本文面向 IT 专业人员，介绍用于管理 BitLocker 驱动器加密的每个组策略设置的功能、位置和效果。

组策略管理模板或本地计算机策略设置可用于控制用户可以执行的 BitLocker 驱动器加密任务和配置，例如通过 BitLocker 驱动器加密控制面板。 配置了哪些策略以及配置方式取决于 BitLocker 的实现方式以及最终用户所需的交互级别。

注意

单独的组策略设置集支持使用受信任的平台模块 (TPM) 。 有关这些设置的详细信息，请参阅 TPM 组策略设置。

可以使用本地组策略编辑器和组策略管理控制台 (GPMC) 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密下访问 BitLocker 组策略设置。

在最初为驱动器打开 BitLocker 时，将应用大多数 BitLocker 组策略设置。 如果计算机不符合现有组策略设置，则 BitLocker 可能无法打开，或者 BitLocker 配置可能会修改，直到计算机处于合规状态。 当驱动器不符合组策略设置时，仅允许对使该驱动器符合性的 BitLocker 配置进行更改。 例如，如果更改组策略设置，使以前加密的驱动器不符合要求，则可能会出现这种情况。

如果需要进行多项更改才能使驱动器符合性，可能需要暂停 BitLocker 保护，进行必要的更改，然后恢复保护。 例如，如果可移动驱动器最初配置为使用密码解锁，但随后更改了组策略设置以禁止密码并需要智能卡，则可能会出现这种情况。 在这种情况下，需要使用 Manage-bde 命令行工具暂停 BitLocker 保护，删除密码解锁方法，并添加智能卡方法。 此过程完成后，BitLocker 符合组策略设置，并且可以恢复驱动器上的 BitLocker 保护。

在其他方案中，若要使驱动器符合组策略设置的更改，可能需要禁用 BitLocker 并解密驱动器，然后重新启用 BitLocker，然后重新加密驱动器。 此方案的一个示例是当 BitLocker 加密方法或密码强度发生更改时。 在此方案中，还可以使用 Manage-bde 命令行来帮助使设备符合性。

注意

有关与 BitLocker 启用相关的 Active Directory 配置的详细信息，请参阅 为 BitLocker 设置 MDT。

以下部分提供了按使用情况组织的 BitLocker 组策略设置的综合列表。 BitLocker 组策略设置包括特定驱动器类型的设置， (操作系统驱动器、固定数据驱动器和可移动数据驱动器) 以及应用于所有驱动器的设置。

以下策略设置可用于确定如何解锁受 BitLocker 保护的驱动器。

以下策略设置用于控制用户如何访问驱动器以及如何使用计算机上的 BitLocker。

以下策略设置确定与 BitLocker 一起使用的加密方法和加密类型。

以下策略设置定义了恢复方法，它可用于在身份验证方法失败或无法使用时还原对受 BitLocker 保护的驱动器的访问。

以下策略用于支持组织中的自定义部署方案。

通常启用“启动时需要其他身份验证”策略的“需要启动 PIN 和 TPM 的预启动身份验证选项，以帮助确保不支持新式待机的旧设备的安全性。 但视障用户无法通过听觉方式知道何时输入 PIN。 此设置启用安全硬件上需要 PIN 的策略的异常。

此策略控制 BitLocker 中网络解锁功能的部分行为。 需要此策略才能在网络上启用 BitLocker 网络解锁，因为它允许运行 BitLocker 的客户端在加密期间创建必要的网络密钥保护程序。

此策略与 BitLocker 驱动器加密网络解锁证书安全策略 (位于本地计算机策略) 的 公钥 策略文件夹中，以允许连接到受信任网络的系统正确利用网络解锁功能。

若要使用网络密钥保护程序解锁计算机，必须使用网络解锁证书预配计算机和托管 BitLocker 驱动器加密网络解锁的服务器。 网络解锁证书用于创建网络密钥保护程序，并保护与服务器的信息交换以解锁计算机。 组策略设置计算机配置>Windows 设置>安全设置>公钥策略>BitLocker 驱动器加密网络解锁证书可用于在域控制器上将此证书分发到组织中的计算机。 此解锁方法使用计算机上的 TPM，因此没有 TPM 的计算机无法创建网络密钥保护程序，以便使用网络解锁自动解锁。

注意

为了提高可靠性和安全性，计算机还应具有 TPM 启动 PIN，该 PIN 可在计算机与有线网络断开连接或在启动时无法连接到域控制器时使用。

有关网络解锁功能的详细信息，请参阅 BitLocker：如何启用网络解锁。

此策略设置用于控制哪些解锁选项可用于操作系统驱动器。

启动时只能需要一个附加的身份验证选项;否则，将发生策略错误。

如果需要在没有 TPM 的计算机上使用 BitLocker，请选择“ 允许没有兼容 TPM 的 BitLocker”。 在此模式下，需要密码或 U 盘才能启动。 USB 驱动器存储用于加密驱动器的启动密钥。 插入 USB 驱动器时，启动密钥已经过身份验证，并且操作系统驱动器可访问。 如果 U 盘丢失或不可用，需要 BitLocker 恢复才能访问驱动器。

