启动 BitLocker 驱动器加密

在开始完整磁盘加密之前,建议您确保计算机未受到感染。若要执行操作,应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。

若要在运行适用于服务器的 Windows 操作系统的计算机上使用 BitLocker 驱动器加密,可能需要安装“BitLocker 驱动器加密”组件。可使用操作系统工具(添加角色和组件向导)安装该组件。有关安装“BitLocker 驱动器加密”的更多信息,请参阅 Microsoft 文档

如何通过管理控制台 (MMC) 运行 BitLocker 驱动器加密

如何通过 Web Console 运行 BitLocker 驱动器加密

在安装有 Kaspersky Endpoint Security 的客户端计算机上应用策略后,将进行以下查询:

设置密码或 PIN 后,BitLocker 将要求您重新启动计算机以完成加密。接下来,用户需要完成 BitLocker 身份验证过程。完成身份验证过程后,用户必须登录到系统。加载操作系统后,BitLocker 将完成加密。

如果无法访问加密密钥, 用户可以请求局域网管理员提供恢复密钥(如果恢复密钥在较早前未保存在存储设备上或已丢失)。

BitLocker 驱动器加密组件设置

参数

描述

启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证

该复选框启用/禁用在预启动环境中使用需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。

平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。

如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。

如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。

使用硬件加密

如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。

仅加密使用的磁盘空间

该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。

开始加密后,启用/禁用“仅加密使用的磁盘空间”功能不会更改该设置,直至硬盘驱动器被解密为止。开始加密之前您必须选择或清除该复选框。

如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。

如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。

推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。

默认情况下已清空该复选框。

身份验证设置

使用受信任平台模块 (TPM)

如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。

受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。

配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。

默认情况下已选择此操作。

您可以配置用于访问加密密钥的设置:

  • 使用 PIN。如果选中该复选框,用户可以使用 PIN 码获得对存储在受信任平台模块 (TPM) 中的加密密钥的访问权限。

    如果清除此复选框,则禁止用户使用 PIN 码。要访问加密密钥,用户必须输入密码。

  • 如果受信任平台模块 (TPM) 不可用则使用密码。如果选中该复选框,当受信任平台模块 (TPM) 不可用时,用户可使用密码获得对加密密钥的访问权限。

    如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。

    使用密码

    如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。

    没有使用受信任平台模块 (TPM) 时可以选择该选项。

页面顶部