当在 Windows中设置 FIPS 兼容策略时,BitLocker 的恢复密码Windows
04/15/2021
本文内容
本文讨论由于 BitLocker 的恢复密码与 Windows FIPS 不兼容而Windows。
适用于: Windows 7 Service Pack 1,Windows Server 2012 R2
原始 KB 编号: 947249
简介
与 Windows BitLocker 驱动器加密的恢复密码一起使用的关键派生算法在 (FIPS) 不符合联邦信息处理Windows。 因此,当启用系统加密时,可能会遇到以下问题:使用 符合 FIPS 的算法进行加密、哈希处理和签名组策略设置。
问题 1
在命令提示符下手动添加恢复密码时,会收到以下错误消息:
未添加数字密码。 计算机上 FIPS 组策略设置阻止创建恢复密码。
问题 2
尝试加密需要 BitLocker 恢复密码的驱动器时,无法按预期加密驱动器。 此外,你还会收到以下错误消息:
无法加密磁盘。 策略需要密码,当前安全策略不允许使用 FIPS 算法。
问题 3
加密驱动器时,会创建恢复密钥,但不会将恢复密码创建为密钥保护程序。
问题 4
恢复密码不会存档在 Active Directory 目录服务中。
更多信息
BitLocker 恢复密码有 48 个数字。 此密码用于不符合 FIPS 的密钥派生算法。 因此,如果启用系统加密:使用符合 FIPS 的算法进行加密、哈希处理和签名组策略设置,则不能通过使用恢复密码创建或解锁驱动器。 相比之下,BitLocker 恢复密钥是不需要对它执行密钥派生算法的 AES 密钥,并且符合 FIPS。 因此,恢复密钥不受此组策略设置的影响。
若要禁用系统加密:使用符合 FIPS 的算法进行加密、哈希处理和签名组策略设置,请按照以下步骤操作:
单击 "开始",在"开始 搜索"框中键入 gpedit.msc, 然后单击"确定 "。
备注
如果系统提示您输入管理员密码或进行确认,请键入密码或进行确认。
展开 计算机配置,展开 Windows 设置, 展开 安全 设置,展开本地 策略,然后单击安全 选项。
在详细信息窗格中,双击"系统加密 :使用符合 FIPS 的算法进行加密、哈希处理和签名",单击"禁用",然后单击"确定 "。
备注
此组策略设置可能由管理员配置为从域控制器自动应用。 在这种情况下,无法在本地禁用此设置。