在具有兼容 TPM 的计算机上，启动时可以使用其他身份验证方法来改进对加密数据的保护。 计算机启动时，可以使用：

启用 TPM 的计算机或设备有四个选项：

配置 TPM 启动

配置 TPM 启动 PIN

配置 TPM 启动密钥

配置 TPM 启动密钥和 PIN

当使用包含 PIN 的解锁方法时，此策略设置允许使用增强型 PIN。

增强的启动 PIN 允许使用字符 (包括大写字母、符号、数字和空格) 。 打开 BitLocker 时应用此策略设置。

重要提示

并非所有计算机在预启动环境中都支持增强的 PIN 字符。 强烈建议用户在 BitLocker 设置期间执行系统检查，以验证是否可以使用增强的 PIN 字符。

使用包含 PIN 的解锁方法时，此策略设置用于设置最小 PIN 长度。

打开 BitLocker 时应用此策略设置。 启动 PIN 的最小长度必须为 4 位，最大长度必须为 20 位。

最初，BitLocker 允许 PIN 的长度在 4 到 20 个字符之间。 Windows Hello具有自己的用于登录的 PIN，其长度可以为 4 到 127 个字符。 BitLocker 和 Windows Hello都使用 TPM 来防止 PIN 暴力攻击。

可以将 TPM 配置为使用字典攻击防护参数 (锁定阈值和锁定持续时间 来控制在锁定 TPM 之前允许的失败授权尝试次数，以及必须经过多少时间才能进行另一次尝试。

字典攻击防护参数提供了一种平衡安全需求和可用性的方法。 例如，当 BitLocker 与 TPM + PIN 配置一起使用时，PIN 猜测数会随时间推移而受到限制。 此示例中的 TPM 2.0 可以配置为立即只允许 32 个 PIN 猜测，然后每两小时只能再进行一次猜测。 此尝试次数总计每年最多约 4415 次。 如果 PIN 为四位数，则两年内可以尝试所有 9999 可能的 PIN 组合。

增加 PIN 长度需要攻击者进行较多的猜测。 在这种情况下，可以缩短每个猜测之间的锁定持续时间，以允许合法用户更快地重试失败的尝试，同时保持类似的保护级别。

从 Windows 10 版本 1703 开始，BitLocker PIN 的最小长度增加到 6 个字符，以更好地与使用 TPM 2.0 的其他 Windows 功能（包括Windows Hello）保持一致。 为了帮助组织进行过渡，从安装了 2017 年 10 月累积更新的 Windows 10 版本 1709 和 Windows 10 版本 1703 开始，BitLocker PIN 长度默认为 6 个字符，但可以缩减为 4 个字符。 如果最小 PIN 长度从默认值的 6 个字符减少，则会延长 TPM 2.0 锁定期。

此策略设置允许阻止所有热插拔 PCI 端口的直接内存访问 (DMA) ，直到用户登录到 Windows。

仅当启用 BitLocker 或设备加密时，才会强制实施此策略设置。 如 Microsoft 安全指南博客中所述，在某些情况下启用此设置时，基于 PCI 的内部外围设备（包括无线网络驱动程序以及输入和音频外围设备）可能会发生故障。 此问题已在 2018 年 4 月质量更新中修复。

此策略设置允许配置是否允许标准用户更改用于保护操作系统驱动器的 PIN 或密码。

若要更改 PIN 或密码，用户必须能够提供当前的 PIN 或密码。 打开 BitLocker 时应用此策略设置。

此策略控制基于非 TPM 的系统如何使用密码保护程序。 与 密码一起使用必须满足复杂性要求 策略，此策略允许管理员要求密码长度和复杂性才能使用密码保护程序。 默认情况下，密码长度必须为 8 个字符。 复杂性配置选项确定域连接对客户端的重要性。 为了获得最强的密码安全性，管理员应选择“ 需要密码复杂性 ”，因为它需要域连接，并且它要求 BitLocker 密码满足与域登录密码相同的密码复杂性要求。

如果操作系统驱动器上允许使用非 TPM 保护程序，则可以预配密码、强制实施密码复杂性要求以及配置密码的最小长度。 若要使复杂性要求设置生效，还必须启用组策略设置 “密码必须满足复杂性要求”，该设置位于 “计算机配置>”“Windows 设置”“>安全设置>”“帐户策略>”“密码策略”中。

注意

打开 BitLocker 时强制实施这些设置，而不是在解锁卷时强制实施。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。

设置为 “需要复杂性”时，启用 BitLocker 以验证密码的复杂性时，必须连接到域控制器。 设置为 “允许复杂性”时，尝试连接到域控制器，以验证复杂性是否符合策略设置的规则。 如果未找到域控制器，则无论实际密码复杂程度如何，都会接受密码，并且将使用该密码作为保护程序对驱动器进行加密。 设置为 “不允许复杂性”时，不会进行密码复杂性验证。

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“ 最小密码长度 ”框中输入所需的字符数。

启用此策略设置后，“ 为操作系统驱动器配置密码复杂性 ”选项可以设置为：

此策略设置用于控制哪些解锁选项可用于运行 Windows Server 2008 或 Windows Vista 的计算机。

在具有兼容 TPM 的计算机上，启动时可以使用两种身份验证方法为加密数据提供额外的保护。 当计算机启动时，它可以提示用户插入包含启动密钥的 U 盘。 它还可以提示用户输入长度在 6 到 20 位之间的启动 PIN。

在没有兼容 TPM 的计算机上需要包含启动密钥的 U 盘。 如果没有 TPM，BitLocker 加密的数据仅受此 U 盘上的密钥材料保护。

启用 TPM 的计算机或设备有两个选项：

配置 TPM 启动 PIN

配置 TPM 启动密钥

这些选项相互排斥。 如果需要启动密钥，则不允许使用启动 PIN。 如果需要启动 PIN，则不允许使用启动密钥。 如果这些策略存在冲突，将发生策略错误。

若要隐藏已启用 TPM 的计算机或设备上的高级页面，请将这些选项设置为 “不允许 启动密钥”和“启动 PIN”。

此策略设置用于要求、允许或拒绝对固定数据驱动器使用智能卡。

注意

打开 BitLocker 时强制实施这些设置，而不是在解锁驱动器时强制实施。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。

