若要配置 BitLocker，可以使用以下选项之一：

注意

Windows Server 不支持使用 CSP 或 Microsoft Configuration Manager 配置 BitLocker。 请改用 GPO。

虽然许多 BitLocker 策略设置都可以使用 CSP 和 GPO 进行配置，但有些设置只能使用其中一个选项。 若要了解适用于 CSP 和 GPO 的策略设置，请查看 BitLocker 策略设置部分。

下表列出了支持 BitLocker 管理的 Windows 版本：

BitLocker 管理许可证权利由以下许可证授予：

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

本部分介绍通过配置服务提供程序 (CSP) 和组策略 (GPO) 配置 BitLocker 的策略设置。

重要提示

最初为驱动器打开 BitLocker 时，将强制实施大多数 BitLocker 策略设置。 如果设置发生更改，则不会重启加密。

设置列表按字母顺序排序，分为四个类别：

选择其中一个选项卡以查看可用设置的列表：

下表列出了适用于所有驱动器类型的 BitLocker 策略，指示它们是否通过配置服务提供商 (CSP) 和/或组策略 (GPO) 适用。 有关更多详细信息，请选择策略名称。

使用此策略，可以在当前登录用户没有管理权限时应用策略的情况下强制实施 “需要设备加密 ”策略。

重要提示

必须禁用 其他磁盘加密策略的“允许警告 ”才能允许标准用户加密。

指定 当 BitLocker 驱动器加密设置向导 提示用户输入要在其中保存恢复密码的文件夹的位置时显示的默认路径。 可以指定完全限定的路径，也可以在路径中包含目标计算机的环境变量：

注意

此策略设置不会阻止用户将恢复密码保存在另一个文件夹中。

使用此策略，可以单独为固定数据驱动器、操作系统驱动器和可移动数据驱动器配置加密算法和密钥加密强度。

建议的设置： XTS-AES 所有驱动器的算法。 密钥大小（128 位或 256 位）的选择取决于设备的性能。 对于性能更高的硬盘驱动器和 CPU，请选择 256 位密钥，对于性能较差的密钥，请使用 128。

重要提示

监管机构或行业可能要求密钥大小。

如果禁用或未配置此策略设置，BitLocker 将使用 的默认加密方法 XTS-AES 128-bit。

注意

此策略不适用于加密驱动器。 加密驱动器使用自己的算法，该算法在分区期间由驱动器设置。

使用此策略，可以在已加入和Microsoft Entra混合联接的设备上配置操作系统和固定 Microsoft Entra驱动器时使用的数字恢复密码轮换。

可能的值为：

注意

仅当恢复密码的 Micropsoft Entra ID 或 Active Directory 备份配置为必需时，策略才有效

启用后，此策略设置会阻止所有热插拔 PCI 端口的直接内存访问 (DMA) ，直到用户登录到 Windows。

用户登录后，Windows 会枚举连接到主机 Thunderbolt PCI 端口的 PCI 设备。 每次用户锁定设备时，DMA 都会阻止热插拔 Thunderbolt PCI 端口（没有子设备），直到用户再次登录。

设备解锁时已枚举的设备将继续运行，直到拔出，或者系统重新启动或休眠。

仅当启用 BitLocker 或设备加密时，才会强制实施此策略设置。

重要提示

此策略与 内核 DMA 保护不兼容。 如果系统支持内核 DMA 保护，建议禁用此策略，因为内核 DMA 保护为系统提供更高的安全性。 有关内核 DMA 保护的详细信息，请参阅 内核 DMA 保护。

此策略设置用于控制设备重启时是否覆盖计算机的内存。 BitLocker 机密包括用于加密数据的密钥材料。

注意

仅当启用了 BitLocker 保护时，此策略设置才适用。

此策略设置允许你将唯一的组织标识符关联到使用 BitLocker 加密的驱动器。 标识符存储为 标识字段 和 允许的标识字段：

如果启用此策略设置，则可以在受 BitLocker 保护的驱动器以及组织使用的任何允许的标识字段上配置标识字段。 在另一台启用了 BitLocker 的设备上装载受 BitLocker 保护的驱动器时，将使用标识字段和允许的标识字段来确定该驱动器是否来自其他组织。

