BitLocker 组策略参考.docx
《BitLocker 组策略参考.docx》由会员分享,可在线阅读,更多相关《BitLocker 组策略参考.docx(32页珍藏版)》请在冰豆网上搜索。
BitLocker组策略参考
BitLocker组策略参考
BitLocker最初打开驱动器时,将应用的大多数BitLocker组策略设置。
如果计算机不符合现有的组策略设置,BitLocker可能无法打开或修改计算机中的法规遵从性状态之前。
合规性组策略设置(例如,如果组策略设置已更改您的单位在初始BitLocker部署完成后,然后应用到以前加密的驱动器)的驱动器时,可以对除改变,使其符合该驱动器的BitLocker配置不进行任何更改。
如果不将驱动器放入法规遵从性需要多个更改,您必须挂起BitLocker保护、进行必要的更改,然后恢复保护。
发生这种情况,例如,如果要使用密码取消锁定最初配置可移动驱动器,然后更改组策略设置以禁止密码,并要求使用智能卡。
在此情况下,BitLocker保护需要使用manage-bde命令行工具,挂起密码取消锁定方法删除,并添加智能卡方法。
在完成此操作后,BitLocker与组策略设置符合标准,并可以恢复BitLocker保护驱动器上。
有关使用manage-bde命令行工具的详细信息,请参阅 管理bde.exe参数引用 .
以下各节提供了使用按组织的策略设置的完整列表。
BitLocker组策略设置包括对特定的驱动器类型(操作系统驱动器、固定数据驱动器和可移动数据驱动器)和应用到所有驱动器的设置。
∙解除锁定的方法
∙访问和使用BitLocker驱动器
∙加密强度
∙驱动器故障恢复
∙部署选项
每一节列出的策略设置的影响类型的用法的并提供对使用该策略设置,如果您启用此策略设置与策略设置路径、策略设置描述,以及任何潜在的冲突区域使用的驱动器类型的引用。
解除锁定的方法
以下策略设置可用于确定如何受BitLocker保护的驱动器可以解锁。
∙要求在启动时的其他身份验证
∙允许增强的Pin进行启动
∙配置最小PIN长度
∙需要额外的身份验证(WindowsServer2008和WindowsVista)启动时
∙固定的数据驱动器上配置使用的智能卡
∙固定的数据驱动器上配置使用的密码
∙可移动数据驱动器上配置使用的智能卡
∙可移动数据驱动器上配置使用的密码
∙验证智能卡证书使用规则一致性
要求在启动时的其他身份验证
此策略设置用于控制Windows7操作系统驱动器提供了哪些解除锁定选项。
驱动器类型
操作系统驱动器(Windows7和WindowsServer2008R2)
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器Encryption\Operating系统驱动器
说明
此策略设置允许您配置是否BitLocker需要额外的身份验证每次计算机启动的时,无论您使用BitLocker与或不受信任的平台模块(TPM)。
当您打开BitLocker时,将应用此策略设置。
如果您要在没有TPM的计算机上使用BitLocker,选择不兼容的TPM的情况下允许BitLocker复选框。
在此模式中,USB驱动器启动时必须和用来加密驱动器的关键信息存储在USB驱动器中,创建usb闪存盘上。
当插入usb闪存盘时,驱动器的访问进行身份验证并且可以访问该驱动器。
如果usb闪存盘丢失或不可用,您需要使用BitLocker恢复选项之一来访问该驱动器。
在兼容的TPM的计算机,四种类型的身份验证方法可用来在启动时提供的加密数据的附加的保护。
当计算机启动时,计算机可以仅TPM用于身份验证,或它还可以要求插入USB闪存驱动器包含启动密钥、4位到20位个人识别码(PIN),或这二者的条目。
如果您启用此策略设置,用户可以配置BitLocker安装向导中的高级的启动选项。
如果您禁用或不配置此策略设置,用户可以使用TPM配置只有基本选项的计算机上。
请注意
可以在启动;要求进行额外的身份验证选项中只有一个否则,将策略发生错误。
如果您要用于身份验证之前解锁操作系统驱动器启动PIN和USB闪存驱动器,则必须启用BitLocker的BitLocker驱动器加密安装向导而不是使用manage-bde命令行工具。
在此情况下,此策略设置应保留为不配置。
冲突