此策略设置用于要求、允许或拒绝对固定数据驱动器使用密码。

如果设置为 “需要复杂性”，则启用 BitLocker 时，需要连接到域控制器来验证密码的复杂性。

设置为 “允许复杂性”时，尝试连接到域控制器，以验证复杂性是否符合策略设置的规则。 但是，如果未找到域控制器，则无论实际密码复杂程度如何，都会接受密码，并且会使用该密码作为保护程序对驱动器进行加密。

设置为 “不允许复杂性”时，不会执行密码复杂性验证。

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“ 最小密码长度 ”框中输入所需的字符数。

注意

打开 BitLocker 时强制实施这些设置，而不是在解锁驱动器时强制实施。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。

若要使复杂性要求设置生效，还必须启用组策略设置计算机配置>Windows 设置>安全设置>帐户策略>密码>必须满足复杂性要求。 此策略设置按计算机配置。 策略设置也适用于本地用户帐户和域用户帐户。 由于用于验证密码复杂性的密码筛选器位于域控制器上，因此本地用户帐户无法访问密码筛选器，因为它们未经过域访问身份验证。 启用此策略设置后，如果本地用户帐户登录，并且尝试对驱动器进行加密或在受 BitLocker 保护的现有驱动器上更改密码，则会显示“ 拒绝访问” 错误消息。 在这种情况下，无法将密码密钥保护程序添加到驱动器。

启用此策略设置需要先将设备连接到域，然后再将密码密钥保护程序添加到受 BitLocker 保护的驱动器。 远程工作且有一段时间无法连接到域的用户应了解此要求，以便他们可以安排连接到域的时间，以打开 BitLocker 或更改受 BitLocker 保护的数据驱动器上的密码。

重要提示

如果启用了 FIPS 符合性，则无法使用密码。 计算机配置中的系统加密：使用符合 FIPS 的算法进行加密、哈希和签名策略设置Windows 设置>安全设置>>本地策略>安全选项指定是否启用 FIPS 符合性。

此策略设置用于要求、允许或拒绝对可移动数据驱动器使用智能卡。

注意

打开 BitLocker 时强制实施这些设置，而不是在解锁驱动器时强制实施。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。

此策略设置用于要求、允许或拒绝对可移动数据驱动器使用密码。

如果允许使用密码，则可以配置要求使用密码、强制实施密码复杂性要求和密码最小长度。 若要使复杂性要求设置生效，还必须启用组策略设置 “密码必须满足复杂性要求”，该设置位于 “计算机配置>”“Windows 设置”“>安全设置>”“帐户策略>”“密码策略”中。

注意

打开 BitLocker 时强制实施这些设置，而不是在解锁驱动器时强制实施。 BitLocker 允许使用驱动器上可用的任何保护程序解锁驱动器。

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“ 最小密码长度 ”框中输入所需的字符数。

如果设置为 “需要复杂性”，则启用 BitLocker 以验证密码的复杂性时，必须连接到域控制器。

设置为 “允许复杂性”时，尝试连接到域控制器，以验证复杂性是否符合策略设置的规则。 但是，如果未找到域控制器，则无论实际密码复杂程度如何，仍会接受该密码，并且驱动器已使用该密码作为保护程序进行加密。

设置为 “不允许复杂性”时，不会执行密码复杂性验证。

注意

如果启用了 FIPS 符合性，则无法使用密码。 计算机配置中的系统加密：使用符合 FIPS 的算法进行加密、哈希和签名策略设置Windows 设置>安全设置>>本地策略>安全选项指定是否启用 FIPS 符合性。

有关此设置的信息，请参阅 系统加密：使用符合 FIPS 的算法进行加密、哈希和签名。

此策略设置用于确定用于 BitLocker 的证书。

打开 BitLocker 时应用此策略设置。

对象标识符在证书的扩展密钥用法 (EKU) 中指定。 BitLocker 可以通过将证书中的对象标识符与此策略设置定义的对象标识符相匹配来标识哪些证书可用于对受 BitLocker 保护的驱动器的用户证书进行身份验证。

默认对象标识符为 1.3.6.1.4.1.311.67.1.1。

注意

BitLocker 不要求证书具有 EKU 属性;但是，如果为证书配置了一个，则必须将其设置为与为 BitLocker 配置的对象标识符匹配的对象标识符。

Windows 触摸键盘 (（例如平板电脑) 使用）在 BitLocker 需要其他信息（如 PIN 或密码）的预启动环境中不可用。

建议管理员仅对已验证具有其他预启动输入方式（例如附加 USB 键盘）的设备启用此策略。

如果未启用 Windows 恢复环境 (WinRE) 且未启用此策略，则无法使用 Windows 触摸键盘的设备打开 BitLocker。

如果未启用此策略设置，则 “启动时需要其他身份验证” 策略中的以下选项可能不可用：

此策略设置用于在授予写入访问权限之前要求加密固定驱动器。

打开 BitLocker 时应用此策略设置。

冲突注意事项包括：

启用此策略设置后，当用户尝试将数据保存到未加密的固定数据驱动器时，会收到 “拒绝访问 ”错误消息。 有关其他冲突，请参阅参考部分。

如果在 BdeHdCfg.exe 启用此策略设置时在计算机上运行 ，可能会遇到以下问题：

如果尝试收缩驱动器以创建系统驱动器，则会成功减小驱动器大小，并创建原始分区。 但是，原始分区未设置格式。 显示以下错误消息： 无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。

