Vaadi lisätodennus käynnistyksen aikana (Windows Server 2008 ja Windows Vista)

Tämän käytäntöasetuksen avulla voit määrittää, pyytääkö ohjattu BitLocker-asemansalauksen asennus käyttäjää määrittämään lisätodennusmenetelmän, joka vaaditaan aina, kun tietokone käynnistetään. Tätä käytäntöasetusta käytetään, kun otat BitLockerin käyttöön.

Huomautus: Tämä käytäntö soveltuu ainoastaan Windows Server 2008- ja Windows Vista -tietokoneille.

Kun tietokoneessa on yhteensopiva TPM (Trusted Platform Module) -turvapiiri, salattujen tietojen suojausta voi tehostaa kahdella todennusmenetelmällä käynnistyksen yhteydessä. Kun tietokone käynnistetään, se voi edellyttää käyttäjiä asettamaan tietokoneeseen USB-muistitikun, joka sisältää käynnistysavaimen. Se voi myös edellyttää, että käyttäjät antavat 4 - 20 merkin pituisen PIN-käynnistystunnuksen.

Käynnistysavaimen sisältävää USB-muistitikkua tarvitaan tietokoneissa, joissa ei ole yhteensopivaa TPM-turvapiiriä. Jos TPM-turvapiiriä ei ole, BitLocker-salatut tiedot suojataan ainoastaan tällä USB-muistitikulla olevan avainmateriaalin avulla.

Jos otat tämän käytäntöasetuksen käyttöön, ohjattu toiminto tuo näyttöön sivun, jolla käyttäjä voi määrittää BitLockerin lisäkäynnistysasetukset. Voit määrittää lisää asetuksia tietokoneille, joissa on TPM-turvapiiri, ja tietokoneille, joissa sitä ei ole.

Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, ohjattu BitLockerin asennus näyttää perusvaiheet, joiden avulla käyttäjät voivat ottaa BitLockerin käyttöön TPM-turvapiirin sisältävissä tietokoneissa. Tässä ohjatussa perustoiminnossa ei voi määrittää lisäkäynnistysavainta tai PIN-käynnistystunnusta.

Tuettu: Windows Vista ja Windows Server 2008

Salli BitLocker ilman yhteensopivaa TPM-turvapiiriä (salasana tai käynnistysavain tarvitaan USB-muistitikulle)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableNonTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

TPM-turvapiirin sisältävien tietokoneiden asetukset:

Määritä TPM-käynnistysavain:


  1. Salli käynnistysavain TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value2
  2. Edellytä käynnistystunnusta TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value1
  3. Älä salli käynnistysavainta TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value0

Määritä TPM-turvapiirin PIN-käynnistystunnus:


  1. Salli PIN-käynnistystunnus TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value2
  2. Edellytä PIN-käynnistystunnusta TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value1
  3. Älä salli PIN-käynnistystunnusta TPM-turvapiirin kanssa
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value0

Tärkeää: Jos vaadit käynnistysavaimen, et saa sallia PIN-käynnistystunnusta.

Jos vaadit PIN-käynnistystunnuksen, et saa sallia käynnistysavainta. Muussa tapauksessa ilmenee käytäntövirhe.

Huomautus: Älä salli sekä PIN-käynnistystunnuksen että käynnistysavaimen asetusten piilottaa lisäasetussivua TPM-turvapiirin sisältävässä tietokoneessa.


volumeencryption.admx

Hallintamallit (tietokoneet)

Hallintamallit (käyttäjät)