組策略配置BitLocker詳解
老闆昨天讓豆子看看怎麼統一配置一下BitLocker。豆子花了一天把網上的資料都翻了翻,中文資料基本太初級沒用,英文的資料卻是不少,不過至關的凌亂,大概看了7,8份不一樣的參考資料,本身小結了一下整個最基本的配置流程。BitLocker的各類應用場景不少,有些東西限於水平和時間,可能不夠精確,之後會慢慢修正和添加。shell
如下解釋都是豆子的大白話理解:windows
基本定義:首先說說什麼是BitLocker, 簡單的說就是用來加密硬盤的,這樣若是硬盤丟了,在其餘的計算機上,若是沒有正確的密碼,是沒法訪問的。網絡
硬件:Bitlocker的使用須要硬件的支持,這個硬件模塊叫TPM,通常計算機都有,能夠在設備管理器裏面查看。可是,Macbook上面沒有這個東西,所以蘋果電腦上若是裝了Windows系統,並且還想使用 Bitlocker這個功能,須要額外使用USB或者單獨的密碼來驗證,這個本文不作討論~ ide
操做系統: OSX和Linux是不支持的。操做系統 win7 pro以前的是不支持的,win7支持的版本也只限於Ultimate和Enterprise版本,Win8以後的各類版本都支持。工具
怎麼玩:測試
BitLocker把硬盤分爲OS,Data和removable 3大類,均可以進行加密,加密以後會看見盤符上面多了一把鎖;若是能夠訪問的狀態鎖是打開的,若是不能訪問的話鎖會扣上;解鎖通常有3種方式:password或者叫作PIN,recovery key以及 data recovery agent(其實就是證書解鎖)。鎖上以後任何一種方式都能解鎖姿式~。 ui
PIN通常能夠有用戶本身設定,他會同時生成一個Recovery Key,若是忘記了密碼,能夠經過這個Key來解鎖,這個Key能夠保存在文件,網絡或者AD中; data recovery agent則是一個簽發的證書,只要在對應的電腦上導入了對應的certificate和private key,就能夠經過這個證書的Thumprint來解鎖。這個東西比較麻煩和混淆,後面會作具體說明。加密
額外還有不少具體的設置,好比你能夠設定某臺電腦上鍊接的硬盤都自動解鎖,網絡解鎖,用戶設置PIN,操做系統的硬盤開機前額外驗證PIN等等。spa
具體操做:操作系統
下面來看看具體怎麼配置的步驟:
添加Scheme
配置權限,容許保存Recovery key到AD
DC安裝BitLocker的feature
配置CA和簽署證書
配置GPO組策略
推送已有的BitLocker的計算機到AD
使用manage-bde工具來測試
首先看看Scheme
通常說來,Server 2008 R2之後的DC是不須要手動添加的了,能夠經過這個Powershell命令查看,若是返回值有下面5個對象,那麼恭喜,第一步就能夠略過了。
PS C:\WINDOWS\system32> Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like "*ms-FVE*"}
DistinguishedName Name ObjectClass ObjectGUID
----------------- ---- ----------- ----------
CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryInformation classSchema 6dc4c79b-f090-4930-abb3-05b6a0c6db49
CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryGuid attributeSchema 6e84277d-64df-4147-85af-4cf84fd3620f
CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-VolumeGuid attributeSchema c6cb202b-59b3-485f-b063-fd85319c57d9
CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryPassword attributeSchema 6370af52-3375-4961-8f67-50f9dbc6d9b2
CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-KeyPackage attributeSchema 2b3a4e41-35ca-4c41-b09f-0286bb80086
2. 給AD添加權限
首先須要從官網下載幾個VBS的腳本。如今都Powershell的時代了,微軟也沒改進一下10年前的方法~~
https://technet.microsoft.com/en-us/library/dn466534.aspx#Sample scripts
複製粘貼腳本而後保存到DC的C:\Bitlocker目錄下
執行
而後就能夠添加權限了。
打開ADUC , 對應存放計算機對象的OU上,而後Delegate Control
打開向導
添加用戶
添加Self
選擇自定義
選擇對象Computer
選擇權限,寫入TPM的信息
結束
這樣計算機就有權限把TPM的信息寫入AD了
3. DC上安裝BitLocker的feature,這個沒啥好說的,點開Server Manager,安裝BitLocker,重啓DC。DC會自動安裝Bitlocker Viewer。
4. 配置CA和證書。 data recovery agent的配置是全部過程裏面最讓人混淆的一步。CA的配置這裏不贅述了,主要是關於證書的簽發。有些文檔說須要複製一份Key Recovery 的證書模板,而後手動添加Application Extension,簽發給用戶,最後再配置證書和私鑰到對應的計算機上。豆子本身的測試結果並很差使。
實際測試的結果顯示,不須要這麼麻煩,我能夠直接簽發basic EFS的證書,而後成功利用這個證書在多臺計算機上解鎖U盤。
MMC裏面打開Certificate的SnapIn,Personal -> Certificate -> Request New Certificate
一路Next下去
選擇Basic EFS~
成功Enrol以後找到這個簽發的證書,雙擊,選擇‘Copy to File’
注意要導出私鑰
把導出的PFX文件保存好,稍後須要安裝到須要測試的計算機上。
5. 重頭戲來了,配置GPO,官方推薦的配置以下,固然能夠根據本身的須要進行修改
https://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
不過上面的內容僅僅是BitLocker的一部分,還須要修改下面的組策略
Computer Configuration -> Administrative Template -> System -> Trusted Platform Module Service
Enable 這個服務。 豆子的DC是windows 2008 R2,聽說 Windows 2012裏面這個選項就已經沒有了
除此覺得,咱們還須要配置Data Recovery Agent的GPO
Computer Configuration -> Policies ->Windows Settings-> Security Settings->Public Key Policies, 而後右擊 BitLocker Drive Encryption 選擇 Add Data Recovery Agent…
點擊Next
這裏我直接選擇Browse Directory, 而後選擇我本身的帳戶(由於以前我簽發的EFS證書是用本身的帳戶)
