Dell Encryption Enterprise BitLocker Manager 的建議原則
Summary: Dell Encryption Enterprise BitLocker Manager (先前稱為 Dell Data Protection |BitLocker Manager) 運用 Microsoft 整合式完整磁碟區加密通訊協定 (通常稱為 BitLocker),提供保護與安全性。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影響的產品:
- Dell Encryption Enterprise BitLocker Manager
- Dell Data Protection | BitLocker Manager
這些功能提供完整磁碟區加密機制,以及多個可保護作業系統的案例,以及保護開機週期防止受到攻擊。
Dell 提供單一窗口來管理受 BitLocker 保護的裝置,以及多項功能來報告對這些裝置的保護。
注意:若要檢視環境目前的保護狀態,請使用 Dell Encryption 上的 儀表板 項目 (先前稱為 Dell Data Protection |加密) 主控台。
若要設定 Dell 建議的 BitLocker Encryption 原則:
- 前往 Enterprise。
- 按一下 BitLocker 加密。
- 若要檢視所有設定,請按一下顯示進階設定。
建議的設定如下:
注意:本文最後更新於 2019 年 11 月。原則適用於 Dell Security Management Server v10.2.9。
| 原則 | Dell 建議的設定 | 原則說明 |
|---|---|---|
| BitLocker Encryption | 開啟 | 啟用和停用 BitLocker Manager 附掛程式 (所有 Dell BitLocker Manager 原則都必須使用此附掛程式,才能正確套用) |
| TPM Manager 已啟用 | 開啟 | 啟用和停用 TPM 管理附掛程式 (如果 TPM 處於「開啟」但未正確啟用狀態,此附掛程式會啟動 TPM) |
| 停用睡眠模式 | 關閉 | 啟用後,在加密期間,不允許裝置進入任何睡眠狀態。 |
| 加密系統磁碟機 | 開啟加密 | 設為請勿管理時,裝置的本機系統管理員可以修改 BitLocker。 將此設定為 「開啟加密」 會強制加密磁碟區,且本機系統管理員無法對其進行修改。 將此設定為 「關閉加密」 會強制解密磁碟區,且本機系統管理員無法對其進行修改。 |
| 加密固定磁碟機 | 請勿管理 | 設為請勿管理時,裝置的本機系統管理員可以修改 BitLocker。 將此設定為 「開啟加密」 會強制加密磁碟區,且本機系統管理員無法對其進行修改。 將此設定為 「關閉加密」 會強制解密磁碟區,且本機系統管理員無法對其進行修改。 |
| 加密可移除磁碟機 | 請勿管理 | 設為請勿管理時,裝置的本機系統管理員可以修改 BitLocker。 將此設定為 「開啟加密」 會強制加密磁碟區,且本機系統管理員無法對其進行修改。 將此設定為 「關閉加密」 會強制解密磁碟區,且本機系統管理員無法對其進行修改。 |
| 在系統啟動時需要其他認證。 | 已啟用 | 此屬性可啟用接下來的五項原則,並可在受管理端點啟用定義的保護器。 |
| 允許無相容 TPM 的 BitLocker Encryption。 | 已啟用 | 啟用時,請確保支援舊型 TPM 機型,並可在不含 TPM 的裝置上將 BitLocker 金鑰委付至 USB。 |
| 設定 TPM 啟動 | 必要 | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都無法選取。 |
| 設定 TPM 啟動 PIN | 不允許 | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都無法選取。 |
| 設定 TPM 啟動金鑰 | 不允許 | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都無法選取。 |
| 設定 TPM 啟動金鑰和 PIN | 不允許 | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都無法選取。 |
| 在自我加密磁碟機上停用 BitLocker | 已停用 | 設為啟用時,如果偵測到自我加密磁碟機 (SED),BitLocker 將無法保護端點。 將此原則設為停用可讓 BitLocker 保護端點,無論磁碟的功能為何。 |
| 原則 | Dell 建議的設定 | 原則說明 |
|---|---|---|
| 固定資料磁碟區設定 | ||
