老板昨天讓豆子看看怎么統(tǒng)一配置一下BitLocker。豆子花了一天把網(wǎng)上的資料都翻了翻，中文資料基本太初級(jí)沒用，英文的資料倒是很多，不過相當(dāng)?shù)牧鑱y，大概看了7,8份不同的參考資料，自己小結(jié)了一下整個(gè)最基本的配置流程。BitLocker的各種應(yīng)用場景很多，有些東西限于水平和時(shí)間，可能不夠精確，以后會(huì)慢慢修正和添加。

喀什ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

以下解釋都是豆子的大白話理解：

基本定義：首先說說什么是BitLocker， 簡單的說就是用來加密硬盤的，這樣如果硬盤丟了，在其他的計(jì)算機(jī)上，如果沒有正確的密碼，是無法訪問的。

硬件：Bitlocker的使用需要硬件的支持，這個(gè)硬件模塊叫TPM，一般計(jì)算機(jī)都有，可以在設(shè)備管理器里面查看。但是，Macbook上面沒有這個(gè)東西，因此蘋果電腦上如果裝了Windows系統(tǒng)，而且還想使用 Bitlocker這個(gè)功能，需要額外使用USB或者單獨(dú)的密碼來驗(yàn)證，這個(gè)本文不做討論~

操作系統(tǒng):  OSX和Linux是不支持的。操作系統(tǒng) win7 pro之前的是不支持的，win7支持的版本也只限于Ultimate和Enterprise版本，Win8之后的各種版本都支持。

怎么玩：

BitLocker把硬盤分為OS，Data和removable 3大類，都可以進(jìn)行加密，加密之后會(huì)看見盤符上面多了一把鎖；如果可以訪問的狀態(tài)鎖是打開的，如果不能訪問的話鎖會(huì)扣上；解鎖一般有3種方式：password或者叫做PIN，recovery key以及 data recovery agent(其實(shí)就是證書解鎖）。鎖上之后任何一種方式都能解鎖姿勢(shì)~。

PIN一般可以有用戶自己設(shè)定，他會(huì)同時(shí)生成一個(gè)Recovery Key，如果忘記了密碼，可以通過這個(gè)Key來解鎖，這個(gè)Key可以保存在文件，網(wǎng)絡(luò)或者AD中； data recovery agent則是一個(gè)簽發(fā)的證書，只要在對(duì)應(yīng)的電腦上導(dǎo)入了對(duì)應(yīng)的certificate和private key，就可以通過這個(gè)證書的Thumprint來解鎖。這個(gè)東西比較麻煩和混淆，后面會(huì)做具體說明。

額外還有很多具體的設(shè)置，比如你可以設(shè)定某臺(tái)電腦上連接的硬盤都自動(dòng)解鎖，網(wǎng)絡(luò)解鎖，用戶設(shè)置PIN，操作系統(tǒng)的硬盤開機(jī)前額外驗(yàn)證PIN等等。

具體操作：

下面來看看具體怎么配置的步驟：

1. 添加Scheme

2. 配置權(quán)限，允許保存Recovery key到AD

3. DC安裝BitLocker的feature

4. 配置CA和簽署證書

5. 配置GPO組策略

6. 推送已有的BitLocker的計(jì)算機(jī)到AD

7. 使用manage-bde工具來測(cè)試

1. 首先看看Scheme

   一般說來，Server 2008 R2以后的DC是不需要手動(dòng)添加的了，可以通過這個(gè)Powershell命令查看，如果返回值有下面5個(gè)對(duì)象，那么恭喜，第一步就可以略過了。

PS C:\WINDOWS\system32> Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like "*ms-FVE*"}
DistinguishedName                                                                Name                       ObjectClass     ObjectGUID                          
-----------------                                                                ----                       -----------     ----------                          
CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryInformation classSchema     6dc4c79b-f090-4930-abb3-05b6a0c6db49
CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au        ms-FVE-RecoveryGuid        attributeSchema 6e84277d-64df-4147-85af-4cf84fd3620f
CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-VolumeGuid          attributeSchema c6cb202b-59b3-485f-b063-fd85319c57d9
CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au    ms-FVE-RecoveryPassword    attributeSchema 6370af52-3375-4961-8f67-50f9dbc6d9b2
CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-KeyPackage          attributeSchema 2b3a4e41-35ca-4c41-b09f-0286bb80086