他會提示我選擇綁定哪個證書,由於我作測試在本身的帳戶上籤發了N個不一樣的證書,選擇前面咱們生成的那個EFS 的就能夠了
這裏能夠綁定任意多個,理論上任何一個都是能夠用來解鎖的
到這一步,基本上配置就都完成了。剩下的就是推送GPO到計算機了。
6. 若是已經有計算機打開BitLocker了,那麼咱們還須要推送已有的Recovery Key到AD上。
執行下面命令,獲取對應磁盤的ID和密碼
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
Numerical Password:
ID: {5AE32687-8E48-46D9-8096-9394B996323A}
Password:
003135-453508-448393-555390-091179-159577-396374-379665
TPM:
ID: {D25D3302-CC81-4FA5-BA41-F84F64D4246F}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Data Recovery Agent (Certificate Based):
ID: {7184E029-D82C-47D8-AEA1-507E1EB8FAC6}
Certificate Thumbprint:
482bda8296519fbdb95e3228ff021d1cf2c62ab2
推送到AD
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -adbackup c: -id '{5AE32687-8E48-46D9-8096-9394B996323A}'
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Recovery information was successfully backed up to Active Directory.
PS C:\WINDOWS\system32>
登錄ADUC,查看一下已經成功保持到AD了
7. 測試
我電腦上弄了3種類型的盤符,一個是操做系統C盤,一個是放數據的E盤,還有一個U盤 D。
看看狀態
PS C:\WINDOWS\system32> PS C:\WINDOWS\system32> .\manage-bde.exe -status BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 231.29 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: omnicom Key Protectors: Numerical Password TPM Data Recovery Agent (Certificate Based) Volume E: [Data] [Data Volume] Size: 0.49 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: omnicom Automatic Unlock: Disabled Key Protectors: Numerical Password Password Data Recovery Agent (Certificate Based) Volume D: [Label Unknown] [Data Volume] Size: Unknown GB BitLocker Version: 2.0 Conversion Status: Unknown Percentage Encrypted: Unknown% Encryption Method: AES 128 Protection Status: Unknown Lock Status: Locked Identification Field: Unknown Automatic Unlock: Disabled Key Protectors: Numerical Password Password Data Recovery Agent (Certificate Based)
D盤和E盤我能夠在圖像界面設置密碼或者修改密碼 , D盤目前木有顯示是由於我故意把他鎖住了。事實上,U盤一旦拔出來,再插回去,不論是不是同一臺電腦,只要以前在他上面打開了Bitlocker,他的狀態都是鎖住的,須要使用任意三種方式之一來解鎖才能訪問。
下面演示一下如何解鎖,雙擊D盤,他會彈出下面的對話框,咱們能夠輸入本身設置的密碼解鎖,或者recovery key解鎖,recovery key能夠在ADUC上查看,或者在解鎖狀態下經過manage-bde -protectors -get d: 查看
解鎖以後就能夠訪問了
最後看看如何經過證書解鎖
首先手動鎖上D盤
PS C:\WINDOWS\system32> .\manage-bde.exe -lock d: BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume D: is now locked
查看一下對應的證書是否配置,指紋是什麼
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: [Label Unknown]
All Key Protectors
Numerical Password:
ID: {92319191-E7DC-4393-875A-663926AC47D7}
Password:
ID: {DCF42582-F2C3-44A7-81E2-6FC26685060E}
Data Recovery Agent (Certificate Based):
ID: {AD39876C-3D7C-4444-91BA-EFE6C11ACE34}
Certificate Thumbprint:
482bda8296519fbdb95e3228ff021d1cf2c62ab2
在當前計算機上,導入這個證書指紋對應的證書和私鑰(第4步導出的那個證書文件)到personal,而後執行下面的命令,一樣能夠解鎖。
PS C:\WINDOWS\system32> manage-bde -unlock d: -certificate -ct 482bda8296519fbdb95e3228ff021d1cf2c62ab2 BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. The certificate successfully unlocked volume D:.
綜述,上面演示了一個基本的流程來在AD環境裏面配置和使用BitLocker,有些細節限於篇幅沒有詳細解釋。
- 1. WIN2003組策略詳解
- 2. 七大配置策略詳解
- 3. SCCM部署(八)---AD組策略配置
- 4. 組策略配置Powershell的Excution Policy
- 5. 配置組策略刷新間隔
- 6. 組策略啓用流程詳解
- 7. 【Windows Server 2019】組策略基礎——配置基於本地的組策略
- 8. Kafka分區分配策略詳解
- 9. 策略模式詳解(配java代碼)
- 10. 阿里雲的基本配置——安全組策略配置
- 更多相關文章...
- • MyBatis配置文件詳解 - MyBatis教程
- • Redis內存回收策略 - Redis教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IDEA下SpringBoot工程配置文件沒有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。