Windows BitLocker 的恢复密码在 Windows 中设置了符合 FIPS 标准的策略时不可用

本文讨论由于 windows BitLocker 的恢复密码不符合 FIPS 规范而出现的问题。

原始产品版本:  Windows 7 Service Pack 1、Windows Server 2012 R2
原始 KB 数:  947249

简介

在 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 中,用于 Windows BitLocker 驱动器加密的恢复密码的密钥派生算法不是符合 FIPS) 规范 (的联邦信息处理标准。 因此,当 系统加密:对加密、哈希和签名组策略设置使用 FIPS 兼容的算法 时,可能会遇到以下问题。

问题 1

当您在命令提示符处手动添加恢复密码时,您会收到以下错误消息:

未添加数字密码。 计算机上的 FIPS 组策略设置阻止创建恢复密码。

问题 2

当您尝试加密需要 BitLocker 恢复密码的驱动器时,不能按预期对驱动器进行加密。 此外,你还会收到以下错误消息:

无法加密磁盘。 策略需要密码,当前安全策略不允许使用 FIPS 算法。

问题3

加密驱动器时,将创建恢复密钥,但不会将恢复密码创建为密钥保护程序。

问题4

恢复密码未存档在 Active Directory 目录服务中。

详细信息

BitLocker 恢复密码具有48位数字。 此密码在不符合 FIPS 的密钥派生算法中使用。 因此,如果您启用系统加密:使用 FIPS 兼容的算法进行加密、哈希和签名组策略设置,则无法使用恢复密码创建或解锁驱动器。 相比之下,BitLocker 恢复密钥是 AES 密钥,它不需要在其上执行密钥派生算法,且符合 FIPS 标准。 因此,恢复密钥不受此组策略设置的影响。

若要禁用系统加密:使用 FIPS 兼容的算法进行加密、哈希和签名组策略设置,请按照下列步骤操作:

  1. 单击 " 开始",在 " 开始搜索 " 框中键入 Gpedit.msc,然后单击 "确定"

    备注

    如果系统提示您输入管理员密码或进行确认,请键入密码或提供确认。

  2. 依次展开 " 计算机配置"、" Windows 设置" 和 " 安全设置",展开 " 本地策略",然后单击 " 安全选项"。

  3. 在详细信息窗格中,双击 " 系统加密:使用 FIPS 兼容的算法进行加密、哈希和签名",再单击 " 禁用",然后单击 "确定"

备注

此组策略设置可能会由管理员配置为从域控制器中自动应用。 在这种情况下,不能在本地禁用此设置。