”。 启用此策略时,除非启用或要求 使用固定数据驱动器的 自动锁定,否则不得禁用配置对固定数据驱动器使用密码策略。 如果必须对固定数据驱动器使用自动锁定,则必须配置要加密的操作系统卷。 如果启用此策略设置,则要求用户将所有固定数据驱动器置于 BitLocker 保护下,然后对数据驱动器进行加密。 如果未配置此策略设置,则用户无需将固定数据驱动器置于 BitLocker 保护之下。 如果在加密固定数据驱动器后应用此策略,MBAM 代理将解密加密的固定数据驱动器。 如果禁用此策略设置,则用户无法将其固定数据驱动器置于 BitLocker 保护之下。 |
| 拒绝对不受 BitLocker 保护的固定驱动器的写访问 |
建议的配置:未配置 此策略设置确定在计算机上可写固定数据驱动器是否需要 BitLocker 保护。 打开 BitLocker 时会应用此策略设置。 如果未配置策略,则使用读/写权限装载计算机上的所有固定数据驱动器。 |
| 允许从早期版本的 Windows 访问受 BitLocker 保护的固定驱动器 |
建议的配置:未配置 启用此策略,以便在运行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或带有 SP2 的 Windows XP 的计算机上解锁和查看带有 FAT 文件系统的固定驱动器。 启用或未配置策略后,可以使用 FAT 文件系统解锁格式化的固定驱动器,并且可以在运行 Windows Server 2008、Windows Vista、Windows XP SP3 或带有 SP2 的 Windows XP 的计算机上查看其内容。 这些操作系统对受 BitLocker 保护的驱动器具有只读权限。 禁用策略后,无法解锁使用 FAT 文件系统格式化的固定驱动器,并且无法在运行 Windows Server 2008、Windows Vista、带 SP3 的 Windows XP 或带有 SP2 的 Windows XP 的计算机上查看其内容。 |
| 配置固定驱动器的密码使用 |
建议的配置:未配置 使用此策略可以指定是否需要密码才能解锁受 BitLocker 保护的固定数据驱动器。 如果启用此策略设置,用户可以配置满足你定义要求的密码。 BitLocker 使用户能够使用驱动器上可用的任何保护程序解锁驱动器。 当你打开 BitLocker 时,而不是解锁卷时,会强制实施这些设置。 如果禁用此策略设置,则不允许用户使用密码。 如果未配置策略,则默认设置支持密码,这些设置不包括密码复杂性要求,并且只需要 8 个字符。 为了提高安全性,请启用此策略,然后选择“ 需要固定数据驱动器的密码”,选择“ 需要密码复杂性”,并设置所需的 最小密码长度 。 如果禁用此策略设置,则不允许用户使用密码。 如果未配置此策略设置,则默认设置支持密码,这些设置不包括密码复杂性要求,并且只需要 8 个字符。 |
| 选择如何恢复受 BitLocker 保护的固定驱动器 |
建议的配置:未配置 配置此策略以启用 BitLocker 数据恢复代理或将 BitLocker 恢复信息保存到 Active Directory 域服务 (AD DS) 。 如果未配置策略,则允许 BitLocker 数据恢复代理,并且不会将恢复信息备份到 AD DS。 MBAM 不需要将恢复信息备份到 AD DS。 |
| 加密策略强制设置 |
建议的配置:已启用 使用此策略设置可以配置固定数据驱动器在强制遵守 MBAM 策略之前可能保持不合规的天数。 在宽限期后,用户无法推迟所需的操作或请求豁免。 当确定固定数据驱动器不符合时,宽限期将开始。 但是,在操作系统驱动器符合要求之前,不会强制实施固定数据驱动器策略。 如果宽限期过期且固定数据驱动器仍不符合要求,则用户无法选择推迟或请求豁免。 如果加密过程需要用户输入,则会出现一个对话框,用户只有在提供所需信息后才能关闭。 在配置固定驱动器的不符合宽限期天数中输入 0,以强制加密过程在操作系统驱动器的宽限期到期后立即开始。 如果禁用或未配置此设置,则不会强制用户遵守 MBAM 策略。 如果无需用户交互即可添加保护程序,加密将在宽限期到期后在后台开始。 |