如果需要一个身份验证方法,则不能允许使用其他方法。
使用的不兼容的TPMBitLocker,TPM启动密钥,TPM启动密钥或PIN必须禁止如果启用了拒绝写入访问可移动驱动器不受BitLocker策略设置。
允许增强的Pin进行启动
使用包含一个PIN解除锁定方法时,此策略设置将允许使用增强的Pin。
驱动器类型
操作系统驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器Encryption\Operating系统驱动器
说明
此策略设置允许您配置是否使用BitLocker使用增强的启动Pin。
增强的启动Pin允许使用的字符包括大写和小写字母、符号、数字和空格。
当您打开BitLocker时,将应用此策略设置。
如果您启用此策略设置,设置将为所有新BitLocker启动Pin增强的针脚。
受使用标准启动PIN不受影响的现有驱动器。
重要
并非所有计算机都支持预启动环境中的增强的pin码字符。
强烈建议用户执行系统检查,以验证可以使用增强的pin码字符的BitLocker安装过程中。
如果您禁用或不配置此策略设置,将不使用增强的Pin。
冲突
无
配置最小PIN长度
此策略设置用于设置最小PIN长度时使用的包含一个PIN解除锁定方法。
驱动器类型
操作系统驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器Encryption\Operating系统驱动器
说明
此策略设置允许您配置TPM启动PIN的最小长度。
当您打开BitLocker时,将应用此策略设置。
启动PIN必须4位数字的最小长度,并且可以具有最大长度为20位数。
如果您启用此策略设置,您可以要求设置启动PIN时使用最小位数。
如果您禁用或不配置此策略设置,用户可以配置启动4到20位数之间任意长度的旋转中心点。
冲突
无
需要额外的身份验证(WindowsServer2008和WindowsVista)启动时
此策略设置用于控制哪些解锁选项对运行WindowsServer2008或WindowsVista的计算机可用。
驱动器类型
操作系统驱动器(WindowsServer2008和WindowsVista)
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器Encryption\Operating系统驱动器
说明
此策略设置允许您控制是否在运行WindowsVista或WindowsServer2008的计算机上的BitLocker驱动器加密安装向导将能够设置每次计算机启动的时所需的其他身份验证方法。
当您打开BitLocker时,将应用此策略设置。
在兼容的TPM的计算机,这两种身份验证方法可用来在启动时提供的加密数据的附加的保护。
当计算机启动时,它可以要求用户插入包含启动密钥的USB闪存驱动器。
它还可以要求用户为20位启动PIN输入4位数字。
不兼容的TPM的计算机上需要包含启动密钥的USB闪存驱动器。
TPM,而不只被受此USB闪存驱动器上的密钥材料BitLocker加密数据。
如果您启用此策略设置,则向导将显示以允许用户配置BitLocker的高级的启动选项页。
使用和不TPM,您可以进一步配置计算机的设置选项。
如果您禁用或不配置此策略设置,BitLocker安装向导将显示允许用户使用TPM的计算机上启用BitLocker的基本步骤。
在此基本向导中,可以配置任何其他的启动密钥或启动PIN。
冲突
如果您选择需要额外的身份验证方法,其他人不能允许使用的身份验证方法。
固定的数据驱动器上配置使用的智能卡
此策略设置用于要求、允许或拒绝使用智能卡与固定的数据驱动器。
驱动器类型
固定的数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Fixed数据驱动器
说明
此策略设置允许您指定是否可以使用智能卡进行身份验证的用户访问计算机上的受BitLocker保护固定的数据驱动器。
如果您启用此策略设置,智能卡可用于进行身份验证的用户访问该驱动器。
您可以通过选择要求使用固定的数据驱动器上的智能卡复选框来要求智能卡身份验证。
请注意
当打开BitLocker,而不是解除锁定的驱动器时,这些设置会强制执行。
