BitLocker 加密先决条件

成功部署 BitLocker 加密取决于是否满足特定的系统要求和配置。这些条件可确保 BitLocker 能够最佳运行并提供所需的保护级别。BitLocker 先决条件是指在部署 BitLocker 策略以启动加密之前，计算机必须遵循的标准。本文将深入介绍计算机在实施 BitLocker 策略之前必须满足的关键标准。以下是各项标准：

1. 操作系统兼容性
2. BitLocker 可用性
   • BitLocker 状态
   • WMI 功能
3. TPM 所有权
4. BIOS 模式兼容性
5. GPO 配置

操作系统兼容性

贵组织使用的某些 Windows 版本可能不支持 BitLocker 加密。以下是支持 BitLocker 的 Windows 操作系统列表：

• Windows 11 专业版、企业版和教育版
• Windows 10 专业版、企业版和教育版
• Windows 8.1 专业版和企业版
• Windows 8 专业版和企业版
• Windows 7 旗舰版和企业版
• Windows Vista 旗舰版和企业版
• Windows Server 2008 及更高版本

BitLocker 可用性

BitLocker 在服务器上不会自动启用；不过，您可以手动启用它以开始加密。以下是在 Windows Server 计算机上启用 BitLocker 时可能遇到的常见问题。

BitLocker 状态

BitLocker 在服务器操作系统计算机上默认处于禁用状态。可以通过服务器管理器和命令提示符启用它。

通过服务器管理器

执行以下步骤，通过服务器管理器启用 BitLocker 功能，并使用 BitLocker 恢复密钥存储功能：

1. 在 Windows 任务栏上，选择“服务器管理器”，然后选择“添加角色和功能”以打开向导。

1. 按照向导中的安装步骤进行操作。在“功能”窗格中，选中“BitLocker 驱动器加密管理工具”复选框，以及相关的“BitLocker 驱动器加密工具”和“BitLocker 恢复密码查看器”复选框。

1. 选择“下一步”继续安装向导，然后在“确认”窗格中单击“安装”以开始安装 BitLocker 功能。启用 BitLocker 可能需要其他附加功能，因此请按照“确认”窗格中的提示启用这些功能。

1. 重新启动计算机以完成 BitLocker 安装。要确认安装是否成功，请导航到“Active Directory 用户和计算机”；如果存在“BitLocker 恢复”选项卡，则表示安装成功。

通过命令提示符

执行以下步骤，通过命令提示符启用 BitLocker 功能：

1. 以管理员权限打开命令提示符并执行以下命令。
   dism /online /Enable-Feature /all /FeatureName:BitLocker /quiet /norestart
2. 重新启动计算机以完成 BitLocker 安装过程。要确认 BitLocker 功能是否已安装，请导航到计算机对象中的“Active Directory 用户和计算机”；如果存在“BitLocker 恢复”选项卡，则表示安装成功。

WMI 功能

Windows Management Instrumentation (WMI) 是 Microsoft 用于管理任务和信息检索的远程协议。要在启用 BitLocker 时排查常见错误，请执行以下步骤：

1. 以管理员权限打开命令提示符，并执行命令 mofcomp.exe C:\Windows\System32\wbem\win32_encryptablevolume.mof
2. 如果 BitLocker WMI 注册成功，您将看到以下通知。

TPM 所有权

受信任的平台模块（TPM）是一种微芯片，它使用加密密钥对驱动器进行加密，以减轻字典攻击。如果您仅拥有 TPM 的部分所有权，BitLocker 将无法使用加密密钥；基于 TPM 的加密需要完整所有权。

要获得完整所有权，请按照此处说明清除 TPM。清除 TPM 后，操作系统将自动重新初始化并获取完整所有权。

注意 - 清除 TPM 可能会导致已存储加密密钥的丢失。有关在清除 TPM 之前应采取的预防措施以保护您的数据，请参阅此链接。

BIOS 模式兼容性

仅在统一可扩展固件接口（UEFI）模式下支持 TPM 辅助的 BitLocker 加密。如果您正在使用 Legacy 或兼容性支持模式（CSM），请切换到 UEFI 模式以启用基于 TPM 的加密，如此处所述。

GPO 配置

组策略（GPO）设置可控制 Microsoft BitLocker 的预备操作。有时，计算机上现有的 GPO 设置可能会与