2. 給AD添加權(quán)限

首先需要從官網(wǎng)下載幾個(gè)VBS的腳本。現(xiàn)在都Powershell的時(shí)代了，微軟也沒改進(jìn)一下10年前的方法~~

https://technet.microsoft.com/en-us/library/dn466534.aspx#Sample scripts

復(fù)制粘貼腳本然后保存到DC的C:\Bitlocker目錄下

執(zhí)行

然后就可以添加權(quán)限了。

打開ADUC , 對(duì)應(yīng)存放計(jì)算機(jī)對(duì)象的OU上，然后Delegate Control

打開向?qū)?/p>

添加用戶

添加Self

選擇自定義

選擇對(duì)象Computer

選擇權(quán)限，寫入TPM的信息

結(jié)束

這樣計(jì)算機(jī)就有權(quán)限把TPM的信息寫入AD了

3. DC上安裝BitLocker的feature，這個(gè)沒啥好說的，點(diǎn)開Server Manager，安裝BitLocker，重啟DC。DC會(huì)自動(dòng)安裝Bitlocker Viewer。

4. 配置CA和證書。 data recovery agent的配置是所有過程里面最讓人混淆的一步。CA的配置這里不贅述了，主要是關(guān)于證書的簽發(fā)。有些文檔說需要復(fù)制一份Key Recovery 的證書模板，然后手動(dòng)添加Application Extension，簽發(fā)給用戶，最后再配置證書和私鑰到對(duì)應(yīng)的計(jì)算機(jī)上。豆子自己的測(cè)試結(jié)果并不好使。

實(shí)際測(cè)試的結(jié)果顯示，不需要這么麻煩，我可以直接簽發(fā)basic EFS的證書，然后成功利用這個(gè)證書在多臺(tái)計(jì)算機(jī)上解鎖U盤。

MMC里面打開Certificate的SnapIn，Personal -> Certificate -> Request New Certificate

一路Next下去

選擇Basic EFS~

成功Enrol之后找到這個(gè)簽發(fā)的證書，雙擊，選擇‘Copy to File’

注意要導(dǎo)出私鑰

把導(dǎo)出的PFX文件保存好，稍后需要安裝到需要測(cè)試的計(jì)算機(jī)上。

5. 重頭戲來了，配置GPO，官方推薦的配置如下，當(dāng)然可以根據(jù)自己的需要進(jìn)行修改

https://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx

不過上面的內(nèi)容僅僅是BitLocker的一部分，還需要修改下面的組策略

Computer Configuration -> Administrative Template -> System -> Trusted Platform Module Service

Enable 這個(gè)服務(wù)。 豆子的DC是windows 2008 R2，據(jù)說 Windows 2012里面這個(gè)選項(xiàng)就已經(jīng)沒有了

除此以為，我們還需要配置Data Recovery Agent的GPO

1. Computer Configuration -> Policies ->Windows Settings-> Security Settings->Public Key Policies, 然后右擊 BitLocker Drive Encryption 選擇 Add Data Recovery Agent…

點(diǎn)擊Next

這里我直接選擇Browse Directory, 然后選擇我自己的賬戶（因?yàn)橹拔液灠l(fā)的EFS證書是用自己的賬戶）

他會(huì)提示我選擇綁定哪一個(gè)證書，因?yàn)槲易鰷y(cè)試在自己的賬戶上簽發(fā)了N個(gè)不同的證書，選擇前面我們生成的那個(gè)EFS 的就可以了

這里可以綁定任意多個(gè)，理論上任何一個(gè)都是可以用來解鎖的

到這一步，基本上配置就都完成了。剩下的就是推送GPO到計(jì)算機(jī)了。

6. 如果已經(jīng)有計(jì)算機(jī)打開BitLocker了，那么我們還需要推送已有的Recovery Key到AD上。

執(zhí)行下面命令，獲取對(duì)應(yīng)磁盤的ID和密碼

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
    Numerical Password:
      ID: {5AE32687-8E48-46D9-8096-9394B996323A}
      Password:
        003135-453508-448393-555390-091179-159577-396374-379665
    TPM:
      ID: {D25D3302-CC81-4FA5-BA41-F84F64D4246F}
      PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)
    Data Recovery Agent (Certificate Based):
      ID: {7184E029-D82C-47D8-AEA1-507E1EB8FAC6}
      Certificate Thumbprint:
        482bda8296519fbdb95e3228ff021d1cf2c62ab2