| 設定在固定資料磁碟機上使用智慧卡 | 不允許 | 當「加密固定磁碟」設為「開啟加密」時,此原則會顯示保護固定 (非作業系統磁碟區) 磁碟的選項。 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 設為 「不允許」時,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都不是可選取的選項。 |
| 拒絕未受 BitLocker 保護的固定磁碟機的寫入存取 | 已停用 | 透過此原則設定,您可以設定固定資料磁碟機是否需要 BitLocker 保護才可在電腦上寫入。 設為停用時,電腦上所有固定資料磁碟機皆具有讀取和寫入存取功能。 設為啟用時,當使用者嘗試將資料儲存至未加密的固定資料磁碟機時,會收到「存取遭拒」錯誤訊息。 設置為“為組織啟用”時,當使用者的裝置僅在策略中設置了組織標識符時,當他們嘗試將數據保存到未加密的固定數據驅動器時,會收到“訪問被拒絕”錯誤消息。電腦上配備所有固定資料磁碟機的所有其他裝置皆具有讀取和寫入存取功能。 |
| 允許從舊版 Windows 存取受 BitLocker 保護的固定資料磁碟機 | 已啟用 | 設為啟用時,可在執行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或具有 SP2 的 Windows XP 上解除鎖定以 FAT 檔案系統格式化的資料磁碟機,並檢視其內容。這些作業系統具備受 BitLocker 保護的磁碟機的唯讀存取。 設為停用時,在執行舊版 Windows 的電腦上,無法解除鎖定以 FAT 檔案系統格式化的資料磁碟機。 |
| 請勿在以 FAT 格式化的固定磁碟機上安裝 BitLocker to Go Reader | 已停用 | 選取時,這可防止安裝 BitLocker To Go Reader,讓執行舊版 Windows 裝置的使用者無法存取受 BitLocker 保護的磁碟機。 |
| 設定固定資料磁碟機的密碼使用 | Allow | 當「加密固定磁碟」設為「開啟加密」時,此原則會顯示保護固定 (非作業系統磁碟區) 磁碟的選項。 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 設為 「不允許」時,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都不是可選取的選項。 |
| 設定固定資料磁碟機的密碼複雜度 | 必要 | 設為必要時,必須連線至網域控制站,才能在 BitLocker 啟用時驗證密碼的複雜度。 設為允許時,系統會嘗試連線至網域控制站,以驗證複雜度是否符合原則所設定的規則。但是,如果找不到網域控制站,無論密碼複雜度如何,都會接受密碼,而且磁碟機會使用該密碼作為保護器進行加密。 設為不允許時,不會執行密碼複雜度驗證。 |
| 固定資料磁碟機密碼的最短長度 | 8 | 設定受 BitLocker 保護的固定磁碟區密碼的最小長度 (此設定需要將「 設定固定資料磁碟機密碼的使用 」設為 「需要 」或 「允許」) |
| 固定資料磁碟機的加密類型 | 完整加密 | 此原則可控制固定資料磁碟機是否使用僅已使用空間加密或完整加密。BitLocker 保護的虛擬機器只需要已使用的空間。 |
| 選擇如何復原受 BitLocker 保護的固定磁碟機 | 已停用 | 接下來七項原則的上層。 啟用後,可設定其他復原選項。 停用時,僅可透過 Dell Security Management Server 或 Dell Security Management Server Virtual 進行復原。 |
| 允許用於受保護固定資料磁碟機的資料復原代理程式 | 已停用 | 原則「選擇如何復原受 BitLocker 保護的固定磁碟機」的子項 允許資料復原代理程式核取方塊會用來指定資料復原代理程式是否可與受 BitLocker 保護的磁碟機搭配使用。在使用資料復原代理程式之前,必須先從位於群組原則管理主控台 (GPMC) 或本機群組原則編輯器中的公開金鑰原則將其新增。 如需有關如何使用資料復原代理程式來復原受 BitLocker 保護裝置的詳細資訊,請參閱:https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/  |
| 設定 BitLocker 48 位數復原密碼的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為「不允許」時,可能無法復原受 BitLocker 保護的電腦。
|
| 設定 BitLocker 256 位元復原金鑰的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為「不允許」時,可能無法復原受 BitLocker 保護的電腦。
|
