BitLocker 驱动器加密操作指南：使用 AD DS 恢复加密卷

BitLocker 驱动器加密操作指南：使用 AD DS 恢复加密卷

更新时间: 2008年5月

应用到: Windows Server 2008, Windows Vista

本文档介绍了组织如何使用保存在 Active Directory 域服务 (AD DS) 中的 BitLocker 恢复信息来访问 BitLocker 加密的数据。我们建议您在计划 BitLocker 部署时为 BitLocker 创建完全恢复模式。

本文档介绍了哪些内容？

本文中包含您在计划Windows Vista® Enterprise、Windows Vista® Ultimate 和Windows Server® 2008 的 BitLocker 恢复过程时可以使用的详细信息。

要正确了解和应用本文，您应该知道如何将 AD DS 设置为自动备份 BitLocker 恢复信息，以及保存到 AD DS 的恢复信息类型。

本文档包含下列主题：

∙什么是 BitLocker 恢复？

∙测试恢复

∙计划恢复过程

∙使用其他恢复信息

∙附录 A：委派权限

∙附录 B：重置恢复密码

∙附录 C：检索 BitLocker 密钥数据包

∙附录 D：保存 TPM 信息

本文档没有介绍哪些内容？

本文没有详细介绍如何配置 AD DS 以存储 BitLocker 恢复信息，但着重说明了您的组织可以计划恢复过程的方法。您还可以通过使用 Windows 恢复环境 (Windows RE) 并在启动过程中输入恢复密码来恢复启用 BitLocker 的卷。

有关如何在 AD DS 中存储恢复信息的详细信息，请参阅“配置 Active Directory 以备份 Windows BitLocker 驱动器加密和受信任的平台模块恢复信息”(/fwlink/?LinkId=82827)。

什么是 BitLocker 恢复？

在所有恢复方案中，AD DS 中存储的恢复密码可以解除对驱动器的访问锁定。无论使用的是什么身份验证方法，这个存储的密码都可以恢复 BitLocker。

什么原因会导致 BitLocker 恢复？

会导致 BitLocker 恢复的一些原因包括：

∙攻击者修改了您的计算机。使用受信任的平台模块 (TPM) 的计算机可能出现这种情况，因为 TPM 会在启动过程中检查启动组件的完整性。

∙将 BitLocker 保护的驱动器移动到新的计算机上。

∙升级到具有新的 TPM 的新主板。

∙关闭、禁用或清除 TPM。

∙升级关键的早期启动组件，从而导致 TPM 不能通过验证。

∙在启用 PIN 身份验证时，忘记 PIN。

∙在启用启动密钥身份验证时，丢失包含有启动密钥的可插入 USB 闪存驱动器。

备注

对于已计划的方案（如已知的硬件升级），您可以通过临时禁用 BitLocker 保护来避免启动恢复。由于禁用 BitLocker 会使该驱动器完全加密，因此管理员会在已计划的任务完成之后迅速重新启用 BitLocker 保护。要临时禁用 BitLocker，请使用控制面板、命令行工具或可以调用相应 Windows Management Instrumentation (WMI) 接口方法的部署脚本。

对于恢复的描述都是在未计划或不希望发生的行为的上下文中进行，但是您也可以使恢复成为预期的生产方案，以管理访问控制。例如，您在为企业的其他部门或员工部署台式计算机和便携式计算机时，可以在将计算机交给新用户之前强制进行 BitLocker 恢复。

测试恢复

在创建完全 BitLocker 恢复过程之前，我们建议您测试恢复过程是如何用于最终用户（需要联系支持人员以获取恢复

密码的用户）以及管理员（帮助最终用户获取恢复密码的用户）的。

使用下表确定在组织中测试恢复的最佳方式。身份验证方法列显示了 BitLocker 身份验证方法。选择与已在测试环境

中实现的身份验证方法相对应的身份验证方法。

启动时保留 PIN

在计算机启动时不输入 PIN，或输入错误的 PIN 可以启动恢复。如果不输入 PIN，Windows 以前的恢复控制台会显示输入恢复密码的屏幕。

启动时保留启动密钥

在计算机启动时不插入包含有启动密钥的 USB 闪存驱动器可以启动恢复。如果不提供启动密钥，Windows 以前的恢复控制台会显示输入恢复密码的屏幕。

删除与 TPM 相关联的密钥保护程序

如果没有基于 TPM 的密钥保护程序，用户只能使用恢复密码或恢复密钥才可以解除对驱动器的锁定。

强制对本地计算机进行恢复的步骤

1.单击「开始」按钮，在“开始搜索”框中键入cmd，右键单击cmd.exe，然后单击“以管理员身份运行”。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在命令提示符下，键入以下命令，然后按 Enter：

cscript manage-bde.wsf -forcerecovery

备注

强制对远程计算机进行恢复的步骤

1.单击「开始」按钮，在“开始搜索”框中键入cmd，右键单击cmd.exe，然后单击“以管理员身份运行”。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在命令提示符下，键入以下命令，然后按 Enter：

cscript manage-bde.wsf -ComputerName -forcerecovery 备注

关闭 TPM

可以使用 TPM 管理 Microsoft 管理控制台 (MMC) 管理单元来关闭 TPM。

要关闭 TPM，请使用“TPM 管理”管理单元

1.单击「开始」按钮，在“开始搜索”框中键入tpm.msc，然后单击tpm.msc。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在控制台树中，选择 TPM。

4.在“操作”窗格中，单击“关闭TPM”，然后在向导中键入 TPM 所有者密码。

您也可以使用 TPM WMI 接口写一个脚本来自动检索存储的 TPM 所有者密码哈希值，然后使用该哈希值在本地或远程关闭 TPM。

计划恢复过程

计划 BitLocker 恢复过程时，先请查阅您的组织恢复敏感信息的当前最佳做法。例如：企业如何处理丢失的 Windows 密码？您的组织如何执行智能卡 PIN 重置？使用这些最佳做法和相关资源（人力和工具）帮助制定 BitLocker 恢复模式。

启动 BitLocker 恢复后，用户可以使用恢复密码来解除对加密数据的访问锁定。您必须同时为您的组织考虑自动恢复和恢复密码检索方法。

确定恢复过程后，您应该：

∙熟悉可以检索恢复密码的方式。请参阅：

∙自动恢复

∙恢复密码检索