在開始完整磁碟加密之前,建議您確保電腦未受到感染。若要執行操作,應啟動完整掃描或關鍵區域掃描工作。在已被 rootkit 感染的電腦上執行完整磁碟加密可能導致電腦無法執行。
若要在執行適用於伺服器的 Windows 作業系統的電腦上使用 BitLocker 磁碟機加密,可能需要安裝“BitLocker 磁碟機加密”元件。可使用作業系統工具(新增角色和元件精靈)安裝該元件。有關安裝“BitLocker 磁碟機加密”的更多資訊,請參閱 Microsoft 文件。
如何透過管理控制台 (MMC) 執行 BitLocker 磁碟機加密
如何透過網頁主控台和雲端主控台執行 BitLocker 磁碟機加密
您可以使用加密監控工具來控制使用者電腦上的磁盤加密或解密過程。您可以從“主應用程式視窗”執行加密監控工具。
套用政策後,應用程式將顯示以下查詢(取決於身分驗證設定):
如果為電腦作業系統啟用聯邦資訊處理標準相容模式,則在 Windows 8 及更早版本的作業系統中,將顯示儲存裝置連線請求以儲存還原金鑰檔案。您可以將多個還原金鑰檔案儲存在單一儲存裝置上。
設定密碼或 PIN 後,BitLocker 將要求您重新啟動電腦以完成加密。接下來,使用者需要完成 BitLocker 身分驗證過程。完成身分驗證過程後,使用者必須登入到系統。載入作業系統後,BitLocker 將完成加密。
如果無法存取加密金鑰,使用者可以請求區域網路管理員提供還原金鑰(如果還原金鑰在較早前未儲存在儲存裝置上或已遺失)。
BitLocker 磁碟機加密元件設定
參數 |
描述 |
---|---|
啟用需要在平板電腦上預啟動鍵盤輸入的 BitLocker 身分驗證 |
此核取方塊啟用/停用在預啟動環境中使用需要資料輸入的身分驗證,即使此平台沒有能力進行預啟動輸入(例如使用平板電腦上的觸控式螢幕鍵盤)。 平板電腦的觸控式螢幕在預啟動環境中不可用。例如,要在平板電腦上完成 BitLocker 身分驗證,使用者必須連線 USB 鍵盤。 如果選定此核取方塊,則允許使用需要預啟動輸入的身分驗證。建議在預啟動環境中僅對擁有備用資料輸入的裝置(例如除了觸控式螢幕鍵盤之外的 USB 鍵盤)使用此設定。 如果清除此核取方塊,則無法在平板電腦上使用 BitLocker 磁碟機加密。 |
使用硬體加密(Windows 8 和後續版本) |
如果選定此核取方塊,則應用程式將應用硬體加密。這可以提高加密速度並使用較少的電腦資源。 |
僅加密使用的磁碟空間(Windows 8 和後續版本) |
該核取方塊可啟用/停用將加密區域僅限為已用硬碟磁區的選項。該限制可減少加密時間。 在啟動加密後啟用或者停用“僅加密使用的磁碟空間(Windows 8 和後續版本)”功能不會修改此設定,直到硬碟磁碟機被解密為止。開始加密之前您必須選擇或清除該核取方塊。 如果選定該核取方塊,則僅加密使用的硬碟部分。Kaspersky Endpoint Security 將自動加密新增的新資料。 如果清空該核取方塊,整個硬碟將被加密,包括先前刪除和修改檔案殘留的碎片。 建議對尚未修改或刪除資料的新硬碟使用該選項。如果對已在使用中的硬碟應用加密,則建議加密整個硬碟。這樣可確保防護所有資料,甚至已刪除的資料也能夠部分還原。 預設情況下已清空此核取方塊。 |
身分驗證設定 |
使用密碼(Windows 8 和後續版本) 如果選定此選項,Kaspersky Endpoint Security 將在使用者嘗試存取加密磁碟時提示使用者輸入密碼。 沒有使用受信任平台模組 (TPM) 時可以選擇此選項。 使用受信任平台模組 (TPM) 如果選定此核取方塊,則 BitLocker 使用受信任平台模組 (TPM)。 受信任平台模組 (TPM) 是一個與安全相關並提供基本功能的微晶片(例如用於儲存加密金鑰)。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。 對於執行 Windows 7 或 Windows Server 2008 R2 的電腦,只能使用 TPM 模組進行加密。如果未安裝 TPM 模組,則無法進行 BitLocker 加密。不支援在這些電腦上使用密碼。 配有受信任平台模組的裝置可以建立只能使用此裝置解密的加密金鑰。受信任平台模組將使用其自有的根儲存金鑰加密加密金鑰。根儲存金鑰儲存在受信任平台模組中。這提供了防禦駭客攻擊加密金鑰的附加防護。 預設情況下已選擇此操作。 您可以為存取加密金鑰設定一層額外防護,用密碼或者 PIN 加密金鑰:
如果清除該核取方塊且 TPM 不可用,則將不會啟動完整磁碟加密。 |