问如何防止Windows挂起BitLocker加密？

EN

更新:根据评论，这个答案并不能完全解释这种行为。

我不是专家，但最近遇到了类似的情况。

首先，请注意“挂起”BitLocker与“关闭”BitLocker之间有区别：

从截图中，您的BitLocker被暂停，而不是关闭。

根据微软的说法：

挂起- Bitlocker挂起比特锁加密，允许用户访问使用BitLocker驱动器加密的卷上的加密数据。此cmdlet使加密密钥在“清除”中可用。..。在暂停时，BitLocker不会在启动时验证系统完整性。您可以挂起BitLocker保护以进行固件升级或系统更新。

Windows有一种机制，它现在安装一些更新，其余的在下次重新启动时安装。我假设这是通过引导一些只安装新文件的轻量级操作系统来实现的，然后在完成时调用Windows引导程序。看起来微软已经决定不想将所有的TPM驱动程序绑定到这个轻量级安装程序中，所以他们暂时禁用了BitLocker。

挂起的BitLocker应该在下一次重新启动时恢复到完全保护，所以答案似乎是，当Windows要求您重新启动时，您应该立即这样做。我知道这很烦人，但不幸的是，这就是Windows的工作方式。

值得注意的是，在Windows中防止覆盖组策略规则的“标准”方法是转到关联的注册表项，编辑它的权限，并删除/拒绝系统用户(或所有用户)的写访问。这对用于将配置更改推送到已加入域的机器的组策略引擎是有效的。我以前从未听说过Windows Update会更改组策略规则，所以我不确定它在那里是否有效，但是如果有任何事情发生，阻塞系统(或所有用户)可能仍然会这样做(另一方面，不能保证Windows Update引擎会尊重ACL；管理级进程可以自由地忽略它们，如果他们愿意的话)。

相关的注册表项似乎是

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE (and subkeys)

也许也是

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Bitlocker (subkeys specifically)

第二个位置中的值引用第一个位置，所以第一个位置可能是权威位置，但据我所知，它并没有被真正记录下来。无论如何，拒绝对系统进行跨键和子键的写访问是我所能想到的防止再次发生这种情况的最佳方法(但没有保证)。您可以尝试拒绝为所有用户编写，如果您想要额外确定(例如，一些更新内容作为特殊的TrustedInstaller帐户运行)。