BitLocker 組策略設定
Sophos Central Device Encryption 自動定義群組原則設定,因此您不必準備電腦進行裝置加密。
Sophos Central Device Encryption 不會覆寫您在本機群組原則編輯器中的電腦設定 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機下所做的設定。
注意
本機群組原則編輯器不顯示 Sophos Central Device Encryption 所做的設定。您可以在 Windows 登錄中的節點 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE 下找到這些設定。
有關可在本機群組原則編輯器中所做設定的詳細資料,請參閱下表。
| 原則 | 設定 | Sophos Central 設定的值 | 註解 |
|---|---|---|---|
| 允許啟動時網路解除鎖定 | 已啟用 | 啟用 Central Device Encryption 後,您可以允許預先設定的 BitLocker 網路解鎖以繼續工作。 | |
| 啟動時需要其他驗證 | 在不含相容 TPM 的情形下允許使用 BitLocker | 已勾選 | 如果沒有可用的 TPM,將在 Windows 8 上進行這一步設定以允許在安裝時使用密碼解鎖系統磁碟。 |
| 啟動時需要其他驗證 | 設定 TPM 啟動 PIN | 允許啟動 PIN 搭配 TPM | 如果已設定裝置加密策略設定為需要安裝驗證且系統具有 TPM,那麼此組策略設定將設定為允許透過 TPM 保護系統磁碟機,同時要求使用者輸入 PIN 碼。 |
| 允許用於啟動的增強 PIN | 無 | 已啟用 | 設定該功能以允許使用字母數字 PIN 保護帶有 TPM 的系統驅動器。如果無法設定,將僅允許使用數字。 |
| 配置預先開機復原訊息和 URL | 選擇預先開機復原訊息的選項 | 使用預設復原訊息和 URL | 這將設為使用 Sophos 的預設訊息和 URL。 |
| 配置預先開機復原訊息和 URL | 自訂復原訊息選項 | 沒有恢復金鑰?請聯絡 IT 服務台或前往自助入口網站:https://sophos.com/ssp | |
| 配置預先開機復原訊息和 URL | 自訂復原 URL 選項 | ||
| 為固定的資料磁碟機配置使用基於硬體的加密 | 無 | 已停用 | 這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。 |
| 為作業系統磁碟機配置使用基於硬體的加密 | 無 | 已停用 | 這將設為執行軟體型加密。但是,若現有 BitLocker 群組策略設定要求使用基於硬體的加密,則該策略設定不會被覆寫。 |
- 要使用的加密算法:預設條件下,Sophos Central Device Encryption 使用 AES-256。有一種組策略設定可用於選擇 AES-128。
- PIN/密碼要求:有一種組策略設定可用於設定最小 PIN/密碼長度並需要使用複雜的密碼。
- 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為需要進行完整加密,其覆蓋僅允許加密已使用空間的 Sophos Central 策略。
有些組策略設定可能與 Sophos Central 相衝突,因此加密無法啟用。在這種情況下,將向 Sophos Central 傳送事件。
- 需要智慧卡:如果組策略需要為 BitLocker 使用智慧卡,那麼 Sophos Central 不支援此種情況,同時會生成錯誤事件。
- 加密全部資料或僅加密已使用的空間:如果將開機卷和/或資料卷的組策略設定為僅加密已使用的空間,但 Sophos Central 策略需要進行完整加密,那麼這種情況下會生成錯誤事件。
如果要對平板電腦裝置(例如 MS Surface Pro)進行加密,並使用啟動驗證,則需要啟用啟用需要平板電腦開機前鍵盤輸入使用 BitLocker 驗證群組原則設定。請參閱加密無法在平板(平板電腦)裝置上啓動。
有關群組原則設定的詳細資料,請參閱BitLocker 群組原則設定和 TPM 群組原則設定。