2

我正在尝试使用 Bitlocker 保护我们的 Win10Pro 戴尔笔记本电脑。
我们想添加初始 PIN 请求。
我们正在关注许多在线文章,启用Require additional authentication at startup key 并将配置 TPM 启动 Pin设置为Require startup PIN with TPM
之后,我输入了命令

管理-bde -protectors -add c: -TPMAndPIN

但我们总是收到错误:

错误:发生错误(代码 0x80310060):组策略设置不允许在启动时使用 PIN。请选择不同的 BitLocker 启动选项。

另一种方法是通过命令行命令:

manage-bde -on c:-UsedSpaceOnly -RecoveryPassword -RecoveryKey e:-TPMAndPIN 123456

但又是 0x80310060。

4

1 回答 1

0

好的。这是您需要做的。在开始详细介绍之前,让我强调一下您的环境和我自己的环境之间的一些差异:

  • 以下详细信息适用于 Windows 7 Ultimate
  • 以下详细信息适用于 TPM + 启动密钥,而不是启动 PIN

这些差异应该是最小的,你应该仍然能够得到你想要的结果。

配置组策略

计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器

选择:

Require additional authentication at startup

选择以下选项:

Configure TPM startup:             Do not allow TPM
Configure TPM startup PIN:         Do not allow startup PIN TPM
Configure TPM startup key:         Require startup key with TPM
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM

加密驱动器

此时,您应该可以前往

控制面板 > BitLocker 驱动器加密

并使用向导。(如果您的组策略设置错误,当您尝试加密驱动器时,您会在加密对话框中收到一条消息,提示您的组策略设置有冲突,您需要更改它们。)否则,您应该能够保存启动密钥(或者,在您的情况下,输入启动 PIN)并继续进行驱动器加密。

限制

当我第一次开始研究这个时,我的目标是专门使用启动密钥,根本不使用 TPM。Microsoft 文档从一开始就非常清楚,要做到这一点,您必须使用命令行工具。控制面板向导不会做你想做的事。(虽然我对命令行非常熟悉,但 Windows 操作系统驱动器加密对我来说是一个新领域。我想留在一条人迹罕至的道路上。)上面的方法展示了如何使用 TPM + 启动密钥。您应该可以使用 TPM + 启动 PIN 来根据自己的需要稍微修改它。

资源

最后,这是指导我设置组策略的优秀文章。本文将引导您了解如何使用 TPM + 启动 PIN + 启动密钥设置 BigLocker。列出所有命令行调用;我没有尝试过其中任何一个,但也许您会发现它们对于托管安装很有用。

https://mrhorn.com/wp/posts/bitlocker-with-tpm-pin-usb-startupkey/

于 2018-09-05T01:52:34.843 回答