| 略過 BitLocker 設定精靈中的復原選項 | 已停用 | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項。 選取略過 BitLocker 設定精靈中的復原選項,以防止使用者在磁碟機上啟用 BitLocker 時指定復原選項。啟用後,原則設定會決定 BitLocker 復原選項。 |
| 將 BitLocker 復原資訊儲存至固定資料磁碟機的 AD DS | 已啟用 | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項。 接下來兩項原則的上層: 將 BitLocker 復原資訊儲存至 Active Directory Domain Services,選擇要儲存在 Active Directory Domain Services (AD DS) 中的 BitLocker 復原資訊。 |
| 要儲存在 AD DS 中的 BitLocker 復原資訊 | 復原密碼和金鑰套裝 | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項,並將 BitLocker 復原資訊儲存至固定資料磁碟機的 AD DS。 復原密碼和金鑰套裝、BitLocker 復原密碼和金鑰套裝會儲存在 AD DS 中。儲存金鑰套裝可支援從實體損毀的磁碟機復原資料。如果選擇 「僅恢復密碼」,則恢復密碼是唯一存儲在 AD DS 中的內容。 |
| 在固定資料磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker | 已停用 | 原則選擇如何復原受 BitLocker 保護的固定磁碟機的子項,並將 BitLocker 復原資訊儲存至固定資料磁碟機的 AD DS。 除非電腦已連線至網域,且將 BitLocker 復原資訊備份至 AD DS 成功,否則若要防止使用者啟用 BitLocker,請選取在固定磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker 核取方塊。 |
| 設定「將硬體加密用於固定資料磁碟機」 | 已啟用 | 接下來四項原則的上層。 此原則可控制 BitLocker 在做為固定資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 將硬體加密用於固定資料磁碟機 | 已啟用 | 原則設定將硬體加密用於固定資料磁碟機的子項。 此原則可控制 BitLocker 在做為固定資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 當硬體加密無法使用時,請在固定資料磁碟機上使用 BitLocker 軟體加密 | 已啟用 | 原則設定將硬體加密用於固定資料磁碟機的子項。 此原則可控制 BitLocker 在做為固定資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 限制在固定資料磁碟機上允許硬體加密的加密演算法和加密套件 | 已停用 | 原則設定將硬體加密用於固定資料磁碟機的子項。 限制允許硬體加密的加密演算法和加密套件套件可讓您限制 BitLocker 可與硬體加密搭配使用的加密演算法。如果無法使用為磁碟機設定的演算法,BitLocker 會停用硬體加密的使用。 |
| 在固定資料磁碟機上設定特定的加密演算法和加密套件設定 | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 原則設定將硬體加密用於固定資料磁碟機的子項。 加密演算法是由物件識別碼 (OID) 指定,並以逗號分隔。 加密密碼的 OID 範例:
|
| 全域設定 | ||
| 儲存復原密碼的預設資料夾位置 | (空白) | 設定後,當使用者選擇將復原密碼儲存在資料夾中的選項時,指定作為預設資料夾位置使用的路徑。您可以利用完整路徑或將目標電腦的環境變數納入路徑中。如果路徑無效,BitLocker 設定精靈會顯示電腦的頂層資料夾檢視。 |
| 加密方法和加密強度 | 含擴散器的 AES256 |
注意:此原則不適用於加密的磁碟機。加密的磁碟機會使用自己的演算法,磁碟會在分割期間設定。
|
| 啟用組織唯一識別碼 | 已停用 | 接下來兩項原則的上層。 啟用時,可讓您設定受 BitLocker 保護的磁碟機上的識別欄位,以及組織使用的任何允許的識別欄位。 這些識別碼會儲存為識別欄位和允許的識別欄位。識別欄位可讓您將唯一的組織識別碼與受 BitLocker 保護的磁碟機建立關聯。此識別碼會自動新增至受 BitLocker 保護的新磁碟機,而且可使用 Manage-bde 命令列工具,在現有受 BitLocker 保護的磁碟機上更新。 需要識別欄位才能在受 BitLocker 保護的磁碟機上管理憑證式資料復原代理程式,並針對 BitLocker To Go Reader 進行可能的更新。只有當磁碟機上的識別欄位符合識別欄位中設定的值時,BitLocker 才會管理和更新資料復原代理程式。只有在磁碟機上的識別欄位與為識別欄位設定的值相符時,BitLocker 才會以類似方式更新 BitLocker To Go Reader。