操作系统驱动器组策略定义
本部分介绍以下 GPO 节点上Microsoft BitLocker 管理和监视的操作系统驱动器策略定义: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >操作系统驱动器。
| 策略名称 | 概述和建议的组策略设置 |
|---|---|
| 操作系统驱动器加密设置 |
建议的配置:已启用 此策略设置允许你管理操作系统驱动器是否必须加密。 为了提高安全性,在使用 TPM + PIN 保护器启用系统电源管理>睡眠设置时,请考虑禁用>以下策略设置:
在具有兼容 TPM 的计算机上,启动时可以使用两种类型的身份验证方法,为加密数据提供额外的保护。 计算机启动时,它只能使用 TPM 进行身份验证,也可以要求输入个人标识号 (PIN) 。 如果启用此策略设置,用户必须将操作系统驱动器置于 BitLocker 保护下,然后该驱动器将加密。 如果禁用此策略,则用户无法将操作系统驱动器置于 BitLocker 保护下。 如果在操作系统驱动器加密后应用此策略,则会解密该驱动器。 如果未配置此策略,则无需将操作系统驱动器置于 BitLocker 保护之下。 |
| 允许用于启动的增强型 PIN |
建议的配置:未配置 使用此策略设置来配置是否将增强的启动 PIN 与 BitLocker 一起使用。 增强的启动 PIN 允许使用字符,包括大写字母和小写字母、符号、数字和空格。 打开 BitLocker 时会应用此策略设置。 如果启用此策略设置,所有新的 BitLocker 启动 PIN 集将使最终用户能够创建增强的 PIN。 但是,并非所有计算机都可以在预启动环境中支持增强型 PIN。 强烈建议管理员在启用此功能之前评估其系统是否与此功能兼容。 选中“ 仅需要 ASCII PIN ”复选框,以帮助使增强的 PIN 与限制可在预启动环境中输入的字符类型或数量的计算机更兼容。 如果禁用或未配置此策略设置,则不使用增强型 PIN。 |
| 选择如何恢复受 BitLocker 保护的操作系统驱动器 |
建议的配置:未配置 配置此策略以启用 BitLocker 数据恢复代理或将 BitLocker 恢复信息保存到 Active Directory 域服务 (AD DS) 。 如果未配置此策略,则允许数据恢复代理,并且不会将恢复信息备份到 AD DS。 MBAM 操作不需要将恢复信息备份到 AD DS。 |
| 为操作系统驱动器配置密码的使用 |
建议的配置:未配置 使用此策略设置可设置用于解锁受 BitLocker 保护的操作系统驱动器的密码的约束。 如果操作系统驱动器上允许使用非 TPM 保护程序,则可以预配密码、对密码强制实施复杂性要求,并为密码配置最小长度。 若要使复杂性要求设置生效,还必须启用位于计算机配置 Windows > 设置>安全>设置帐户>策略密码策略中的组策略设置“密码必须满足复杂性要求”。 注意: 当你打开 BitLocker 时,而不是解锁卷时,会强制实施这些设置。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。 如果启用此策略设置,用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求,请选择“ 要求密码复杂性”。 |
| 为基于 BIOS 的固件配置配置 TPM 平台验证配置文件 |
