使用此策略设置,可以管理 BitLocker 在可移动数据驱动器上使用基于硬件的加密的方式,并指定它可以将哪些加密算法用于基于硬件的加密。使用基于硬件的加密可以提高涉及频繁读取数据或频繁将数据写入驱动器的驱动器操作的性能。
如果启用此策略设置,则可以指定其他选项,控制是否在不支持基于硬件的加密的计算机上使用 BitLocker 基于软件的加密,而不是基于硬件的加密,以及是否希望限制将密码算法和密码套件用于基于硬件的加密。
如果禁用此策略设置,则 BitLocker 无法将基于硬件的加密用于操作系统驱动器,并且在驱动器加密时将默认使用 BitLocker 基于软件的加密。
如果未配置此策略设置,则 BitLocker 将使用基于软件的加密,无论基于硬件的加密是否可用。
注意:"选择驱动器加密方法和密码长度"策略设置不适用于基于硬件的加密。基于硬件的加密所使用的加密算法在对驱动器进行分区时进行设置。默认情况下,BitLocker 使用在驱动器上配置的算法来加密驱动器。使用"限制可用于基于硬件的加密的加密算法和密码套件"选项,可以限制 BitLocker 可用于硬件加密的加密算法。如果为驱动器设置的算法不可用,则 BitLocker 将禁用基于硬件的加密。
加密算法由对象标识符(OID)指定。例如:
- AES 128 (CBC 模式) OID: 2.16.840.1.101.3.4.1.2
- AES 256 (CBC 模式) OID: 2.16.840.1.101.3.4.1.42
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | RDVHardwareEncryption |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | RDVAllowSoftwareEncryptionFailover |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | RDVRestrictHardwareEncryptionAlgorithms |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | RDVAllowedHardwareEncryptionAlgorithms |
Value Type | REG_EXPAND_SZ |
Default Value | 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 |