Параметры шифрования дисков операционной системы

Этот параметр политики позволяет управлять тем, обязательно ли шифрование диска ОС.

Для повышения безопасности при наличии защиты доверенного платформенного модуля с ПИН-кодом можно отключить следующие политики в разделе "Система/Управление питанием/Параметры режимов сна":
"Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от сети)";
"Разрешить различные режимы сна (S1-S3) при простое компьютера (Питание от батареи)".

Если вы хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок "Разрешить использование BitLocker без совместимого TPM" (поддерживается в Windows 8 и более поздних версиях). В этом режиме для запуска необходим пароль. Если вы забыли пароль, для доступа к диску нужно будет использовать один из методов восстановления BitLocker.

На компьютере с совместимым доверенным платформенным модулем при запуске могут использоваться два метода проверки подлинности, призванные обеспечить дополнительную защиту зашифрованных данных. Для проверки подлинности при запуске компьютера можно использовать только доверенный платформенный модуль, либо же дополнительно потребовать ПИН-код, содержащий от 4 до 20 цифр.

Если этот параметр политики включен, пользователю придется защитить диск ОС с помощью BitLocker и диск будет зашифрован.

Если эта политика отключена, пользователи не смогут защитить диск ОС с помощью BitLocker. Обратите внимание, что применение этой политики после шифрования диска ОС приведет к его расшифровке.

Если политика не настроена, то защита диска ОС с помощью BitLocker не будет обязательной.

Поддерживается: Windows 7 и выше

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
Value NameShouldEncryptOSDrive
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Разрешить использование BitLocker без совместимого TPM (требуется пароль)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
Выберите предохранитель для диска операционной системы:


  1. Только TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value1
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2
  2. TPM и ПИН-код
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
    Value NameOSDriveProtector
    Value TypeREG_DWORD
    Value4
    Registry HiveRegistry Path:Value NameValue TypeValue
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementDisallowStandardUserPINResetREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePartialEncryptionKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUsePINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseAdvancedStartupREG_DWORD1
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMPINREG_DWORD2
    HKEY_LOCAL_MACHINESOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagementUseTPMKeyPINREG_DWORD2

Параметры для компьютеров с TPM:

Установить минимальную длину ПИН-кода для запуска

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameMinimumPIN
Value TypeREG_DWORD
Default Value4
Min Value4
Max Value20

bitlockermanagement.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)