建议的配置:未配置 使用此策略设置,可以配置计算机的受信任平台模块 (TPM) 安全硬件如何保护 BitLocker 加密密钥。 如果计算机没有兼容的 TPM,或者 BitLocker 已使用 TPM 保护打开,则此策略设置不适用。 重要: 此组策略设置仅适用于具有 BIOS 配置的计算机或具有 UEFI 固件且启用了兼容性服务模块 (CSM) 的计算机。 使用本机 UEFI 固件配置的计算机将不同的值存储在平台配置寄存器 (PCR) 。 使用“为本机 UEFI 固件配置配置 TPM 平台验证配置文件”组策略设置为使用本机 UEFI 固件的计算机配置 TPM PCR 配置文件。 如果在打开 BitLocker 之前启用此策略设置,则可以在解锁对 BitLocker 加密操作系统驱动器的访问权限之前配置 TPM 验证的启动组件。 如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,TPM 不会释放加密密钥来解锁驱动器,而计算机会显示 BitLocker 恢复控制台,并要求你提供恢复密码或恢复密钥来解锁驱动器。 如果禁用或未配置此策略设置,BitLocker 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。 |
| 配置 TPM 平台验证配置文件 |
建议的配置:未配置 使用此策略设置,可以配置计算机的受信任平台模块 (TPM) 安全硬件如何保护 BitLocker 加密密钥。 如果计算机没有兼容的 TPM,或者 BitLocker 已打开 TPM 保护,则此策略设置不适用。 如果在打开 BitLocker 之前启用此策略设置,则可以在解锁对 BitLocker 加密操作系统驱动器的访问权限之前配置 TPM 验证的启动组件。 如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,TPM 不会释放加密密钥来解锁驱动器,而计算机会显示 BitLocker 恢复控制台,并要求你提供恢复密码或恢复密钥来解锁驱动器。 如果禁用或未配置此策略设置,BitLocker 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。 |
| 为本机 UEFI 固件配置配置 TPM 平台验证配置文件 |
建议的配置:未配置 使用此策略设置,可以配置计算机的受信任平台模块 (TPM) 安全硬件如何保护 BitLocker 加密密钥。 如果计算机没有兼容的 TPM,或者 BitLocker 已使用 TPM 保护打开,则此策略设置不适用。 重要: 此组策略设置仅适用于具有本机 UEFI 固件配置的计算机。 如果在打开 BitLocker 之前启用此策略设置,则可以配置 TPM 在解锁对 BitLocker 加密操作系统驱动器的访问权限之前验证的启动组件。 如果这些组件中的任何一个在 BitLocker 保护生效时发生更改,TPM 不会释放加密密钥来解锁驱动器,而计算机会显示 BitLocker 恢复控制台,并要求你提供恢复密码或恢复密钥来解锁驱动器。 如果禁用或未配置此策略设置,BitLocker 将使用默认平台验证配置文件或由安装脚本指定的平台验证配置文件。 |
| 在 BitLocker 恢复后重置平台验证数据 |
建议的配置:未配置 使用此策略设置来控制在 BitLocker 恢复后启动 Windows 时是否刷新平台验证数据。 如果启用此策略设置,则会在 BitLocker 恢复后启动 Windows 时刷新平台验证数据。 如果禁用此策略设置,在 BitLocker 恢复后启动 Windows 时,平台验证数据不会刷新。 如果未配置此策略设置,在 BitLocker 恢复后启动 Windows 时,将刷新平台验证数据。 |
| 使用增强的启动配置数据验证配置文件 |
建议的配置:未配置 此策略设置允许你选择特定的启动配置数据 (BCD) 设置,以在平台验证期间进行验证。 如果启用此策略设置,则可以添加其他设置和/或删除默认设置。 如果禁用此策略设置,计算机将还原为类似于 Windows 7 使用的默认 BCD 配置文件的 BCD 配置文件。 如果未配置此策略设置,计算机将验证默认的 Windows BCD 设置。 注意: 当 BitLocker 将安全启动用于平台和启动配置数据 (BCD) 完整性验证时(如“允许安全启动进行完整性验证”策略所定义),将忽略“使用增强的启动配置数据验证配置文件”策略。 控制启动调试 (0x16000010) 的设置始终经过验证,如果包含在提供的字段中,则不会生效。 |
| 加密策略强制设置 |
