BitLocker 驱动器加密操作指南使用 AD DS 恢复加密卷Word下载.docx
《BitLocker 驱动器加密操作指南使用 AD DS 恢复加密卷Word下载.docx》由会员分享,可在线阅读,更多相关《BitLocker 驱动器加密操作指南使用 AD DS 恢复加密卷Word下载.docx(38页珍藏版)》请在冰豆网上搜索。
∙附录D:
保存TPM信息
本文档没有介绍哪些内容?
本文没有详细介绍如何配置ADDS以存储BitLocker恢复信息,但着重说明了您的组织可以计划恢复过程的方法。
您还可以通过使用Windows恢复环境(WindowsRE)并在启动过程中输入恢复密码来恢复启用BitLocker的卷。
有关如何在ADDS中存储恢复信息的详细信息,请参阅“配置ActiveDirectory以备份WindowsBitLocker驱动器加密和受信任的平台模块恢复信息”(
什么是BitLocker恢复?
在所有恢复方案中,ADDS中存储的恢复密码可以解除对驱动器的访问锁定。
无论使用的是什么身份验证方法,这个存储的密码都可以恢复BitLocker。
什么原因会导致BitLocker恢复?
会导致BitLocker恢复的一些原因包括:
∙攻击者修改了您的计算机。
使用受信任的平台模块(TPM)的计算机可能出现这种情况,因为TPM会在启动过程中检查启动组件的完整性。
∙将BitLocker保护的驱动器移动到新的计算机上。
∙升级到具有新的TPM的新主板。
∙关闭、禁用或清除TPM。
∙升级关键的早期启动组件,从而导致TPM不能通过验证。
∙在启用PIN身份验证时,忘记PIN。
∙在启用启动密钥身份验证时,丢失包含有启动密钥的可插入USB闪存驱动器。
备注
在开始恢复之前,我们建议您先确定导致恢复的原因。
这样做可以防止以后再次发生这种问题。
例如,如果您确定有攻击者通过获取物理访问权限修改了您的计算机,您可以创建新的安全策略以跟踪谁具有物理存在。
如果攻击者修改了您的计算机,并且您在启动恢复之前没有解决该问题,则可能会发现,由于受到攻击您必须在启用BitLocker的卷上不断执行恢复。
对于已计划的方案(如已知的硬件升级),您可以通过临时禁用BitLocker保护来避免启动恢复。
由于禁用BitLocker会使该驱动器完全加密,因此管理员会在已计划的任务完成之后迅速重新启用BitLocker保护。
要临时禁用BitLocker,请使用控制面板、命令行工具或可以调用相应WindowsManagementInstrumentation(WMI)接口方法的部署脚本。
对于恢复的描述都是在未计划或不希望发生的行为的上下文中进行,但是您也可以使恢复成为预期的生产方案,以管理访问控制。
例如,您在为企业的其他部门或员工部署台式计算机和便携式计算机时,可以在将计算机交给新用户之前强制进行BitLocker恢复。
测试恢复
在创建完全BitLocker恢复过程之前,我们建议您测试恢复过程是如何用于最终用户(需要联系支持人员以获取恢复密码的用户)以及管理员(帮助最终用户获取恢复密码的用户)的。
使用下表确定在组织中测试恢复的最佳方式。
身份验证方法列显示了BitLocker身份验证方法。
选择与已在测试环境中实现的身份验证方法相对应的身份验证方法。
身份验证方法
启动恢复的方法
TPM+PIN
∙启动时保留PIN。
∙删除与PIN相关联的密钥保护程序。
TPM+启动密钥
∙启动时保留启动密钥。
∙删除与启动密钥相关联的密钥保护程序。
启动密钥
所有基于TPM的身份验证方法
∙删除与TPM相关联的密钥保护程序。
∙关闭TPM。
启动时保留PIN
在计算机启动时不输入PIN,或输入错误的PIN可以启动恢复。
如果不输入PIN,Windows以前的恢复控制台会显示输入恢复密码的屏幕。