注意:啟用組織唯一識別碼可與拒絕未受 BitLocker 保護的可移除磁碟機的寫入存取原則設定一起使用,以協助控制組織中可移除磁碟機的使用。
|
| 設定組織唯一識別碼 | (空白) | 原則啟用組織唯一識別碼的子項。 此為英數字元值,可為您的裝置設定唯一識別碼,以確保由貴公司進行管理。 此識別碼會自動新增至受 BitLocker 保護的新磁碟機,而且可使用 Manage-bde 命令列工具,在現有受 BitLocker 保護的磁碟機上更新。 |
| 設定允許的組織唯一識別碼 | (空白) | 原則啟用組織唯一識別碼的子項。 此為英數字元值,可為您的裝置設定唯一識別碼,以確保由貴公司進行管理。 此識別碼會自動新增至受 BitLocker 保護的新磁碟機,而且可使用 Manage-bde 命令列工具,在現有受 BitLocker 保護的磁碟機上更新。
注意:建議原則設定允許的組織唯一識別碼和設定組織唯一識別碼相符,以避免在復原期間發生問題。
|
| 防止在重新開機時記憶體覆寫 | 已停用 | 停用時,BitLocker 密碼會從記憶體中抹除。啟用時,BitLocker 密碼會保留在記憶體中,這可改善效能,儘管 BitLocker 密碼有其他風險。 |
| 啟用智慧卡憑證識別碼 | 已停用 | 啟用時,在憑證的物件識別碼設定中指定的物件識別碼必須與原則智慧卡憑證識別碼中的物件識別碼相符。 |
| 智慧卡憑證識別碼 | 1.3.6.1.4.1.311.67.1.1 | 物件識別碼是在憑證的增強金鑰使用 (EKU) 中指定。BitLocker 可以通過將證書中的物件識別碼與此策略設置中的物件標識碼匹配來標識哪些證書可用於向受 BitLocker 保護的驅動器驗證用戶證書。 預設物件識別碼為 1.3.6.1.4.1.311.67.1.1。 |
| 作業系統磁碟區設定 | ||
| 允許用於啟動的增強 PIN。 | 已停用 | 啟動的增強 PIN 允許使用字元 (包括大寫和小寫字母、符號、數字和空格)。
注意:並非所有電腦都支援開機前環境中的增強 PIN 字元。
|
| PIN 中需要的字元數目 | 6 | 定義開機前環境所需的最小字元數目
注意:從 Windows 10 的 1703 版開始,BitLocker PIN 的最短長度增加到六個字元。
|
| 允許在作業系統磁碟機上啟動時網路解除鎖定 | 已停用 | 此原則可控制 BitLocker 中網路解除鎖定功能的部分行為。此原則必須啟用網路上的 BitLocker 網路解除鎖定,因為它允許執行 BitLocker 的用戶端在加密期間建立必要的網路金鑰保護器。 如需啟用網路解除鎖定的詳細資訊,請參閱 https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock 。 |
| 允許在作業系統磁碟機上使用 SecureBoot | 已啟用 | 控制如何使用安全開機功能處理啟用 BitLocker 的電腦磁碟區。啟用此功能會在開機程序期間強制執行安全開機驗證,並根據安全開機原則驗證開機組態資料 (BCD) 設定。 |
| 不允許標準使用者變更作業系統磁碟機上的 PIN | 已停用 | 此原則設定可讓您設定是否允許標準使用者變更用於保護作業系統磁碟機的 PIN 或密碼。 啟用時,沒有本機系統管理員權限的使用者無法修改端點上的 PIN。 停用時,端點上的所有使用者都可以修改開機前 PIN。 |
| 啟用在平板電腦上使用開機前鍵盤輸入 | 已啟用 | 啟用後,即允許使用者啟用需要使用者從開機前環境輸入的驗證選項,即使平台顯示缺少開機前輸入功能也是如此。 |
| 復原後重設平台驗證資料 | 已啟用 | 啟用時,當 Windows 在 BitLocker 復原後啟動時,平台驗證資料會重新整理。 停用時,BitLocker 復原後平台驗證資料不會重新整理。如果平台的基本組態已變更,這可能會在每次開機後造成復原。 |
| 選擇如何復原受 BitLocker 保護的作業系統磁碟機 | 已停用 | 接下來七項原則的上層。 啟用後,可設定其他復原選項。 停用時,僅可透過 Dell Security Management Server 或 Dell Security Management Server Virtual 進行復原。 |
| 允許資料復原代理程式用於受保護的作業系統磁碟機 | 已啟用 | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項。 允許資料復原代理程式核取方塊是用來指定資料復原代理程式是否可與受 BitLocker 保護的作業系統磁碟機搭配使用。在使用資料復原代理程式之前,必須先從位於群組原則管理主控台 (GPMC) 或本機群組原則編輯器中的公開金鑰原則將其新增。 如需有關如何使用資料復原代理程式來復原受 BitLocker 保護裝置的詳細資訊,請參閱: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ |
| 設定 BitLocker 48 位數復原密碼的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為不允許時,可能無法復原受 BitLocker 保護的電腦。
|
| 設定 BitLocker 256 位元復原金鑰的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為不允許時,可能無法復原受 BitLocker 保護的電腦。
|
| 略過 BitLocker 設定精靈中的復原選項 | 已停用 | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項。 選取略過 BitLocker 設定精靈中的復原選項,以防止使用者在磁碟機上啟用 BitLocker 時指定復原選項。 啟用後,原則設定會決定磁碟機的 BitLocker 復原選項。 |
| 將 BitLocker 復原資訊儲存至作業系統磁碟機的 AD DS | 已啟用 | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項。 接下來兩項原則的上層: 將 BitLocker 復原資訊儲存至 Active Directory Domain Services,選擇要儲存在 Active Directory Domain Services (AD DS) 中的 BitLocker 復原資訊。 |
| 將 BitLocker 復原資訊儲存在 AD DS 中 (僅 Windows Server 2008) | 復原密碼和金鑰套裝 | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項,並將 BitLocker 復原資訊儲存至作業系統資料磁碟機的 AD DS。 復原密碼和金鑰套裝、BitLocker 復原密碼和金鑰套裝會儲存在 AD DS 中。儲存金鑰套裝可支援從實體損毀的磁碟機復原資料。如果您選取僅復原密碼,則只有復原密碼會儲存在 AD DS 中。 |
| 在作業系統磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker | 已停用 | 原則選擇如何復原受 BitLocker 保護的作業系統磁碟機的子項,並將 BitLocker 復原資訊儲存至作業系統資料磁碟機的 AD DS。 除非電腦已連線至網域,且將 BitLocker 復原資訊備份至 AD DS 成功,否則若要防止使用者啟用 BitLocker,請選取在作業系統磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker 核取方塊。 |
| 設定「將硬體加密用於作業系統磁碟機」 | 已啟用 | 接下來四項原則的上層。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。
在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/ |
| 將硬體加密用於作業系統磁碟機 | 已啟用 | 原則「設定將硬體加密用於作業系統資料磁碟機」的子項。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。
在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/ |
| 當硬體加密無法使用時,請在作業系統磁碟機上使用 BitLocker 軟體加密 | 已啟用 | 原則「設定將硬體加密用於作業系統資料磁碟機」的子項。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。
在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/ |
| 限制在作業系統磁碟機上允許硬體加密的加密演算法和加密套件 | 已停用 | 原則設定將硬體加密用於作業系統資料磁碟機的子項。 限制允許硬體加密的加密演算法和加密套件套件可讓您限制 BitLocker 可與硬體加密搭配使用的加密演算法。如果無法使用為磁碟機設定的演算法,BitLocker 會停用硬體加密的使用。 |
| 在作業系統磁碟機上設定特定的加密演算法和加密套件設定 | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 原則設定將硬體加密用於作業系統資料磁碟機的子項。 加密演演演算法由物件識別碼 (OID) 指定,並用逗號 分隔 加密密碼的範例 OID:
|
| 作業系統磁碟機的加密類型 | 完整加密 | 此原則可控制資料磁碟機是否使用僅已使用空間加密或完整加密。BitLocker 保護的虛擬機器需要僅已使用空間。 |