如果禁用或未配置此策略设置，则不需要标识字段。

重要提示

在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理时，需要标识字段。 BitLocker 仅在驱动器上存在标识字段且与设备上配置的值相同时管理和更新基于证书的数据恢复代理。 标识字段可以是 260 个字符或更少的任何值。

此策略设置确定是否需要 BitLocker：

注意

通常，BitLocker 遵循 选择驱动器加密方法和密码强度 策略配置。 但是，对于自加密固定驱动器和自加密 OS 驱动器，将忽略此策略设置。

可加密固定数据卷的处理方式与 OS 卷类似，但它们必须满足其他条件才能进行加密：

注意

使用此策略进行无提示加密时，仅支持完整磁盘加密。 对于非无提示加密，加密类型将取决于 在操作系统驱动器上强制实施驱动器加密类型和 在设备上配置的 固定数据驱动器上强制实施驱动器加密类型 策略。

此策略设置用于通过将对象标识符 (OID) 从智能卡证书关联到受 BitLocker 保护的驱动器来确定要用于 BitLocker 的证书。 对象标识符在证书的增强密钥用法 (EKU) 中指定。

BitLocker 可以通过将证书中的对象标识符与此策略设置定义的对象标识符匹配来标识哪些证书可用于对受 BitLocker 保护的驱动器的用户证书进行身份验证。 默认 OID 为 1.3.6.1.4.1.311.67.1.1。

如果启用此策略设置，则“对象标识符”字段中指定的对象标识符必须与智能卡证书中的对象标识符匹配。 如果禁用或未配置此策略设置，则使用默认 OID。

注意

BitLocker 不要求证书具有 EKU 属性;但是，如果为证书配置了一个，则必须将其设置为与为 BitLocker 配置的对象标识符匹配的对象标识符。

此策略设置允许符合 InstantGo 或 Microsoft 硬件安全测试接口的设备上的用户 (HSTI) 没有用于预启动身份验证的 PIN。

该策略覆盖在合规硬件上启动时需要其他身份验证策略的“使用 TPM 需要启动 PIN”和“使用 TPM 需要启动密钥和 PIN”选项。

使用包含 PIN 的解锁方法时，此设置允许使用增强型 PIN。

增强的启动 PIN 允许使用字符 (包括大写字母、符号、数字和空格) 。

重要提示

并非所有计算机在预启动环境中都支持增强的 PIN 字符。 强烈建议用户在 BitLocker 设置期间执行系统检查，以验证是否可以使用增强的 PIN 字符。

此策略设置控制连接到受信任的有线局域网 (LAN) 的受 BitLocker 保护的设备是否可以在启用 TPM 的计算机上创建和使用网络密钥保护程序，以便在计算机启动时自动解锁操作系统驱动器。

如果启用此策略，则配置有 BitLocker 网络解锁证书 的设备可以创建和使用网络密钥保护程序。 若要使用网络密钥保护程序解锁计算机，计算机和 BitLocker 驱动器加密网络解锁服务器都必须使用网络解锁证书进行预配。 网络解锁证书用于创建网络密钥保护程序，并保护与服务器交换以解锁计算机的信息。

组策略设置计算机配置>Windows 设置>安全设置>公钥策略>BitLocker 驱动器加密网络解锁证书可用于在域控制器上将此证书分发到组织中的计算机。 此解锁方法在计算机上使用 TPM，因此没有 TPM 的计算机无法创建网络密钥保护程序以使用网络解锁自动解锁。

如果禁用或未配置此策略设置，BitLocker 客户端将无法创建和使用网络密钥保护程序。

注意

为了提高可靠性和安全性，计算机还应具有 TPM 启动 PIN，当计算机在启动时与有线网络或服务器断开连接时，可以使用该 PIN。

有关网络解锁功能的详细信息，请参阅 BitLocker：如何启用网络解锁

使用此策略设置，可以配置是否允许安全启动作为 BitLocker 操作系统驱动器的平台完整性提供程序。

安全启动可确保设备的预启动环境仅加载由授权软件发布者进行数字签名的固件。

启用此策略并且硬件能够使用适用于 BitLocker 方案的安全启动时， 将忽略“使用增强的启动配置数据验证配置文件” 策略设置，并且安全启动将根据独立于 BitLocker 配置的安全启动策略设置来验证 BCD 设置。

