常见问题（FAQ）

对加密设置的任何更改都会在新旧策略之间产生差异。这会导致该策略下的所有计算机先解密，再使用新设置重新加密。仅对高级设置（例如恢复密钥轮换或在域控制器中备份）的更改，则会直接应用，而不会触发解密和重新加密。

当未检测到 TPM 时，Endpoint Central 代理会假定该设备没有 TPM，并对其应用无 TPM 机器的加密设置。当故障解决并检测到 TPM 后，机器会被解密，并应用适用于 TPM 机器的加密设置。

对于非 TPM 机器，加密需要使用密码短语。只有在提供密码后，加密才会开始。

单一策略即可同时适用于 TPM 和非 TPM 机器。

策略会从机器中移除，但加密状态会保留。移除策略时，机器不会被解密。

最后部署的策略会生效。可在受管系统视图中查看当前生效的策略。

如果新策略的加密设置与当前设置不同，则会强制执行新策略。

只有在已应用 BitLocker 策略的机器上，BitLocker 才会强制执行加密状态更改。

策略会被撤销，但加密会保留。机器不会被解密。

要移除一台已完全解密的计算机并防止其再次收到加密提示：

• 将目标机器从自定义组中移除（管理 → 自定义组）。
• 修改现有 BitLocker 策略，重新关联该自定义组并重新部署策略。

已加密的数据驱动器会被解密。计算机将保持部分加密状态。

修改加密设置会触发驱动器重新加密。

Endpoint Central 不会在未部署策略的情况下加密驱动器。完全加密可能由以下原因导致：

• 在全新安装操作系统期间由 Windows 设备加密 触发。
• 第三方软件。
• 手动加密。

可以。使用恢复密钥登录。登录后，系统会提示用户重新配置或修改密码或 PIN。

1. TPM 和 PIN：6—20 位数字，不得包含 3 位及以上连续数字序列，不得包含重复的 2 位数字序列。
2. TPM 和增强型 PIN：6—20 个字符，必须包含 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符；不得包含 3 个及以上连续字符序列，不得包含重复的 2 字符序列。
3. 密码短语：8—255 个字符，复杂度要求与增强型 PIN 相同。

代理会在其刷新周期内启动 BitLocker 流程。执行时间取决于机器本身。只有在恢复密钥成功存储到服务器后，加密才会开始。

没有。BitLocker 可随时启用，策略也可随时部署。

当驱动器处于暂停保护模式时，驱动器已加密但未受保护。要检查此状态，请进入 Endpoint Central Web 控制台，导航至 BitLocker 管理，在“受管计算机”下找到该计算机，并验证“保护状态”是否显示为“已禁用”。

如果用户手动保护了数据驱动器，而后又部署了 BitLocker 策略，则保护器会变更为“自动解锁”。

不需要。无需重启。一旦策略部署完成，加密会立即在后台开始。

同时应用两者可能会导致冲突，因此不建议这样做。

BitLocker 支持 Windows 7 及以上版本。

Endpoint Central 的 BitLocker 管理不支持便携式驱动器加密。

当前状态会在刷新周期内更新。若需按需获取状态，可导航至 Insights → Managed Systems，然后点击“立即更新”。

注意：要及时更新数据，必须保持代理与服务器之间的通信。通信中断可能导致更新延迟。

可能原因包括：

• Endpoint Central 代理不可用，导致无法扫描。
• 代理与服务器之间通信中断。
• 服务器繁忙，数据进入队列，稍后才会更新。
• Windows 版本为 7 或更低。
• BitLocker 被 GPO 禁用。

如果出现这些问题，请联系支持团队获取帮助。

如果在创建策略时选择了“仅加密操作系统驱动器”选项，则加密状态会显示为“部分加密”。

保护状态表示 BitLocker 是否处于活动状态。如果驱动器已完全加密但状态显示为“已禁用”，则表示 BitLocker 已被暂停。Endpoint Central 不会暂停 BitLocker。可能原因包括：

