使用 BitLocker 磁碟機加密技術執行完整磁碟加密

在開始完整磁碟加密之前，建議您確保電腦未受到感染。若要執行操作，應啟動完整掃描或關鍵區域掃描工作。在已被 rootkit 感染的電腦上執行完整磁碟加密可能導致電腦無法執行。

在安裝有伺服器作業系統的電腦上使用 BitLocker 磁碟機加密技術可能要求使用“新增角色和元件”精靈安裝 BitLocker 磁碟機加密 元件。

要使用 BitLocker 完整磁碟加密，請執行以下操作：

1. 開啟卡巴斯基安全管理中心管理主控台。
2. 在管理主控台樹狀目錄的“受管理裝置”資料夾中，開啟相關用戶端電腦所屬的管理群組名稱的資料夾。
3. 在工作區選擇“政策”標籤。
4. 選擇必要的政策並點擊以開啟政策內容。
5. 在政策視窗中，選取“資料加密 → 完整磁碟加密”。
6. 在“加密技術”下拉清單中，選取“BitLocker 磁碟機加密”。
7. 在“加密模式”下拉清單中，選取“加密所有硬碟磁碟機”。

   如果電腦安裝了多個作業系統，在加密後，您將能夠只載入執行了加密的作業系統。

8. 如果您希望在平板電腦的預啟動環境中啟用 BitLocker 身分驗證，則選中“啟用需要在平板電腦上預啟動鍵盤輸入的 BitLocker 身分驗證”核取方塊。

   平板電腦的觸控式螢幕在預啟動環境中不可用。例如，要在平板電腦上完成 BitLocker 身分驗證，使用者必須連線 USB 鍵盤。

9. 如果您希望使用硬體加密，則選取“使用硬體加密”核取方塊。這可以提高加密速度並使用較少的電腦資源。
10. 選取以下加密模式之一：
    • 如果您只希望將加密應用至包含檔案的硬碟磁碟機，則選取“僅加密使用的磁碟空間”核取方塊。
    • 如果您希望將加密應用至這個硬碟磁碟機，則清空“僅加密使用的磁碟空間”核取方塊。

      此功能僅適用於未加密的硬碟磁碟機。如果硬碟磁碟機先前使用僅加密使用的磁碟空間功能加密，則在加密所有硬碟磁碟機模式下套用政策後，未被檔案佔用的磁區仍不會被加密。

11. 選取存取使用 BitLocker 加密的硬碟磁碟機方式。
    • 如果您希望使用“受信任平台模組”(TPM) 儲存加密金鑰，則選取“使用受信任平台模組 (TPM)”選項。

      受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片（例如用於儲存加密金鑰）。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。

    • 如果未使用 TPM 進行完整磁碟加密，請選取“使用密碼”選項，並在“密碼最小長度”欄位中指定密碼必須包括的最少字元數。

    對於執行 Windows 7 或 Windows Server 2008 R2 的電腦，只能使用 TPM 模組進行加密。如果未安裝 TPM 模組，則無法進行 BitLocker 加密。不支援在這些電腦上使用密碼。

12. 如果在上個步驟中，您選取了“使用受信任平台模組 (TPM)”選項：
    • 如果您要設定在使用者嘗試存取加密金鑰時需提供的 PIN 碼，則選取“使用 PIN”核取方塊並在“最小 PIN 長度”欄位中指定 PIN 代碼必須包含的最少數位位元數。
    • 如果您想使用密碼存取電腦上沒有受信任的平台模組的加密硬碟磁碟機，請選擇“如果受信任平台模組 (TPM) 不可用則使用密碼”核取方塊，並在“密碼最小長度”欄位中指定密碼應包含的最少字元數。

      在這種情況下，使用給定的密碼存取加密金鑰將就如同“使用密碼”核取方塊被選中。

      如果如果受信任平台模組 (TPM) 不可用則使用密碼核取方塊未被選中且受信任平台模組不可用，則完整磁碟加密將不會啟動。

13. 存儲變更。

在安裝有 Kaspersky Endpoint Security 的用戶端電腦上套用政策後，將進行以下查詢：

• 如果在卡巴斯基安全管理中心政策中配置了系統硬碟磁碟機的加密：
  • 如果 TPM 模組可用，將顯示 PIN 碼提示視窗。
  • 如果 TPM 模組不可用，您將看到一個用於預啟動身分驗證的密碼提示視窗。
• 如果為電腦作業系統啟用聯邦資訊處理標準相容模式，則在 Windows 8 及更早版本的作業系統中，將顯示儲存裝置連線請求以儲存還原金鑰檔案。您可以將多個還原金鑰檔案儲存在單一儲存裝置上。

如果無法存取加密金鑰，使用者可以請求區域網路管理員提供還原金鑰（如果還原金鑰在較早前未儲存在儲存裝置上或已遺失）。

頁面頂部