注意

如果已启用策略设置 “为本机 UEFI 固件配置配置 TPM 平台验证配置文件 ”，并且省略了 PCR 7，则会阻止 BitLocker 使用安全启动平台或启动配置数据 (BCD) 完整性验证。

警告

在更新特定于制造商的固件时，禁用此策略可能会导致 BitLocker 恢复。 如果禁用此策略，请在应用固件更新之前暂停 BitLocker。

使用此策略，可以禁用所有加密通知、其他磁盘加密的警告提示，以及以无提示方式启用加密。

重要提示

此策略仅适用于已加入Microsoft Entra设备。

仅当启用了 “需要设备加密策略” 时，此策略才会生效。

警告

在具有非 Microsoft 加密的设备上启用 BitLocker 时，它可能会使设备不可用，并且需要重新安装 Windows。

此策略的预期值为：

注意

禁用警告提示时，OS 驱动器的恢复密钥将备份到用户的Microsoft Entra ID帐户。 当你允许警告提示时，收到提示的用户可以选择备份 OS 驱动器的恢复密钥的位置。

固定数据驱动器备份的终结点按以下顺序选择：

加密将等到这三个位置之一成功备份。

通过此策略设置，可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的操作系统驱动器。 如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的操作系统驱动器恢复数据的方法。 下面是可用的选项：

如果禁用或未配置此策略设置，则 BitLocker 恢复支持默认恢复选项。 默认情况下，允许 DRA，恢复选项可由用户指定，包括恢复密码和恢复密钥，并且恢复信息不会备份到 AD DS。

此策略为受信任的平台模块配置最小长度， (TPM) 启动 PIN。 启动 PIN 的最小长度必须为 4 位，最大长度为 20 位。

如果启用此策略设置，则可以要求在设置启动 PIN 时使用最少的位数。 如果禁用或未配置此策略设置，用户可以配置 6 到 20 位之间的任意长度的启动 PIN。

可以将 TPM 配置为使用字典攻击防护参数 (锁定阈值和锁定持续时间 来控制在锁定 TPM 之前允许的失败授权尝试次数，以及必须经过多少时间才能进行另一次尝试。

字典攻击防护参数提供了一种平衡安全需求和可用性的方法。 例如，当 BitLocker 与 TPM + PIN 配置一起使用时，PIN 猜测数会随时间推移而受到限制。 此示例中的 TPM 2.0 可以配置为立即只允许 32 个 PIN 猜测，然后每两小时只能再进行一次猜测。 此尝试次数总计每年最多约 4415 次。 如果 PIN 为四位数，则两年内可以尝试所有 9999 可能的 PIN 组合。

提示

增加 PIN 长度需要攻击者进行较多的猜测。 在这种情况下，可以缩短每个猜测之间的锁定持续时间，以允许合法用户更快地重试失败的尝试，同时保持类似的保护级别。

注意

如果最小 PIN 长度设置为低于 6 位，则 Windows 将尝试在更改 PIN 时将 TPM 2.0 锁定期更新为大于默认值。 如果成功，仅当重置 TPM 时，Windows 才会将 TPM 锁定期重置回默认值。

此策略设置用于配置恢复消息，并替换在 OS 驱动器锁定时在预启动恢复屏幕上显示的现有 URL。

注意

预启动并非支持所有字符和语言。 强烈建议测试用于自定义消息或 URL 的字符是否在预启动恢复屏幕上正确显示。

有关 BitLocker 预启动恢复屏幕的详细信息，请参阅 预启动恢复屏幕。

此策略设置确定 TPM 在解锁具有 BIOS 配置或启用了 CSM) 兼容性支持模块 (的 UEFI 固件的计算机上的操作系统驱动器之前验证早期启动组件时测量的值。

如果计算机没有兼容的 TPM，或者 BitLocker 已打开 TPM 保护，则此策略设置不适用。

重要提示

此组策略设置仅适用于 BIOS 配置的计算机或启用了 CSM 的 UEFI 固件的计算机。 使用本机 UEFI 固件配置的计算机将不同的值存储在平台配置寄存器 (PCR) 。 使用 “为本机 UEFI 固件配置配置 TPM 平台验证配置文件” 策略设置，为使用本机 UEFI 固件的计算机配置 TPM PCR 配置文件。

