使用 BitLocker 驱动器加密技术执行完整磁盘加密

在计算机上开始完整磁盘加密之前，建议您确保计算机未受到感染。若要执行操作，应启动全盘扫描或关键区域扫描任务。在已被 rootkit 感染的计算机上执行完整磁盘加密可能导致计算机无法运行。

在安装有服务器操作系统的计算机上使用 BitLocker 驱动器加密技术可能要求使用“添加角色和组件”向导安装 BitLocker 驱动器加密组件。

要使用 BitLocker 驱动器加密技术执行完整磁盘加密：

打开 Kaspersky Security Center Administration Console。
在管理控制台树的“受管设备”文件夹中，打开您希望为其配置完整磁盘加密的管理组的名称所对应的文件夹。
在工作区中选择“策略”选项卡。
选择需要的策略。
使用以下方式打开“属性: <策略名称>”窗口：
- 在策略的上下文菜单中，选择“属性”。
- 单击位于管理控制台工作区右侧的“配置策略”连接。
在“数据加密”区域中，选择“完整磁盘加密”。
在“加密技术”下拉列表中，选择“BitLocker 驱动器加密”选项。
在“加密模式”下拉列表中，选择“加密所有硬盘驱动器”选项。
如果计算机安装了多个操作系统，在加密后，您将能够只加载执行了加密的操作系统。
如果您希望在预启动环境中使用触摸屏键盘输入信息，则选择“允许在平板电脑上使用需要预启动键盘输入的身份验证”复选框。
建议在预启动环境中仅对拥有备用数据输入工具的设备（例如 USB 键盘）使用该设置。
选择以下加密类型之一：
- 如果您希望使用硬件加密，则选择“使用硬件加密”复选框。
- 如果您希望使用软件加密，则清空“使用硬件加密”复选框。
选择以下加密模式之一：
- 如果您只希望将加密应用至包含文件的硬盘驱动器，则选择“仅加密使用的磁盘空间”复选框。
- 如果您希望将加密应用至这个硬盘驱动器，则清空“仅加密使用的磁盘空间”复选框。
  该功能仅适用于未加密的磁盘驱动器。如果设备先前使用仅加密使用的磁盘空间功能加密，则在加密所有硬盘驱动器模式下应用策略后，未包含文件的扇区不会被加密。
选择访问使用 BitLocker 加密的硬盘驱动器方式。
- 如果您希望使用“受信任平台模块”(TPM) 存储加密密钥，则选择“使用受信任平台模块 (TPM)” 选项。
  一个与安全相关的提供基本功能的微芯片（例如用于存储加密密钥）。受信任平台模块通常安装在计算机主板上并且通过硬件总线与其他所有系统组件进行互动。
- 如果您未使用受信任平台模块 (TPM) 进行完整磁盘加密，请选择“使用密码”选项，并在“最小密码长度”字段中指定密码必须包括的最少字符数。
Windows 7 和 Windows 2008 R2 操作系统以及更早的版本必须有受信任的平台模块 (TPM)。
如果在上个步骤中，您选择了“使用受信任平台模块 (TPM)”选项：
- 如果您要设置在用户尝试访问加密密钥时需提供的 PIN 码，则选择“使用 PIN”复选框并在“最小 PIN 长度”字段中指定 PIN 代码必须包含的最少数字位数。
- 如果您想使用密码访问计算机上没有受信任的平台模块的加密硬盘驱动器, 请选择 “如果受信任的平台模块 (TPM) 不可用则使用密码复选框, 并在"最小密码长度"字段中指定密码应包含的最少字符数。
  在这种情况下, 使用给定的密码访问加密密钥将就如同使用密码” 复选框被选中。
  
  如果“如果受信任平台模块 (TPM) 不可用则使用密码”复选框未被选中且受信任平台模块不可用，则完整磁盘加密将不会启动。
单击“确定”保存更改。
应用策略。
有关应用 Kaspersky Security Center 策略的详细信息，请参阅《Kaspersky Security Center 帮助指南》。

在安装有 Kaspersky Endpoint Security 的客户端计算机上应用策略后，将进行以下查询：

如果 Kaspersky Security Center 策略配置为加密系统硬盘驱动器，则如果受信任平台模块在使用中，将显示 PIN 代码提示窗口，否则将显示用于预启动身份验证的密码请求窗口。
如果计算机的操作系统开启了联邦信息处理标准的兼容模式，则在 Windows 8 和更早版本中操作系统将显示 USB 设备连接请求窗口以保存恢复密钥文件。

如果无法访问加密密钥, 用户可以请求本地网络管理员提供恢复密钥（如果恢复密钥在较早前没有被保存在 USB 设备上或已丢失）。

页面顶部