GravityZone 全盘加密 常见问题

GravityZone 全盘加密 适用于绝大多数可运行BitLocker、FileVault和diskutil的Windows终端和Mac设备。在Windows系统中，使用"家庭版"操作系统的用户无法使用此功能。

更多信息请参阅 全盘加密 .

GravityZone 全盘加密 可同时支持带TPM和不带TPM的系统。除Windows 7和Windows Server 2008 R2必须使用TPM外，大多数系统中TPM为可选组件，且TPM版本需为1.2或更高。

GravityZone 会加密台式机和笔记本电脑固定磁盘上的启动卷与非启动卷，但不会加密可移动驱动器。

GravityZone 采用以下方式加密：

GravityZone 利用Windows和macOS平台上可用的原生应用程序进行加密。

当应用启用了 GravityZone 策略并启用 全盘加密 模块时：

只要安全代理中的 全盘加密 模块被禁用，终端用户可以自行操作BitLocker、FileVault和diskutil。

Windows上的加密

要在Windows终端上加密卷，您需要应用一个启用了 全盘加密 模块并选择了 加密 选项的策略。在终端上，加密流程取决于机器是否具有正常工作的可信平台模块（TPM）。

带有TPM的终端

当策略应用时：

1. 安全代理会提示用户配置PIN。详情请参阅 加密 .

   

   若TPM无法正常工作或 GravityZone 未检测到该模块，系统将提示用户配置加密密码。详情请参阅下文关于无TPM终端加密流程的说明。

2. 点击 保存 按钮后，安全代理会将与加密PIN关联的恢复密钥发送至 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，系统将首先在启动盘（C:）开始加密，随后加密其他磁盘。

   若选择 忽略 选项，加密窗口将暂时关闭，但只要终端策略仍处于激活状态，窗口会再次出现。

在配备TPM的终端上，当 GravityZone 策略启用 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项时，加密流程将在无需用户输入PIN的情况下启动。详情请参阅 加密 .

启动加密机器时，用户需先在预启动环境中输入PIN以解锁启动卷，随后输入系统凭证。非启动卷将自动解锁。

当 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项在 GravityZone 策略中启用时，用户无需在预启动环境输入PIN。详情请参阅 加密 .

注意

您可以通过启用以下BitLocker组策略(GPO)设置来控制PIN码复杂度要求及用户修改PIN码的权限：

• 配置启动所需的最小PIN长度

• 配置操作系统驱动器密码使用策略，并 要求密码复杂度

• 配置固定数据驱动器密码使用策略，并 要求密码复杂度

• 禁止标准用户更改PIN码或密码

无TPM的终端

策略应用时：

1. 安全代理会提示用户配置密码。详情请参阅 加密 .

   

2. 点击 保存 按钮后，安全代理会将与加密密码关联的恢复密钥发送至 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，加密过程将从启动盘(C:)开始，并继续处理其他磁盘。

   若选择 忽略 选项，加密窗口会暂时关闭，但只要策略在终端上处于激活状态，稍后仍会重新出现。

启动加密的Windows机器时，用户需先在预启动环境输入加密密码解锁启动卷，再输入系统凭据。非启动卷将自动解锁。

若用户忘记加密密码，可向安全管理员索取恢复密钥来解锁启动卷。

macOS系统加密

要对macOS终端上的卷进行加密，您需要应用已启用 全盘加密 模块并选择 加密 选项的策略。策略应用时：

• 对于启动卷：

  1. 安全代理会提示用户输入系统凭证以通过FileVault开始加密。

     

  2. 点击 确定 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密流程。

     若选择 暂不处理 选项，只要策略在终端上保持激活状态，加密窗口将暂时关闭并在稍后重新出现。

     注意

     对于双启动系统，另一个启动卷不会被加密。

• 对于非启动卷：

  1. 安全代理会提示用户配置密码以通过diskutil启动加密。

     

  2. 点击 保存 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密流程。

     若点击 忽略 选项后，加密窗口将暂时消失，只要策略在终端上处于激活状态，稍后会自动重新出现。

     用户必须为Mac连接的每个非启动卷单独配置密码。

启动加密的macOS设备时，用户需输入系统凭证。只有拥有管理员权限的本地账户用户才能启用加密。若这些Mac设备存在非启动卷，用户还需输入他们为加密这些卷所配置的密码。

