BitLocker 配置

BitLocker 硬盘驱动器加密模板操作被用于对 Microsoft Windows 10、11 及更新操作系统 64 位版本上的硬盘驱动器进行加密。以下管理选项表示 Microsoft 的 BitLocker 管理使用程序 (manage-bde.exe) 支持的文档化功能,并概述了部署工作流如何与此实用程序的选项进行交互。有关 Microsoft 工具的其他信息和 Microsoft 选项设置的明确说明,请参阅 Microsoft 文档。

部署模板操作:BitLocker 硬盘加密

图像参考 - UI 元素介绍

  • 要加密的卷号,以逗号分隔(例如:C:,D:):指定驱动器盘符(A 至 Z),后跟一个冒号(例如,C:)。此字段不区分大小写,并接受以逗号分隔的驱动器盘符列表。EPM 将尝试为每个指定的卷号添加如下配置的关键保护器。某些关键保护器只能添加到系统卷当中。

  • 在操作系统卷上禁用 BitLocker:此选项会暂时挂起 BitLocker,同时保留现有的关键保护器。在指定的重新启动次数(1 至 15)内,Microsoft 将禁用 BitLocker 强制执行。值为 0 时,将无限期禁用强制执行,直到手动重新启用。若要重新启用,可重新应用关键保护器,也可以手动运行命令:manage-bde -on C: (将 C: 替换为相应的卷号。)

  • 关键保护器

    • 可信平台模块 (TPM)(仅适用于操作系统卷):TPM 是通常集成至主板的硬件组件。Pin启动密钥选项需要 TPM,并且仅适用于系统卷(已安装 Windows)。

      • Pin(指定 pin - 仅对 TPM 有效):建议使用敏感型部署变量来加密并对密码进行安全存储。

      • 启动密钥(指定启动密钥的目录路径):这是存储授权许可文件的路径(未加密驱动器上的本地路径或 UNC 路径)。BitLocker 在启动期间会使用此文件进行身份验证。

    • 密码(指定密码):密码适用于所有指定的 BitLocker 卷。例如,如果您指定 C:、D:、E:,则系统会为各卷应用相同的密码。若要为各卷设置不同的密码,请为每个卷号配置单独的 BitLocker 操作。与 PIN 一样,建议密码使用敏感型部署变量以确保安全加密。

    • AD 帐户或组(指定 AD 帐户或组,例如:域\用户;域\组):按以下格式输入 Active Directory 用户名或组:域\用户或域\组。

    • 数字恢复密码(由操作系统自动生成):这是操作系统为了恢复设置而自动生成的 48 位密钥。如果受管设备上安装了 EPM 代理,EPM 清单扫描器将自动收集此密钥并将其上传到 EPM 核心服务器。

  • 加密选项

    • 仅加密已用空间:仅对已用扇区(即存储了数据的扇区)进行加密。这是一个更快的加密过程,Microsoft 建议在大多数情况下使用。取消选中此选项可加密整个驱动器,以满足更高的安全要求。

    • 跳过硬件测试 – 此选项会跳过 Microsoft 的 BitLocker 预检查,该检查可确保所有关键保护器得到正确配置并且系统能够安全地重新启动。

    • 自动解锁(需要加密操作系统卷)- 这仅应用于非系统卷。解锁密钥存储于加密的系统卷上,须未此选项在该系统卷上启用 BitLocker 加密方可生效。

  • 恢复选项(数字恢复密钥由 EPM 库存扫描仪自动托管)

    • 恢复密钥(指定恢复密钥的目录路径):如果启用了保护器,EPM 清单扫描器会自动收集数字恢复密钥。密钥还可以作为 .BEK 文件备份到本地(未加密)硬盘驱动器、USB 驱动器或 UNC 网络共享。

    • Active Directory 备份:可以将某些密钥类型(PIN、密码和数字密钥)托管至 AD 容器对象中。

    • Entra ID (Azure Active Directory) 备份:  所支持保护器类型支持类似的密钥备份。

组策略对象 (GPO) 设置:

Microsoft BitLocker 选项会受应用于受管设备的组策略对象 (GPO) 设置(尤其当与域策略关联时)的显著影响。在部署 BitLocker 部署模板之前,必须查看和配置相关的 GPO 设置以确保获得所需的结果。以下是部署 EPM 配置模板前需与既定 BitLocker 设置保持一致的关键 GPO 配置区域:

  1. 计算机配置 > 策略 > 管理模板 > Windows 组件 > BitLocker 设备加密

    • 将 BitLocker 恢复信息存储至 Active Directory 域服务中

    • 固定数据驱动器 > 选择受 BitLocker 保护的固定驱动器可如何进行恢复

    • 操作系统驱动器 > 选择受 BitLocker 保护的系统驱动器可如何进行恢复

    • 操作系统驱动器 > 配置操作系统驱动器密码的使用

  2. 在设备上修改任何 GPO 设置后,运行 gpupdate /force 以确保在进行任何后续测试前立即应用变更。