To ustawienie zasad umożliwia określenie, czy w Kreatorze instalacji szyfrowania dysków funkcją BitLocker będzie można wyświetlić i określić opcje odzyskiwania funkcji BitLocker. Ta zasada dotyczy tylko komputerów z systemem Windows Server 2008 lub Windows Vista. To ustawienie zasad jest stosowane po włączeniu funkcji BitLocker.
W celu odblokowania danych zaszyfrowanych funkcją BitLocker w przypadku braku wymaganych informacji klucza uruchomienia można użyć dwóch opcji odzyskiwania. Użytkownik może wpisać 48-cyfrowe liczbowe hasło odzyskiwania lub włożyć do komputera dysk flash USB zawierający 256-bitowy klucz odzyskiwania.
Jeżeli to ustawienie zasad zostanie włączone, użytkownicy będą mogli w kreatorze instalacji skonfigurować opcje odzyskiwania danych zaszyfrowanych funkcją BitLocker. Użycie opcji zapisu na dysku flash USB spowoduje zapisanie 48-cyfrowego hasła odzyskiwania jako pliku tekstowego, a 256-bitowego klucza odzyskiwania jako pliku ukrytego. Użycie opcji zapisu w folderze spowoduje zapisanie 48-cyfrowego hasła odzyskiwania jako pliku tekstowego. Użycie opcji drukowania spowoduje wysłanie 48-cyfrowego hasła odzyskiwania do drukarki domyślnej. Na przykład brak zezwolenia na 48-cyfrowe hasło odzyskiwania uniemożliwi użytkownikom wydrukowanie informacji odzyskiwania lub zapisanie ich w folderze.
Jeżeli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, Kreator instalacji funkcji BitLocker wyświetli użytkownikom sposoby zapisania opcji odzyskiwania.
Uwaga: jeśli podczas instalacji funkcji BitLocker jest konieczne zainicjowanie modułu TPM, informacje o jego właścicielu zostaną zapisane lub wydrukowane razem z informacjami odzyskiwania funkcji BitLocker.
Uwaga: 48-cyfrowe hasło odzyskiwania nie będzie dostępne w trybie zgodności ze standardem FIPS.
Ważne: To ustawienie zasad oferuje administracyjną metodę odzyskiwania danych zaszyfrowanych funkcją BitLocker, która umożliwia zapobieżenie utracie danych w przypadku braku informacji klucza. W przypadku braku zgody na użycie obu opcji odzyskiwania użytkownika należy włączyć zasadę Przechowuj informacje odzyskiwania funkcji BitLocker w usługach domenowych w usłudze Active Directory (systemy Windows Server 2008 i Windows Vista), aby zapobiec wystąpieniu błędu zasad.
Ważne: Aby zapobiec utracie danych, musi być dostępny sposób odzyskiwania kluczy szyfrowania funkcji BitLocker. Jeżeli użytkownik nie zezwoli na używanie obu poniższych opcji odzyskiwania, będzie konieczne włączenie opcji tworzenia kopii zapasowej informacji odzyskiwania funkcji BitLocker w usługach AD DS. W przeciwnym razie wystąpi błąd zasad.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 0 |
Uwaga: jeśli używanie hasła odzyskiwania będzie niedozwolone i będzie wymagane używanie klucza odzyskiwania, użytkownicy nie będą mogli włączyć funkcji BitLocker bez zapisania informacji na urządzeniu USB.