若用户忘记密码，可向安全管理员索取恢复密钥。

macOS上的解密

要解密Mac上的卷，需应用启用 全盘加密 模块并勾选 解密 选项的策略。策略应用后：

• 对于启动卷，用户需输入系统凭证。

  

• 对于非启动卷，用户需输入加密这些卷时配置的磁盘密码。

  

用户可随时在安全代理界面通过提供系统凭证，更改通过FileVault加密的启动卷的恢复密钥。

用户也可通过提供现有加密密码，更改通过diskutil加密的非启动卷的加密密码。

终端上更改系统密码不会影响存储在 GravityZone .

若在启用冲突操作策略时尝试通过FileVault或diskutil独立加密/解密， GravityZone 不会干预进行中的进程。待加密/解密完成后， GravityZone 将检查卷状态并根据策略采取相应操作（加密或解密）。

当含有 加密 选项的安全策略应用于终端时，用户必须配置用于启动加密流程的密码。

由于 GravityZone 通过BitLocker、FileVault和diskutil管理加密，密码配置的流程和限制与这些工具相关。

GravityZone 全盘加密 支持预启动认证。配置加密密码时，请确保满足上一步的条件，以避免在使用非美式键盘布局时预启动环境出现密码输入失败。

不， GravityZone 全盘加密 不符合美国联邦信息处理标准（FIPS）。

如果某个卷已通过BitLocker、FileVault或diskutil完成加密，当通过 GravityZone 在终端启用加密时，安全代理将为该卷生成新的恢复密钥并发送至 控制中心 .

其他情况下，必须先对卷进行解密才能应用 GravityZone 加密策略。

目前不支持，但 Bitdefender 计划在未来实现该功能。

他们需先使用现有解决方案解密数据，之后方可安全使用 GravityZone 全盘加密 .

加密平均耗时取决于多重因素：磁盘类型与容量、CPU速度、当时运行的进程和应用程序数量。但由于加密在后台进行，终端用户可正常使用计算机而不受影响。

全盘加密 要求计算机已安装BitLocker（多数情况下已预装）。仅Windows Server系统默认不包含BitLocker，需由管理员手动添加。

在Windows系统中，用户需要先在预启动环境中输入加密密码，然后再输入用户账户密码以登录操作系统。

GravityZone仅管理本地的BitLocker、FileVault和diskutil，不会给系统带来额外负担。但是，如果加密非常大的驱动器，最好在不使用它们时设置此过程。 GravityZone

对计算机的访问不受用户数量的限制。在多用户计算机上，应用加密策略时登录的用户是设置加密密码的用户。

是的。 全磁盘加密 可作为所有 GravityZone 云版和本地版以及即用型MSP版的附加组件提供。 在此处了解全磁盘加密在 各个 GravityZone 版本中的可用性。

要获取免费试用版，请在此处 创建账户 。如果您已经有 GravityZone 云账户，请使用其他电子邮件地址注册试用账户。

加密密码仅能由用户通过 Bitdefender 安全代理图形界面修改。

可以，您可以从 控制中心 禁用加密管理，以允许本地控制BitLocker（Windows系统）及FileVault和diskutil（Mac系统）。此外，您还可以通过应用 GravityZone 策略来解密数据。

是的，这是Windows设备的标准行为：先输入加密密码，再输入用户账户密码。在macOS系统上，您需要输入用户账户密码。

可以，但仅限于配备可信平台模块（TPM）芯片的Windows系统。在 GravityZone 控制中心 中，进入 策略 > 加密 并勾选 若可信平台模块（TPM）已激活，则不要求预启动密码 .

这样，终端设备将在无需密码的情况下完成加密，用户也无需在每次启动计算机时、输入账户密码前再输入加密密码。

此选项仅支持配备可信平台模块（TPM）和统一可扩展固件接口（UEFI）的机器。

无论是否勾选该复选框，以下情况用户仍需提供密码：

其他详细信息请参阅 加密 .