GravityZone 全盘加密 常见问题

GravityZone 全盘加密 支持绝大多数可运行BitLocker、FileVault和diskutil的Windows终端及Mac设备。在Windows系统中，使用"家庭版"操作系统的用户无法使用此功能。

更多信息请参阅 全盘加密 .

GravityZone 全盘加密 同时支持带TPM和不带TPM的系统。除Windows 7和Windows Server 2008 R2必须使用TPM外，大多数系统对TPM均为可选要求，且TPM版本需为1.2或更高。

对台式机和笔记本电脑的固定磁盘中的启动卷与非启动卷进行加密，不加密可移动驱动器。 GravityZone

采用以下技术实现加密： BitLocker

GravityZone 利用Windows和macOS平台上可用的原生加密应用程序。

当应用带有 GravityZone 策略并启用 全盘加密 模块时：

终端用户可自行操作BitLocker、FileVault和diskutil，前提是安全代理中的 全盘加密 模块处于禁用状态。

Windows加密

要在Windows终端上加密卷，需应用一个启用 全盘加密 模块且选中 加密 选项的策略。终端上的加密流程取决于机器是否具有正常工作的可信平台模块（TPM）。

带TPM的终端

应用策略时：

1. 安全代理会提示用户配置PIN码。详情请参阅 加密 .

   

   若TPM未正常工作或 GravityZone 未检测到它，系统将提示用户配置加密密码。详情参见下文关于无TPM终端加密流程的章节。

2. 点击 保存 点击 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，加密过程将从启动盘（C:）开始，并继续处理其他磁盘。

   若选择 忽略 选项，加密窗口会暂时关闭，但只要策略在端点上保持激活状态，稍后仍会重新弹出。

在配备TPM的端点上，当 GravityZone 策略启用 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项时，加密过程无需用户输入PIN即可启动。详情参见 加密 .

启动加密机器时，用户需先在预启动环境中输入PIN解锁启动卷，再输入系统凭据。非启动卷将自动解锁。

当 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项在 GravityZone 策略中启用时，用户无需在预启动环境输入PIN。详情参见 加密 .

注意

您可通过启用以下BitLocker组策略（GPO）设置来控制PIN复杂度要求及用户修改PIN的权限：

• 配置启动所需最小PIN长度

• 配置操作系统驱动器密码使用策略，并 要求密码复杂度

• 配置固定数据驱动器密码使用策略，并 要求密码复杂度

• 禁止标准用户更改PIN码或密码。

无TPM的终端

策略应用时：

1. 安全代理会提示用户配置密码。详情请参阅 加密 .

   

2. 点击 保存 按钮后，安全代理会将与加密密码关联的恢复密钥发送至 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，加密过程将从启动盘（C:）开始，并继续处理其他磁盘。

   若选择 忽略 选项，加密窗口会暂时关闭，但只要策略在终端上保持生效，稍后仍会重新弹出。

启动加密的Windows机器时，用户需先在预启动环境中输入加密密码以解锁启动卷，再输入系统凭据。非启动卷将自动解锁。

若用户忘记加密密码，可向安全管理员索取恢复密钥以解锁启动卷。

macOS加密

要在macOS终端上加密卷，您需要应用一个启用了 全盘加密 模块并选择 加密 选项的策略。策略应用后：

• 对于启动卷：

  1. 安全代理会提示用户输入系统凭据以通过FileVault开始加密。

     

  2. 点击 确定 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密流程。

     若选择 暂不 选项，只要终端上策略仍处于激活状态，加密窗口将暂时关闭并在稍后重新出现。

     注意

     对于双启动系统，另一个启动卷不会被加密。

• 对于任何非启动卷：

  1. 安全代理会提示用户配置密码以通过diskutil开始加密。

     

  2. 点击 保存 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密流程。

     若选择 忽略 选项，只要终端上策略仍处于激活状态，加密窗口将暂时关闭并在稍后重新出现。

     用户需要为连接到Mac的每个非启动卷单独配置密码。

启动加密的macOS设备时，用户需输入系统凭据。只有拥有管理员权限的本地账户用户才能启用加密。若这些Mac设备存在非启动卷，用户还需输入先前配置的卷加密密码。

若用户忘记密码，可向安全管理员索取恢复密钥。

macOS系统解密

要对Mac上的卷进行解密，您需要应用一个启用了 全盘加密 模块并选择 解密 选项的策略。当策略应用时：

• 对于启动卷，用户需要输入其系统凭据。

  

• 对于非启动卷，用户需要输入他们为加密这些卷而配置的磁盘密码。

  

用户可以在安全代理界面随时更改通过FileVault加密的启动卷的恢复密钥，只需提供系统凭据即可。

用户也可以通过提供现有的加密密码，更改通过diskutil加密的非启动卷的加密密码。

更改端点上的系统密码不会影响存储在 GravityZone .

如果在启用了相反操作的策略时尝试独立使用FileVault或diskutil进行加密或解密， GravityZone 不会干扰正在进行的进程。一旦加密或解密完成， GravityZone 将检查卷状态并根据策略采取相应操作（加密或解密）。

当带有 加密 选项的安全策略应用于端点时，用户必须配置一个密码以启动加密过程。

由于 GravityZone 通过BitLocker、FileVault和diskutil管理加密，密码配置的工作流程和限制与这些工具相关。

GravityZone 全盘加密 支持预启动认证。配置加密密码时，若使用非英文（美式）键盘布局，请确保满足上一步的条件，以避免预启动环境中密码输入失败。

不符合， GravityZone 全盘加密 未遵循联邦信息处理标准（FIPS）。

若卷已通过BitLocker、FileVault或diskutil加密，当通过 GravityZone 在终端启用加密时，安全代理将为此卷生成新恢复密钥并发送至 控制中心 .

在其他情况下，必须先对卷进行解密才能应用 GravityZone 加密策略。

目前没有，但 Bitdefender 计划在未来支持该功能。

他们必须先用现有解决方案解密数据，之后才能安全使用 GravityZone 全盘加密 .

加密所需平均时间取决于多种因素：磁盘类型与容量、CPU速度、当时运行的进程和应用程序数量。但由于加密在后台进行，终端用户可正常使用计算机，不会受到影响。

全盘加密 要求计算机已安装BitLocker（多数情况下已预装）。仅Windows Server系统默认不包含BitLocker，需由管理员手动添加。

在Windows系统中，用户需先在预启动环境输入加密密码，再输入用户账户密码登录操作系统。

加密过程在后台进行，用户可照常工作。由于 GravityZone 仅管理原生BitLocker、FileVault和diskutil，不会给系统带来额外负担。但若需加密超大容量驱动器，建议在闲置时进行此操作。

计算机访问不受用户数量限制。在多用户计算机上，应用加密策略时登录的用户将负责设置加密密码。

是的。 全盘加密 作为附加功能适用于所有 GravityZone 云版本和本地版本，并已预装在MSP版本中。 在此查看全盘加密功能在 各 GravityZone 版本中的可用性。

要获取免费试用，请 在此 创建账户。若您已有 GravityZone 云账户，请使用其他邮箱地址注册试用账户。

加密密码只能由用户通过 Bitdefender 安全代理图形界面进行修改。

可以，您可以从 控制中心 禁用加密管理，以允许本地控制BitLocker（Windows系统）及FileVault和diskutil（Mac系统）。此外，您还可以通过应用 GravityZone 策略来解密数据。

是的，这是Windows设备的标准行为：先输入加密密码，再输入用户账户密码。在macOS上，您需要输入用户账户密码。

可以，但仅限配备可信平台模块（TPM）芯片的Windows系统。在 GravityZone 控制中心 中，进入 策略 > 加密 并勾选 若可信平台模块（TPM）处于活动状态，则不要求输入预启动密码 .

这样，终端将在无密码状态下加密，用户无需在每次启动计算机时先于账户密码输入加密密码。

此选项仅支持配备TPM和统一可扩展固件接口（UEFI）的设备。

无论是否勾选该选项，以下情况用户仍需提供密码：

其他详细信息请参阅 加密 .