启动时保留启动密钥
在计算机启动时不插入包含有启动密钥的USB闪存驱动器可以启动恢复。
如果不提供启动密钥,Windows以前的恢复控制台会显示输入恢复密码的屏幕。
删除与TPM相关联的密钥保护程序
如果没有基于TPM的密钥保护程序,用户只能使用恢复密码或恢复密钥才可以解除对驱动器的锁定。
强制对本地计算机进行恢复的步骤
1.单击「开始」按钮,在“开始搜索”框中键入cmd,右键单击cmd.exe,然后单击“以管理员身份运行”。
2.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
3.在命令提示符下,键入以下命令,然后按Enter:
cscriptmanage-bde.wsf-forcerecovery<
Volume>
<
代表使用BitLocker保护的卷。
强制对远程计算机进行恢复的步骤
cscriptmanage-bde.wsf-ComputerName<
ComputerName>
-forcerecovery<
代表远程计算机的名称。
代表该远程计算机上使用BitLocker保护的卷。
关闭TPM
可以使用TPM管理Microsoft管理控制台(MMC)管理单元来关闭TPM。
要关闭TPM,请使用“TPM管理”管理单元
1.单击「开始」按钮,在“开始搜索”框中键入tpm.msc,然后单击tpm.msc。
3.在控制台树中,选择TPM。
4.在“操作”窗格中,单击“关闭TPM”,然后在向导中键入TPM所有者密码。
您也可以使用TPMWMI接口写一个脚本来自动检索存储的TPM所有者密码哈希值,然后使用该哈希值在本地或远程关闭TPM。
计划恢复过程
计划BitLocker恢复过程时,先请查阅您的组织恢复敏感信息的当前最佳做法。
例如:
企业如何处理丢失的Windows密码?
您的组织如何执行智能卡PIN重置?
使用这些最佳做法和相关资源(人力和工具)帮助制定BitLocker恢复模式。
启动BitLocker恢复后,用户可以使用恢复密码来解除对加密数据的访问锁定。
您必须同时为您的组织考虑自动恢复和恢复密码检索方法。
确定恢复过程后,您应该:
∙熟悉可以检索恢复密码的方式。
请参阅:
∙自动恢复
∙恢复密码检索
∙确定恢复后的一系列步骤,包括分析恢复发生的原因以及重置恢复密码。
∙恢复后分析
自动恢复
在某些情况下,用户可能在打印结果或USB闪存驱动器中具有恢复密码,并且可以执行自动恢复。
我们建议您的组织为自动恢复创建策略。
例如,您可能希望用户在执行自动恢复前后联系支持人员以识别根本原因。
恢复密码检索
如果用户在打印结果或USB闪存驱动器中没有恢复密码,则该用户需要联系支持人员。
您在计划恢复密码检索过程时,必须考虑到整个支持过程可能是通过电话进行的。
通过ActiveDirectory用户和计算机工具的BitLocker恢复密码查看器,域管理员可以查看ActiveDirectory中特定计算机对象的BitLocker恢复密码。
由于WindowsVista中还没有提供ActiveDirectory用户和计算机管理单元,因此查看器工具必须安装在WindowsServer2003或WindowsXP计算机上。
有关如何获取该工具及其使用方法的信息,请参阅Microsoft知识库文章(
可以将下表用作创建自己的恢复过程(用于恢复密码检索)的模板。
示例过程使用的是ActiveDirectory用户和计算机工具的BitLocker恢复密码查看器。
∙记录用户的计算机名称
∙确认用户的身份
∙找到ADDS中的恢复密码
∙收集信息以确定恢复发生的原因
∙向用户提供恢复密码
记录用户的计算机名称
您可以使用用户的计算机名称来找到ADDS中的恢复密码。