建议的配置:已启用 使用此策略设置可以配置用户可以推迟遵守其操作系统驱动器的 MBAM 策略的天数。 宽限期从首次检测到操作系统不合规时开始。 此宽限期到期后,用户无法推迟所需的操作或请求豁免。 如果加密过程需要用户输入,则会出现一个对话框,用户只有在提供所需信息后才能关闭。 如果禁用或未配置此设置,则不会强制用户遵守 MBAM 策略。 如果无需用户交互即可添加保护程序,加密将在宽限期到期后在后台开始。 |
| 配置预启动恢复消息和 URL |
建议的配置:未配置 启用此策略设置以配置自定义恢复消息,或指定在 OS 驱动器锁定时显示在预启动 BitLocker 恢复屏幕上的 URL。 此设置仅适用于运行 Windows 11 和 Windows 10 的客户端计算机。 启用此策略后,可以为预启动恢复消息选择以下选项之一:
|
可移动驱动器组策略定义
本部分介绍以下 GPO 节点上的 Microsoft BitLocker 管理和监视的可移动驱动器组策略定义: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >可移动驱动器。
| 策略名称 | 概述和建议的组策略设置 |
|---|---|
| 控制在可移动驱动器上使用 BitLocker |
建议的配置:已启用 此策略控制在可移动数据驱动器上使用 BitLocker。 选择“ 允许用户对可移动数据驱动器应用 BitLocker 保护 ”,以允许用户在可移动数据驱动器上运行 BitLocker 安装向导。 选择“ 允许用户暂停和解密可移动数据驱动器上的 BitLocker ”,使用户能够从驱动器中删除 BitLocker 驱动器加密,或者在执行维护时暂停加密。 启用此策略并选择“ 允许用户对可移动数据驱动器应用 BitLocker 保护”后,MBAM 客户端会将有关可移动驱动器的恢复信息保存到 MBAM 密钥恢复服务器,并允许用户在密码丢失时恢复驱动器。 |
| 拒绝对不受 BitLocker 保护的可移动驱动器的写访问 |
建议的配置:未配置 启用此策略以仅允许对受 BitLocker 保护的驱动器的写入权限。 启用此策略后,计算机上的所有可移动数据驱动器都需要加密,然后才允许写入权限。 |
| 允许从早期版本的 Windows 访问受 BitLocker 保护的可移动驱动器 |
建议的配置:未配置 启用此策略以允许在运行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或带有 SP2 的 Windows XP 的计算机上解锁和查看具有 FAT 文件系统的固定驱动器。 如果未配置此策略,则可以在运行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或带有 SP2 的 Windows XP 的计算机上解锁使用 FAT 文件系统格式化的可移动驱动器,并且可以查看其内容。 这些操作系统对受 BitLocker 保护的驱动器具有只读权限。 禁用策略后,无法使用 FAT 文件系统进行格式化的可移动驱动器解锁,并且无法在运行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或带有 SP2 的 Windows XP 的计算机上查看其内容。 |
| 配置对可移动数据驱动器使用密码 |
建议的配置:未配置 启用此策略可在可移动数据驱动器上配置密码保护。 如果未配置此策略,则默认设置支持密码,这些设置不包括密码复杂性要求,并且只需要 8 个字符。 为了提高安全性,可以启用此策略并选择“ 需要可移动数据驱动器的密码”,选择“ 需要密码复杂性”,并设置首选 的最小密码长度。 |
| 选择如何恢复受 BitLocker 保护的可移动驱动器 |
建议的配置:未配置 配置此策略以启用 BitLocker 数据恢复代理或将 BitLocker 恢复信息保存到 Active Directory 域服务 (AD DS) 。 如果设置为 “未配置”,则允许数据恢复代理,并且恢复信息不会备份到 AD DS。 MBAM 操作不需要将恢复信息备份到 AD DS。 |