我试图使用Bitlocker保护我们的Win10Pro戴尔笔记本电脑
我们要添加初始PIN请求
我们正在关注许多在线文章,这些文章启用启动时需要其他身份验证键,并将配置TPM启动Pin 设置为需要使用TPM启动PIN 。
之后,我输入了命令
manage-bde -protectors -add c:-TPMAndPIN
但我们总是收到错误:
错误:发生错误(代码0x80310060): 组策略设置不允许在启动时使用PIN。请选择一个 不同的BitLocker启动选项。
其他方式是通过命令行命令:
manage-bde -on c:-UsedSpaceOnly -RecoveryPassword -RecoveryKey e:-TPMAndPIN 123456
但又是0x80310060。
答案 0 :(得分:0)
好。这是您需要做的。在开始细节之前,让我重点介绍一下您的环境与我自己的环境之间的一些差异:
这些差异应该很小,并且您仍然应该能够获得想要的结果。
计算机配置>管理模板> Windows组件> BitLocker驱动器加密>操作系统驱动器
选择:
Require additional authentication at startup
选择以下选项:
Configure TPM startup: Do not allow TPM
Configure TPM startup PIN: Do not allow startup PIN TPM
Configure TPM startup key: Require startup key with TPM
Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
此时,您应该可以访问
控制面板> BitLocker驱动器加密
并使用向导。 (如果您设置的组策略设置错误,则当您尝试对驱动器进行加密时,您会在加密对话框中看到一条消息,指出您的组策略设置存在冲突,因此您需要进行更改。)应该能够保存启动密钥(或者在您的情况下,输入启动PIN)并继续进行驱动器加密。
当我第一次开始研究它时,我的目标是专门使用启动密钥,而不使用TPM。 Microsoft文档从一开始就很清楚,为此,必须使用命令行工具。控制面板向导将无法执行您想要的操作。 (虽然我在命令行上非常在家,但是Windows OS驱动器加密对我来说是新领域。我想一直走在一条通行的道路上。)上面的方法列出了如何使用TPM +启动密钥。您应该可以使用TPM +启动PIN对其进行稍微的修改。
最后,这是一篇出色的文章,指导我完成了组策略。本文将引导您逐步了解如何使用TPM +启动PIN +启动密钥来设置BigLocker。列出所有命令行调用;我还没有尝试过它们,但是也许您会发现它们对于托管安装很有用。
https://mrhorn.com/wp/posts/bitlocker-with-tpm-pin-usb-startupkey/