GravityZone 全盘加密 常见问题

GravityZone 全盘加密 适用于大多数支持BitLocker、FileVault和diskutil的Windows终端和Mac设备。对于Windows系统，使用"家庭版"操作系统的用户无法使用此功能。

更多信息，请参阅 全盘加密 .

GravityZone 全盘加密 支持带或不带TPM的系统。对于大多数系统，TPM是可选的，但Windows 7和Windows Server 2008 R2除外，这些系统必须配备TPM。TPM版本需为1.2或更高。

可加密台式机和笔记本电脑上固定磁盘的启动卷与非启动卷，但不加密可移动驱动器。 GravityZone

采用以下技术： BitLocker

利用Windows和macOS平台原生的加密应用程序实现加密功能。 当应用

策略时 GravityZone 策略启用了 全盘加密 模块时：

终端用户可自行操作BitLocker、FileVault和diskutil，前提是安全代理中的 全盘加密 模块处于禁用状态。

Windows系统加密

要为Windows终端加密卷，需应用启用了 全盘加密 模块且勾选 加密 选项的策略。终端上的加密流程取决于设备是否配备可用的可信平台模块(TPM)。

配备TPM的终端

策略应用后：

1. 安全代理将提示用户配置PIN码。详情参见 加密 .

   

   若TPM失效或 GravityZone 未检测到TPM，系统将提示用户配置加密密码。具体流程请参阅下文关于无TPM终端加密流程的说明。

2. 点击 保存 按钮后，安全代理会将与加密PIN关联的恢复密钥发送至 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，加密过程将从启动盘（C:）开始，并继续处理其他磁盘。

   如果点击 忽略 选项，加密窗口会暂时消失，但只要策略在终端上处于激活状态，稍后仍会重新出现。

在配备TPM的终端上，当 GravityZone 策略启用了 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项时，加密过程无需用户输入PIN即可启动。详情请参阅 加密 .

启动加密机器时，用户需先在预启动环境中输入PIN以解锁启动卷，随后输入系统凭证。非启动卷将自动解锁。

当 若可信平台模块（TPM）处于活动状态，则不要求预启动密码 选项在 GravityZone 策略中启用时，用户无需在预启动环境输入PIN。详情请参阅 加密 .

注意

您可通过启用以下BitLocker组策略（GPO）设置来控制PIN复杂度要求及用户修改PIN的权限：

• 配置启动所需的最小PIN长度

• 配置操作系统驱动器密码使用策略，并 要求密码复杂度

• 配置固定数据驱动器密码使用策略，并 要求密码复杂度

• 禁止标准用户更改PIN或密码。

无TPM的终端

策略应用时：

1. 安全代理将提示用户配置密码。详情请参阅 加密 .

   

2. 点击 保存 按钮后，安全代理会将与加密密码关联的恢复密钥发送至 GravityZone 控制台。

   当 GravityZone 控制台向安全代理返回确认响应后，系统将首先在启动盘（C:）上开始加密，随后加密其他磁盘。

   若选择点击 忽略 选项，加密窗口将暂时关闭，但只要策略在终端上保持激活状态，窗口会再次出现。

启动加密的Windows机器时，用户需先在预启动环境中输入加密密码解锁启动卷，再输入系统凭证。非启动卷将自动解锁。

若用户忘记加密密码，可向安全管理员索取恢复密钥以解锁启动卷。

macOS加密

要对macOS终端上的卷进行加密，需应用已启用 全盘加密 模块且勾选 加密 选项的策略。应用策略时：

• 对于启动卷：

  1. 安全代理会提示用户输入系统凭证以开始使用FileVault进行加密。

     

  2. 点击 确定 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密过程。

     若选择 暂不 选项，加密窗口将消失，但只要策略在终端上保持激活状态，稍后仍会再次弹出。

     注意

     对于双启动系统，另一个启动卷不会被加密。

• 对于任何非启动卷：

  1. 安全代理会提示用户配置密码以开始使用diskutil进行加密。

     

