此策略设置控制已连接到受信任的有线局域网(LAN)并已加入域的受 BitLocker 保护的计算机是否能够在启用 TPM 的计算机上创建并使用网络密钥保护程序,以在该计算机启动时自动解锁操作系统。
如果启用此策略,则配置了 BitLocker 网络解锁证书的客户端将能够创建并使用网络密钥保护程序。
若要使用网络密钥保护程序解锁计算机,则必须用网络解锁证书配置计算机和 BitLocker 驱动器加密网络解锁服务器。网络解锁证书用于创建网络密钥保护程序,并保护与服务器交换以解锁计算机的信息。可以使用域控制器上的组策略设置("计算机配置\Windows 设置\安全设置\公钥策略\BitLocker 驱动器加密网络解锁证书")将此证书分发给组织中的计算机。此解锁方法使用计算机上的 TPM,因此,没有 TPM 的计算机将无法创建网络密钥保护程序,以使用网络解锁自动解锁。
如果禁用或未配置此策略设置,则 BitLocker 客户端将无法创建和使用网络密钥保护程序。
注意: 为了确保可靠性和安全性,计算机还应具有 TPM 启动 PIN,以便在启动时当计算机断开有线网络或服务器时使用。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSManageNKP |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |