作業系統磁碟機加密設定

您可利用此原則設定來管理作業系統磁碟機是否必須加密。

如需更高的安全性等級,可以在啟用 TPM + PIN 碼保護措施時,考慮停用 [系統] / [電源管理] / [睡眠設定] 中的下列原則:
允許待命狀態 (S1-S3) 睡眠時 (已接上電源)
允許待命狀態 (S1-S3) 睡眠時 (電池使用中)

若要在不含 TPM 的電腦上使用 BitLocker ,請選取 [在不含相容 TPM 的情形下允許使用 BitLocker] 核取方塊 (Windows 8 或以上的版本才支援)。在此模式中,您需要密碼才可啟動電腦。若忘記密碼,您必須使用任一 BitLocker 修復選項來存取磁碟機。

在包含相容 TPM 的電腦上,可以在啟動時使用兩種類型的驗證方法,為加密資料提供額外的保護。當電腦啟動時,可以只使用 TPM 進行驗證,也可要求輸入 4 - 20 位數的個人識別碼 (PIN)。

若啟用此原則設定,使用者必須讓作業系統磁碟機接受 BitLocker 保護,進而加密。

若停用此原則,使用者將無法讓作業系統磁碟機接受 BitLocker 保護。注意: 若在作業系統磁碟機加密後才套用此原則,將導致其解密。

若未設定此原則,便無須讓作業系統磁碟機接受 BitLocker 保護。

Supported on: 至少需要 Windows 7
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
Value NameShouldEncryptOSDrive
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

在不含相容 TPM 的情形下允許使用 BitLocker (需要密碼)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
選取作業系統磁碟機的保護裝置:


  1. 僅 TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value1
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2
  2. TPM 和 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value4
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2

針對含有 TPM 的電腦進行設定:

設定用於啟動的最小 PIN 長度

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameMinimumPIN
Value TypeREG_DWORD
Default Value4
Min Value4
Max Value20

bitlockermanagement.admx

Administrative Templates (Computers)

Administrative Templates (Users)