設定作業系統磁碟機使用硬體式加密

這個原則設定可讓您管理 BitLocker 在作業系統磁碟機上使用硬體式加密的方式,以及其可搭配硬體式加密使用的加密演算法。使用硬體式加密,能夠讓經常對磁碟機進行資料讀取或寫入的磁碟機作業獲得效能提升。

如果您啟用此原則設定就能指定其他選項,來控制是否要在不支援硬體式加密的電腦上使用 BitLocker 軟體型加密來取代硬體式加密,以及是否要限制與硬體式加密搭配使用的加密演算法和加密套件。

如果您停用此原則設定,BitLocker 就無法以作業系統磁碟區使用硬體式加密,且預設會在加密磁碟機時使用軟體型加密。

如果您未設定此原則設定,BitLocker 將會使用軟體型加密而不論硬體式加密是否可用。

注意:「選擇磁碟機加密方式和加密強度」原則設定不會套用至硬體式加密。硬體式加密所使用的加密演算法,會在分割磁碟區時設定完成。根據預設,BitLocker 會使用磁碟機上設定的演算法來加密磁碟機。[限制硬體式加密允許的加密演算法和加密套件] 選項能讓您限制 BitLocker 能搭配硬體式加密使用的加密演算法。如果為磁碟區設定的演算法無法使用,BitLocker 就會停用硬體式加密的使用。
加密演算法由物件識別碼 (OID) 指定。範例:
- AES 128,CBC 模式 OID: 2.16.840.1.101.3.4.1.2
- AES 256,CBC 模式 OID: 2.16.840.1.101.3.4.1.42

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSHardwareEncryption
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

無法使用硬體式加密則使用 BitLocker 軟體式加密
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSAllowSoftwareEncryptionFailover
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
限制硬體式加密允許的加密演算法和加密套件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSRestrictHardwareEncryptionAlgorithms
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
將加密編譯演算法或加密套件限制為下列項目:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameOSAllowedHardwareEncryptionAlgorithms
Value TypeREG_EXPAND_SZ
Default Value2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42

volumeencryption.admx

系統管理範本 (電腦)

系統管理範本 (使用者)