配置对操作系统驱动器使用基于硬件的加密

使用此策略设置,可以管理 BitLocker 在操作系统驱动器上使用基于硬件的加密的方式,并指定它可以将哪些加密算法用于基于硬件的加密。使用基于硬件的加密可以提高涉及频繁读取数据或频繁将数据写入驱动器的驱动器操作的性能。

如果启用此策略设置,则可以指定其他选项,控制是否在不支持基于硬件的加密的计算机上使用 BitLocker 基于软件的加密,而不是基于硬件的加密,以及是否希望限制将密码算法和密码套件用于基于硬件的加密。

如果禁用此策略设置,则 BitLocker 无法将基于硬件的加密用于操作系统驱动器,并且在驱动器加密时将默认使用 BitLocker 基于软件的加密。

如果未配置此策略设置,则 BitLocker 将使用基于软件的加密,无论基于硬件的加密是否可用。

注意:"选择驱动器加密方法和密码长度"策略设置不适用于基于硬件的加密。基于硬件的加密所使用的加密算法在对驱动器进行分区时进行设置。默认情况下,BitLocker 使用在驱动器上配置的算法来加密驱动器。使用"限制可用于基于硬件的加密的加密算法和密码套件"选项,可以限制 BitLocker 可用于硬件加密的加密算法。如果为驱动器设置的算法不可用,则 BitLocker 将禁用基于硬件的加密。
加密算法由对象标识符(OID)指定。例如:
- AES 128 (CBC 模式) OID: 2.16.840.1.101.3.4.1.2
- AES 256 (CBC 模式) OID: 2.16.840.1.101.3.4.1.42

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHardwareEncryption
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

硬件加密不可用时使用 BitLocker 基于软件的加密
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSAllowSoftwareEncryptionFailover
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
限制可用于基于硬件的加密的加密算法和密码套件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRestrictHardwareEncryptionAlgorithms
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
将加密算法或密码套件限制为以下内容:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSAllowedHardwareEncryptionAlgorithms
Value TypeREG_EXPAND_SZ
Default Value2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42

volumeencryption.admx

管理模板(计算机)

管理模板(用户)