启动时需要附加身份验证

使用此策略设置,可以配置每次计算机启动时 BitLocker 是否要求附加身份验证以及使用 BitLocker 是否带受信任平台模块(TPM)。此策略设置将在打开 BitLocker 时应用。

注意: 启动时只可要求其中一个附加身份验证选项,否则会发生策略错误。

如果要在没有 TPM 的计算机上使用 BitLocker,则应选中"没有兼容的 TPM 时允许 BitLocker"复选框。在此模式下,需要密码或 USB 驱动器才能启动。使用启动密钥时,用于加密驱动器的密钥信息存储在 USB 驱动器中,以创建 USB 密钥。当插入 USB 密钥时,对该驱动器的访问将通过身份验证,驱动器处于可访问状态。如果 USB 密钥丢失或不可用,或者忘记了密码,则需要使用其中一个 BitLocker 恢复选项才能访问该驱动器。

在含有兼容的 TPM 的计算机上,启动时可使用四种身份验证方法,以便为加密数据提供附加保护。计算机启动时,可只使用 TPM 进行身份验证,也可同时要求插入包含启动密钥和/或 6 到 20 位数个人标识号(PIN)的 U 盘。

如果启用此策略设置,则用户可在 BitLocker 安装向导中配置高级启动选项。

如果禁用或未配置此策略设置,则用户在含有 TPM 的计算机上只能配置基本选项。

注意: 如果希望要求使用启动 PIN 和 U 盘,则必须使用命令行工具 manage-bde 而不是 BitLocker 驱动器加密安装向导来配置 BitLocker 设置。

支持的平台: 至少为 Windows 7 或 Windows Server 2008 R2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameUseAdvancedStartup
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

没有兼容的 TPM 时允许 BitLocker (在 U 盘上需要密码或启动密钥)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableBDEWithNoTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

有 TPM 时计算机的设置:

配置 TPM 启动:


  1. 允许 TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value2
  2. 需要 TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value1
  3. 不允许 TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPM
    Value TypeREG_DWORD
    Value0

配置 TPM 启动 PIN:


  1. 有 TPM 时允许启动 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value2
  2. 有 TPM 时需要启动 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value1
  3. 有 TPM 时不允许启动 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMPIN
    Value TypeREG_DWORD
    Value0

配置 TPM 启动密钥:


  1. 有 TPM 时允许启动密钥
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value2
  2. 有 TPM 时需要启动密钥
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value1
  3. 有 TPM 时不允许启动密钥
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKey
    Value TypeREG_DWORD
    Value0

配置 TPM 启动密钥和 PIN:


  1. 有 TPM 时允许启动密钥和 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value2
  2. 有 TPM 时需要启动密钥和 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value1
  3. 有 TPM 时不允许启动密钥和 PIN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUseTPMKeyPIN
    Value TypeREG_DWORD
    Value0


volumeencryption.admx

管理模板(计算机)

管理模板(用户)