平台验证配置文件由一组范围从 0 到 23 的 PCR 索引组成。 每个 PCR 索引表示 TPM 在早期启动期间验证的特定度量值。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

注意

从默认平台验证配置文件更改会影响计算机的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

以下列表标识了所有可用的 PCR：

此策略设置确定 TPM 在解锁本机 UEFI 固件设备上 OS 驱动器之前验证早期启动组件时所测量的值。

重要提示

此策略设置仅适用于具有本机 UEFI 固件配置的设备。 具有 BIOS 或 UEFI 固件且具有兼容性支持模块 (CSM) 的计算机在平台配置寄存器 (PCR) 中存储不同的值。 使用 “为基于 BIOS 的固件配置配置 TPM 平台验证配置文件 ”策略设置，为具有 BIOS 配置的设备或启用了 CSM 的 UEFI 固件的设备配置 TPM PCR 配置文件。

平台验证配置文件包含一组从 0 到 23 的 PCR 索引。 默认平台验证配置文件针对以下 PCR 的更改保护加密密钥：

注意

当提供安全启动状态 (PCR7) 支持时，默认平台验证配置文件使用安全启动状态 (PCR 7) 和 BitLocker 访问控制 (PCR 11) 来保护加密密钥。

以下列表标识了所有可用的 PCR：

警告

从默认平台验证配置文件更改会影响设备的安全性和可管理性。 BitLocker 对平台修改 (恶意或授权) 的敏感度会根据 PCR 的包含或排除 (分别增加或减少) 。

如果省略了 PCR 7，则设置此策略会替代 “允许安全启动进行完整性验证 ”策略，防止 BitLocker 将安全启动用于平台或启动配置数据 (BCD) 完整性验证。

更新固件时，设置此策略可能会导致 BitLocker 恢复。 如果将此策略设置为包含 PCR 0，请在应用固件更新之前暂停 BitLocker。 建议不要配置此策略，以允许 Windows 根据每个设备上的可用硬件选择 PCR 配置文件，以实现安全性和可用性的最佳组合。

PCR 7 测量安全启动的状态。 使用 PCR 7，BitLocker 可以使用安全启动进行完整性验证。 安全启动可确保计算机的预启动环境仅加载由授权软件发布者进行数字签名的固件。 PCR 7 度量指示安全启动是否处于打开状态，以及平台上受信任的密钥。 如果安全启动处于打开状态，并且固件根据 UEFI 规范正确测量了 PCR 7，则 BitLocker 可以绑定到此信息，而不是绑定到 PCR 0、2 和 4，PCR 0、2 和 4 中加载了确切固件和 Bootmgr 映像的度量值。 此过程可降低由于固件和映像更新而导致 BitLocker 在恢复模式下启动的可能性，并提供更大的灵活性来管理预启动配置。

PCR 7 测量必须遵循 附录 A 受信任的执行环境 EFI 协议中所述的指导。

对于支持新式待机 (也称为Always On、Always Connected 电脑) 的系统，PCR 7 测量是必须满足的徽标要求。 在此类系统上，如果正确配置了具有 PCR 7 测量和安全启动的 TPM，则 BitLocker 默认绑定到 PCR 7 和 PCR 11。

使用此策略设置，可以管理 BitLocker 对操作系统驱动器上基于硬件的加密的使用，并指定它可以用于基于硬件的加密的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果启用此策略设置，则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。

如果禁用此策略设置，BitLocker 无法对操作系统驱动器使用基于硬件的加密，并且默认情况下，在加密驱动器时，将使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用驱动器上配置的算法来加密驱动器。

通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项，可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如：

此策略设置指定用于解锁受 BitLocker 保护的操作系统驱动器的密码的约束。 如果操作系统驱动器上允许使用非 TPM 保护程序，则可以预配密码、强制实施复杂性要求以及配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