如果尝试使用未分配的空间来创建系统驱动器，则会创建一个原始分区。 但是，不会设置原始分区的格式。 显示以下错误消息： 无法格式化新的活动驱动器。可能需要手动为 BitLocker 准备驱动器。

如果尝试将现有驱动器合并到系统驱动器中，该工具无法将所需的启动文件复制到目标驱动器以创建系统驱动器。 显示以下错误消息： BitLocker 安装程序无法复制启动文件。可能需要手动为 BitLocker 准备驱动器。

如果强制实施此策略设置，则无法对硬盘驱动器进行重新分区，因为该驱动器受到保护。 如果计算机正在组织中从以前版本的 Windows 升级，并且这些计算机配置了单个分区，则应在将此策略设置应用于计算机之前创建所需的 BitLocker 系统分区。

此策略设置用于要求在授予写入访问权限之前加密可移动驱动器，并控制是否可以使用写入访问权限打开另一个组织中配置的受 BitLocker 保护的可移动驱动器。

如果选择 了“拒绝对另一个组织中配置的设备的写入访问权限 ”选项，则仅向具有与计算机标识字段匹配的标识字段的驱动器提供写入访问权限。 访问可移动数据驱动器时，会检查其是否存在有效的标识字段和允许的标识字段。 这些字段由 提供组织的唯一标识符 策略设置定义。

注意

可以使用 “用户配置>管理模板>”“系统>可移动存储访问”下的策略设置重写此策略设置。 如果启用了 可移动磁盘：拒绝写入访问 策略设置，则将忽略此策略设置。

冲突注意事项包括：

如果启用了 “拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 ”设置，则必须禁止将 BitLocker 与 TPM 和启动密钥结合使用，

如果启用了 “拒绝对不受 BitLocker 保护的可移动驱动器的写入访问 ”策略设置，则必须禁止使用恢复密钥。

如果需要拒绝对另一个组织中配置的驱动器的写入访问权限，则必须启用“ 为组织提供唯一标识符 ”策略设置。

此策略设置用于防止用户打开或关闭可移动数据驱动器上的 BitLocker。

打开 BitLocker 时应用此策略设置。

有关暂停 BitLocker 保护的信息，请参阅 BitLocker 基本部署。

用于选择控制用户配置 BitLocker 方式的属性设置的选项包括：

允许用户对可移动数据驱动器应用 BitLocker 保护 允许用户在可移动数据驱动器上运行 BitLocker 安装向导。

允许用户在可移动数据驱动器上挂起和解密 BitLocker 允许用户从驱动器中删除 BitLocker，或者在执行维护时暂停加密。

此策略设置用于控制加密方法和密码强度。

此策略的值确定 BitLocker 用于加密的密码强度。 (AES-256 强于 AES-128) ，企业可能需要控制加密级别以提高安全性。

如果启用此设置，则可以单独为固定数据驱动器、操作系统驱动器和可移动数据驱动器配置加密算法和密钥密码强度。

对于固定驱动器和操作系统驱动器，建议使用 XTS-AES 算法。

对于可移动驱动器，如果驱动器将用于未运行 Windows 10 版本 1511 或更高版本的其他设备，则应使用 AES-CBC 128 位或 AES-CBC 256 位。

如果驱动器已加密或加密正在进行中，则更改加密方法不起作用。 在这些情况下，忽略此策略设置。

警告

此策略不适用于加密驱动器。 加密驱动器使用自己的算法，该算法在分区期间由驱动器设置。

禁用或未配置此策略设置时，BitLocker 将使用 XTS-AES 128 位的默认加密方法或安装脚本中指定的加密方法。

此策略控制 BitLocker 在用作固定数据卷时如何应对装有加密驱动器的系统。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。

分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用在驱动器上配置的算法来加密驱动器。 此设置的 “限制基于硬件的加密允许的加密算法和密码套件 ”选项可限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定，例如：

此策略控制将加密驱动器用作操作系统驱动器时 BitLocker 的反应。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果基于硬件的加密不可用，则改用基于 BitLocker 软件的加密。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。

分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用在驱动器上配置的算法来加密驱动器。 此设置的 “限制基于硬件的加密允许的加密算法和密码套件 ”选项可限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定，例如：

此策略控制当加密驱动器用作可移动数据驱动器时 BitLocker 对加密驱动器的反应。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果基于硬件的加密不可用，则改用基于 BitLocker 软件的加密。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。

分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用在驱动器上配置的算法来加密驱动器。 此设置的 “限制基于硬件的加密允许的加密算法和密码套件 ”选项可限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定，例如：

此策略控制固定数据驱动器是利用仅使用的空间加密还是完全加密。 设置此策略还会导致 BitLocker 安装向导跳过加密选项页，因此不会向用户显示加密选择。

打开 BitLocker 时应用此策略设置。 如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。 选择“完全加密”，使打开 BitLocker 时必须加密整个驱动器。 选择“仅使用空间加密”以强制在打开 BitLocker 时仅加密用于存储数据的驱动器的该部分。

注意

当卷收缩或扩展并且 BitLocker 驱动器使用当前加密方法时，将忽略此策略。 例如，当扩展使用仅使用空间加密的驱动器时，不会像使用完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除“仅使用的空间”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

有关用于管理 BitLocker 的工具的详细信息，请参阅 Manage-bde。

此策略控制操作系统驱动器是使用完全加密还是仅使用空间加密。 设置此策略还会导致 BitLocker 安装向导跳过加密选项页，因此不会向用户显示加密选择。

打开 BitLocker 时应用此策略设置。 如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。 选择“完全加密”，使打开 BitLocker 时必须加密整个驱动器。 选择“仅使用空间加密”以强制在打开 BitLocker 时仅加密用于存储数据的驱动器的该部分。

