域網(wǎng)絡中,您可以將加密驅(qū)動器的 BitLocker 恢復密鑰存儲在 Active Directory 域服務 (AD DS) 中。這是 BitLocker 驅(qū)動器加密技術(shù)為企業(yè)用戶提供的最大功能之一。
BitLocker 恢復密鑰是文件中唯一的 48 位數(shù)字密碼或 256 位密鑰。它們是在 BitLocker 安裝期間生成的。域(安全)管理員可以手動管理 BitLocker 恢復密鑰和密碼。如果公司網(wǎng)絡中的計算機數(shù)量不是很多,這很容易。但如果網(wǎng)絡中有超過 100 個桌面,任務就會變得更加復雜。
組策略 (GPO) 允許您在用戶工作站上配置 BitLocker 代理。這允許您將 BitLocker 恢復密鑰從本地計算機備份到 Active Directory 中的相關計算機對象。每個 BitLocker 恢復對象都有一個唯一的名稱,并包含恢復密碼的全局唯一標識符。 Active Directory 中的計算機對象可以存儲多個 BitLocker 恢復密碼。您可以使用“添加日期”參數(shù)找到上次保存的密碼(這是密碼保存到 AD 的日期)。
BitLocker 恢復數(shù)據(jù)存儲功能基于 Active Directory 架構(gòu)的擴展。它還為您帶來了額外的 Active Directory 自定義屬性。您應該驗證您的 AD 架構(gòu)版本是否具有在 Active Directory 中存儲 BitLocker 恢復密鑰所需的屬性,并檢查是否需要更新 AD 架構(gòu)。為此,請從 PowerShell Active Directory 模塊運行以下 cmdlet:
Import-module ActiveDirectory Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}
應該有以下五個屬性:
ms-FVE-KeyPackage;
ms-FVE-RecoveryGuid;
ms-FVE-恢復信息;
ms-FVE-恢復密碼;
ms-FVE-VolumeGuid.
從 Windows Server 2012 上的 Active Directory 版本開始,這些屬性默認可用。
在本文中,我們假設用戶的工作站運行的是 Windows 10 Pro 或更高版本。
讓我們看看如何配置 Active Directory 來存儲 BitLocker 恢復信息。
首先,在 Windows Server 主機(或臺式計算機)上安裝 BitLocker 管理工具。在 Windows Server 上,您可以從服務器管理器控制臺或使用 PowerShell 安裝 BitLocker 驅(qū)動器加密功能:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
在 Windows 10 和 11 上,您可以使用 PowerShell 安裝 RSAT BitLocker 恢復工具包:
Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools~~~~0.0.1.0
使用組策略管理控制臺 (GPMC.msc) 創(chuàng)建新的 GPO。將其鏈接到域或 OU 的根目錄,該域或 OU 包含要在 Active Directory 數(shù)據(jù)庫中存儲其 BitLocker 恢復密碼的計算機;
右鍵單擊該 GPO,然后選擇“編輯”;
展開 GPO 部分:計算機配置 > 策略 > 管理模板 > Windows 組件 > BitLocker 驅(qū)動器加密。編輯 Active Directory 域服務中存儲 BitLocker 恢復信息的策略;
啟用此策略并按如下方式配置:需要 BitLocker 備份到 AD DS:啟用。選擇要存儲的 BitLocker 恢復信息:恢復密碼和密鑰包。您可以僅將恢復密碼存儲在AD中,或者將密碼和恢復密鑰一起存儲;
根據(jù)要加密的驅(qū)動器,選擇 BitLocker 驅(qū)動器加密下顯示的部分之一:
– 固定數(shù)據(jù)驅(qū)動器;
– 操作系統(tǒng)驅(qū)動器;
– 可移動數(shù)據(jù)驅(qū)動器。
例如,您想要存儲可移動驅(qū)動器的恢復密鑰。轉(zhuǎn)至可移動數(shù)據(jù)驅(qū)動器部分。查找策略選擇如何恢復受 BitLocker 保護的可移動驅(qū)動器;
啟用該策略。配置 BitLocker 恢復信息的用戶存儲:允許 48 位恢復密碼并允許 256 位恢復密鑰。檢查以下選項:允許數(shù)據(jù)恢復代理、將 BitLocker 恢復信息保存到 Active Directory 域服務以及在將恢復信息存儲到可移動數(shù)據(jù)驅(qū)動器的 AD DS 之前不要啟用 BitLocker。最后一個選項可確保如果計算機未連接到域并且 BitLocker 恢復信息已成功備份到 AD DS,則用戶無法打開 BitLocker。當用戶在未連接到域網(wǎng)絡的情況下嘗試加密新的 USB 設備時,用戶將收到一條錯誤消息;
您可以使用 GPO 選項選擇驅(qū)動器加密方法和密碼強度配置自定義驅(qū)動器加密算法。您可以為操作系統(tǒng)驅(qū)動器、固定數(shù)據(jù)設置不同的加密方法。和可移動驅(qū)動器;
使用 gpupdate 命令更新客戶端上的組策略設置:
gpupdate /force
在計算機的選定驅(qū)動器上打開 BitLocker。您可以使用 GUI 向?qū)г?Windows 上手動啟用 BitLocker。打開文件資源管理器 > 此電腦 > 右鍵單擊可移動驅(qū)動器并選擇打開 BitLocker)。
