溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
老板昨天讓豆子看看怎么統一配置一下BitLocker。豆子花了一天把網上的資料都翻了翻,中文資料基本太初級沒用,英文的資料倒是很多,不過相當的凌亂,大概看了7,8份不同的參考資料,自己小結了一下整個最基本的配置流程。BitLocker的各種應用場景很多,有些東西限于水平和時間,可能不夠精確,以后會慢慢修正和添加。
以下解釋都是豆子的大白話理解:
基本定義:首先說說什么是BitLocker, 簡單的說就是用來加密硬盤的,這樣如果硬盤丟了,在其他的計算機上,如果沒有正確的密碼,是無法訪問的。
硬件:Bitlocker的使用需要硬件的支持,這個硬件模塊叫TPM,一般計算機都有,可以在設備管理器里面查看。但是,Macbook上面沒有這個東西,因此蘋果電腦上如果裝了Windows系統,而且還想使用 Bitlocker這個功能,需要額外使用USB或者單獨的密碼來驗證,這個本文不做討論~
操作系統: OSX和Linux是不支持的。操作系統 win7 pro之前的是不支持的,win7支持的版本也只限于Ultimate和Enterprise版本,Win8之后的各種版本都支持。
怎么玩:
BitLocker把硬盤分為OS,Data和removable 3大類,都可以進行加密,加密之后會看見盤符上面多了一把鎖;如果可以訪問的狀態鎖是打開的,如果不能訪問的話鎖會扣上;解鎖一般有3種方式:password或者叫做PIN,recovery key以及 data recovery agent(其實就是證書解鎖)。鎖上之后任何一種方式都能解鎖姿勢~。
PIN一般可以有用戶自己設定,他會同時生成一個Recovery Key,如果忘記了密碼,可以通過這個Key來解鎖,這個Key可以保存在文件,網絡或者AD中; data recovery agent則是一個簽發的證書,只要在對應的電腦上導入了對應的certificate和private key,就可以通過這個證書的Thumprint來解鎖。這個東西比較麻煩和混淆,后面會做具體說明。
額外還有很多具體的設置,比如你可以設定某臺電腦上連接的硬盤都自動解鎖,網絡解鎖,用戶設置PIN,操作系統的硬盤開機前額外驗證PIN等等。
具體操作:
下面來看看具體怎么配置的步驟:
添加Scheme
配置權限,允許保存Recovery key到AD
DC安裝BitLocker的feature
配置CA和簽署證書
配置GPO組策略
推送已有的BitLocker的計算機到AD
使用manage-bde工具來測試
首先看看Scheme
一般說來,Server 2008 R2以后的DC是不需要手動添加的了,可以通過這個Powershell命令查看,如果返回值有下面5個對象,那么恭喜,第一步就可以略過了。
PS C:\WINDOWS\system32> Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like "*ms-FVE*"}
DistinguishedName Name ObjectClass ObjectGUID
----------------- ---- ----------- ----------
CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryInformation classSchema 6dc4c79b-f090-4930-abb3-05b6a0c6db49
CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryGuid attributeSchema 6e84277d-64df-4147-85af-4cf84fd3620f
CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-VolumeGuid attributeSchema c6cb202b-59b3-485f-b063-fd85319c57d9
CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryPassword attributeSchema 6370af52-3375-4961-8f67-50f9dbc6d9b2
CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-KeyPackage attributeSchema 2b3a4e41-35ca-4c41-b09f-0286bb800862. 給AD添加權限
首先需要從官網下載幾個VBS的腳本。現在都Powershell的時代了,微軟也沒改進一下10年前的方法~~
https://technet.microsoft.com/en-us/library/dn466534.aspx#Sample scripts
復制粘貼腳本然后保存到DC的C:\Bitlocker目錄下
執行
然后就可以添加權限了。
打開ADUC , 對應存放計算機對象的OU上,然后Delegate Control
打開向導
添加用戶
添加Self
選擇自定義
選擇對象Computer
選擇權限,寫入TPM的信息
結束
這樣計算機就有權限把TPM的信息寫入AD了
3. DC上安裝BitLocker的feature,這個沒啥好說的,點開Server Manager,安裝BitLocker,重啟DC。DC會自動安裝Bitlocker Viewer。
4. 配置CA和證書。 data recovery agent的配置是所有過程里面最讓人混淆的一步。CA的配置這里不贅述了,主要是關于證書的簽發。有些文檔說需要復制一份Key Recovery 的證書模板,然后手動添加Application Extension,簽發給用戶,最后再配置證書和私鑰到對應的計算機上。豆子自己的測試結果并不好使。
實際測試的結果顯示,不需要這么麻煩,我可以直接簽發basic EFS的證書,然后成功利用這個證書在多臺計算機上解鎖U盤。
MMC里面打開Certificate的SnapIn,Personal -> Certificate -> Request New Certificate
一路Next下去
選擇Basic EFS~
成功Enrol之后找到這個簽發的證書,雙擊,選擇‘Copy to File’
注意要導出私鑰
把導出的PFX文件保存好,稍后需要安裝到需要測試的計算機上。
5. 重頭戲來了,配置GPO,官方推薦的配置如下,當然可以根據自己的需要進行修改
https://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx
不過上面的內容僅僅是BitLocker的一部分,還需要修改下面的組策略
Computer Configuration -> Administrative Template -> System -> Trusted Platform Module Service
Enable 這個服務。 豆子的DC是windows 2008 R2,據說 Windows 2012里面這個選項就已經沒有了
除此以為,我們還需要配置Data Recovery Agent的GPO
