收藏
下载资源

bitlocker 组策略参考

上传人:正** 文档编号:41910338 上传时间:2018-05-31 格式:DOCX 页数:22 大小:58.48KB
返回 下载 相关 举报
bitlocker 组策略参考_第1页
第1页 / 共22页
bitlocker 组策略参考_第2页
第2页 / 共22页
bitlocker 组策略参考_第3页
第3页 / 共22页
bitlocker 组策略参考_第4页
第4页 / 共22页
bitlocker 组策略参考_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《bitlocker 组策略参考》由会员分享,可在线阅读,更多相关《bitlocker 组策略参考(22页珍藏版)》请在金锄头文库上搜索。

1、BitLocker 组策略参考BitLocker 最初打开驱动器时,将应用的大多数 BitLocker 组策略设置。 如果计算机不符合现有的组策略设置,BitLocker 可能无法打开或修改计算机中的法规遵从性状态之前。 合规性组策略设置 (例如,如果组策略设置已更改您的单位在初始 BitLocker 部署完成后,然后应用到以前加密的驱动器) 的驱动器时,可以对除改变,使其符合该驱动器的 BitLocker 配置不进行任何更改。 如果不将驱动器放入法规遵从性需要多个更改,您必须挂起 BitLocker 保护、 进行必要的更改,然后恢复保护。 发生这种情况,例如,如果要使用密码取消锁定最初配置可

2、移动驱动器,然后更改组策略设置以禁止密码,并要求使用智能卡。 在此情况下,BitLocker 保护需要使用 manage-bde 命令行工具,挂起密码取消锁定方法删除,并添加智能卡方法。在完成此操作后,BitLocker 与组策略设置符合标准,并可以恢复 BitLocker 保护驱动器上。有关使用 manage-bde 命令行工具的详细信息,请参阅 管理 bde.exe 参数引用 .以下各节提供了使用按组织的策略设置的完整列表。 BitLocker 组策略设置包括对特定的驱动 器类型 (操作系统驱动器、 固定数据驱动器和可移动数据驱动器) 和应用到所有驱动器的设置。解除锁定的方法 访问和使用

3、BitLocker 驱动器 加密强度 驱动器故障恢复 部署选项 每一节列出的策略设置的影响类型的用法的并提供对使用该策略设置,如果您启用此策略设置与策略设置路径、 策略设置描述,以及任何潜在的冲突区域使用的驱动器类型的引用。 解除锁定的方法以下策略设置可用于确定如何受 BitLocker 保护的驱动器可以解锁。要求在启动时的其他身份验证 允许增强的 Pin 进行启动 配置最小 PIN 长度 需要额外的身份验证 (Windows Server 2008 和 Windows Vista) 启动时 固定的数据驱动器上配置使用的智能卡 固定的数据驱动器上配置使用的密码 可移动数据驱动器上配置使用的智能

4、卡 可移动数据驱动器上配置使用的密码 验证智能卡证书使用规则一致性 要求在启动时的其他身份验证此策略设置用于控制 Windows 7 操作系统驱动器提供了哪些解除锁定选项。驱动器类型操作系统驱动器 (Windows 7 和 Windows Server 2008 R2)策略路径计算机配置计算机配置 管理模板管理模板 windows 组件组件 ComponentsBitLocker 驱动器驱动器 EncryptionOperating 系统驱动器系统驱动器说明此策略设置允许您配置是否 BitLocker 需要额外的身份验证每次计算机启动的时,无论您使用 BitLocker 与或不受信任的平台模块

5、 (TPM)。 当您打开 BitLocker 时,将应用此策略设置。如果您要在没有 TPM 的计算机上使用 BitLocker,选择不兼容的不兼容的 TPM 的情况下允许的情况下允许 BitLocker 复选框。 在此模式中,USB 驱动器启动时必须和用来加密驱动器的关键信息存储在 USB 驱动器中,创建 usb 闪存盘上。 当插入 usb 闪存盘时,驱动器的访问进行身份验证并且可以访问该驱动器。 如果 usb 闪存盘丢失或不可用,您需要使用 BitLocker 恢复选项之一 来访问该驱动器。在兼容的 TPM 的计算机,四种类型的身份验证方法可用来在启动时提供的加密数据的附加的保护。 当计算机