在自動化方案中,您可以使用 Enable-BitLocker PowerShell cmdlet 在 Windows 上啟用 BitLocker 驅(qū)動器加密。
檢查所選可移動驅(qū)動器是否未啟用加密(VolumeStatus=FullyDecrypted,保護狀態(tài)=Off):
Get-BitLockerVolume
使用 Enable-BitLocker cmdlet 時,您需要指定:
要加密的驅(qū)動器號;
密鑰保護器 — 用于加密驅(qū)動器上的卷主密鑰 (VMK) 的密鑰保護器。您可以使用以下密鑰保護器之一:僅受信任的平臺模塊 (TPM)、TPM + PIN、TPM + 啟動密鑰(USB 驅(qū)動器)、TPM + 啟動密鑰 + PIN、啟動密鑰、恢復密鑰、密碼、恢復密碼或AD賬戶(可用于保護加密密鑰);
加密方法 — 默認為 XTS-AES-128。如果需要,您可以將其更改為 AES-256;
僅已用空間 — 默認情況下,BitLocker 加密整個分區(qū),包括未使用的空間。為了加快加密過程,可以使用-UsedSpaceOnly參數(shù);
硬件加密 — 默認情況下,BitLocker 使用軟件加密。如果您的驅(qū)動器支持硬件加密(適用于大多數(shù)流行的 SSD 驅(qū)動器),則可以使用 -HardwareEncryption 選項。
例如,以下命令將僅加密目標驅(qū)動器上的已用空間,跳過硬件測試,并將恢復密碼保存到 Active Directory 計算機帳戶:
Enable-Bitlocker -MountPoint E: -UsedSpaceOnly -SkipHardwareTest -RecoveryPasswordProtector
要使用 PIN 保護可移動存儲,您需要使用以下命令進行加密:
$SecureString=ConvertTo-SecureString "1973" -AsPlainText -Force Enable-BitLocker -MountPoint E: -EncryptionMethod Aes256 -Pin $SecureString –TPMandPinProtector -UsedSpaceOnly
此電腦上的 BitLocker 恢復密鑰和密碼會自動復制到 Active Directory
提示:如果在 AD 中啟用集中式 BitLocker 組策略之前在某些計算機上配置了 BitLocker 加密,則只需為該計算機上的驅(qū)動器禁用和啟用 BitLocker 即可。或者,您可以使用 Manage-bde 工具手動將 BitLocker 恢復密鑰復制到 Active Directory。
獲取加密卷的當前 BitLocker ID:
manage-bde -protectors -get e:
現(xiàn)在,您可以通過指定上一步中獲取的 ID 將 BitLocker 恢復密鑰發(fā)送到 AD:
manage-bde -protectors -adbackup e: -id '{DAB438E6-8B5F-4BDA-9273-C1654B49C717E}'
如果命令執(zhí)行成功,您將看到一條消息:
恢復信息已成功備份到 Active Directory。
要執(zhí)行此操作,您應該使用域帳戶登錄工作站,并具有本地管理員權(quán)限。
如果上一個命令返回錯誤“錯誤:組策略不允許將恢復信息存儲到 Active Directory。未嘗試該操作。”,您應該檢查并啟用以下 GPO 設置:
計算機配置 > 策略 > 管理模板 > 系統(tǒng) > 可信平臺模塊服務:打開 TPM 備份到 Active Directory 域服務;
將 BitLocker 恢復信息存儲在 Active Directory 域服務中(見上文);
BitLocker 驅(qū)動器加密模式(參見上文)。
您可以使用以下 PowerShell 腳本自動獲取系統(tǒng)卷的 BitLocker 恢復密鑰并將其保存到 Active Directory:
$BitVolume=Get-BitLockerVolume -MountPoint $env:SystemDrive $RecoveryKey=$BitVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' } Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryKey.KeyProtectorID BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryKey.KeyProtectorID
用戶可以使用 Enable-BitLocker PowerShell cmdlet 或使用 manage-bde.exe cli 工具,從 Windows GUI 手動為選定的計算機驅(qū)動器啟用 BitLocker。
Enable-BitLocker cmdlet 不允許它在遠程計算機上運行。但您可以使用 PowerShell 遠程處理(通過 WinRM)和 Invoke-Command cmdlet 來運行它。
以下 PowerShell 腳本提示您輸入遠程計算機的名稱以及將用于加密系統(tǒng)驅(qū)動器的 BitLocker 密碼:
