Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске

Этот параметр политики позволяет указать, требует ли BitLocker дополнительной проверки подлинности при каждом запуске компьютера, а также используется ли BitLocker в сочетании с доверенным платформенным модулем или без него. Этот параметр политики применяется при включении BitLocker.

Примечание. Можно установить требование только одного дополнительного способа проверки подлинности при запуске; в противном случае возникнет ошибка политики.

Если вы хотите использовать BitLocker на компьютере без доверенного платформенного модуля, установите флажок «Разрешить использование BitLocker без совместимого доверенного платформенного модуля». В этом режиме для запуска необходим либо пароль, либо USB-накопитель. При использовании ключа запуска ключевые сведения, применяемые для шифрования диска, хранятся на USB-накопителе, образуя USB-ключ. При установке USB-ключа проверяются права на доступ к диску, и диск становится доступным. Если USB-ключ потерян или недоступен или вы забыли пароль, вам придется воспользоваться одним из параметров восстановления BitLocker, чтобы получить доступ к диску.

Чтобы обеспечить дополнительную защиту зашифрованных данных на компьютере с совместимым доверенным платформенным модулем, при запуске можно использовать четыре метода проверки подлинности. Для проверки подлинности при запуске компьютер может использовать только доверенный платформенный модуль, либо потребовать установки USB-устройства флэш-памяти с ключом запуска, ввода ПИН-кода, содержащего от 6 до 20 цифр, либо и того, и другого.

Если вы включите этот параметр политики, пользователи смогут настраивать в мастере установки BitLocker дополнительные параметры запуска.

Если вы выключите или не настроите этот параметр политики, пользователи смогут настраивать только базовые параметры на компьютерах с доверенными платформенными модулями.

Примечание. Если при запуске необходимо одновременно использовать обязательный ввод ПИН-кода и USB-устройство флэш-памяти, настраивать параметры BitLocker следует с помощью программы командной строки manage-bde, а не с помощью мастера установки шифрования дисков BitLocker.

Поддерживается: Windows 7 и выше

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameUseAdvancedStartup
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Разрешить использование BitLocker без совместимого TPM (необходим пароль или ключ запуска на USB-устройстве флэш-памяти)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Параметры для компьютеров с доверенным платформенным модулем.

Настройка запуска доверенного платформенного модуля.


  1. Разрешить доверенный платформенный модуль
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value2
  2. Требовать доверенный платформенный модуль
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value1
  3. Запретить доверенный платформенный модуль
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value0

Настройка ПИН-кода запуска доверенного платформенного модуля.


  1. Разрешить ПИН-код запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value2
  2. Требовать ПИН-код запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value1
  3. Запретить ПИН-код запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value0

Настройка ключа запуска доверенного платформенного модуля.


  1. Разрешить ключ запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value2
  2. Требовать ключ запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value1
  3. Запретить ключ запуска с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value0

Настройка ключа запуска доверенного платформенного модуля и ПИН-кода.


  1. Разрешить ключ запуска и ПИН-код с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value2
  2. Требовать ключ запуска и ПИН-код с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value1
  3. Запретить ключ запуска и ПИН-код с доверенным платформенным модулем
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value0


volumeencryption.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)