6、启动时,计算机可以仅 TPM 用于身份验证,或它还可以要求插入 USB 闪存驱动器包含启动密钥、 4 位到 20 位个人识别码 (PIN),或这二者的条目。如果您启用此策略设置,用户可以配置 BitLocker 安装向导中的高级的启动选项。如果您禁用或不配置此策略设置,用户可以使用 TPM 配置只有基本选项的计算机上。请注意请注意可以在启动; 要求进行额外的身份验证选项中只有一个否则,将策略发生错误。如果您要用于身份验证之前解锁操作系统驱动器启动 PIN 和 USB 闪存驱动器,则必须启用 BitLocker 的 BitLocker 驱动器加密 安装向导而不是使用 manage-bde 命令行

7、工具。 在此情况下,此策略设置应保留为不配置。冲突如果需要一个身份验证方法,则不能允许使用其他方法。使用的不兼容的 TPM BitLocker,TPM 启动密钥,TPM 启动密钥或 PIN 必须禁止如果启用了拒绝写入访问可移动驱动器不受拒绝写入访问可移动驱动器不受 BitLocker 策略设置。允许增强的 Pin 进行启动使用包含一个 PIN 解除锁定方法时,此策略设置将允许使用增强的 Pin。驱动器类型操作系统驱动器策略路径计算机配置计算机配置 管理模板管理模板 windows 组件组件 ComponentsBitLocker 驱动器驱动器 EncryptionOperating 系统驱动器

8、系统驱动器说明此策略设置允许您配置是否使用 BitLocker 使用增强的启动 Pin。增强的启动 Pin 允许使用的字符包括大写和小写字母、 符号、 数字和空格。 当您打开 BitLocker 时,将应用此策略设置。如果您启用此策略设置,设置将为所有新 BitLocker 启动 Pin 增强的针脚。 受使用标准启动 PIN 不受影响的现有驱动器。重要重要并非所有计算机都支持预启动环境中的增强的 pin 码字符。 强烈建议用户执行系统检查,以验证可以使用增强的 pin 码字符的 BitLocker 安装过程中。如果您禁用或不配置此策略设置,将不使用增强的 Pin。冲突无配置最小 PIN 长度此

9、策略设置用于设置最小 PIN 长度时使用的包含一个 PIN 解除锁定方法。驱动器类型操作系统驱动器策略路径计算机配置计算机配置 管理模板管理模板 windows 组件组件 ComponentsBitLocker 驱动器驱动器 EncryptionOperating 系统驱动器系统驱动器说明此策略设置允许您配置 TPM 启动 PIN 的最小长度。 当您打开 BitLocker 时,将应用此策略设置。 启动 PIN 必须 4 位数字的最小长度,并且可以具有最大长度为 20 位数。如果您启用此策略设置,您可以要求设置启动 PIN 时使用最小位数。如果您禁用或不配置此策略设置,用户可以配置启动 4 到

10、 20 位数之间任意长度的旋转中心 点。冲突无需要额外的身份验证 (Windows Server 2008 和 Windows Vista) 启动时此策略设置用于控制哪些解锁选项对运行 Windows Server 2008 或 Windows Vista 的计算机 可用。驱动器类型操作系统驱动器 (Windows Server 2008 和 Windows Vista)策略路径计算机配置计算机配置 管理模板管理模板 windows 组件组件 ComponentsBitLocker 驱动器驱动器 EncryptionOperating 系统驱动器系统驱动器说明此策略设置允许您控制是否在运行 W

11、indows Vista 或 Windows Server 2008 的计算机上的 BitLocker 驱动器加密安装向导将能够设置每次计算机启动的时所需的其他身份验证方法。 当您打开 BitLocker 时,将应用此策略设置。在兼容的 TPM 的计算机,这两种身份验证方法可用来在启动时提供的加密数据的附加的保护。当计算机启动时,它可以要求用户插入包含启动密钥的 USB 闪存驱动器。 它还可以要求用户为 20 位启动 PIN 输入 4 位数字。不兼容的 TPM 的计算机上需要包含启动密钥的 USB 闪存驱动器。 TPM,而不只被受此 USB 闪存驱动器上的密钥材料 BitLocker 加密数据