此策略允许配置是否允许标准用户更改用于保护操作系统驱动器的 PIN 或密码（如果他们可以先提供现有 PIN）。

如果启用此策略，标准用户无法更改 BitLocker PIN 或密码。 如果禁用或未配置此策略，标准用户可以更改 BitLocker PIN 和密码。

此策略设置允许用户打开需要预启动环境中用户输入的身份验证选项，即使平台缺少预启动输入功能也是如此。 ) 平板电脑使用的 Windows 触摸键盘 (在 BitLocker 需要其他信息（如 PIN 或密码）的预启动环境中不可用。

建议管理员仅对已验证具有其他预启动输入方式（例如附加 USB 键盘）的设备启用此策略。

如果未启用 Windows 恢复环境 (WinRE) 且未启用此策略，则无法使用触摸键盘的设备打开 BitLocker。

如果未启用此策略设置，则 “启动时需要其他身份验证” 策略中的以下选项可能不可用：

此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。

启用此策略设置时，BitLocker 安装向导中不提供 加密类型 选项：

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。 例如，当扩展使用 仅使用空间加密 的驱动器时，不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

此策略设置配置每次设备启动时 BitLocker 是否需要额外的身份验证。

如果启用此策略，用户可以在 BitLocker 安装向导中配置高级启动选项。 如果禁用或不配置此策略设置，则用户只能在具有 TPM 的计算机上配置基本选项。

注意

启动时只能需要一个附加的身份验证选项，否则会发生策略错误。

如果要在没有 TPM 的设备上使用 BitLocker，请选择选项 “允许没有兼容的 TPM 的 BitLocker”。 在此模式下，启动需要密码或 U 盘。 使用启动密钥时，用于加密驱动器的密钥信息存储在 U 盘上，从而创建 USB 密钥。 插入 USB 密钥时，将对驱动器的访问进行身份验证，并且可以访问驱动器。 如果 USB 密钥丢失或不可用，或者忘记了密码，则必须使用 BitLocker 恢复选项之一来访问驱动器。

在具有兼容 TPM 的计算机上，启动时可以使用四种类型的身份验证方法，为加密数据提供额外的保护。 计算机启动时，可以使用：

注意

如果要要求使用启动 PIN 和 U 盘，则必须使用命令行工具 manage-bde 而不是 BitLocker 驱动器加密设置向导来配置 BitLocker 设置。

支持 TPM 的设备有四个选项：

配置 TPM 启动

配置 TPM 启动 PIN

配置 TPM 启动密钥

配置 TPM 启动密钥和 PIN

此策略设置确定在 BitLocker 恢复后启动 Windows 时是否应刷新平台验证数据。 平台验证数据配置文件由一组平台配置寄存器中的值组成， (从 0 到 23 的 PCR) 索引。

如果启用此策略设置，则当 Windows 在 BitLocker 恢复后启动时，平台验证数据将刷新。 这是默认行为。 如果禁用此策略设置，则当 Windows 在 BitLocker 恢复后启动时，平台验证数据将不会刷新。

有关恢复过程的详细信息，请参阅 BitLocker 恢复概述。

此策略设置确定在平台验证期间要验证的特定启动配置数据 (BCD) 设置。 平台验证使用平台验证配置文件中的数据，该配置文件由一组平台配置寄存器 (PCR) 范围从 0 到 23 的索引组成。

如果未配置此策略设置，设备将验证默认的 Windows BCD 设置。

注意

当 BitLocker 使用安全启动进行平台和 BCD 完整性验证时，如 允许安全启动完整性验证 策略设置所定义，则忽略此策略设置。 控制启动调试 0x16000010 的设置始终经过验证，如果包含在包含或排除列表中，则它不起作用。

此策略设置允许在缺少所需的启动密钥信息的情况下控制如何恢复受 BitLocker 保护的固定数据驱动器。 如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的固定数据驱动器恢复数据的方法。 下面是可用的选项：

重要提示

如果启用了 “拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限 ”策略设置，则必须禁止使用恢复密钥。

如果禁用或未配置此策略设置，则 BitLocker 恢复支持默认恢复选项。 默认情况下，允许 DRA，恢复选项可由用户指定，包括恢复密码和恢复密钥，并且恢复信息不会备份到 AD DS。

