已設定適當憑證的資料修復代理可修復 BitLocker 保護的磁碟機。您必須在群組原則管理主控台 (GPMC) 或是本機群組原則編輯器的 [公開金鑰原則] 中新增資料修復代理,才能設定磁碟機的資料修復代理。您必須啟用及設定 [提供組織的唯一識別碼] 原則設定,以關聯 BitLocker 啟用的新磁碟機與唯一識別碼。您需要識別欄位才能管理在 BitLocker 保護磁碟機上的資料修復代理。只有當磁碟機具有識別欄位且與電腦上的設定值相同時,BitLocker 才會管理及更新資料修復代理。
憑證需求
在您可以使用憑證加密使用 BitLocker 的磁碟機之前,憑證必須符合下列金鑰使用方法以及增強金鑰使用方法的需求:
- 金鑰使用方法屬性必須是無、金鑰編密或下列其中一個金鑰使用方法值:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE - 增強金鑰使用方法屬性必須是無,或以下其中之一:
1.3.6.1.4.1.311.67.1.1
憑證授權單位支援任何增強金鑰使用方法物件識別碼
BitLocker 物件識別碼預設為 1.3.6.1.4.1.311.67.1.1。您可以使用群組原則變更這個值,例如,您想要與 BitLocker 共用現有的憑證。如果憑證屬於資料修復代理,而且只使用於修復 BitLocker 保護的資料,則建議憑證也具有其中一個屬性,但並非強制。新增資料修復代理至磁碟機時,不會驗證憑證。
設定 BitLocker 的資料修復代理及識別欄位
下列程序說明設定 BitLocker 的資料修復代理及識別欄位的方法。
完成這些程序必要的群組成員資格至少為本機 Administrators。
 | 設定資料修復代理 |
開啟 GPMC 或本機群組原則編輯器。
在 [電腦設定\Windows 設定\安全性設定\公開金鑰原則] 下的主控台樹狀目錄中,在 [BitLocker 磁碟機加密] 上按一下滑鼠右鍵。
按一下 [新增資料修復代理] 啟動新增修復代理精靈。按 [下一步]。
在 [選取修復代理] 頁面上,按一下 [瀏覽資料夾],然後選取使用 .cer 檔案作為資料修復代理。一旦選取這個檔案,該檔案將會匯入並且在精靈的 [修復代理] 清單中出現。可以指定多重資料修復代理。指定所有您想要使用的資料修復代理之後,請按 [下一步]。
在精靈的 [完成新增修復代理精靈] 頁面上,顯示將要新增到群組原則的資料修復代理清單。按一下 [完成] 確認資料修復代理,並且關閉精靈。
在精靈關閉後,資料修復代理會出現在詳細資料窗格。
| 設定識別欄位 |
在 GPMC 或本機群組原則編輯器中,展開主控台樹狀目錄 [電腦設定\系統管理範本\Windows 元件\BitLocker 磁碟機加密],然後按一下 [BitLocker 磁碟機加密] 顯示原則設定。
在詳細資料窗格中,連按兩下 [提供組織的唯一識別碼] 原則設定。
按一下 [啟用]。在 [BitLocker 識別欄位] 中,輸入組織的識別欄位。
按一下 [確定] 套用及關閉原則設定。
 | 附註 |
|
如果設定識別欄位之前便使用 BitLocker 加密磁碟機,則不會指派資料修復代理,這是因為缺少識別欄位。您可以使用 Windows Management Instrumentation (WMI)或 Manage-bde 命令列工具設定之前加密磁碟機的識別欄位。使用 Manage-bde 時,識別欄位會設定為在 [提供組織的唯一識別碼] 原則設定中指定的值。如需使用 WMI 或 Manage-bde 的相關資訊,請參閱 |