使用 BitLocker 磁碟機加密技術加密硬碟

加密電腦硬碟之前，建議您確保電腦未遭受感染。若要執行操作，應啟動完整掃描或關鍵區域掃描工作。如果加密被 rootkit 感染的電腦硬碟，將可能導致電腦無法操作。

在安裝有伺服器作業系統的電腦上使用 BitLocker 磁碟機加密技術可能要求使用“新增角色和元件”精靈安裝 BitLocker 磁碟機加密 元件。

若要使用 BitLocker 磁碟機加密技術加密硬碟：

1. 開啟卡巴斯基安全管理中心的管理主控台。
2. 在管理主控台樹狀目錄中，“受管裝置”資料夾下，開啟您希望為其設定硬碟加密的相關管理群組名稱所對應的資料夾。
3. 在工作區選擇“政策”頁籤。
4. 選擇所需政策.
5. 使用以下方式開啟“內容: “<政策名稱>”視窗：
   • 在所選定項目右鍵選單中，選擇“內容”。
   • 點擊位於管理主控台工作區右側的“設定政策”連線。
6. 在“資料加密”區域中，選取“硬碟加密”子區域。
7. 在“加密技術”下拉清單中，選取“BitLocker 磁碟機加密”選項。
8. 在“加密模式”下拉清單中，選取“加密所有硬碟”選項。
9. 如果您希望在預啟動環境中使用觸控式螢幕鍵盤輸入資訊，則選取“允許在平板電腦上使用需要預啟動鍵盤輸入的身分驗證”核取方塊。

   建議在預啟動環境中僅對擁有備用資料登錄工具的裝置（例如 USB 鍵盤）使用此設定。

10. 選取以下加密類型之一：
    • 如果您希望使用硬體加密，則選取“使用硬體加密”核取方塊。
    • 如果您希望停用硬體加密，則清空“使用硬體加密”核取方塊。
11. 選取以下加密模式之一：
    • 如果您只希望將加密應用至包含檔案的硬碟，則選取“僅加密已使用的磁碟空間”核取方塊。
    • 如果您希望將加密應用至這個硬碟，則清空“僅加密已使用的磁碟空間”核取方塊。

      此功能僅適用於未加密的磁碟。如果裝置先前使用僅加密已使用的磁碟空間功能加密，則在加密所有硬碟模式下套用政策後，未包含檔案的磁區不會被加密。

12. 選取存取使用 BitLocker 加密的硬碟方式。
    • 如果您希望使用“受信任平台模組”(TPM) 儲存加密金鑰，則選取“使用受信任平台模組 (TPM)” 選項。

      一個與安全相關的提供基本功能的微晶片（例如用於儲存加密金鑰）。受信任平台模組通常安裝在電腦主機板上並且透過硬體匯流排與其他所有系統元件進行互動。

    • 如果您使用受信任平台模組 (TPM) 加密硬碟，則選取“使用密碼”選項，在“密碼最小長度”欄位中指定密碼必須包括的最少字元數。

    Windows 7 和 Windows 2008 R2 作業系統以及更早的版本必須有受信任的平台模組 (TPM)。

13. 如果在上個步驟中，您選取了“使用受信任平台模組 (TPM)”選項：
    • 如果您要設定在使用者嘗試存取加密金鑰時需提供的 PIN 碼，則選取“使用 PIN”核取方塊並在“最小 PIN 長度”欄位中指定 PIN 代碼必須包含的最少數位位元數。
    • 如果您想使用密碼存取電腦上沒有受信任的平台模組的加密硬碟磁碟機, 請選擇 “如果受信任的平台模組 (TPM) 不可用則使用密碼”核取方塊, 並在“最短密碼長度”欄位中指定密碼應包含的最少字元數。

      在這種情況下, 使用給定的密碼存取加密金鑰將就如同使用密碼” 核取方塊被選中。

      如果如果受信任的平台模組 (TPM) 不可用則使用密碼核取方塊未被選中且受信任的平台模組不可用, 則硬碟磁碟機加密將不會啟動。

14. 點擊“確定”儲存變更。
15. 套用政策。

    有關實施卡巴斯基安全管理中心政策的詳細資訊，請查閱《卡巴斯基安全管理中心管理手冊》。

在安裝有 Kaspersky Endpoint Security 的用戶端電腦上套用政策後，將進行以下查詢：

• 如果加密原則被套用到系統硬碟磁碟機，則如果受信任的平台模組在使用的話將會出現 “PIN 代碼” 視窗，或將會出現預載入授權的密碼請求視窗。
• 如果電腦的作業系統開啟了聯邦資訊處理標準的相容模式，則在 Windows 8 和更高版本中作業系統將顯示 USB 裝置連線請求視窗以儲存還原金鑰檔案。

如果無法存取加密金鑰, 使用者可以請求本機網路管理員提供還原金鑰（如果還原金鑰在較早前沒有被儲存在 USB 裝置上或已遺失）。