12、。如果您启用此策略设置,则向导将显示以允许用户配置 BitLocker 的高级的启动选项页。 使用和不 TPM,您可以进一步配置计算机的设置选项。如果您禁用或不配置此策略设置,BitLocker 安装向导将显示允许用户使用 TPM 的计算机上启用 BitLocker 的基本步骤。 在此基本向导中,可以配置任何其他的启动密钥或启动 PIN。冲突如果您选择需要额外的身份验证方法,其他人不能允许使用的身份验证方法。固定的数据驱动器上配置使用的智能卡此策略设置用于要求、 允许或拒绝使用智能卡与固定的数据驱动器。驱动器类型固定的数据驱动器策略路径计算机配置计算机配置 管理模板管理模板 windows 组

13、件组件 ComponentsBitLocker 驱动器上的驱动器上的 EncryptionFixed 数据驱动器数据驱动器说明此策略设置允许您指定是否可以使用智能卡进行身份验证的用户访问计算机上的受 BitLocker 保护固定的数据驱动器。如果您启用此策略设置,智能卡可用于进行身份验证的用户访问该驱动器。 您可以通过选择要要 求使用固定的数据驱动器上的智能卡求使用固定的数据驱动器上的智能卡复选框来要求智能卡身份验证。请注意请注意当打开 BitLocker,而不是解除锁定的驱动器时,这些设置会强制执行。 BitLocker 将允许对驱动器解锁任何驱动器上可用的保护 程序。如果禁用此策略设置,不

14、允许用户使用智能卡进行身份验证他们对 BitLocker 保护固定的数据 驱动器的访问。如果不配置此策略设置,智能卡可用于验证用户对 BitLocker 保护的驱动器的访问。冲突若要使用智能卡使用 BitLocker,可能还需要修改计算机配置计算机配置 管理模板管理模板 TemplatesBitLocker 驱动器驱动器 EncryptionValidate 智能卡证书使用规则法规遵从性智能卡证书使用规则法规遵从性策略设置以匹配您的智能卡证书的对象标识符中的对象的标识符设置。固定的数据驱动器上配置使用的密码此策略设置用于要求、 允许或拒绝使用固定的数据驱动器使用的密码。驱动器类型固定的数据驱动

15、器策略路径计算机配置计算机配置 管理模板管理模板 windows 组件组件 ComponentsBitLocker 驱动器上的驱动器上的 EncryptionFixed 数据驱动器数据驱动器说明此策略设置用于指定是否需要密码来解锁受 BitLocker 保护固定的数据驱动器。 如果您选择允许使用的密码,您可以要求使用密码,强制执行密码复杂性要求和配置的密码的最小长度。 为有效的复杂性要求设置,必须还启用组策略设置的计算机配置的计算机配置 windows 设置设置 安全设置安全设置 帐户策略帐户策略 密码必须符合复杂性要求密码必须符合复杂性要求。请注意请注意当打开 BitLocker,而不是解除

16、锁定的驱动器时,这些设置会强制执行。 BitLocker 将允许对驱动器解锁任何驱动器上可用的保护 程序。如果您启用此策略设置,用户可以配置符合您定义的要求的密码。 如果需要使用密码,请选择需要密码对固定的数据驱动器需要密码对固定的数据驱动器。 若要强制对密码复杂性要求,请选中要求复杂性要求复杂性。如果设置为要求的复杂性要求的复杂性,域控制器的连接则需要启用 BitLocker,以验证密码的复杂性。 设置为允许复杂性允许复杂性时,域控制器的连接将尝试验证符合复杂性策略设置的规则。 但是,如果发现没有域控制器,密码将仍然被接受而无需考虑的实际密码复杂性,驱动器将被加密为保护器使用该密码。 如果设置为不允许的复杂性不允许的复杂性,没有密码复杂性验证将不会完成。密码必须至少为 8 个字符。 若要配置一个更大的最小长度的密码,请在最小密码长度最小密码长度框中输 入所需的字符数。如果禁用此策略设置,用户不允许使用的密码。如果不配置此策略设置,将使用默认设置,这

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号