在开始完整磁盘加密之前,建议您确保计算机未受到感染。若要执行操作,应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。
若要在运行适用于服务器的 Windows 操作系统的计算机上使用 BitLocker 驱动器加密,可能需要安装“BitLocker 驱动器加密”组件。可使用操作系统工具(添加角色和组件向导)安装该组件。有关安装“BitLocker 驱动器加密”的更多信息,请参阅 Microsoft 文档。
如何通过管理控制台 (MMC) 运行 BitLocker 驱动器加密
如何通过 Web Console 和云控制台运行 BitLocker 驱动器加密
您可以使用加密监控器工具控制用户计算机上的磁盘加密或解密过程。您可以从主应用程序窗口运行加密监控器工具。
应用策略后,应用程序将根据身份验证设置显示以下查询:
如果为计算机操作系统启用联邦信息处理标准兼容模式,则在 Windows 8 及更早版本的操作系统中,将显示存储设备连接请求以保存恢复密钥文件。您可以将多个恢复密钥文件保存在单个存储设备上。
设置密码或 PIN 后,BitLocker 将要求您重新启动计算机以完成加密。接下来,用户需要完成 BitLocker 身份验证过程。完成身份验证过程后,用户必须登录到系统。加载操作系统后,BitLocker 将完成加密。
如果无法访问加密密钥, 用户可以请求局域网管理员提供恢复密钥(如果恢复密钥在较早前未保存在存储设备上或已丢失)。
BitLocker 驱动器加密组件设置
参数 |
描述 |
|---|---|
启用需要在平板电脑上预启动键盘输入的 BitLocker 身份验证 |
该复选框启用/禁用在预启动环境中使用需要数据输入的身份验证,即使该平台没有能力进行预启动输入(例如使用平板电脑上的触摸屏键盘)。 平板电脑的触摸屏在预启动环境中不可用。例如,要在平板电脑上完成 BitLocker 身份验证,用户必须连接 USB 键盘。 如果选定该复选框,则允许使用需要预启动输入的身份验证。推荐在预启动环境中仅对拥有备用数据输入的设备(例如除了触摸屏键盘之外的 USB 键盘)使用该设置。 如果清除此复选框,则无法在平板电脑上使用 BitLocker 驱动器加密。 |
使用硬件加密(OS Windows 8 和后续版本) |
如果选定该复选框,则应用程序将应用硬件加密。这可以提高加密速度并使用较少的计算机资源。 |
仅加密使用的磁盘空间(OS Windows 8 和后续版本) |
该复选框可启用/禁用将加密区域仅限为已用硬盘驱动器扇区的选项。该限制可减少加密时间。 加密开始后启用或禁用仅加密使用的磁盘空间(减少加密时间)功能在硬盘驱动器被加密之前并不修改该设置。开始加密之前您必须选择或清除该复选框。 如果选定该复选框,则仅加密使用的硬盘驱动器部分。Kaspersky Endpoint Security 将自动加密添加的新数据。 如果清空该复选框,整个硬盘驱动器将被加密,包括先前删除和修改文件残留的碎片。 推荐对尚未修改或删除数据的新硬盘驱动器使用该选项。如果对已在使用中的硬盘驱动器应用加密,则推荐加密整个硬盘驱动器。这样可确保保护所有数据,甚至已删除的数据也能够部分恢复。 默认情况下已清空该复选框。 |
身份验证设置 |
使用密码(OS Windows 8 和后续版本) 如果选定该选项,Kaspersky Endpoint Security 将在用户尝试访问加密磁盘时提示用户输入密码。 没有使用受信任平台模块 (TPM) 时可以选择该选项。 使用受信任平台模块 (TPM) 如果选定该复选框,则 BitLocker 使用受信任平台模块 (TPM)。 受信任平台模块 (TPM) 是一个与安全相关的提供基本功能的微芯片(例如用于存储加密密钥)。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。 对于运行 Windows 7 或 Windows Server 2008 R2 的计算机,只能使用 TPM 模块进行加密。如果未安装 TPM 模块,则无法进行 BitLocker 加密。不支持在这些计算机上使用密码。 配有受信任平台模块的设备可以创建只能使用该设备解密的加密密钥。受信任平台模块将使用其自有的根存储密钥加密加密密钥。根存储密钥存储在受信任平台模块中。这提供了防御黑客攻击加密密钥的附加保护。 默认情况下已选择此操作。 您可以为访问加密密钥设置额外的保护层,并使用密码或 PIN 加密密钥:
如果清除该复选框且 TPM 不可用,则将不会启动完整磁盘加密。 |