| 設定將密碼用於作業系統磁碟機 | 未設定 | 此原則可控制非 TPM 型電腦如何使用密碼保護器。此原則與設定作業系統磁碟機的密碼複雜度原則搭配使用時,可讓系統管理員要求使用密碼保護器時的密碼長度和複雜度。根據預設,密碼長度必須為八個字元。 啟用時,使用者可以設定符合您定義需求的密碼。 若選擇「未設定」或「停用」,則作業系統磁碟機密碼會套用八個字元的預設長度限制,且不會檢查複雜性。
注意:如果啟用 FIPS 相容性,則無法使用密碼。
|
| 設定作業系統磁碟機的密碼複雜度 | 必要 | 設為必要時,必須連線至網域控制站,才能在 BitLocker 啟用時驗證密碼的複雜度。 設為允許時,系統會嘗試連線至網域控制站,以驗證複雜度是否符合原則所設定的規則。但是,如果找不到網域控制站,無論密碼複雜度如何,都會接受密碼,而且磁碟機會使用該密碼作為保護器進行加密。 設為不允許時,不會執行密碼複雜度驗證。 |
| 作業系統磁碟機密碼的最短長度 | 8 | 為受 BitLocker 保護的磁碟機設定密碼的最短長度
注意:設定是在開啟 BitLocker 時強制執行,而不是在解除鎖定磁碟機時。BitLocker 可讓您使用磁碟機上可用的任何保護器解除鎖定磁碟機。
|
| 需要作業系統磁碟機的 ASCII 專用密碼 | 已停用 | 啟用後,作業系統磁碟機的密碼提示中不允許出現 Unicode 字元。 停用時,所有字元都會接受。 |
| 使用增強型開機組態資料設定檔 | 未設定(將此原則變更為「未設定」以外的值,可能會在 Windows 10 上啟用 Hyper-V 功能時出現復原提示)。 | 接下來兩項原則的上層。 此原則設定可決定特定的開機組態資料 (BCD) 設定,以便在平台驗證期間進行驗證。平台驗證會使用平台驗證設定檔中的資料,其中包含 0 到 23 的平台組態註冊 (PCR) 索引。
注意:當 BitLocker 使用安全開機用於平台和開機組態資料完整性驗證時,會忽略使用增強型開機組態資料設定檔群組原則設定。
|
| 驗證其他 BCD 設定 | (空白) | 使用增強型開機組態資料設定檔的子項。 如需自訂 BCD 設定的相關資訊,請參閱 https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker
注意:控制開機偵錯 (0x16000010) 的設定一律會經過驗證,對於其是在包含或排除清單中並無影響。
|
| 排除其他 BCD 設定 | (空白) | 使用增強型開機組態資料設定檔的子項。 如需自訂 BCD 設定的相關資訊,請參閱 https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker
注意:控制開機偵錯 (0x16000010) 的設定一律會經過驗證,對於其是在包含或排除清單中並無影響。
|
| 設定 TPM 平台驗證設定檔 | 已停用 | 設定特定 TPM 平台設定的上層。 啟用時,此原則設定會決定 TPM 在驗證早期開機元件時所測量的值,然後再在執行 Windows Vista、Windows Server 2008 或 Windows 7 的電腦上解除鎖定磁碟機。 |
| 設定特定的 TPM 平台設定 | Dell Technologies 建議使用 Microsoft 目前的預設 PCR,除非另有要求 | 設定 TPM 平台驗證設定檔的子項。 平台驗證設定檔包含從 0 到 23 的 PCR 索引。預設平台驗證設定檔可保護加密金鑰防止下列變更:
|
| 設定 BIOS TPM 平台驗證設定檔 | 已停用 | 設定特定 BIOS TPM 平台設定的上層。 設為啟用時,此原則設定會決定 TPM 在驗證早期開機元件時所測量的值,然後再在具有 BIOS 組態的電腦上解除鎖定作業系統磁碟機,或使用已啟用相容性支援模組 (CSM) 的 UEFI 韌體。 |
| 設定特定的 BIOS TPM 平台設定 | Dell Technologies 建議使用 Microsoft 目前的預設 PCR,除非另有要求 | 設定 TPM 平台驗證設定檔的子項。 平台驗證設定檔包含從 0 到 23 的 PCR 索引。預設平台驗證設定檔可保護加密金鑰防止下列變更:
|
| 設定 UEFI TPM 平台驗證設定檔 | 已停用 | 設定特定 UEFI TPM 平台設定的上層。 設為啟用時,此原則設定會決定 TPM 在驗證早期開機元件時所測量的值,然後再在具有原生 UEFI 韌體組態的電腦上解除鎖定作業系統磁碟機。 |
| 設定特定的 UEFI TPM 平台設定 | Dell Technologies 建議使用 Microsoft 目前的預設 PCR,除非另有要求 | 設定 TPM 平台驗證設定檔的子項。 平台驗證設定檔包含從 0 到 23 的 PCR 索引。預設平台驗證設定檔可保護加密金鑰防止下列變更:
|
| 可移除存放裝置設定 | ||