注意

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。 例如，当扩展使用仅使用空间加密的驱动器时，不会像使用完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除“仅使用的空间”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

有关用于管理 BitLocker 的工具的详细信息，请参阅 Manage-bde。

此策略控制固定数据驱动器是使用完全加密还是仅使用空间加密。 设置此策略还会导致 BitLocker 安装向导跳过加密选项页，因此不会向用户显示加密选择。

打开 BitLocker 时应用此策略设置。 如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。 选择“完全加密”，使打开 BitLocker 时必须加密整个驱动器。 选择“仅使用空间加密”以强制在打开 BitLocker 时仅加密用于存储数据的驱动器的该部分。

注意

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。 例如，当扩展使用仅使用空间加密的驱动器时，不会像使用完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除“仅使用的空间”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

有关用于管理 BitLocker 的工具的详细信息，请参阅 Manage-bde。

此策略设置用于配置操作系统驱动器的恢复方法。

打开 BitLocker 时应用此策略设置。

“允许数据恢复代理检查”框用于指定数据恢复代理是否可以与受 BitLocker 保护的操作系统驱动器一起使用。 必须先从公钥策略中添加数据恢复代理，该策略位于 组策略 管理控制台 (GPMC) 或本地组策略编辑器中。

有关添加数据恢复代理的详细信息，请参阅 BitLocker 基本部署。

在 “配置 BitLocker 恢复信息的用户存储”中，选择是否允许、需要或不允许用户生成 48 位恢复密码。

从 BitLocker 安装向导中选择“省略恢复选项”，以防止用户在驱动器上启用 BitLocker 时指定恢复选项。 此策略设置意味着无法指定启用 BitLocker 时要使用的恢复选项。 相反，驱动器的 BitLocker 恢复选项由策略设置确定。

在“将 BitLocker 恢复信息保存到Active Directory 域服务”中，选择要存储在操作系统驱动器Active Directory 域服务 (AD DS) 中的 BitLocker 恢复信息。 如果选择了 “存储恢复密码和密钥包 ”，则 BitLocker 恢复密码和密钥包将存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择了 “仅存储恢复密码 ”，则仅恢复密码存储在 AD DS 中。

如果需要阻止用户启用 BitLocker，除非计算机已连接到域，并且 BitLocker 恢复信息备份到 AD DS 成功，否则请选择“在操作系统驱动器的恢复信息存储在 AD DS 检查”框。

注意

如果选中“在操作系统驱动器检查的 AD DS 中存储恢复信息之前不启用 BitLocker”框，则会自动生成恢复密码。

此策略设置用于在运行 Windows Server 2008 或 Windows Vista 的计算机上为受 BitLocker 保护的驱动器配置恢复方法。

此策略仅适用于运行 Windows Server 2008 或 Windows Vista 的计算机。 打开 BitLocker 时应用此策略设置。

如果没有所需的启动密钥信息，可以使用两个恢复选项来解锁 BitLocker 加密的数据。 用户可以键入 48 位数字恢复密码，也可以插入包含 256 位恢复密钥的 U 盘。

例如，不允许使用 48 位恢复密码会阻止用户打印恢复信息或将恢复信息保存到文件夹。

重要提示

如果在 BitLocker 设置过程中执行 TPM 初始化，则会保存 TPM 所有者信息，或随 BitLocker 恢复信息一起打印。 48 位恢复密码在 FIPS 符合性模式下不可用。

重要提示

若要防止数据丢失，必须有一种方法来恢复 BitLocker 加密密钥。 如果不允许这两个恢复选项，则必须启用将 BitLocker 恢复信息备份到 AD DS。 否则，将发生策略错误。

此策略设置用于在 AD DS 中配置 BitLocker 恢复信息的存储。 此策略设置提供恢复 BitLocker 加密的数据的管理方法，以防止由于缺少密钥信息而导致数据丢失。

此策略仅适用于运行 Windows Server 2008 或 Windows Vista 的计算机。

打开 BitLocker 时应用此策略设置。

BitLocker 恢复信息包括恢复密码和唯一标识符数据。 还可以包含一个包，其中包含受 BitLocker 保护的驱动器的加密密钥。 此密钥包由一个或多个恢复密码保护，当磁盘损坏或损坏时，它可以帮助执行专用恢复。

如果选择了“ 需要将 BitLocker 备份到 AD DS ”，则无法打开 BitLocker，除非计算机已连接到域，并且将 BitLocker 恢复信息备份到 AD DS 成功。 此选项默认处于选中状态，以帮助确保可以进行 BitLocker 恢复。

恢复密码是一个 48 位数字，用于解锁对受 BitLocker 保护的驱动器的访问权限。 密钥包包含驱动器的 BitLocker 加密密钥，该密钥由一个或多个恢复密码保护。 密钥包可能有助于在磁盘损坏或损坏时执行专用恢复。

如果未选择“ 要求将 BitLocker 备份到 AD DS ”选项，则会尝试 AD DS 备份，但网络或其他备份故障不会阻止 BitLocker 设置。 备份过程不会自动重试，在 BitLocker 设置期间，恢复密码可能不会存储在 AD DS 中。 在 BitLocker 安装过程中，可能需要进行 TPM 初始化。 在计算机配置>管理模板>系统>受信任的平台模块服务中启用 TPM 备份以Active Directory 域服务策略设置，以确保 TPM 信息也得到备份。

