配置对可移动数据驱动器使用基于硬件的加密

使用此策略设置,可以管理 BitLocker 在可移动数据驱动器上使用基于硬件的加密的方式,以及指定它可以将哪种加密算法用于基于硬件的加密。使用基于硬件的加密可以提高涉及频繁读取或写入驱动器数据的驱动器操作的性能。

如果启用此策略设置,则可以指定其他选项,控制是否在不支持基于硬件的加密的计算机上使用 BitLocker 基于软件的加密,而不是基于硬件的加密,以及是否希望限制用于基于硬件的加密的加密算法和密码套件。

如果禁用此策略设置,则 BitLocker 无法将基于硬件的加密用于操作系统驱动器,并且在加密驱动器时将默认使用 BitLocker 基于软件的加密。

如果未配置此策略设置,则 BitLocker 将对驱动器使用基于硬件的加密以及加密算法集。如果基于硬件的加密不可用,则转而使用 BitLocker 基于软件的加密。

注意:"选择驱动器加密方法和密码长度"策略设置不适用于基于硬件的加密。基于硬件的加密所使用的加密算法在驱动器分区时进行设置。默认情况下,BitLocker 将使用驱动器上配置的算法来加密驱动器。使用"限制可用于基于硬件的加密的加密算法和密码套件"选项,可以限制 BitLocker 可用于硬件加密的加密算法。如果驱动器的算法集不可用,则 BitLocker 将禁用基于硬件的加密。
加密算法由对象标识符(OID)指定。例如:
- AES 128 (CBC 模式) OID: 2.16.840.1.101.3.4.1.2
- AES 256 (CBC 模式) OID: 2.16.840.1.101.3.4.1.42

支持的平台: 至少 Windows Server 2012 或 Windows 8

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVHardwareEncryption
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

硬件加密不可用时使用 BitLocker 基于软件的加密
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVAllowSoftwareEncryptionFailover
Value TypeREG_DWORD
Default Value1
True Value1
False Value0
限制可用于基于硬件的加密的加密算法和密码套件
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVRestrictHardwareEncryptionAlgorithms
Value TypeREG_DWORD
Default Value0
True Value1
False Value0
将加密算法或密码套件限制为以下内容:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameRDVAllowedHardwareEncryptionAlgorithms
Value TypeREG_EXPAND_SZ
Default Value2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42

volumeencryption.admx

管理模板(计算机)

管理模板(用户)