BitLocker将允许对驱动器解锁任何驱动器上可用的保护程序。
如果禁用此策略设置,不允许用户使用智能卡进行身份验证他们对BitLocker保护固定的数据驱动器的访问。
如果不配置此策略设置,智能卡可用于验证用户对BitLocker保护的驱动器的访问。
冲突
若要使用智能卡使用BitLocker,可能还需要修改计算机配置\管理模板Templates\BitLocker驱动器Encryption\Validate智能卡证书使用规则法规遵从性策略设置以匹配您的智能卡证书的对象标识符中的对象的标识符设置。
固定的数据驱动器上配置使用的密码
此策略设置用于要求、允许或拒绝使用固定的数据驱动器使用的密码。
驱动器类型
固定的数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Fixed数据驱动器
说明
此策略设置用于指定是否需要密码来解锁受BitLocker保护固定的数据驱动器。
如果您选择允许使用的密码,您可以要求使用密码,强制执行密码复杂性要求和配置的密码的最小长度。
为有效的复杂性要求设置,必须还启用组策略设置的计算机配置\windows设置\安全设置\帐户策略\密码必须符合复杂性要求。
请注意
当打开BitLocker,而不是解除锁定的驱动器时,这些设置会强制执行。
BitLocker将允许对驱动器解锁任何驱动器上可用的保护程序。
如果您启用此策略设置,用户可以配置符合您定义的要求的密码。
如果需要使用密码,请选择需要密码对固定的数据驱动器。
若要强制对密码复杂性要求,请选中要求复杂性。
如果设置为要求的复杂性,域控制器的连接则需要启用BitLocker,以验证密码的复杂性。
设置为允许复杂性时,域控制器的连接将尝试验证符合复杂性策略设置的规则。
但是,如果发现没有域控制器,密码将仍然被接受而无需考虑的实际密码复杂性,驱动器将被加密为保护器使用该密码。
如果设置为不允许的复杂性,没有密码复杂性验证将不会完成。
密码必须至少为8个字符。
若要配置一个更大的最小长度的密码,请在最小密码长度框中输入所需的字符数。
如果禁用此策略设置,用户不允许使用的密码。
如果不配置此策略设置,将使用默认设置,这不包括密码复杂性要求,并要求仅为8个字符支持密码。
重要
如果启用了FIPS兼容,则不能使用密码。
系统加密:
使用FIPS兼容的算法来加密、哈希和签名 系统加密:
使用FIPS兼容的算法来加密、哈希和签名 在计算机配置\windows设置\安全设置\本地策略\安全选项策略设置用于指定是否启用FIPS法规遵从性。
冲突
若要使用密码复杂性,还必须启用计算机配置\windows设置\安全设置\帐户策略\密码必须符合复杂性要求策略设置。
每台计算机的基础上配置此策略设置。
这意味着它将应用于本地用户帐户和域用户帐户。
因为用来验证密码复杂性密码筛选器位于域的域控制器上,本地用户帐户将不能访问密码筛选器,因为它们不需要身份验证的域访问。
启用此策略设置时,如果您使用本地用户帐户身份登录,并且您尝试对驱动器进行加密或现有的BitLocker保护的驱动器上更改密码,将显示"访问被拒绝"错误消息。
在此情况下,密码密钥保护程序不能添加到驱动器。
启用此策略设置,则需要将密码密钥保护程序添加到受BitLocker保护驱动器之前建立连接到域。
实现远程工作及具有长时间无法连接到域的用户应当了解的这一要求,以便他们可以安排的时间时它们将连接到域打开BitLocker或受BitLocker保护的数据驱动器上更改密码。
可移动数据驱动器上配置使用的智能卡
此策略设置用于要求、允许或拒绝使用可移动数据驱动器使用的智能卡。
驱动器类型
可移动数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Removable数据驱动器
说明
此策略设置允许您指定是否可以使用智能卡进行身份验证的用户访问计算机上的受BitLocker保护可移动数据驱动器。
如果您启用此策略设置,智能卡可用于进行身份验证的用户访问该驱动器。
您可以通过选择需要使用的可移动数据驱动器上的智能卡复选框来要求智能卡身份验证。
请注意
当打开BitLocker,而不是解除锁定的驱动器时,这些设置会强制执行。
BitLocker将允许对驱动器解锁任何驱动器上可用的保护程序。
如果禁用此策略设置,不允许用户使用智能卡进行身份验证他们对BitLocker保护可移动数据驱动器的访问。
如果不配置此策略设置,智能卡可供进行身份验证的用户访问受BitLocker保护可移动数据驱动器。
冲突
若要使用智能卡使用BitLocker,可能还需要修改计算机配置\管理模板Templates\BitLocker驱动器Encryption\Validate智能卡证书使用规则法规遵从性策略设置以匹配您的智能卡证书的对象标识符中的对象的标识符设置。
可移动数据驱动器上配置使用的密码
此策略设置用于要求、允许或拒绝使用可移动数据驱动器使用的密码。
驱动器类型
可移动数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Removable数据驱动器
说明
此策略设置用于指定是否需要密码来解锁受BitLocker保护可移动数据驱动器。
如果您选择允许使用密码,您可以要求使用、强制实施的复杂性要求,以及配置最小长度的密码。
为有效,组策略设置位于计算机配置\windows设置\安全设置\帐户策略中的密码必须符合复杂性要求还必须启用的复杂性要求设置。
请注意
当打开BitLocker,而不是解除锁定的驱动器时,这些设置会强制执行。
BitLocker将允许对驱动器解锁任何驱动器上可用的保护程序。
如果您启用此策略设置,用户可以配置符合您定义的要求的密码。
若要要求使用密码,请选中需要密码的可移动数据驱动器。
若要强制对密码复杂性要求,请选中要求复杂性。
如果设置为要求的复杂性,域控制器的连接则需要启用BitLocker,以验证密码的复杂性。
设置为允许复杂性时,域控制器的连接将尝试验证符合复杂性策略设置的规则。
但是,如果发现没有域控制器,密码将仍然被接受而无需考虑的实际密码复杂性,驱动器将被加密为保护器使用该密码。
如果设置为不允许的复杂性,没有密码复杂性验证将不会完成。
密码必须至少为8个字符。
若要配置一个更大的最小长度的密码,请在最小密码长度框中输入所需的字符数。
如果禁用此策略设置,用户不允许使用的密码。
如果不配置此策略设置,将使用默认设置,这不包括密码复杂性要求,并要求仅为8个字符支持密码。
请注意
如果启用了FIPS兼容,则不能使用密码。
系统加密:
使用FIPS兼容的算法来加密、哈希和签名 系统加密:
使用FIPS兼容的算法来加密、哈希和签名 在计算机配置\windows设置\安全设置\本地策略\安全选项策略设置用于指定是否启用FIPS法规遵从性。
冲突
若要使用密码复杂性,还必须启用了密码必须符合复杂性要求策略设置位于计算机配置\windows设置\安全设置\帐户策略。
验证智能卡证书使用规则一致性
此策略设置用于确定要使用BitLocker使用何种证书。
驱动器类型
固定和可移动数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器加密
说明
此策略设置允许您将对象标识符从智能卡证书到受BitLocker保护的驱动器相关联。
当您打开BitLocker时,将应用此策略设置。
增强型密钥用法(EKU)的证书中指定的对象标识符。
BitLocker可确定哪些证书可用于匹配的证书中的对象标识符,由该策略设置定义的对象标识符与使用BitLocker保护的驱动器的用户证书进行身份验证。
默认的对象标识符是1.3.6.1.4.1.311.67.1.1。
请注意
BitLocker不需要证书具有EKU属性。
但是,如果其中一个配置的证书,它必须设置为匹配BitLocker为配置的对象标识符的对象标识符中。
如果您启用此策略设置,请在对象标识符设置中指定的对象标识符必须匹配的智能卡证书中的对象标识符。
如果您禁用或不配置此策略设置,则使用默认的对象标识符。
冲突
无
访问和使用BitLocker驱动器
以下策略设置用于控制用户如何访问驱动器以及他们如何使用BitLocker他们的计算机上。
∙拒绝不受BitLocker的固定驱动器的写入访问权限
∙拒绝不受BitLocker的可移动驱动器的写入访问权限
∙控制使用BitLocker的可移动驱动器上
拒绝不受BitLocker的固定驱动器的写入访问权限
此策略设置用于需要加密的固定驱动器才能授予写访问权限。
驱动器类型
固定的数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Fixed数据驱动器
