[文章]关于通过AD组策略管理Bitlocker的方法

收藏

 0  3675 0

CW-廖永富 2018-12-31发布

【摘要】

BitLocker 驱动器加密是一项数据保护功能，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。 BitLocker 的强大之处在于通过增强文件和系统保护，帮助减少未经授权的数据访问，当受 BitLocker 保护的计算机被解除授权或回收时，BitLocker 可使数据不可访问。

然后，在企业推广过程中发现，终端用户使用Bictlocker进行磁盘加密后，容易丢失Bitlocker 加密文件及忘记Bitlocker 加密密码，导致无法正常打开磁盘。

当然，微软推荐使用MBAM管理BitLocker驱动器加密，但除了MBAM外，也可通过AD组策略进行Bitlocker 驱动器加密。

【正文】

通过组策略管理Bitlocker 的方法如下：

1) 登陆域控制器，安装Bitlocker 恢复密码查看器：

2) 打开组策略管理控制台并创建新的组策略。

3) 右键单击策略，然后单击“编辑”; 您将看到“组策略管理编辑器”窗口。

4) 展开计算机配置——策略——管理模板—— Windows组件——BitLocker驱动器加密，可以看到Bitlocker的以下政策选项：

5) 在固定数据驱动部分下; 启用以下两个策略，如下所示。有关每个策略的详细信息，请参阅每个策略的“帮助”选项卡。

6) 在“操作系统驱动器”部分下：启用以下三个策略，如下所示。有关每个策略的详细信息，请参阅每个策略的“帮助”选项卡。

7) 启动时需要其他身份验证 - 根据具体要求设置此策略。

l 配置TPM启动; 配置TPM启动PIN; 配置TPM启动密钥; 配置TPM启动密钥和PIN。

l 如果想使用TPM + PIN作为启动类型，请参阅下面的屏幕截图。

8) 在“可移动数据驱动器”部分下：启用三个策略，如下所示。有关每个策略的详细信息，请参阅每个策略的“帮助”选项卡。

9) 在组策略管理编辑器中; 展开计算机配置——策略——管理模板——系统——受信认的平台模块服务

10) 将策略应用于要启用Bitlocker的计算机上的特定OU或域。

11) 在已安装Bitlocker的加域客户端计算机上，运行gpupdate / force，强制刷新组策略，当策略生效后，在AD的该计算机“Bictlocker 恢复”属性中会存储相关的“恢复密码”；

12) 测试“恢复密码”的有效性，登陆该加入域客户端，右击加密磁盘，点击“解锁驱动器”；

13) 点击“更多选项”；

14) 点击“输入恢复密码”；

15) 输入AD中提取的恢复密码，点击解锁；

16) 磁盘即可解锁；

{{post.UserNickName}}
{{post.CreateTime}}

{{post.ThumbsUpCount}} {{post.CommentCount}}条评论
编辑采纳

{{comment.UserNickName}}（{{comment.RoleName}}）回复{{comment.ReplyPeopleName}}：{{comment.Content}}

{{comment.ThumbsUpCount}} {{comment.CreateTime}} 回复删除

评论取消

评论取消
暂无回答

最近热帖: {{item.Title}}  {{item.ViewCount}}

近期热议: {{item.Title}}  {{item.PostCount}}