Computer Configuration -> Policies ->Windows Settings-> Security Settings->Public Key Policies, 然后右擊 BitLocker Drive Encryption 選擇 Add Data Recovery Agent…
點擊Next
這里我直接選擇Browse Directory, 然后選擇我自己的賬戶(因為之前我簽發的EFS證書是用自己的賬戶)
他會提示我選擇綁定哪一個證書,因為我做測試在自己的賬戶上簽發了N個不同的證書,選擇前面我們生成的那個EFS 的就可以了
這里可以綁定任意多個,理論上任何一個都是可以用來解鎖的
到這一步,基本上配置就都完成了。剩下的就是推送GPO到計算機了。
6. 如果已經有計算機打開BitLocker了,那么我們還需要推送已有的Recovery Key到AD上。
執行下面命令,獲取對應磁盤的ID和密碼
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
Numerical Password:
ID: {5AE32687-8E48-46D9-8096-9394B996323A}
Password:
003135-453508-448393-555390-091179-159577-396374-379665
TPM:
ID: {D25D3302-CC81-4FA5-BA41-F84F64D4246F}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Data Recovery Agent (Certificate Based):
ID: {7184E029-D82C-47D8-AEA1-507E1EB8FAC6}
Certificate Thumbprint:
482bda8296519fbdb95e3228ff021d1cf2c62ab2推送到AD
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -adbackup c: -id '{5AE32687-8E48-46D9-8096-9394B996323A}'
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Recovery information was successfully backed up to Active Directory.
PS C:\WINDOWS\system32>登陸ADUC,查看一下已經成功保持到AD了
7. 測試
我電腦上弄了3種類型的盤符,一個是操作系統C盤,一個是放數據的E盤,還有一個U盤 D。
看看狀態
PS C:\WINDOWS\system32> PS C:\WINDOWS\system32> .\manage-bde.exe -status BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 231.29 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: omnicom Key Protectors: Numerical Password TPM Data Recovery Agent (Certificate Based) Volume E: [Data] [Data Volume] Size: 0.49 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: omnicom Automatic Unlock: Disabled Key Protectors: Numerical Password Password Data Recovery Agent (Certificate Based) Volume D: [Label Unknown] [Data Volume] Size: Unknown GB BitLocker Version: 2.0 Conversion Status: Unknown Percentage Encrypted: Unknown% Encryption Method: AES 128 Protection Status: Unknown Lock Status: Locked Identification Field: Unknown Automatic Unlock: Disabled Key Protectors: Numerical Password Password Data Recovery Agent (Certificate Based)
D盤和E盤我可以在圖像界面設置密碼或者修改密碼 , D盤目前木有顯示是因為我故意把他鎖住了。事實上,U盤一旦拔出來,再插回去,不管是不是同一臺電腦,只要之前在他上面打開了Bitlocker,他的狀態都是鎖住的,需要使用任意三種方式之一來解鎖才能訪問。
下面演示一下如何解鎖,雙擊D盤,他會彈出下面的對話框,我們可以輸入自己設置的密碼解鎖,或者recovery key解鎖,recovery key可以在ADUC上查看,或者在解鎖狀態下通過manage-bde -protectors -get d: 查看
解鎖之后就可以訪問了
最后看看如何通過證書解鎖
首先手動鎖上D盤
PS C:\WINDOWS\system32> .\manage-bde.exe -lock d: BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. Volume D: is now locked
查看一下對應的證書是否配置,指紋是什么
PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: [Label Unknown]
All Key Protectors
Numerical Password:
ID: {92319191-E7DC-4393-875A-663926AC47D7}
Password:
ID: {DCF42582-F2C3-44A7-81E2-6FC26685060E}
Data Recovery Agent (Certificate Based):
ID: {AD39876C-3D7C-4444-91BA-EFE6C11ACE34}
Certificate Thumbprint:
482bda8296519fbdb95e3228ff021d1cf2c62ab2在當前計算機上,導入這個證書指紋對應的證書和私鑰(第4步導出的那個證書文件)到personal,然后執行下面的命令,同樣可以解鎖。
PS C:\WINDOWS\system32> manage-bde -unlock d: -certificate -ct 482bda8296519fbdb95e3228ff021d1cf2c62ab2 BitLocker Drive Encryption: Configuration Tool version 10.0.15063 Copyright (C) 2013 Microsoft Corporation. All rights reserved. The certificate successfully unlocked volume D:.
綜述,上面演示了一個基本的流程來在AD環境里面配置和使用BitLocker,有些細節限于篇幅沒有詳細解釋。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
