控制对可移动驱动器使用 BitLocker

此策略设置控制如何在可移动数据驱动器上使用 BitLocker。此策略设置将在打开 BitLocker 时应用。

启用此策略设置时，可选择用于控制用户如何配置 BitLocker 的属性设置。如果选中"允许用户对可移动数据驱动器应用 BitLocker 保护"，则用户可以在可移动数据驱动器上运行 BitLocker 安装向导。如果选中"允许用户对可移动数据驱动器暂停 BitLocker 并对其解密"，则用户可以在执行维护时从驱动器删除 BitLocker 驱动器加密，或暂停加密。有关暂停 BitLocker 保护的详细信息，请参阅 Microsoft TechNet 上的"BitLocker 驱动器加密部署指南"。

如果选中"允许用户对可移动数据驱动器应用 BitLocker 保护"，则在加密可移动数据驱动器之后，它将允许根据"配置 MBAM 服务"策略来保存 BitLocker 恢复信息。

如果未配置此策略设置，则用户可对可移动磁盘驱动器使用 BitLocker。

如果禁用此策略设置，则用户无法对可移动磁盘驱动器使用 BitLocker。

在启用 BitLocker 时，应将"系统/可移动存储访问"中的下列策略设置为禁用:

对可移动驱动器启用 BitLocker 保护时，不能禁用"配置对可移动数据驱动器使用密码"策略。
对可移动驱动器启用 BitLocker 保护时，为了提高安全性，你可能要禁用"系统/可移动存储访问"中的下列策略。
所有可移动存储类: 拒绝所有权限(用户和计算机)
可移动磁盘: 拒绝写入权限(用户和计算机)
可移动磁盘: 拒绝读取权限(用户和计算机)。

对可移动驱动器启用 BitLocker 时，请查看有关系统/可移动存储权限的策略设置的解释

允许用户对可移动数据驱动器应用 BitLocker 保护

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\FVE
Value Name	RDVAllowBDE
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

允许用户对可移动数据驱动器暂停使用 BitLocker 保护并对其进行解密

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\FVE
Value Name	RDVDisableBDE
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0