说明
该策略设置确定是否需要为一台计算机上可写入的固定的数据驱动器BitLocker保护。
当您打开BitLocker时,将应用此策略设置。
如果您启用此策略设置,将以只读方式装载不受BitLocker保护的所有固定的数据驱动器。
如果驱动器受BitLocker,它将装载使用读/写访问权限。
如果您禁用或不配置此策略设置,将会在计算机上的所有固定的数据驱动器装入使用读/写访问权限。
冲突
启用此策略设置时,用户将收到"访问被拒绝"错误消息,当他们试图将保存到未加密的固定的数据驱动器。
如果启用此策略设置后,将在计算机上运行BdeHdCfg,您可能会遇到以下问题:
∙如果您尝试缩小该驱动器并创建系统驱动器,驱动器大小将会成功地减小并创建原始分区。
但是,原始分区将被格式化。
将显示以下错误消息:
"的新的活动驱动器无法格式化。
可能需要手动将您的驱动器准备BitLocker。
∙如果您试图使用未分配的空间创建系统驱动器,将创建原始分区。
但是,原始分区将被格式化。
将显示以下错误消息:
"的新的活动驱动器无法格式化。
可能需要手动将您的驱动器准备BitLocker。
∙如果您试图将现有驱动器合并到系统驱动器,该工具将无法复制到目标驱动器创建系统驱动器上的所需的引导程序文件。
将显示以下错误消息:
"BitLocker安装程序无法复制启动文件。
可能需要手动将您的驱动器准备BitLocker。
如果实施该策略设置时,因为驱动器受到保护一个硬驱不能被重新分区。
如果在您的组织从以前版本的Windows中升级计算机,这些计算机配置带有单个分区,则应创建所需的BitLocker系统分区之前应用于计算机的策略设置。
拒绝不受BitLocker的可移动驱动器的写入访问权限
需要加密的可移动驱动器才能授予写访问权限并控制是否可以具有写访问权限打开BitLocker保护的可移动驱动器配置另一组织中的使用此策略设置。
驱动器类型
可移动数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Removable数据驱动器
说明
此策略设置配置是否BitLocker保护计算机都必须能够将数据写入可移动数据驱动器。
如果您启用此策略设置,不受BitLocker保护的所有可移动数据驱动器将以只读方式装载。
如果驱动器受BitLocker,它将装载使用读/写访问权限。
如果选择拒绝写入访问另一组织中配置设备选项,则仅使用标识字段匹配的计算机的标识字段的驱动器将授予写访问权限。
当访问可移动数据驱动器时,它将检查对有效的身份证字段并允许标识字段。
通过提供为您的组织的唯一标识符策略设置定义这些字段。
如果您禁用或不配置此策略设置,将会在计算机上的所有可移动数据驱动器装入使用读/写访问权限。
请注意
在用户配置\管理模板系统\可移动存储访问下的策略设置可以重写此策略设置。
如果可移动磁盘:
拒绝写入访问策略设置,则此策略设置将被忽略。
冲突
使用如果启用可移动驱动器不受BitLocker拒绝写入访问策略设置,则必须的BitLocker不兼容TPM,TPM+启动密钥,或TPM+PIN+启动的情况下允许密钥。
如果启用了不受BitLocker的可移动驱动器拒绝写入访问策略设置,必须不允许使用的恢复密钥。
您必须启用提供您的组织的唯一标识符策略设置如果您要拒绝在另一个组织中配置的驱动器的写入访问权限。
控制使用BitLocker的可移动驱动器上
此策略设置用于阻止标准用户帐户能够可移动数据驱动器上打开BitLocker打开或关闭。
驱动器类型
可移动数据驱动器
策略路径
计算机配置\管理模板\windows组件\Components\BitLocker驱动器上的Encryption\Removable数据驱动器
说明
此策略设置控制使用BitLocker的可移动数据驱动器上。
当您打开BitLocker时,将应用此策略设置。
启用此策略设置时,您可以选择控制如何,用户可以配置BitLocker的属性设置。
若要允许用户在可移动数据驱动器上运行BitLocker安装向导选择允许用户应用BitLocker保护可移动数据驱动器上。
要允许用户从驱动器中取出BitLocker驱动器加密或执行维护时暂停加密选择允许用户暂停和解密BitLocker
升级会员 