使用此策略设置,可以控制 BitLocker 驱动器加密安装向导是否可以显示和指定 BitLocker 恢复选项。此策略仅适用于运行 Windows Server 2008 或 Windows Vista 的计算机。此策略设置将在打开 BitLocker 时应用。
在缺少所需启动密钥信息时,可使用两种恢复选项解除 BitLocker 加密数据的锁定。用户可键入 48 位数字恢复密码,或插入含有 256 位恢复密钥的 U 盘。
如果启用此策略设置,则可以配置安装向导向用户显示用于恢复 BitLocker 加密数据的选项。保存到 U 盘的操作会将 48 位数的恢复密码存储为文本文件,将 256 位的恢复密钥存储为隐藏文件。保存到文件夹会将 48 位数的恢复密码存储为文本文件。打印操作会将 48 位数的恢复密码发送到默认打印机。例如,如果不允许 48 位数的恢复密码,将阻止用户打印恢复信息或将其保存到文件夹。
如果禁用或未配置此策略设置,则 BitLocker 安装向导将为用户提供恢复选项的存储方法。
注意: 如果在 BitLocker 安装过程中需要初始化受信任平台模块(TPM),则 TPM 所有者信息将随 BitLocker 恢复信息一起保存或打印。
注意: 在 FIPS 兼容模式下,48 位数的恢复密码将不可用。
重要信息: 此策略设置提供一种恢复 BitLocker 加密数据的管理方法,防止因缺少密钥信息而发生数据丢失。如果不允许两种用户恢复选项,则必须启用"将 BitLocker 恢复信息存储在 Active Directory 域服务中(Windows Server 2008 和 Windows Vista)"策略设置以防止策略错误。
重要信息: 若要防止数据丢失,必须拥有一种可以恢复 BitLocker 加密密钥的方法。如果不允许以下两个恢复选项,则必须启用将 BitLocker 恢复信息备份到 AD DS。否则,将发生策略错误。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 0 |
注意: 如果不允许恢复密码但需要恢复密钥,则用户只有将恢复密钥保存到 USB 才能启用 BitLocker。