大約一個月前,我最近在這裡問了同樣的問題 -> BitLocker 復原金鑰未顯示在 Active Directory 中
但現在情況發生了變化,我仍然得到相同的結果。我將在這篇文章中盡可能詳細地介紹,這樣我就不必再發任何帖子了(希望如此)。
好的,所以我們需要將這些金鑰儲存在 AD 上以滿足 DoD 的要求,我編寫了一些 Java 來找出我們有多少個。執行我的 Java 後,230 台電腦中有 97 台在 AD 中儲存了金鑰。
我為 Bitlocker 建立了一個群組原則並將其命名為“GP - Bitlocker”
我更改的第一個設定位於此目錄中:電腦配置 -> 策略 -> 管理範本 -> Windows 元件 -> Bitlocker 磁碟機加密
“將 Bitlocker 復原資訊儲存在 Active Directory 網域服務中”
“選擇磁碟機加密方法和密碼強度 (Windows 8 / Server 2012)”
“選擇磁碟機加密方法和密碼強度(Windows Server 2008、Windows 7)”
另外,我更改了 ../Operating System Drives 中的設定(.. 是上一個目錄)
“選擇如何恢復受 BitLocker 保護的作業系統磁碟機”
至於群組原則的連結位置,它與我們在名為「群組原則物件」的網域中擁有的所有其他群組原則一起儲存在目錄中。它與我們希望啟用 GP 的所有 OU 相關聯,但我們將其取消,因為它不起作用,而且我們只想在有限的計算機上運行測試。
目前,「GP - Bitlocker」連結到 2 個 OU:「Test_Environment」和「未知」。未知的是我們網域中具有未指定部門的真實人員電腦的 OU,而 test_environment 只是我們用來測試 GP 的臨時電腦。
「未知」有 4/16 台電腦具有儲存的金鑰,test_enivronment 有 1/4 的電腦具有儲存的金鑰。
現在我們的想法是,由於我們的許多員工並沒有始終連接到 VPN,甚至沒有登入他們的計算機,因此他們無法取得 GP 更新。我們是一家建築公司,因此,我們有很多人一次在現場工作數月,並且不使用電腦。不過,我認為 97 應該在 180 左右,這樣對於那些在現場擁有電腦的人來說才是準確的。如果我遺漏任何信息,請告訴我,我很樂意填補空白。
答案1
尼克,當您問第一個問題時,您的恢復密碼設定(Bitlocker 恢復選項卡上的 AD 電腦物件中顯示的 48 位元金鑰)是:“不允許使用 48 位元恢復密碼”
現在您將其變更為需要恢復密碼。然而,由於這些系統已經加密,這些密碼永遠不會進入 AD(因為它們僅在加密時保存,而不是加密後保存),除非您手動建立它們。這應該使用您部署為即時計劃任務的腳本來完成,例如 c: 磁碟機的批次程式碼:
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b