BitLocker 組策略設定
Sophos Central 自動定義了一些組策略設定,因此管理員無需在進行裝置加密時準備計算機。
如果管理員已經定義了設定,則將不會覆寫已配置的值。
在 計算機配置 > 管理樣本 > Windows 元件 > BitLocker 驅動器加密 > 操作系統驅動器 下的 本地組策略編輯器中,您可以找到以下策略:
| 原則 | 設定 | Sophos Central 設定的值 | 註解 |
|---|---|---|---|
| 允許啟動時網路解除鎖定 | 已啟用 | 啟用 Central Device Encryption 後,您可以允許預先設定的 BitLocker 網路解鎖以繼續工作。 | |
| 啟動時需要其他驗證 | 在不含相容 TPM 的情形下允許使用 BitLocker | 已勾選 | 如果沒有可用的 TPM,將在 Windows 8 上進行這一步設定以允許在安裝時使用密碼解鎖系統磁碟。 |
| 啟動時需要其他驗證 | 設定 TPM 啟動 PIN | 允許啟動 PIN 搭配 TPM | 如果已設定裝置加密策略設定為需要安裝驗證且系統具有 TPM,那麼此組策略設定將設定為允許透過 TPM 保護系統磁碟機,同時要求使用者輸入 PIN 碼。 |
| 允許用於啟動的增強 PIN | 無 | 已啟用 | 設定該功能以允許使用字母數字 PIN 保護帶有 TPM 的系統驅動器。如果無法設定,將僅允許使用數字。 |
| 配置預先開機復原訊息和 URL | 選擇預先開機復原訊息的選項 | 使用預設復原訊息和 URL | 這將設為使用 Sophos 的預設訊息和 URL。 |
| 配置預先開機復原訊息和 URL | 自訂復原訊息選項 | 沒有恢復金鑰?請聯絡 IT 服務台或前往自助入口網站:https://sophos.com/ssp | |
| 配置預先開機復原訊息和 URL | 自訂復原 URL 選項 | ||
| 為固定的資料磁碟機配置使用基於硬體的加密 | 無 | 已停用 | 這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。 |
| 為作業系統磁碟機配置使用基於硬體的加密 | 無 | 已停用 | 這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。 |
- 要使用的加密算法:預設條件下,Sophos Central Device Encryption 使用 AES-256。有一種組策略設定可用於選擇 AES-128。
- PIN/密碼要求:有一種組策略設定可用於設定最小 PIN/密碼長度並需要使用複雜的密碼。
- 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為需要進行完整加密,其覆蓋僅允許加密已使用空間的 Sophos Central 策略。
有些組策略設定可能與 Sophos Central 相衝突,因此加密無法啟用。在這種情況下,將向 Sophos Central 傳送事件。
- 需要智慧卡:如果組策略需要為 BitLocker 使用智慧卡,那麼 Sophos Central 不支援此種情況,同時會生成錯誤事件。
- 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為僅加密已使用的空間,但 Sophos Central 策略需要進行完整加密,那麼這種情況下會生成錯誤事件。
如果要對平板電腦裝置(例如 MS Surface Pro)進行加密,並使用啟動驗證,則需要啟用啟用需要平板電腦開機前鍵盤輸入使用 BitLocker 驗證群組原則設定。請參閱加密無法在平板(平板電腦)裝置上啓動。
有關群組原則設定的詳細資料,請參閱BitLocker 群組原則設定和 TPM 群組原則設定。