BitLocker 組態

BitLocker 硬碟加密範本動作用於加密 64 位元版本 Microsoft Windows 10、11 和更新版本作業系統上的硬碟。 下方的管理選項代表 Microsoft 的 BitLocker 管理公用程式 (manage-bde.exe) 支援的記錄功能,並概述部署工作流程與此公用程式選項的互動方式。 如需有關 Microsoft 工具的其他資訊以及 Microsoft 選項設定的說明,請參閱 Microsoft 的文件。

部署範本動作: BitLocker 硬碟加密

映像參考 – UI 元素說明

  • 要加密的磁區代號,以逗號分隔 (例如: C:、D:): 指定從 A 到 Z 的磁碟機標籤,後面緊接著一個冒號 (例如,C:)。 此欄位不區分大小寫,並接受以逗號分隔的磁碟機標籤清單。 EPM 嘗試將下方設定的金鑰保護裝置新增到每個指定的磁區代號。 部分金鑰保護裝置只能新增到系統磁區。

  • 在作業系統磁區上停用 BitLocker: 此選項可暫時暫停 BitLocker,同時保留現有的金鑰保護裝置。 在指定的重新啟動次數 (1 到 15 次) 期間,Microsoft 會停用 BitLocker 強制執行。 值為 0 時,則無限期停用強制執行,直到手動重新啟用為止。 若要重新啟用,您可以重新套用金鑰保護裝置,或手動執行下列指令: manage-bde -on C: (將 C: 取代為適當的磁區代號)。

  • 金鑰保護裝置:

    • 可信任平台模組 (TPM) (僅適用於作業系統磁區: TPM 是通常整合到主機板中的硬體元件。 PIN 碼啟動金鑰選項需要使用 TPM,而且僅適用於系統磁區 (安裝 Windows 所在的位置)。

      • PIN 碼 (指定 PIN - 僅對 TPM 有效): 建議使用敏感類型的部署變數來加密並安全地儲存任何密碼。

      • 啟動金鑰 (指定啟動金鑰的目錄路徑): 這是儲存金鑰檔案的路徑 (未加密磁碟機上的本機路徑或 UNC 路徑)。 BitLocker 在啟動期間會使用此檔案進行身分驗證。

    • 密碼 (指定密碼): 密碼適用於所有指定的 BitLocker 磁區。 例如,如果您指定 C:、D:、E:,則這些磁碟區都會套用相同的密碼。 若要為每個磁區使用不同的密碼,請為每個磁區代號設定一個單獨的 BitLocker 動作。 與 PIN 碼一樣,建議對密碼使用敏感的部署變數以確保安全加密。

    • AD 帳戶或群組 (指定 AD 帳戶或群組,例如: 網域\使用者;網域\群組): 輸入 Active Directory 使用者名稱或群組,格式為: 網域\使用者或網域\群組。

    • 數位恢復密碼 (由作業系統自動產生): 這是作業系統為復原目的而自動產生的 48 位數金鑰。 如果受管理裝置上已安裝 EPM 代理程式,EPM 清單掃描器將自動收集此金鑰,並將其上傳到 EPM 核心伺服器。

  • 加密選項:

    • 僅加密已用空間: 只會加密已使用的磁區 (即儲存資料的磁區)。 此種加密程序更快,在大多數情況下,Microsoft 建議使用該程序。 取消勾選此選項可加密整個磁碟機以滿足更高的安全性需求。

    • 跳過硬體測試 – 此選項會略過 Microsoft 的 BitLocker 預先檢查,此檢查可確保所有金鑰保護裝置都已正確設定,且系統可以安全地重新啟動。

    • 自動除鎖 (需要加密作業系統磁區) – 這僅適用於非系統磁區。 解除鎖定金鑰儲存在加密的系統磁區上,因此必須在系統磁區上啟用 BitLocker 才能使此選項運作。

  • 復原選項 (數字復原金鑰由 EPM 清單掃描器自動託管):

    • 復原金鑰 (指定復原金鑰的目錄路徑): 如果已啟用該保護裝置,則 EPM 清單掃描器會自動收集數字復原金鑰。 金鑰也可以當作 .BEK 檔案備份到本機 (未加密) 硬碟、USB 磁碟機或 UNC 網路共用。

    • Active Directory 備份: 可以將某些金鑰類型 (PIN 碼、密碼和數字金鑰) 託管到 AD 容器物件中。

    • Entra ID (Azure Active Directory) 備份:  支援對受支援的保護裝置類型進行類似的金鑰備份。

群組原則物件 (GPO) 設定:

Microsoft BitLocker 選項受到套用至受管理裝置的群組原則物件 (GPO) 設定 (尤其是連結到網域原則的設定) 的明顯影響。 部署 BitLocker 部署範本之前,必須檢閱並設定相關的 GPO 設定以確保獲得所需的結果。 以下是在部署 EPM 部署範本之前應與預期的 BitLocker 設定保持一致的關鍵 GPO 組態區域:

  1. 電腦組態 > 原則 > 系統管理範本 > Windows 元件 > BitLocker 磁碟機加密

    • 在 Active Directory 網域服務中儲存 BitLocker 復原資訊

    • 固定資料磁碟機 > 選擇如何復原受 BitLocker 保護的固定磁碟機

    • 作業系統磁碟機 > 選擇如何復原受 BitLocker 保護的作業系統磁碟機

    • 作業系統磁碟機 > 設定作業系統磁碟機的密碼使用方式

  2. 修改裝置上的任何 GPO 設定後,執行 gpupdate /force 以確保在繼續任何測試之前立即套用變更。