使用 BitLocker Drive Encryption 技术加密硬盘驱动器

加密计算机硬盘驱动器之前，建议您确保计算机未遭受感染。若要执行操作，应启动全盘扫描或关键区域扫描任务。如果加密了被 rootkit 感染的计算机硬盘驱动器，将可能导致计算机无法操作。

在安装有服务器操作系统的计算机上使用 BitLocker 驱动器加密技术可能要求使用“添加角色和组件”向导安装 BitLocker 驱动器加密 组件。

若要使用 BitLocker Drive Encryption 技术加密硬盘驱动器：

1. 打开 Kaspersky Security Center 的管理控制台。
2. 在管理控制台树中，“受管设备”文件夹下，打开您希望为其配置硬盘驱动器加密的相关管理组名称所对应的文件夹。
3. 在工作区中选择“策略”选项卡。
4. 选择需要的策略。
5. 使用以下方式打开“属性: <策略名称>”窗口：
   • 在策略的上下文菜单中，选择“属性”。
   • 单击位于管理控制台工作区右侧的“配置策略”连接。
6. 在“数据加密”区域中，选择“硬盘驱动器加密”子区域。
7. 在“加密技术”下拉列表中，选择“BitLocker Drive Encryption”选项。
8. 在“加密模式”下拉列表中，选择“加密所有硬盘”选项。
9. 如果您希望在预启动环境中使用触摸屏键盘输入信息，则选择“允许在平板电脑上使用需要预启动键盘输入的身份验证”复选框。

   建议在预启动环境中仅对拥有备用数据输入工具的设备（例如 USB 键盘）使用该设置。

10. 选择以下加密类型之一：
    • 如果您希望使用硬件加密，则选择“使用硬件加密”复选框。
    • 如果您希望使用软件加密，则清空“使用硬件加密”复选框。
11. 选择以下加密模式之一：
    • 如果您只希望将加密应用至包含文件的硬盘驱动器，则选择“仅加密已使用的磁盘空间”复选框。
    • 如果您希望将加密应用至这个硬盘驱动器，则清空“仅加密已使用的磁盘空间”复选框。

      该功能仅适用于未加密的磁盘驱动器。如果设备先前使用仅加密已使用的磁盘空间功能加密，则在加密所有硬盘驱动器模式下应用策略后，未包含文件的扇区不会被加密。

12. 选择访问使用 BitLocker 加密的硬盘驱动器方式。
    • 如果您希望使用“受信任平台模块”(TPM) 存储加密密钥，则选择“使用受信任平台模块 (TPM)” 选项。

      一个与安全相关的提供基本功能的微芯片（例如用于存储加密密钥）。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。

    • 如果您使用受信任平台模块 (TPM) 加密硬盘，则选择“使用密码”选项，在“最小密码长度”字段中指定密码必须包括的最少字符数。

    Windows 7 和 Windows 2008 R2 操作系统以及更早的版本必须有受信任的平台模块 (TPM)。

13. 如果在上个步骤中，您选择了“使用受信任平台模块 (TPM)”选项：
    • 如果您要设置在用户尝试访问加密密钥时需提供的 PIN 码，则选择“使用 PIN”复选框并在“最小 PIN 长度”字段中指定 PIN 代码必须包含的最少数字位数。
    • 如果您想使用密码访问计算机上没有受信任的平台模块的加密硬盘驱动器, 请选择 “如果受信任的平台模块 (TPM) 不可用则使用密码复选框, 并在"最短密码长度"字段中指定密码应包含的最少字符数。

      在这种情况下, 使用给定的密码访问加密密钥将就如同使用密码” 复选框被选中。

      如果如果受信任的平台模块 (TPM) 不可用则使用密码复选框未被选中且受信任的平台模块不可用, 则硬盘驱动器加密将不会启动。

14. 单击“确定”保存更改。
15. 应用策略。

    有关实施 Kaspersky Security Center 策略的详细信息，请查阅《Kaspersky Security Center 管理员指南》。

在安装有 Kaspersky Endpoint Security 的客户端计算机上应用策略后，将进行以下查询：

• 如果加密策略被应用到系统硬盘驱动器，则如果受信任的平台模块在使用的话将会出现 “PIN 代码” 窗口，或将会出现预加载授权的密码请求窗口。
• 如果计算机的操作系统开启了联邦信息处理标准的兼容模式，则在 Windows 8 和更高版本中操作系统将显示 USB 设备连接请求窗口以保存恢复密钥文件。

如果无法访问加密密钥, 用户可以请求本地网络管理员提供恢复密钥（如果恢复密钥在较早前没有被保存在 USB 设备上或已丢失）。

页面顶部