推送到AD

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -adbackup c: -id '{5AE32687-8E48-46D9-8096-9394B996323A}'
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Recovery information was successfully backed up to Active Directory.
PS C:\WINDOWS\system32>

登陸ADUC，查看一下已經(jīng)成功保持到AD了

7. 測(cè)試

我電腦上弄了3種類型的盤符，一個(gè)是操作系統(tǒng)C盤，一個(gè)是放數(shù)據(jù)的E盤，還有一個(gè)U盤 D。

看看狀態(tài)

PS C:\WINDOWS\system32> 
PS C:\WINDOWS\system32> .\manage-bde.exe -status
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
    Size:                 231.29 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: omnicom
    Key Protectors:
        Numerical Password
        TPM
        Data Recovery Agent (Certificate Based)
Volume E: [Data]
[Data Volume]
    Size:                 0.49 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: omnicom
    Automatic Unlock:     Disabled
    Key Protectors:
        Numerical Password
        Password
        Data Recovery Agent (Certificate Based)
Volume D: [Label Unknown]
[Data Volume]
    Size:                 Unknown GB
    BitLocker Version:    2.0
    Conversion Status:    Unknown
    Percentage Encrypted: Unknown%
    Encryption Method:    AES 128
    Protection Status:    Unknown
    Lock Status:          Locked
    Identification Field: Unknown
    Automatic Unlock:     Disabled
    Key Protectors:
        Numerical Password
        Password
        Data Recovery Agent (Certificate Based)

D盤和E盤我可以在圖像界面設(shè)置密碼或者修改密碼 ， D盤目前木有顯示是因?yàn)槲夜室獍阉i住了。事實(shí)上，U盤一旦拔出來，再插回去，不管是不是同一臺(tái)電腦，只要之前在他上面打開了Bitlocker，他的狀態(tài)都是鎖住的，需要使用任意三種方式之一來解鎖才能訪問。

下面演示一下如何解鎖，雙擊D盤，他會(huì)彈出下面的對(duì)話框，我們可以輸入自己設(shè)置的密碼解鎖，或者recovery key解鎖，recovery key可以在ADUC上查看，或者在解鎖狀態(tài)下通過manage-bde -protectors -get d: 查看

解鎖之后就可以訪問了

最后看看如何通過證書解鎖

首先手動(dòng)鎖上D盤

PS C:\WINDOWS\system32> .\manage-bde.exe -lock d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: is now locked

查看一下對(duì)應(yīng)的證書是否配置，指紋是什么

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: [Label Unknown]
All Key Protectors
    Numerical Password:
      ID: {92319191-E7DC-4393-875A-663926AC47D7}
    Password:
      ID: {DCF42582-F2C3-44A7-81E2-6FC26685060E}
    Data Recovery Agent (Certificate Based):
      ID: {AD39876C-3D7C-4444-91BA-EFE6C11ACE34}
      Certificate Thumbprint:
        482bda8296519fbdb95e3228ff021d1cf2c62ab2

在當(dāng)前計(jì)算機(jī)上，導(dǎo)入這個(gè)證書指紋對(duì)應(yīng)的證書和私鑰（第4步導(dǎo)出的那個(gè)證書文件）到personal，然后執(zhí)行下面的命令，同樣可以解鎖。

PS C:\WINDOWS\system32> manage-bde -unlock d: -certificate -ct 482bda8296519fbdb95e3228ff021d1cf2c62ab2
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
The certificate successfully unlocked volume D:.

綜述，上面演示了一個(gè)基本的流程來在AD環(huán)境里面配置和使用BitLocker，有些細(xì)節(jié)限于篇幅沒有詳細(xì)解釋。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前標(biāo)題：組策略配置BitLocker詳解-創(chuàng)新互聯(lián)
URL地址：http://www.rwnh.cn/article40/csooeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、服務(wù)器托管、移動(dòng)網(wǎng)站建設(shè)、Google、網(wǎng)站建設(shè)、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)