使用 BitLocker 驱动器加密技术执行完整磁盘加密

在开始完整磁盘加密之前，建议您确保计算机未受到感染。若要执行操作，应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。

在安装有服务器操作系统的计算机上使用 BitLocker 驱动器加密技术可能要求使用“添加角色和组件”向导安装 BitLocker 驱动器加密 组件。

要使用 BitLocker 完整磁盘加密，请执行以下操作：

1. 打开 Kaspersky Security Center Administration Console。
2. 在管理控制台树的“受管理设备”文件夹中，打开相关客户端计算机所属的管理组名称的文件夹。
3. 在工作区中选择“策略”选项卡。
4. 选择必要的策略并双击以打开策略属性。
5. 在策略窗口中，选择“数据加密 → 完整磁盘加密”。
6. 在“加密技术”下拉列表中，选择“BitLocker 驱动器加密”。
7. 在“加密模式”下拉列表中，选择“加密所有硬盘驱动器”。

   如果计算机安装了多个操作系统，在加密后，您将能够只加载执行了加密的操作系统。

8. 如果您希望在平板电脑的预启动环境中启用 BitLocker 身份验证，则选中“启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证”复选框。

   平板电脑的触摸屏在预启动环境中不可用。例如，要在平板电脑上完成 BitLocker 身份验证，用户必须连接 USB 键盘。

9. 如果您希望使用硬件加密，则选择“使用硬件加密”复选框。这可以提高加密速度并使用较少的计算机资源。
10. 选择以下加密模式之一：
    • 如果您只希望将加密应用至包含文件的硬盘驱动器，则选择“仅加密使用的磁盘空间”复选框。
    • 如果您希望将加密应用至这个硬盘驱动器，则清空“仅加密使用的磁盘空间”复选框。

      该功能仅适用于未加密的硬盘驱动器。如果硬盘驱动器先前使用仅加密使用的磁盘空间功能加密，则在加密所有硬盘驱动器模式下应用策略后，未被文件占用的扇区仍不会被加密。

11. 选择访问使用 BitLocker 加密的硬盘驱动器方式。
    • 如果您希望使用“受信任平台模块”(TPM) 存储加密密钥，则选择“使用受信任平台模块 (TPM)”选项。

      受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片（例如用于存储加密密钥）。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

    • 如果未使用 TPM 进行完整磁盘加密，请选择“使用密码”选项，并在“最小密码长度”字段中指定密码必须包括的最少字符数。

    对于运行 Windows 7 或 Windows Server 2008 R2 的计算机，只能使用 TPM 模块进行加密。如果未安装 TPM 模块，则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。

12. 如果在上个步骤中，您选择了“使用受信任平台模块 (TPM)”选项：
    • 如果您要设置在用户尝试访问加密密钥时需提供的 PIN 码，则选择“使用 PIN”复选框并在“最小 PIN 长度”字段中指定 PIN 代码必须包含的最少数字位数。
    • 如果您想使用密码访问计算机上没有受信任的平台模块的加密硬盘驱动器, 请选择 “如果受信任平台模块 (TPM) 不可用则使用密码复选框, 并在"最小密码长度"字段中指定密码应包含的最少字符数。

      在这种情况下, 使用给定的密码访问加密密钥将就如同使用密码” 复选框被选中。

      如果“如果受信任平台模块 (TPM) 不可用则使用密码”复选框未被选中且受信任平台模块不可用，则完整磁盘加密将不会启动。

13. 保存更改。

在安装有 Kaspersky Endpoint Security 的客户端计算机上应用策略后，将进行以下查询：

• 如果在 Kaspersky Security Center 策略中配置了系统硬盘驱动器的加密：
  • 如果 TPM 模块可用，将显示 PIN 码提示窗口。
  • 如果 TPM 模块不可用，您将看到一个用于预启动身份验证的密码提示窗口。
• 如果为计算机操作系统启用联邦信息处理标准兼容模式，则在 Windows 8 及更早版本的操作系统中，将显示存储设备连接请求以保存恢复密钥文件。您可以将多个恢复密钥文件保存在单个存储设备上。

如果无法访问加密密钥, 用户可以请求局域网管理员提供恢复密钥（如果恢复密钥在较早前未保存在存储设备上或已丢失）。

页面顶部