BitLocker 組策略設定

Sophos Central 自動定義了一些組策略設定,因此管理員無需在進行裝置加密時準備計算機。

如果管理員已經定義了設定,則將不會覆寫已配置的值。

計算機配置 > 管理樣本 > Windows 元件 > BitLocker 驅動器加密 > 操作系統驅動器下的本地組策略編輯器中,您可以找到以下策略:

原則

設定

Sophos Central 設定的值

註解

允許啟動時網路解除鎖定

已啟用

啟用 Central Device Encryption 後,您可以允許預先設定的 BitLocker 網路解鎖以繼續工作。

啟動時需要其他驗證

在不含相容 TPM 的情形下允許使用 BitLocker

已勾選

如果沒有可用的 TPM,將在 Windows 8 上進行這一步設定以允許在安裝時使用密碼解鎖系統磁碟。

啟動時需要其他驗證

設定 TPM 啟動 PIN

允許啟動 PIN 搭配 TPM

如果已設定裝置加密策略設定為需要安裝驗證且系統具有 TPM,那麼此組策略設定將設定為允許透過 TPM 保護系統磁碟機,同時要求使用者輸入 PIN 碼。

允許用於啟動的增強 PIN

已啟用

設定該功能以允許使用字母數字 PIN 保護帶有 TPM 的系統驅動器。如果無法設定,將僅允許使用數字。

配置預先開機復原訊息和 URL

選擇預先開機復原訊息的選項

使用預設復原訊息和 URL

這將設為使用 Sophos 的預設訊息和 URL。

配置預先開機復原訊息和 URL

自訂復原訊息選項

沒有恢復金鑰?請聯絡 IT 服務台或前往自助入口網站:

https://sophos.com/ssp

配置預先開機復原訊息和 URL

自訂復原 URL 選項

為固定的資料磁碟機配置使用基於硬體的加密

已停用

這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。

為作業系統磁碟機配置使用基於硬體的加密

已停用

這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。

  • 要使用的加密算法:預設條件下,Sophos Central Device Encryption 使用 AES-256。有一種組策略設定可用於選擇 AES-128。
  • PIN/密碼要求:有一種組策略設定可用於設定最小 PIN/密碼長度並需要使用複雜的密碼。
  • 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為需要進行完整加密,其覆蓋僅允許加密已使用空間的 Sophos Central 策略。

有些組策略設定可能與 Sophos Central 相衝突,因此加密無法啟用。在這種情況下,將向 Sophos Central 傳送事件。

  • 需要智慧卡:如果組策略需要為 BitLocker 使用智慧卡,那麼 Sophos Central 不支援此種情況,同時會生成錯誤事件。
  • 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為僅加密已使用的空間,但 Sophos Central 策略需要進行完整加密,那麼這種情況下會生成錯誤事件。

如果要對平板電腦裝置(例如 MS Surface Pro)進行加密,並使用安裝驗證,則需要啟用以下組策略設定:

啟用需要平板電腦開機前鍵盤輸入使用 BitLocker 驗證

如欲瞭解更多詳情,請參閱知識庫文章 125772

如需更多有關 BitLocker 和 TPM 群組策略設定的一般資訊,請參閱 BitLocker 群組策略設定可信平台模塊服務群組策略設定