本教程将向您展示如何配置组策略,以使用 Bitlocker 在 Windows 2012 服务器上的可移动设备上强制 USB 加密。

这将有助于您的计算机环境实现更高的安全级别。

域控制器正在运行 Windows 2012 R2。

域计算机正在运行 Windows 10 企业。

域计算机正在运行 Windows 7 企业。

硬件列表:

以下部分介绍用于创建此 Windows 教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

窗口播放列表:

在此页面上,我们提供对与 Windows 相关的视频列表的快速访问。

别忘了订阅我们的Youtube频道,名为FKIT。

教程 – 创建 GPO 以强制 USB 驱动器加密

以下任务在运行 Windows 2012 R2 的域控制器上执行,该域具有活动目录。

单击”开始”菜单,找到并打开组策略管理工具。

在”组策略管理”屏幕上,找到名为”组策略对象”的文件夹。

右键单击”组策略对象”文件夹并选择”新”选项。

输入新策略的名称。

Windows 2012 - GPO Force USB Encryption

在我们的示例中,新的 GPO 被命名为:强制 USB 加密。

在组策略管理屏幕上,展开名为”组策略对象”的文件夹。

右键单击新的组策略对象并选择”编辑”选项。

windows 2012 - bitlocker gpo configuration

在组策略编辑器屏幕上,将显示给用户配置和计算机配置。

我们将只更改计算机配置。

我们不需要更改任何用户配置。

在组策略编辑器屏幕上,展开”计算机配置”文件夹并找到以下项。

Copy to Clipboard

访问名为”可移动数据驱动器”的文件夹。

windows 2012 - bitlocker gpo configuration folder

在右侧,将显示可用配置选项的列表。

windows 2012 - bitlocker removable devices

首先,让我们禁用对未加密 USB 存储设备的写入访问。

双击名为:拒绝对 不受 Bitlocker 保护的可移动驱动器的写入访问权限。

在配置项屏幕上,您需要选择”启用”选项。

GPO Enable Bitlocker USB drive

如果还想在 Windows 的早期版本上启用 Bitlocker。

双击名为”允许 从早期版本的 Windows”访问 BitLocker 受保护的可移动驱动器的配置项

在配置项屏幕上,您需要选择”启用”选项。

GPO Enable Bitlocker on earlier Windows

若要完成组策略创建,需要关闭组策略编辑器窗口。

只有在关闭组策略窗口时,系统才能保存您的配置。

教程 – 应用 GPO 强制 USB 驱动器加密

您已完成网络限制 GPO 的创建。

但是,您仍然需要启用使用新的组策略。

在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接存在 GPO 的选项。

在我们的示例中,我们将将名为 FORCE USB 加密的组策略链接到名为 TECH 的域根目录。当地。

Windows force USB Encryption

应用 GPO 后,您需要等待 10 或 20 分钟。

在此期间,GPO 将复制到您可能拥有的其他域控制器。

等待 20 分钟后,应重新启动用户的计算机。

在启动期间,计算机将获取并应用新组策略的副本。

若要测试配置,需要将 USB 存储驱动器连接到计算机并尝试保存文件。

您的计算机应自动拒绝对未加密 USB 存储设备的写入访问权限。

您的计算机应自动提供使用 Bitlocker 加密 USB 存储设备。

Bitlocker Windows

加密 USB 存储设备后,您将能够将数据写入设备。