使用 BitLocker 磁碟機加密技術執行完整磁碟加密

在電腦上開始完整磁碟加密之前，建議您確保電腦未受到感染。若要執行操作，應啟動完整掃描或關鍵區域掃描工作。在已被 rootkit 感染的電腦上執行完整磁碟加密可能導致電腦無法執行。

在安裝有伺服器作業系統的電腦上使用 BitLocker 磁碟機加密技術可能要求使用“新增角色和元件”精靈安裝 BitLocker 磁碟機加密 元件。

要使用 BitLocker 磁碟機加密技術執行完整磁碟加密：

1. 開啟卡巴斯基安全管理中心管理主控台。
2. 在管理主控台樹狀目錄的“受管裝置”資料夾中，開啟您希望為其設定完整磁碟加密的管理群組的名稱所對應的資料夾。
3. 在工作區選擇“政策”標籤。
4. 選擇所需政策。
5. 使用以下方式開啟“內容: <政策名稱>”視窗：
   • 在所選定項目右鍵選單中，選擇“內容”。
   • 點擊位於管理主控台工作區右側的“設定政策”連線。
6. 在“資料加密”區域中，選取“完整磁碟加密”。
7. 在“加密技術”下拉清單中，選取“BitLocker 磁碟機加密”選項。
8. 在“加密模式”下拉清單中，選取“加密所有硬碟磁碟機”選項。

   如果電腦安裝了多個作業系統，在加密後，您將能夠只載入執行了加密的作業系統。

9. 如果您希望在預啟動環境中使用觸控式螢幕鍵盤輸入資訊，則選取“允許在平板電腦上使用需要預啟動鍵盤輸入的身分驗證”核取方塊。

   建議在預啟動環境中僅對擁有備用資料登錄工具的裝置（例如 USB 鍵盤）使用此設定。

10. 選取以下加密類型之一：
    • 如果您希望使用硬體加密，則選取“使用硬體加密”核取方塊。
    • 如果您希望停用硬體加密，則清空“使用硬體加密”核取方塊。
11. 選取以下加密模式之一：
    • 如果您只希望將加密應用至包含檔案的硬碟磁碟機，則選取“僅加密使用的磁碟空間”核取方塊。
    • 如果您希望將加密應用至這個硬碟磁碟機，則清空“僅加密使用的磁碟空間”核取方塊。

      此功能僅適用於未加密的磁碟。如果裝置先前使用僅加密使用的磁碟空間功能加密，則在加密所有硬碟磁碟機模式下套用政策後，未包含檔案的磁區不會被加密。

12. 選取存取使用 BitLocker 加密的硬碟磁碟機方式。
    • 如果您希望使用“受信任平台模組”(TPM) 儲存加密金鑰，則選取“使用受信任平台模組 (TPM)” 選項。

      一個與安全相關的提供基本功能的微晶片（例如用於儲存加密金鑰）。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。

    • 如果您使用受信任平台模組 (TPM) 進行完整磁碟加密，請選取“使用密碼”選項，並在“密碼最小長度”欄位中指定密碼必須包括的最少字元數。

    Windows 7 和 Windows 2008 R2 作業系統以及更早的版本必須有受信任的平台模組 (TPM)。

13. 如果在上個步驟中，您選取了“使用受信任平台模組 (TPM)”選項：
    • 如果您要設定在使用者嘗試存取加密金鑰時需提供的 PIN 碼，則選取“使用 PIN”核取方塊並在“最小 PIN 長度”欄位中指定 PIN 代碼必須包含的最少數位位元數。
    • 如果您想使用密碼存取電腦上沒有受信任的平台模組的加密硬碟磁碟機，請選擇“如果受信任的平台模組 (TPM) 不可用則使用密碼”核取方塊, 並在“密碼最小長度”欄位中指定密碼應包含的最少字元數。

      在這種情況下，使用給定的密碼存取加密金鑰將就如同“使用密碼”核取方塊被選中。

      如果如果受信任平台模組 (TPM) 不可用則使用密碼核取方塊未被選中且受信任平台模組不可用，則完整磁碟加密將不會啟動。

14. 點擊“確定”儲存變更。
15. 套用政策。

    有關套用卡巴斯基安全管理中心政策的詳細資訊，請參閱《卡巴斯基安全管理中心說明手冊》。

在安裝有 Kaspersky Endpoint Security 的用戶端電腦上套用政策後，將進行以下查詢：

• 如果卡巴斯基安全管理中心政策配置為加密系統硬碟磁碟機，則如果受信任平台模組在使用中，將顯示 PIN 代碼提示視窗，否則將顯示用於預啟動身份驗證的密碼請求視窗。
• 如果電腦的作業系統開啟了聯邦資訊處理標準的相容模式，則在 Windows 8 和更早版本中作業系統將顯示 USB 裝置連線請求視窗以儲存還原金鑰檔案。

如果無法存取加密金鑰, 使用者可以請求本機網路管理員提供還原金鑰（如果還原金鑰在較早前沒有被儲存在 USB 裝置上或已遺失）。

頁面頂部