設定作業系統磁碟機的密碼使用方式

這個原則設定會指定用來解除鎖定受 BitLocker 保護之作業系統磁碟機的密碼。如果作業系統磁碟機允許非 TPM 保護裝置,您可以提供密碼、對密碼強制執行複雜性需求,以及設定密碼的最小長度。複雜性需求設定若要有效,必須一併啟用「電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則\」中的「密碼必須符合複雜性需求」群組原則設定。 注意: 這些設定是在開啟 BitLocker 時強制執行,而不是在解除鎖定磁碟區時強制執行。BitLocker 會允許使用磁碟機上可用的任何保護裝置來解除鎖定該磁碟機。 如果啟用這個原則設定,使用者可以設定符合您所定義之需求的密碼。若要對密碼強制執行複雜性需求,請選取 [需要密碼複雜性]。 若設為 [需要密碼複雜性],在啟用 BitLocker 以驗證密碼複雜性時,必須與網域控制站連線。若設為 [允許密碼複雜性],系統會嘗試與網域控制站連線,以驗證複雜性是否符合原則所設定的規則,但是如果找不到網域控制站,則不論實際的密碼複雜性如何,都會接受密碼,並使用該密碼做為保護裝置將磁碟機加密。若設為 [不允許密碼複雜性],則不會進行任何密碼複雜性驗證。 密碼必須至少有 8 個字元。若要為密碼設定較長的最小長度,請在 [最小密碼長度] 方塊中輸入需要的字元數目。 如果停用或未設定這個原則設定,作業系統磁碟機密碼會套用 8 個字元的預設長度限制,而且不會進行複雜性檢查。 注意: 如果啟用 FIPS 相容,就不能使用密碼。「電腦設定\Windows 設定\安全性設定\本機原則\安全性選項」中的「系統加密編譯: 使用 FIPS 相容方法於加密,雜湊,以及簽章」原則設定會指定是否已啟用 FIPS 相容。

支援的作業系統: 至少需要 Windows Server 2012 或 Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameOSPassphrase
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

設定作業系統磁碟機的密碼複雜性:


  1. 允許密碼複雜性
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\FVE
    Value NameOSPassphraseComplexity
    Value TypeREG_DWORD
    Value2
  2. 不允許密碼複雜性
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\FVE
    Value NameOSPassphraseComplexity
    Value TypeREG_DWORD
    Value0
  3. 需要密碼複雜性
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\FVE
    Value NameOSPassphraseComplexity
    Value TypeREG_DWORD
    Value1

作業系統磁碟機的最小密碼長度:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameOSPassphraseLength
Value TypeREG_DWORD
Default Value8
Min Value8
Max Value255

注意: 必須啟用「密碼必須符合複雜性需求」原則設定,密碼複雜性才會生效。

卸除式 OS 磁碟機需要只有 ASCII 的密碼
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameOSPassphraseASCIIOnly
Value TypeREG_DWORD
Default Value0
True Value1
False Value0

bitlockermanagement.admx

系統管理範本 (電腦)

系統管理範本 (使用者)