有关此设置的详细信息，请参阅 TPM 组策略设置。

此策略设置用于配置恢复密码的默认文件夹。

打开 BitLocker 时应用此策略设置。

注意

此策略设置不会阻止用户将恢复密码保存在另一个文件夹中。

此策略设置用于配置固定数据驱动器的恢复方法。

打开 BitLocker 时应用此策略设置。

“允许数据恢复代理检查”框用于指定数据恢复代理是否可以与受 BitLocker 保护的固定数据驱动器配合使用。 必须先从公钥策略中添加数据恢复代理，该策略位于 组策略 管理控制台 (GPMC) 或本地组策略编辑器中。

在 “配置 BitLocker 恢复信息的用户存储”中，选择是否允许、需要或不允许用户生成 48 位恢复密码或 256 位恢复密钥。

从 BitLocker 安装向导中选择“省略恢复选项”，以防止用户在驱动器上启用 BitLocker 时指定恢复选项。 此策略设置意味着无法指定启用 BitLocker 时要使用的恢复选项。 相反，驱动器的 BitLocker 恢复选项由策略设置确定。

在“将 BitLocker 恢复信息保存到Active Directory 域服务”中，选择要在 AD DS 中存储固定数据驱动器的 BitLocker 恢复信息。 如果选择 了备份恢复密码和密钥包 ，则 BitLocker 恢复密码和密钥包将存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 若要恢复此数据， Repair-bde.exe 可以使用命令行工具。 如果选择了 “仅备份恢复密码 ”，则仅恢复密码存储在 AD DS 中。

有关 BitLocker 修复工具的详细信息，请参阅 Repair-bde。

如果应阻止用户启用 BitLocker，除非计算机已连接到域，并且 BitLocker 恢复信息备份到 AD DS 成功，否则选中“在恢复信息存储在 AD DS 中为固定数据驱动器检查之前不要启用 BitLocker” 框。

注意

如果选中“在将恢复信息存储在固定数据驱动器的 AD DS 检查 之前不启用 BitLocker”框，则会自动生成恢复密码。

此策略设置用于配置可移动数据驱动器的恢复方法。

打开 BitLocker 时应用此策略设置。

“允许数据恢复代理检查”框用于指定数据恢复代理是否可以与受 BitLocker 保护的可移动数据驱动器一起使用。 在使用数据恢复代理之前，必须先从公钥策略添加它，可以使用 GPMC 或本地组策略编辑器进行访问。

在 “配置 BitLocker 恢复信息的用户存储”中，选择是否允许、需要或不允许用户生成 48 位恢复密码。

从 BitLocker 安装向导中选择“省略恢复选项”，以防止用户在驱动器上启用 BitLocker 时指定恢复选项。 此策略设置意味着无法指定启用 BitLocker 时要使用的恢复选项。 相反，驱动器的 BitLocker 恢复选项由策略设置确定。

在“将 BitLocker 恢复信息保存到Active Directory 域服务”中，选择要将哪些 BitLocker 恢复信息存储在可移动数据驱动器的 AD DS 中。 如果选择 了备份恢复密码和密钥包 ，则 BitLocker 恢复密码和密钥包将存储在 AD DS 中。 如果选择了 “仅备份恢复密码 ”，则仅恢复密码存储在 AD DS 中。

如果应阻止用户启用 BitLocker，除非计算机已连接到域，并且 BitLocker 恢复信息备份到 AD DS 成功，否则选中“在 AD DS 中存储可移动数据驱动器 检查的恢复信息之前不要启用 BitLocker”框。

注意

如果选中“在将恢复信息存储在固定数据驱动器的 AD DS 检查 之前不启用 BitLocker”框，则会自动生成恢复密码。

此策略设置用于配置整个恢复消息，并替换操作系统驱动器锁定时预启动恢复屏幕上显示的现有 URL。

启用 “配置预启动恢复消息和 URL” 策略设置可以自定义默认恢复屏幕消息和 URL，以帮助客户恢复其密钥。

启用设置后，有三个选项可用：

重要提示

预启动环境中并非所有字符和语言都受支持。 强烈建议在预启动恢复屏幕上验证用于自定义消息和 URL 的字符是否正确外观。

重要提示

由于 BCDEdit 命令可以在设置组策略设置之前手动更改，因此在配置此策略设置后选择“未配置”选项，无法将策略设置返回到默认设置。 若要返回到默认的预启动恢复屏幕，请保持策略设置启用状态，并从“为预启动恢复消息选择选项”下拉列表框中选择“使用默认消息选项”。

此策略控制如何使用安全启动功能处理已启用 BitLocker 的系统卷。 启用此功能会在启动过程中强制进行安全启动验证，并根据安全启动策略验证启动配置数据 (BCD) 设置。

有关 PCR 7 的详细信息，请参阅本文 中的关于平台配置寄存器 (PCR) 。

安全启动可确保计算机的预启动环境仅加载由授权软件发布者进行数字签名的固件。 与在Windows Server 2012和Windows 8之前进行 BitLocker 完整性检查相比，安全启动还为管理预启动配置提供了更大的灵活性。

启用此策略并且硬件能够针对 BitLocker 方案使用安全启动时， 将忽略“使用增强的启动配置数据验证配置文件” 组策略设置，并且安全启动将根据独立于 BitLocker 配置的安全启动策略设置验证 BCD 设置。

警告

在更新特定于制造商的固件时，禁用此策略可能会导致 BitLocker 恢复。 如果禁用此策略，请在应用固件更新之前暂停 BitLocker。

此策略设置用于建立一个标识符，该标识符应用于组织中加密的所有驱动器。

这些标识符存储为标识字段和允许的标识字段。 标识字段允许将唯一的组织标识符关联到受 BitLocker 保护的驱动器。 此标识符会自动添加到受 BitLocker 保护的新驱动器，并且可以使用 Manage-bde 命令行工具在现有受 BitLocker 保护的驱动器上更新该标识符。

