選擇如何修復受 BitLocker 保護的卸除式磁碟機


您可利用此原則設定,控制在沒有必要的認證時,如何修復受 BitLocker 保護的卸除式資料磁碟機。開啟 BitLocker 時,會套用此原則設定。 [允許資料修復代理程式] 核取方塊可用於指定能否將資料修復代理程式用於受 BitLocker 保護的卸除式資料磁碟機。使用資料修復代理程式之前,必須先在群組原則管理主控台或本機群組原則編輯器的 [公開金鑰原則] 項目中,新增該資料修復代理程式。如需有關新增資料修復代理程式的詳細資訊,請參閱 Microsoft TechNet 上的 BitLocker 磁碟機加密部署指南。 在 [設定 BitLocker 修復資訊的使用者儲存體] 中,可選取使用者為允許、必須或不允許產生 48 位數的復原密碼或 256 位元的修復金鑰。 選取 [在 BitLocker 安裝精靈中省略修復選項] 可避免使用者在磁碟機上啟用 BitLocker 時,指定修復選項。這表示您無法在啟用 BitLocker 時指定要使用哪個修復選項,而是由原則設定決定該磁碟機的 BitLocker 復原選項。 在 [儲存 BitLocker 修復資訊到 Active Directory 網域服務] 中,可選擇要將卸除式資料磁碟機的哪些 BitLocker 修復資訊儲存到 AD DS 中。如果選取 [備份修復密碼和金鑰封裝],則 BitLocker 修復密碼與金鑰封裝都會儲存到 AD DS 中。如果選取 [只備份修復密碼],則只有修復密碼會儲存到 AD DS 中。 如果需要電腦連接到網域且修復資訊能成功備份至 AD DS,否則使用者無法啟用 BitLocker,請選取 [除非卸除式資料磁碟機的修復資訊已儲存到 AD DS,否則請勿啟用 BitLocker] 核取方塊。 注意: 如果選取了 [除非卸除式資料磁碟機的修復資訊已儲存到 AD DS,否則請勿啟用 BitLocker] 核取方塊,會自動產生修復密碼。 如果啟用此原則設定,您可以控制使用者能用以從受 BitLocker 保護的卸除式資料磁碟機修復資料的方法。 如果未設定或停用此原則設定,則會對 BitLocker 修復支援預設復原選項。預設為允許 DRA,也就是使用者可指定修復選項 (包含修復密碼和修復金鑰),且修復資訊不會備份到 AD DS

支援的作業系統: 至少需要 Windows 7 或 Windows Server 2008 R2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVRecovery
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

允許資料修復代理
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVManageDRA
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

設定 BitLocker 修復資訊的使用者存放裝置:




  1. 允許 48 位數的修復密碼
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryPassword
    Value TypeREG_DWORD
    Value2
  2. 需要 48 位數的修復密碼
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryPassword
    Value TypeREG_DWORD
    Value1




  1. 允許 256 位元的修復金鑰
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value2
  2. 需要 256 位元的修復金鑰
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value1
  3. 不允許 256 位元的修復金鑰
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVRecoveryKey
    Value TypeREG_DWORD
    Value0

在 BitLocker 安裝精靈中省略修復選項
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVHideRecoveryPage
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
儲存卸除式資料磁碟機的 BitLocker 修復資訊到 AD DS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
設定 BitLocker 修復資訊的存放裝置到 AD DS:


  1. 備份修復密碼和金鑰封裝
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. 只備份修復密碼
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameRDVActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

請勿啟用 BitLocker,除非卸除式資料磁碟機的修復資訊已儲存到 AD DS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

系統管理範本 (電腦)

系統管理範本 (使用者)