使用此策略设置，可以管理 BitLocker 对固定数据驱动器上基于硬件的加密的使用，并指定它可以与基于硬件的加密配合使用的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果启用此策略设置，则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。

如果禁用此策略设置，则 BitLocker 无法对固定数据驱动器使用基于硬件的加密，在加密驱动器时，将默认使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用驱动器上配置的算法来加密驱动器。

通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项，可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如：

此策略设置指定是否需要密码才能解锁受 BitLocker 保护的固定数据驱动器。 如果选择允许使用密码，则可以要求使用密码、强制实施复杂性要求并配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

使用此策略设置，可以指定是否可以使用智能卡对用户对受 BitLocker 保护的固定数据驱动器的访问进行身份验证。

此策略设置用于在授予 写入 访问权限之前要求加密固定驱动器。

如果启用此策略设置，所有不受 BitLocker 保护的固定数据驱动器都将装载为只读。 如果驱动器受 BitLocker 保护，它将装载具有读取和写入访问权限。

如果禁用或未配置此策略设置，将装载计算机上的所有固定数据驱动器，并具有读取和写入访问权限。

注意

启用此策略设置后，当用户尝试将数据保存到未加密的固定数据驱动器时，会收到 “拒绝访问 ”错误消息。

如果在启用此策略设置时在计算机上执行 BitLocker 驱动器准备工具BdeHdCfg.exe ，可能会遇到以下问题：

此策略设置控制在固定数据驱动器上使用 BitLocker。

如果启用此策略设置，则 BitLocker 用于加密驱动器的加密类型由此策略定义，并且 BitLocker 安装向导中不会显示加密类型选项：

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。 例如，当扩展使用 仅使用空间加密 的驱动器时，不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

通过此策略设置，可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的可移动数据驱动器。 如果启用此策略设置，则可以控制用户可从受 BitLocker 保护的可移动数据驱动器恢复数据的方法。 下面是可用的选项：

重要提示

如果启用了 “拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 ”策略设置，则必须禁止使用恢复密钥。

如果禁用或未配置此策略设置，则 BitLocker 恢复支持默认恢复选项。 默认情况下，允许 DRA，恢复选项可由用户指定，包括恢复密码和恢复密钥，并且恢复信息不会备份到 AD DS。

使用此策略设置，可以管理 BitLocker 对可移动数据驱动器基于硬件的加密的使用，并指定它可以与基于硬件的加密配合使用的加密算法。 使用基于硬件的加密可以提高驱动器操作的性能，这些操作涉及频繁将数据读取或写入驱动器。

如果启用此策略设置，则可以指定用于控制是否在不支持基于硬件加密的设备上使用基于 BitLocker 软件的加密而不是基于硬件的加密的选项。 还可以指定是否要限制用于基于硬件的加密的加密算法和密码套件。

如果禁用此策略设置，则 BitLocker 无法对可移动数据驱动器使用基于硬件的加密，在加密驱动器时，将默认使用基于 BitLocker 软件的加密。

如果不配置此策略设置，BitLocker 将使用基于软件的加密，而不考虑基于硬件的加密可用性。

注意

选择驱动器加密方法和密码强度策略设置不适用于基于硬件的加密。 分区驱动器时，将设置基于硬件的加密使用的加密算法。 默认情况下，BitLocker 使用驱动器上配置的算法来加密驱动器。

通过 “限制基于硬件的加密允许的加密算法和密码套件 ”选项，可以限制 BitLocker 可用于硬件加密的加密算法。 如果为驱动器设置的算法不可用，BitLocker 将禁用基于硬件的加密。 加密算法由对象标识符 (OID) 指定。 例如：