在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理以及 BitLocker To Go 读取器的潜在更新时，需要一个标识字段。 仅当驱动器上的标识字段与标识字段中配置的值匹配时，BitLocker 才会管理和更新数据恢复代理。 以类似的方式，BitLocker 仅当驱动器上的标识字段值与为标识字段配置的值匹配时，BitLocker 才会更新 BitLocker To Go 读取器。

有关用于管理 BitLocker 的工具的详细信息，请参阅 Manage-bde。

允许的标识字段与 拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 策略设置结合使用，以帮助控制组织中可移动驱动器的使用。 它是内部组织或外部组织的标识字段的逗号分隔列表。

可以使用 Manage-bde 命令行工具配置现有驱动器上的标识字段。

将受 BitLocker 保护的驱动器装载到另一台启用了 BitLocker 的计算机上时，将使用标识字段和允许的标识字段来确定该驱动器是否来自外部组织。

可以在标识和允许的标识字段中输入用逗号分隔的多个值。 标识字段可以是最多 260 个字符的任何值。

此策略设置用于控制下次重启计算机时是否将覆盖计算机的内存。

打开 BitLocker 时应用此策略设置。 BitLocker 机密包括用于加密数据的密钥材料。 仅当启用了 BitLocker 保护时，此策略设置才适用。

此策略设置确定 TPM 在解锁具有 BIOS 配置或启用了 CSM) 兼容性支持模块 (的 UEFI 固件的计算机上的操作系统驱动器之前验证早期启动组件时测量的值。

如果计算机没有兼容的 TPM，或者 BitLocker 已打开 TPM 保护，则此策略设置不适用。

重要提示

此组策略设置仅适用于 BIOS 配置的计算机或启用了 CSM 的 UEFI 固件的计算机。 使用本机 UEFI 固件配置的计算机将不同的值存储在平台配置寄存器 (PCR) 。 使用为本机 UEFI 固件配置配置 TPM 平台验证配置文件组策略设置为使用本机 UEFI 固件的计算机配置 TPM PCR 配置文件。

平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

注意

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

以下列表标识了所有可用的 PCR：

此策略设置确定 TPM 在解锁运行 Windows Vista、Windows Server 2008 或 Windows 7 的计算机上的驱动器之前验证早期启动组件时测量的值。

如果计算机没有兼容的 TPM，或者 BitLocker 已使用 TPM 保护打开，则此策略设置不适用。

平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

注意

使用可扩展固件接口 (EFI) 的计算机的默认 TPM 验证配置文件 PCR 设置仅为 PCR 0、2、4 和 11。

以下列表标识了所有可用的 PCR：

警告

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

此策略设置确定 TPM 在解锁具有本机 UEFI 固件配置的计算机上的操作系统驱动器之前验证早期启动组件时测量的值。

如果环境使用 TPM 和安全启动进行平台完整性检查，则会配置此策略。

有关 PCR 7 的详细信息，请参阅本文 中的关于平台配置寄存器 (PCR) 。

如果计算机没有兼容的 TPM，或者 BitLocker 已使用 TPM 保护打开，则此策略设置不适用。

重要提示

此组策略设置仅适用于具有本机 UEFI 固件配置的计算机。 具有 BIOS 或 UEFI 固件且具有兼容性支持模块 (CSM) 的计算机在平台配置寄存器 (PCR) 中存储不同的值。 使用为基于 BIOS 的固件配置配置 TPM 平台验证配置文件组策略设置，为具有 BIOS 配置的计算机或启用了 CSM 的 UEFI 固件的计算机配置 TPM PCR 配置文件。

平台验证配置文件包含一组从 0 到 23 的 PCR 索引。 默认平台验证配置文件保护加密密钥，防止更改核心系统固件可执行代码 (PCR 0) 、扩展或可插入的可执行代码 (PCR 2) 、启动管理器 (PCR 4) 以及 BitLocker 访问控制 (PCR 11) 。

以下列表标识了所有可用的 PCR：

PCR 0：核心系统固件可执行代码

PCR 1：核心系统固件数据

PCR 2：扩展或可插入的可执行代码

PCR 3：扩展或可插入固件数据

PCR 4：启动管理器

PCR 5：GPT/分区表

PCR 6：从 S4 和 S5 电源状态事件恢复

PCR 7：安全启动状态

有关此 PCR 的详细信息，请参阅本文 中的关于平台配置寄存器 (PCR) 。

PCR 8：初始化为 0，没有保留扩展 (供将来使用)

PCR 9：初始化为 0，没有扩展 (保留供将来使用)

PCR 10：初始化为 0，没有保留扩展 (供将来使用)

PCR 11：BitLocker 访问控制

PCR 12：数据事件和高度易失性事件

PCR 13：启动模块详细信息

PCR 14：启动机构

PCR 15 - 23：保留供将来使用

警告

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

此策略设置确定在 BitLocker 恢复后启动 Windows 时是否应刷新平台验证数据。 平台验证数据配置文件由一组平台配置寄存器中的值组成， (从 0 到 23 的 PCR) 索引。

有关恢复过程的详细信息，请参阅 BitLocker 恢复指南。

此策略设置确定在平台验证期间要验证的特定启动配置数据 (BCD) 设置。 平台验证使用平台验证配置文件中的数据，该配置文件由一组平台配置寄存器 (PCR) 范围从 0 到 23 的索引组成。

