首页> 系统技术> 关于通过AD组策略管理Bitlocker的方法

[文章]关于通过AD组策略管理Bitlocker的方法

收藏
0 3675 0

【摘要】

BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。 BitLocker 的强大之处在于通过增强文件和系统保护,帮助减少未经授权的数据访问,当受 BitLocker 保护的计算机被解除授权或回收时,BitLocker 可使数据不可访问。

然后,在企业推广过程中发现,终端用户使用Bictlocker进行磁盘加密后,容易丢失Bitlocker 加密文件及忘记Bitlocker 加密密码,导致无法正常打开磁盘。

当然,微软推荐使用MBAM管理BitLocker驱动器加密,但除了MBAM外,也可通过AD组策略进行Bitlocker 驱动器加密。

【正文】

通过组策略管理Bitlocker 的方法如下:

1)     登陆域控制器,安装Bitlocker 恢复密码查看器:


2)     打开组策略管理控制台并创建新的组策略。


3)     右键单击策略,然后单击编辑”; 您将看到组策略管理编辑器窗口。


4)     展开计算机配置——策略——管理模板—— Windows组件——BitLocker驱动器加密,可以看到Bitlocker的以下政策选项:


5)     在固定数据驱动部分下启用以下两个策略,如下所示。有关每个策略的详细信息,请参阅每个策略的帮助选项卡。


6)     操作系统驱动器部分下:启用以下三个策略,如下所示。有关每个策略的详细信息,请参阅每个策略的帮助选项卡。


7)     启动时需要其他身份验证 - 根据具体要求设置此策略。

l  配置TPM启动配置TPM启动PIN; 配置TPM启动密钥配置TPM启动密钥和PIN

l  如果想使用TPM + PIN作为启动类型,请参阅下面的屏幕截图。


8)      可移动数据驱动器部分下:启用三个策略,如下所示。有关每个策略的详细信息,请参阅每个策略的帮助选项卡。


9)     在组策略管理编辑器中展开计算机配置——策略——管理模板——系统——受信认的平台模块服务

                         

10)   将策略应用于要启用Bitlocker的计算机上的特定OU或域。


11)   在已安装Bitlocker的加域客户端计算机上,运行gpupdate / force,强制刷新组策略,当策略生效后,在AD的该计算机“Bictlocker 恢复”属性中会存储相关的“恢复密码”;


12)   测试“恢复密码”的有效性,登陆该加入域客户端,右击加密磁盘,点击“解锁驱动器”;


13)   点击“更多选项”;


14)   点击“输入恢复密码”;


15)   输入AD中提取的恢复密码,点击解锁;


16)   磁盘即可解锁;


系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}