此策略设置指定是否需要密码才能解锁受 BitLocker 保护的可移动数据驱动器。 如果选择允许使用密码，则可以要求使用密码、强制实施复杂性要求并配置最小长度。

重要提示

若要使复杂性要求设置生效，还必须启用组策略设置密码必须满足计算机配置>中的复杂性要求Windows 设置>安全设置>帐户策略>密码策略。

如果启用此策略设置，用户可以配置满足你定义要求的密码。 若要对密码强制实施复杂性要求，请选择“ 要求复杂性”：

密码必须至少为 8 个字符。 若要为密码配置更大的最小长度，请在“最小密码长度”下指定所需的字符数

如果禁用或未配置此策略设置，则 8 个字符的默认长度约束适用于操作系统驱动器密码，并且不会进行复杂性检查。

使用此策略设置，可以指定是否可以使用智能卡对用户对受 BitLocker 保护的可移动数据驱动器的访问进行身份验证。

此策略设置控制对可移动数据驱动器的 BitLocker 的使用。

启用此策略设置后，可以选择控制用户配置 BitLocker 的方式的属性设置：

如果禁用此策略设置，则用户无法在可移动磁盘驱动器上使用 BitLocker。

此策略设置配置设备是否需要 BitLocker 保护才能将数据写入可移动数据驱动器。

如果启用此策略设置：

如果禁用或未配置此策略设置，将装载计算机上的所有可移动数据驱动器，并具有读取和写入访问权限。

注意

如果启用了可 移动磁盘：拒绝写入访问 的策略设置，则忽略此策略设置。

重要提示

如果启用此策略：

此策略设置控制对可移动数据驱动器的 BitLocker 的使用。

启用此策略设置时，BitLocker 安装向导中不提供 加密类型 选项：

如果禁用或未配置此策略设置，BitLocker 设置向导会要求用户在启用 BitLocker 之前选择加密类型。

注意

如果驱动器已加密或加密正在进行中，则更改加密类型不起作用。

收缩或扩展卷时忽略此策略，BitLocker 驱动程序使用当前加密方法。 例如，当扩展使用 仅使用空间加密 的驱动器时，不会像使用 完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除 “仅使用的空间 ”驱动器上的可用空间： manage-bde.exe -w。 如果卷收缩，则不会对新的可用空间执行任何操作。

如果设备不符合配置的策略设置，则 BitLocker 可能未打开，或者 BitLocker 配置可能被修改，直到设备处于合规状态。 当驱动器不符合策略设置时，仅允许对 BitLocker 配置进行更改以使其符合性。 例如，如果以前加密的驱动器因策略设置更改而变得不符合，则可能会出现这种情况。

如果需要进行多项更改才能使驱动器符合性，可能需要暂停 BitLocker 保护，进行必要的更改，然后恢复保护。 例如，如果可移动驱动器最初配置为使用密码解锁，然后将策略设置更改为需要智能卡，则可能会出现这种情况。 在此方案中，需要暂停 BitLocker 保护，删除密码解锁方法，并添加智能卡方法。 此过程完成后，BitLocker 符合策略设置，并且可以恢复驱动器上的 BitLocker 保护。

在其他情况下，若要使驱动器符合策略设置的更改，可能需要禁用 BitLocker 并解密驱动器，然后重新启用 BitLocker，然后重新加密驱动器。 此方案的一个示例是当 BitLocker 加密方法或密码强度发生更改时。

若要详细了解如何管理 BitLocker，请查看 BitLocker 操作指南。

通常使用 PowerShell 部署、配置和管理服务器。 建议使用组策略设置在服务器上配置 BitLocker，并使用 PowerShell 管理 BitLocker。

BitLocker 是 Windows Server 中的可选组件。 按照在 Windows Server 上安装 BitLocker 中的说明添加 BitLocker 可选组件。

最精简的服务器界面是一些 BitLocker 管理工具的先决条件。 在 服务器核心 安装中，必须首先添加必要的 GUI 组件。 结合使用按需功能和更新的系统与修补的映像和如何更新本地源媒体以添加角色和功能中介绍了将 shell 组件添加到服务器核心的步骤。 如果手动安装服务器，则选择 具有桌面体验的服务器 是最简单的路径，因为它可避免执行将 GUI 添加到服务器核心的步骤。

熄灯的数据中心可以利用第二个因素的增强安全性，同时通过选择性地使用 BitLocker (TPM+PIN) 和 BitLocker 网络解锁的组合来避免在重启期间用户干预的需要。 BitLocker 网络解锁融合了最好的硬件保护、位置依赖关系和自动解锁，同时处于受信任的位置。 有关配置步骤，请参阅 网络解锁。

查看 BitLocker 操作指南，了解如何使用不同的工具来管理和操作 BitLocker。

BitLocker 操作指南 >