$Password=Read-Host -Prompt "Enter BitLocker Password" -AsSecureString $rmtComputer=Read-Host -Prompt "Enter remote computer name or IP address" Invoke-Command -ComputerName $rmtComputer -ScriptBlock { Enable-Bitlocker -MountPoint $env:SystemDrive -EncryptionMehod -UsedSpaceOnly -Password $using:Password -PasswordProtector -SkipHardwareTest }
如果遠程計算機上未配置 WinRM,您可以使用包含內(nèi)置遠程處理功能的 Manage-BDE 命令。您可以使用 -ComputerName 參數(shù)指定要執(zhí)行 BitLocker 加密的遠程計算機名稱。
使用以下命令加密運行 Windows 10 的遠程設備:
Manage-BDE -On C: -RecoveryPassword -EncryptionMethod xts_aes256 -SkipHardwareTest -ComputerName lon-wks-c211
現(xiàn)在您可以檢查遠程設備上的 BitLocker 狀態(tài):
Manage-BDE -status -computername lon-wks-c211 C:
您可以在新選項卡“BitLocker Recovery”上找到每臺計算機的可用恢復密鑰。它位于 Active Directory 用戶和計算機管理單元的計算機帳戶屬性中。
如果 BitLocker 恢復選項卡丟失,請使用 PowerShell 啟用它:
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt
您可以在此選項卡上看到以下信息:
恢復密鑰 — 您可以將此密鑰提供給用戶,以便在操作系統(tǒng)出現(xiàn)故障或用戶忘記 Bitlocker 密碼時解密 Bitlocker 驅(qū)動器;
Bitlocker 恢復數(shù)據(jù)添加到 AD 時的計算機名稱和日期;
密碼 ID — 用戶必須向您提供密碼 ID 的前 4 或 8 個字符。
您還可以使用特殊插件在 AD—BitLocker 恢復密碼查看器中查找并顯示 BitLocker 恢復密鑰。它是遠程服務器管理工具 (RSAT) 的一部分。
安裝 BitLocker 恢復密碼查看器工具后,您可以直接從 ADUC 控制臺搜索恢復密鑰。選擇域根目錄,然后單擊操作 > 查找 BitLocker 恢復密碼。
您可以使用 PowerShell 從 AD 檢索特定計算機的 BitLocker 恢復密鑰。以下 PoSh 腳本可以列出名為“l(fā)on-wks-c211”的域計算機的 BitLocker 恢復信息:
$ADComputer='lon-wks-c211' $DN=Get-ADComputer $ADComputer | Select-Object -ExpandProperty DistinguishedName $ADobj=get-adobject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $DN -Properties 'msFVE-RecoveryPassword' | Select-Object Name,msFVE-RecoveryPassword [Ordered]@{ Computer=$ADComputer RecoveryPassword=$ADobj.'msFVE-RecoveryPassword' Date=Get-Date -Date ($ADobj.Name ).Split('{')[0] BitlocerKeyID=(($ADobj.Name ).Split('{')[1]).TrimEnd('}') }
或者使用以下單行:
Get-ADComputer 'lon-wks-c211'| Get-ADObject -properties * | Select-Object distinguishedname, msFVE-REcoveryPassword, whencreated
您可以將查看 AD 中有關 BitLocker 恢復密鑰的信息的權(quán)限委托給特定用戶組。例如,安全管理員。
我們創(chuàng)建了一個名為 BitLocker Viewers 的 Active Directory 組。
右鍵單擊包含具有 BitLocker 恢復密鑰的計算機對象的 Active Directory OU。選擇委托控制。
添加 BitLocker 查看器組。
在向?qū)У南乱徊街校x擇創(chuàng)建要委派的自定義任務。
然后選擇選項“僅文件夾中的以下對象”。檢查 MSFVE-RecoveryInformation 對象。
授予完全控制權(quán)限。
現(xiàn)在,添加到“BitLocker 查看者”組的所有用戶都可以查看包含 BitLocker 恢復信息的“恢復”選項卡。
聯(lián)想E14筆記本
Win 10 專業(yè)版
SC封裝工具3.0
EasySysprep_5.5.2
兩款工具都報錯封裝失敗
SC封裝工具:
失敗日志
EasySysprep_5.5.2:
報錯5.幾
估計是一樣的原因
1.bitlocker 解密一下
以管理員身份打開cmd輸入manage-bde off C:(解密卷C并關閉 BitLocker 保護)
2.輸入manage-bde-status(顯示有關支持 BitLocker 的卷的信息,查看解密剩余百分比)
3.再次封裝,成功