| 可讓使用者在可移除磁碟機上套用 BitLocker 保護 | 已啟用 | 啟用後,可讓使用者啟用 BitLocker 以保護可移除磁碟機。 停用後,加密可移除磁碟機原則會控制 BitLocker 保護可移除磁碟機的時間。 |
| 允許使用者暫停並解密可移除資料磁碟機上的 BitLocker 保護 | 已啟用 | 啟用時,可讓使用者從磁碟機中移除 BitLocker,或在執行維護時暫停加密。 停用後,加密可移除磁碟機原則會控制 BitLocker 保護可移除磁碟機的時間。 |
| 設定在可移除資料磁碟機上使用智慧卡 | 不允許 | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都不是可選取的選項。 |
| 拒絕未受 BitLocker 保護的可移除磁碟機的寫入存取 | 已停用 | 此策略設置用於要求在授予寫入訪問許可權之前對可移動驅動器進行加密,並控制是否可以使用寫入訪問許可權打開在其他組織中配置的受 BitLocker 保護的可移動驅動器。 啟用後,未受 BitLocker 保護的裝置不允許將資料寫入磁碟,但可以讀取資料。 停用時,未受 BitLocker 保護的裝置可允許讀取和寫入資料。 |
| 允許從舊版 Windows 存取受 BitLocker 保護的可移除資料磁碟機 | 已啟用 | 設為啟用時,可在執行 Windows Server 2008、Windows Vista、具有 SP3 的 Windows XP 或具有 SP2 的 Windows XP 上解除鎖定以 FAT 檔案系統格式化的資料磁碟機,並檢視其內容。這些作業系統具備受 BitLocker 保護的磁碟機的唯讀存取。 設為停用時,在執行舊版 Windows 的電腦上,無法解除鎖定以 FAT 檔案系統格式化的資料磁碟機。 |
| 請勿在以 FAT 格式化的可移除磁碟機上安裝 BitLocker to Go Reader | 已停用 | 選取時,這可防止安裝 BitLocker To Go Reader,讓執行舊版 Windows 裝置的使用者無法存取受 BitLocker 保護的磁碟機。 |
| 設定可移除資料磁碟機的密碼使用 | Allow | 若設為必要,此為最終使用者的唯一選項。端點上沒有提供任何提示給最終使用者。 設為允許時,請將此設定啟用為最終使用者可選取的選項。當多個項目設置為「允許」時,最終使用者會看到一個選擇框,供他們進行選擇。 若設為 不允許,此選項將無法使用,而且在 Dell Encryption UI 和 Windows 設定中都無法選取。 |
| 設定可移除資料磁碟機的密碼複雜度 | 必要 | 設為必要時,必須連線至網域控制站,才能在 BitLocker 啟用時驗證密碼的複雜度。 設為允許時,系統會嘗試連線至網域控制站,以驗證複雜度是否符合原則所設定的規則。但是,如果找不到網域控制站,無論密碼複雜度如何,都會接受密碼,而且磁碟機會使用該密碼作為保護器進行加密。 設為不允許時,不會執行密碼複雜度驗證。 |
| 可移除資料磁碟機密碼的最短長度 | 8 | 為受 BitLocker 保護的磁碟區設定密碼的最小長度 (此設定需要 將設定可移除資料磁碟機的密碼使用 設為 「需要 」或 「允許」) |
| 可移除資料磁碟機的加密類型 | 完整加密 | 此原則可控制資料磁碟機是否使用僅已使用空間加密或完整加密。BitLocker 保護的虛擬機器需要僅已使用空間。 |
| 選擇如何復原受 BitLocker 保護的可移除磁碟機 | 已停用 | 接下來七項原則的上層。 啟用後,可設定其他復原選項。 停用時,僅可透過 Dell Security Management Server 或 Dell Security Management Server Virtual 進行復原。 |
| 允許用於受保護可移除磁碟機的資料復原代理程式 | 已啟用 | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項。 允許資料復原代理程式核取方塊會用來指定資料復原代理程式是否可與受 BitLocker 保護的磁碟機搭配使用。在使用資料復原代理程式之前,必須先從位於群組原則管理主控台 (GPMC) 或本機群組原則編輯器中的公開金鑰原則將其新增。 如需有關如何使用資料復原代理程式來復原受 BitLocker 保護裝置的詳細資訊,請參閱:https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ |
| 設定 BitLocker 48 位數復原密碼的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為「不允許」時,可能無法復原受 BitLocker 保護的磁碟機。
|