• Windows 设备加密 在恢复密钥完成备份前处于暂停状态。
• 手动暂停。
• 与 BitLocker 相关的第三方软件。

通过 Endpoint Central 部署加密策略可重新启用 BitLocker 保护。

要接收自动化的 BitLocker 报表，请导航至 计划报表，配置要发送的预定义报表。

清单模块中的 BitLocker 状态仅通过清单扫描检测。状态只会在下一次清单扫描时反映出来。

如果域控制器不可达，或者权限阻止更新，则恢复密钥无法存储到域控制器中。

会。即使未完成与域控制器的同步，BitLocker 仍会加密驱动器。

是的。中央服务器会管理所有恢复密码。

请配置计划数据库备份，并将其存储在安全路径中。说明请参见这里。可以从备份文件中检索恢复密钥。

如果 AD 不可达，ManageEngine BitLocker 会在其刷新周期内每天最多重试五次更新恢复密钥，直到 AD 可达为止。

如果启用了恢复密钥保留功能，即使机器被移除，恢复密钥仍会在服务器中保留长达一年。禁用后，被移除机器的恢复密钥将在 30 天后被丢弃。如果机器的代理已卸载，但在代理选项卡的管理范围（SoM）下仍显示为灰色，则可以使用机器名称检索其恢复密钥。但如果机器代理已卸载，且该机器也已从 SoM 中移除，则只能使用恢复密钥 ID 来检索恢复密钥。恢复密钥 ID 可在提示输入恢复密钥的对话框中找到。

可通过提供 PIN 或密码短语来解锁受 BitLocker 保护的驱动器。如果忘记了解锁密码，也可通过输入恢复密钥来解锁。

一旦在控制台中查看恢复密钥，系统会生成新的恢复密钥，代理会在下次启动时更改恢复密钥。

在当前工作流程中，生成新的恢复密钥后，会先将其上传到服务器。服务器成功存储新密钥后，旧的恢复密钥才会被删除。该过程会在代理刷新周期内执行。

如果代理离线，由于缺乏连接性，它无法将新生成的恢复密钥上传到服务器。因此，现有恢复密钥将保持有效且不变。一旦代理重新连接，轮换流程将在下一次刷新周期中继续，生成并上传新的恢复密钥到服务器。

在查看“检索恢复密钥”页面时，您可能会看到同一个驱动器列出了多个恢复密钥标识符。这是因为此前轮换过的恢复密钥也会被保留并显示。当前在“受管计算机”视图中显示的标识符，表示该驱动器当前活动的恢复密钥。

单个驱动器可能关联多个恢复密钥。在“受管计算机”视图中显示的所有恢复密钥都有效，并可用于解锁该驱动器。

解锁驱动器时，Windows 会提示显示恢复密钥标识符。可使用该标识符在控制台中检索相应的恢复密钥。

在标准场景下，BitLocker 插件会为每个驱动器生成一个恢复密钥。如果在加密期间因手动中断或第三方软件交互而创建了额外密钥，则可能会显示多个密钥。

如果每次启动时都提示输入恢复密钥，这通常是由环境或系统相关问题引起的，而不是加密工作流程本身导致。建议客户联系 Microsoft 支持以获取进一步帮助，因为这种行为通常与操作系统或硬件配置因素有关。

请先确认驱动器当前是否处于锁定状态。如果驱动器已锁定，Endpoint Central 将无法检索 BitLocker 恢复密钥。请先解锁驱动器，然后再次尝试检索。要验证驱动器是否处于锁定状态，请导航至受管计算机并点击相应机器。系统会显示该机器各驱动器的锁定状态。

1. 请确认输入的是正确的恢复密钥。锁定驱动器上显示的恢复密钥 ID（RKI）必须与从管理控制台检索到的密钥一致。
2. 如果正确的恢复密钥仍然无法使用，则该问题与 Endpoint Central 的 BitLocker 管理无关。BitLocker 操作依赖 Windows API 来启动加密和解密，因此问题很可能是该受影响机器本身的特定问题。

如果代理已重新安装，该机器将列在“受管计算机”中。您可以获取该特定机器的恢复密钥标识符，并通过“检索恢复密钥”选项卡找回恢复密钥。