如果用户不知道计算机名称,请让用户阅读“BitLocker驱动器加密密码项”用户界面中驱动器标签的第一个词。
该词是启用BitLocker时该计算机的名称,应该也就是该计算机当前的名称。
确认用户的身份
您应该确认寻求恢复密码的人是否就是该计算机真正的授权用户。
另一种方法就是确认该用户提供的计算机名称是否属于该用户。
找到ADDS中的恢复密码
找到与ADDS中的名称相符合的计算机对象。
由于计算机对象的名称都列于ADDS的全局编录中,因此即使您有多域林也应该可以找到该对象。
多个恢复密码
如果有多个恢复密码存储在ADDS的一个计算机对象下,则BitLocker恢复信息对象的名称包含创建该密码的日期。
如果您不确定要提供哪一个密码,或如果您担心提供的是错误的密码,请让用户读取显示在恢复控制台中的密码ID。
不需要用户读取全部ID即可将范围缩小到该计算机的某个密码。
前八个字符或后六个字符已足够进行确认。
由于密码ID是唯一一个与存储在ADDS中的每一个恢复密码有关联的值,因此使用此ID运行查询会找到正确的密码来解除对加密卷的锁定。
收集信息以确定恢复发生的原因
向用户提供恢复密码前,您应该收集可以帮助确定需要进行恢复的原因的所有信息,以在恢复后分析过程中分析其根本原因。
有关恢复后分析的详细信息,请参阅恢复后分析。
向用户提供恢复密码
因为恢复密码是48位数,我们建议您让用户记下该密码或将密码输入其他计算机。
一旦启动恢复,用户在每次计算机启动时都会遇到BitLocker恢复控制台。
(例外情况:
用户在联系支持人员后立即找到或记住了启动密钥或PIN。
)为了避免在可以执行恢复后分析之前用户反复联系支持人员,支持人员可以提醒用户记下恢复密码并将其保存在安全的地方(如,放在钱包中)。
恢复后分析过程中,管理员可以刷新驱动器的BitLocker保护以避免在每次启动时进行恢复。
由于48位数的恢复密码很长,且包含数字的组合,因此用户可能会听错或输错密码。
启动时间恢复控制台将使用内置的校验和数字,以48位恢复密码的每6位为单位检测输入错误,并提供机会让用户改正此类错误。
恢复后分析
BitLocker将使用恢复密码访问卷与使用非恢复方法(如TPM)访问卷视为同一种方式。
解除卷锁定意味着加密密钥已经发布,并且已准备好在将数据写入卷时进行实时加密,并且在从卷中读取数据时也进行实时加密。
一旦将卷解除锁定,BitLocker将进行同样的操作,无论访问权限是如何授予的。
如果用户关闭了计算机或使其进入休眠状态,BitLocker将重新锁定加密卷并强制计算机再次进行恢复。
因此,用户应该将恢复密码放在手边,直到管理员可以执行恢复后分析来确定恢复的根本原因并刷新BitLocker保护为止,这样用户就不再需要在每次计算机启动时都输入恢复密码。
1.确定恢复的根本原因
2.刷新BitLocker保护
确定恢复的根本原因
如果用户需要恢复驱动器,请尽快确定导致该恢复的根本原因,这是非常重要的。
正确分析计算机的状态并检测篡改可能会暴露出对企业的安全性具有更大隐患的威胁。
尽管在某些情况下管理员可以远程调查恢复的原因,但最终用户还可能需要将包含已恢复驱动器的计算机带入现场,以进一步分析根本原因。
为您的组织查看和回答下列问题:
1.哪一种BitLocker保护模式有效(TPM、TPM+PIN、TPM+启动密钥,还是只有启动密钥)?
2.用户只是忘记了PIN或丢失了启动密钥吗?
如果令牌已丢失,那么令牌可能会丢失在哪里?
3.如果TPM模式有效,恢复是不是由启动文件更改引起的?
4.如果恢复是由启动文件更改引起的,那么这是因为用户的有意操作(如BIOS升级)还是因为恶意软件?
5.用户上次能够成功启动计算机是什么时间,以及此后计算机可能出现的问题有哪些?
6.上次成功启动后用户可能遇到恶意软件,还是使计算机保持着无人参与的状态?