注意

控制启动调试 (0x16000010) 的设置始终经过验证，如果包含在包含或排除列表中，则它不起作用。

此策略设置用于控制是否允许使用 BitLocker To Go 读取器访问驱动器，以及是否可以在驱动器上安装 BitLocker To Go 读取器。

注意

此策略设置不适用于使用 NTFS 文件系统格式化的驱动器。

启用此策略设置后，选中“不要在 FAT 格式化的固定驱动器检查上安装 BitLocker To Go 读取器”框，以帮助防止用户从固定驱动器运行 BitLocker To Go 读取器。 如果未指定标识字段的驱动器上存在 BitLocker To Go 读取器 (bitlockertogo.exe) ，或者驱动器具有与 为组织提供唯一标识符 策略设置中指定的相同标识字段，系统会提示用户更新 BitLocker，并且 BitLocker To Go Reader 将从驱动器中删除。 在这种情况下，若要在运行 Windows Vista、具有 SP3 的 Windows XP 或具有 SP2 的 Windows XP 的计算机上解锁固定驱动器，必须在计算机上安装 BitLocker To Go 读取器。 如果未选中此检查框，则 BitLocker To Go 读取器将安装在固定驱动器上，使用户能够在运行 Windows Vista、具有 SP3 的 Windows XP 或带 SP2 的 Windows XP 的计算机上解锁驱动器。

此策略设置控制对使用 BitLocker To Go 读取器的可移动数据驱动器的访问，以及是否可以在驱动器上安装 BitLocker To Go 读取器。

注意

此策略设置不适用于使用 NTFS 文件系统格式化的驱动器。

启用此策略设置后，选中“不要在 FAT 格式的可移动驱动器检查上安装 BitLocker To Go 读取器”框，以帮助防止用户从其可移动驱动器运行 BitLocker To Go 读取器。 如果未指定标识字段的驱动器上存在 BitLocker To Go 读取器 (bitlockertogo.exe) ，或者驱动器具有与 为组织提供唯一标识符 策略设置中指定的相同标识字段，则系统会提示用户更新 BitLocker，并且 BitLocker To Go Reader 将从驱动器中删除。 在这种情况下，若要在运行 Windows Vista、具有 SP3 的 Windows XP 或具有 SP2 的 Windows XP 的计算机上解锁可移动驱动器，必须在计算机上安装 BitLocker To Go 读取器。 如果未选中此检查框，则将在可移动驱动器上安装 BitLocker To Go 读取器，使用户能够在运行未安装 BitLocker To Go 读取器的运行 Windows Vista 或 Windows XP 的计算机上解锁驱动器。

可以配置 FIPS 符合性的联邦信息处理标准 (FIPS) 设置。 由于 FIPS 符合性，用户无法创建或保存 BitLocker 密码以供恢复或保存为密钥保护程序。 允许使用恢复密钥。

在为 BitLocker 生成任何加密密钥之前，必须启用此策略。 启用此策略后，BitLocker 会阻止创建或使用恢复密码，因此应改用恢复密钥。

可选的恢复密钥可以保存到 U 盘。 由于启用 FIPS 后无法将恢复密码保存到 AD DS，因此，如果组策略需要 AD DS 备份，则会导致错误。

可以使用安全策略编辑器 () Secpol.msc 或编辑 Windows 注册表来编辑 FIPS 设置。 只有管理员才能执行这些过程。

有关设置此策略的详细信息，请参阅 系统加密：使用符合 FIPS 的算法进行加密、哈希和签名。

电脑计算机的默认电源设置将导致计算机频繁进入睡眠模式，以便在空闲时节省电量，并帮助延长系统的电池使用时间。 当计算机转换为睡眠时，打开的程序和文档将保留在内存中。 当计算机从睡眠状态恢复时，用户无需使用 PIN 或 USB 启动密钥重新进行身份验证即可访问加密的数据。 从睡眠状态恢复时不需要重新进行身份验证可能会导致数据安全受到威胁的情况。

但是，当计算机进入休眠状态时，驱动器会锁定，当驱动器从休眠状态恢复时，驱动器会解锁，这意味着，如果在 BitLocker 中使用多重身份验证，则用户将需要提供 PIN 或启动密钥。 因此，使用 BitLocker 的组织可能需要使用 Hibernate 而不是 Sleep 来提高安全性。 此设置对仅 TPM 模式没有影响，因为它在启动时和从休眠状态恢复时提供透明的用户体验。

若要禁用所有可用的睡眠状态，请禁用计算机配置>管理模板>系统>电源管理中的组策略设置：

平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。 值的作用域可以特定于操作系统的版本。

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

PCR 7 测量安全启动的状态。 使用 PCR 7，BitLocker 可以使用安全启动进行完整性验证。 安全启动可确保计算机的预启动环境仅加载由授权软件发布者进行数字签名的固件。 PCR 7 度量指示安全启动是否处于打开状态以及平台上信任的密钥。 如果安全启动处于打开状态，并且固件根据 UEFI 规范正确测量了 PCR 7，则 BitLocker 可以绑定到此信息，而不是绑定到 PCR 0、2 和 4，PCR 0、2 和 4 中加载了确切固件和 Bootmgr 映像的度量值。 此过程可降低由于固件和映像更新而导致 BitLocker 在恢复模式下启动的可能性，并提供更大的灵活性来管理预启动配置。

PCR 7 测量必须遵循 附录 A 受信任的执行环境 EFI 协议中所述的指导。

对于支持新式待机 (也称为 Always On、Always Connected 电脑) （如 Microsoft Surface RT）的系统，PCR 7 测量是强制性徽标要求。 在此类系统上，如果正确配置了具有 PCR 7 测量和安全启动的 TPM，则 BitLocker 默认绑定到 PCR 7 和 PCR 11。