  2. 点击 保存 按钮后，安全代理会将恢复密钥发送至 GravityZone 控制台并启动加密过程。

     若选择 忽略 选项，加密窗口将消失，但只要策略在终端上保持激活状态，稍后仍会再次弹出。

     用户需为Mac连接的每个非启动卷单独配置密码。

启动加密的macOS设备时，用户需输入系统凭证。只有拥有管理员权限的本地账户用户才能启用加密。若这些Mac存在非启动卷，用户还需输入加密这些卷时配置的密码。

若用户忘记密码，可向安全管理员索取恢复密钥。

macOS上的解密

要对Mac上的卷进行解密，需应用已启用 全盘加密 模块且选择 解密 选项被选中。应用策略时：

• 对于启动卷，用户需输入其系统凭据。

  

• 对于非启动卷，用户需输入其配置的磁盘密码以加密这些卷。

  

用户可随时在安全代理界面通过提供系统凭据，更改通过FileVault加密的启动卷的恢复密钥。

用户也可通过提供现有加密密码，更改通过diskutil加密的非启动卷的加密密码。

在终端上更改系统密码不会影响存储在 GravityZone .

若在启用冲突操作策略期间尝试通过FileVault或diskutil独立加密或解密， GravityZone 不会干预正在进行的过程。加密或解密完成后， GravityZone 将检查卷状态并根据策略采取相应操作（加密或解密）。

当包含 加密 的安全策略应用于终端时，用户必须配置启动加密过程的密码。

由于 GravityZone 通过BitLocker、FileVault和diskutil管理加密，密码配置的工作流程及限制与这些工具相关。

GravityZone 全盘加密 支持预启动认证。配置加密密码时，请确保满足前文所述条件，以避免在使用非英文键盘布局时预启动环境出现密码输入失败。

不， GravityZone 全盘加密 不符合联邦信息处理标准（FIPS）。

若卷已通过BitLocker、FileVault或diskutil加密，当通过 GravityZone 在终端启用加密时，安全代理将为此卷生成新恢复密钥并发送至 控制中心 .

其他情况下，必须先解密卷才能应用 GravityZone 加密策略。

目前没有，但 Bitdefender 计划在未来支持该功能。

他们必须先用现有解决方案解密数据，之后才能安全使用 GravityZone 全盘加密 .

加密平均耗时取决于多重因素：磁盘类型与容量、CPU速度、当时运行的进程和应用程序数量。但由于加密在后台进行，用户可照常使用计算机，故不会影响其工作。

全盘加密 要求计算机已安装BitLocker（多数情况下已预装）。仅Windows Server系统默认不包含BitLocker，需管理员手动添加。

在Windows系统中，用户需先在预启动环境输入加密密码，再输入用户账户密码登录操作系统。

加密过程在后台运行，用户可如常工作。由于 GravityZone 仅管理原生BitLocker、FileVault和diskutil，不会给系统带来额外负担，用户甚至可能察觉不到加密正在进行。但若需加密超大容量驱动器，建议在非使用时段执行该操作。

对计算机的访问不受用户数量限制。在多用户计算机上，应用加密策略时登录的用户即为设置加密密码的用户。

是的。 全盘加密 可作为附加组件用于所有 GravityZone 云版本和本地版本，并为MSP提供开箱即用支持。 在此处查看全盘加密功能 在各 GravityZone 版本中的可用性。

要获取免费试用，请 在此 创建账户。若您已有 GravityZone 云账户，请使用其他电子邮件地址注册试用账户。

加密密码仅能由用户通过 Bitdefender 安全代理的图形界面进行修改。

是的，您可以从 控制中心 禁用加密管理，以允许本地控制BitLocker（Windows系统）和FileVault及diskutil（Mac系统）。此外，您还可以通过应用 GravityZone 策略来解密数据。

是的，这是Windows机器的标准行为：先输入加密密码，再输入用户账户密码。在macOS上，您需要输入用户账户密码。

可以，但仅限于配备可信平台模块（TPM）芯片的Windows系统。在 GravityZone 控制中心 中，转到 策略 > 加密 并勾选 如果可信平台模块（TPM）处于活动状态，则不要求输入启动前密码 .

这样，终端将在无密码状态下加密，用户无需在每次启动计算机时、输入账户密码前再输入加密密码。

此选项仅支持配备TPM和统一可扩展固件接口（UEFI）的机器。

无论是否勾选该选项，以下情况下用户仍需提供密码：

其他详细信息请参阅 加密 .