要帮助您回答这些问题,请使用BitLocker命令行工具查看当前配置和保护模式(例如,manage-bde-status)。
扫描事件日志可以找到有助于表明为什么恢复会启动的事件(如,是否发生启动文件更改)。
这些功能都可以通过远程执行。
解决根本原因
一旦识别出导致恢复的原因,您就可以重置BitLocker保护并避免在每次启动时进行恢复。
恢复的根本原因不同,相应重置的详细步骤也会不同。
如果您无法确定根本原因,或者恶意软件或rootkit可能已感染计算机,则支持人员应该应用最佳做法病毒策略进行合理应对。
通过解密卷然后重新启用BitLocker,可以始终执行BitLocker重置。
您还可以重新安装操作系统,然后重新启用BitLocker。
∙未知PIN
∙丢失启动密钥
∙更改为启动文件且原因已知
∙更改为启动文件且原因不明
∙无效的TPM设置且原因已知
∙无效的TPM设置且原因不明
∙无效的系统状态
未知PIN
如果用户忘记了PIN,则您在登录到计算机时必须重置PIN以防止BitLocker在每次计算机重新启动时启动恢复。
防止由于未知PIN而导致不断恢复的步骤
1.以管理员身份登录。
2.重置PIN:
a.单击「开始」按钮,然后单击“控制面板”。
b.在“控制面板”中,单击“安全”,然后单击“Bitlocker驱动器加密”。
c.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
d.在“BitLocker控制面板”项中,单击“管理BitLocker密钥”,然后单击“重置PIN”。
3.自定义并运行附录B:
重置恢复密码中的脚本,以重置恢复密码。
4.复制恢复密码:
d.在“BitLocker控制面板”项中,单击“管理BitLocker密钥”,然后单击“复制恢复密码”。
丢失启动密钥
如果已丢失包含启动密钥的USB闪存驱动器,则必须关闭BitLocker然后再打开以防止BitLocker在每次重新启动计算机时输入恢复。
防止由于丢失启动密钥而导致不断恢复的步骤
1.以管理员身份登录到已丢失启动密钥的计算机。
2.关闭BitLocker并解密所有驱动器:
d.在BitLocker控制面板项中,单击“关闭BitLocker”。
e.在“BitLocker驱动器加密”对话框中,单击“解密所有驱动”。
3.打开BitLocker并重新加密所有驱动器:
d.在BitLocker控制面板项中,单击“启用BitLocker”。
e.在“BitLocker驱动器加密”对话框中,创建新的启动密钥和恢复密码。
此外,管理员可以使用BitLocker命令行工具manage-bde删除原来的启动密钥并添加新的启动密钥。
更改为启动文件且原因已知
如果您有意更新了系统BIOS,则可能会发生此错误。
必须执行多个步骤才能确保BitLocker在每次启动计算机时不会继续进入恢复模式。
防止由于更新的系统BIOS而导致不断恢复的步骤
1.以管理员身份登录到已忘记PIN的计算机。
2.关闭BitLocker但不解密驱动器:
e.在“BitLocker驱动器加密”对话框中,单击“禁用BitLocker”。
3.启用BitLocker:
4.自定义并运行附录B:
5.复制恢复密码:
d.在BitLocker控制面板项中,单击“管理BitLocker密钥”。
e.在“BitLocker驱动器加密”对话框中,单击“复制恢复密码”。
更改为启动文件且原因不明
如果恶意软件修改了系统启动文件,则可能出现此错误。
防止由于未知原因更改启动文件而导致不断恢复的步骤
1.以管理员身份登录到计算机。
2.将计算机上的所有重要数据备份到计算机外的位置(如共享文件夹)。
3.重新安装WindowsVista。
4.启用BitLocker:
a.以管理员身份登录到计算机。
b.单击「开始」,然后单击“控制面板”。
c.在“控制面板”中,单击“安全”,然后单击“Bitlocker驱动器加密”。
d.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
e.在BitLocker控制面板项中,单击“启用BitLocker”。
f.在“BitLocker驱动器加密”对话框中,创建新的启动密钥和恢复密码。
5.调查此问题是否已经解决。
如果预操作系统恶意软件已经安装在计算机上,则必须发给用户一台新计算机。
无效的TPM设置且原因已知
如果您禁用了TPM,可能会发生此类错误。
防止由于已知原因造成TPM设置无效而进行恢复的步骤
1.撤消对TPM的设置更改。
a.单击「开始」按钮,在“开始搜索”框中键入tpm,然后单击tpm.msc。
b.如果出现“用户帐户控制”对话框,请确认所显示的是您要执行的操作,然后单击“继续”。
c.在“操作”窗格中,单击可以撤销导致了该错误的TPM设置的项。
例如,如果您已经禁用了TPM,则应该单击“启用TPM”以重新启用TPM。
2.自定义并运行附录B:
3.复制恢复密码:
无效的TPM设置且原因不明
如果恶意软件禁用了TPM,则可能出现此类错误。
防止由于未知原因造成TPM设置无效而进行恢复的步骤
1.关闭BitLocker但不解密驱动器:
2.清除TPM:
d.在左窗格的“另请参阅”下,单击“TPM管理”。
e.在“操作”窗格中,单击“清除TPM”。
3.初始化TPM:
b.在“控制面板”中,单击“安全”,然后