| 設定 BitLocker 256 位元復原金鑰的使用者儲存 | Allow | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項。 設為必要時,系統會強制產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為允許時,系統會自動產生 BitLocker 復原資訊,並可供裝置管理員存取。 設為不允許時,不會建立 BitLocker 復原資訊。
注意:設為「不允許」時,可能無法復原受 BitLocker 保護的磁碟機。
|
| 略過 BitLocker 設定精靈中可移除媒體的復原選項 | 已停用 | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項。 選取略過 BitLocker 設定精靈中的復原選項,以防止使用者在磁碟機上啟用 BitLocker 時指定復原選項。啟用後,原則設定會決定磁碟機的 BitLocker 復原選項。 |
| 將 BitLocker 復原資訊儲存至可移除資料磁碟機的 AD DS | 已啟用 | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項。 接下來兩項原則的上層。 將 BitLocker 復原資訊儲存至 Active Directory Domain Services,選擇要儲存在 Active Directory Domain Services (AD DS) 中的 BitLocker 復原資訊。 |
| 將 BitLocker 復原資訊儲存在可移除資料磁碟機的 AD DS 中 | 復原密碼和金鑰套裝 | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項,並將 BitLocker 復原資訊儲存至可移除資料磁碟機的 AD DS。 復原密碼和金鑰套裝、BitLocker 復原密碼和金鑰套裝會儲存在 AD DS 中。儲存金鑰套裝可支援從實體損毀的磁碟機復原資料。如果您選取僅復原密碼,則只有復原密碼會儲存在 AD DS 中。 |
| 在可移除資料磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker | 已停用 | 原則選擇如何復原受 BitLocker 保護的可移除磁碟機的子項,並將 BitLocker 復原資訊儲存至可移除資料磁碟機的 AD DS。 除非電腦已連線至網域,且將 BitLocker 復原資訊備份至 AD DS 成功,否則若要防止使用者啟用 BitLocker,請選取在可移除磁碟機的 AD DS 中儲存復原資訊之前,請勿啟用 BitLocker 核取方塊。 |
| 設定「將硬體加密用於可移除資料磁碟機」 | 已啟用 | 接下來四項原則的上層。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 將硬體加密用於可移除資料磁碟機 | 已啟用 | 原則設定將硬體加密用於可移除資料磁碟機的子項。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 當硬體加密無法使用時,請在可移除資料磁碟機上使用 BitLocker 軟體加密 | 已啟用 | 原則設定將硬體加密用於可移除資料磁碟機的子項。 此原則可控制 BitLocker 在做為資料磁碟區使用時,對配備加密磁碟機的電腦有何反應。使用硬體加密可改善磁碟機作業的效能,包括經常讀取或將資料寫入磁碟機。
注意:選擇磁碟機加密方法和加密強度原則設定不適用於硬體加密。在具有較舊固件的驅動器上啟用此策略也可能會公開以下概述的各種 CVE: https://www.kb.cert.org/vuls/id/395981/
|
| 限制在可移除資料上允許硬體加密的加密演算法和加密套件 | 已停用 | 原則設定將硬體加密用於可移除資料磁碟機的子項。 限制允許硬體加密的加密演算法和加密套件套件可讓您限制 BitLocker 可與硬體加密搭配使用的加密演算法。如果無法使用為磁碟機設定的演算法,BitLocker 會停用硬體加密的使用。 |
| 在可移除資料磁碟機上設定特定的加密演算法和加密套件設定 | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 | 原則設定將硬體加密用於可移除資料磁碟機的子項。 加密演演演算法由物件識別碼 (OID) 指定,並以逗號分隔。 加密密碼的 OID 範例:
|
注意:如需這些原則的進一步資訊,請參閱 Microsoft 的 BitLocker 原則指南 KB https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx
。
。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Affected Products
Dell EncryptionArticle Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.