Bitlocker与AD域相结合

最新推荐文章于 2025-03-06 12:41:55 发布
最新推荐文章于 2025-03-06 12:41:55 发布
阅读量9.2k 收藏 36
点赞数 7
分类专栏: Microsoft Windows Server 文章标签: windows server bitlocker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012184029/article/details/121676402
版权
本文详细介绍了如何将BitLocker磁盘加密与AD域环境整合,通过组策略实现系统盘和固定数据盘的加密,并自动将恢复密码备份到AD中,以实现统一管理。内容涵盖实验环境、配置组策略、加密过程验证以及恢复密码的备份和管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

概述

需求

环境

思路

流程图

实验

默认组策略的加密过程

系统盘开启 BitLocker 过程

固定数据盘开启 BitLocker 过程

验证

配置组策略

操作系统驱动器

固定数据驱动器

应用组策略之后启用 BitLocker 的过程

不同之处

验证

AD中查看已备份的恢复密码

加域之前/应用组策略之前已启用BitLocker加密

将恢复密码备份到AD DS中

修改相应的密钥保护程序

AD DS中恢复密码的备份

概述

需求

目前使用第三方加密方式+BIOS硬盘密码组成客户端的安全方案,计划迁移到Bitlocker。磁盘加密方式使用Bitlocker,所有PC均有TPM(v1.2-v2.0)芯片,有AD域,现需要将Bitlocker与AD域相结合,加入域的PC启用BitLocker后,恢复密码(48位数字)自动上传到AD域中,实施统一管理。

环境

TPM2.0 + UEFI + 安全启动

TPM2.0模块必须使用UEFI,如果磁盘分区是MBR,则需要转换为GTP

使用"MBR2GPT.exe"进行转换,该文件存在于1703或更高版本的Windows\System32 目录下

具体使用方式参考官网地址:MBR2GPT - Windows Deployment | Microsoft Docs

Clients OS:Windows 10 Pro 20H2 以上

Server OS:Windows Server 2016 STD

AD DS

思路

  1. 了解Bitlocker的运行模式,有TPM芯片下的不同之处
  2. 查找相关组策略,并搞清楚相关策略条目所对应Bitlocker的选项
  3. 规划方案,制定组策略,应用到测试PC上
  4. 测试PC启用Bitlocker并进行相应的测试
  5. 测试DC上Bitlocker的管理以及备份
  6. 将组策略应用到生产OU上

流程图

流程图

实验

默认组策略的加密过程

主板有TPM芯片,且已开启TPM芯片,未应用任何相关组策略(采用默认值)

系统盘开启 BitLocker 过程

如图1~图5

刚打开BitLocker的时候会执行检测,这里没有截图

图1

一定要把恢复密钥保存好 

图2
图3
图4

这里可以选择"运行 BitLocker 系统检查(R)",并点击开启加密。

固定数据盘开启 BitLocker 过程

这里所说的固定数据盘就是指我们电脑中的D盘、E盘等非系统盘用于存放数据的。不包括可移动存储。固定数据盘我们采用自动解锁的方式,也不设置密码或智能卡。

说明:"图5"和"图6"中“使用密码解锁”和“使用智能卡解锁”都是反灰色的无法选择,因为我配置了组策略,如果没有配置组策略,这里都可以进行选。因为我们这里只用自动解锁,所以无所谓的。

如图5~图10 

图5
图6
最低0.47元/天 解锁文章
Microsoft Bitlocker企业级管理部署方案
xueyunshengling的博客
04-27 1706
BitLockerWindows 10以及更高版本中内置的磁盘加密工具,是一种可靠的数据保护机制,可以保护计算机上的敏感数据不被未经授权的人访问。BitLocker的工作原理是将整个系统卷或其他数据卷加密的同时,向某个可信软件或硬件模块请求密钥解密数据。BitLocker最大的好处在于其内置于Windows系统,所以用户无需安装其他软件或购买额外的许可证或硬件设备。本文将介绍Microsoft BitLocker企业级管理部署方案,包括:BitLocker部署前的准备工作。
AD】用于在AD通过用户名或计算机名查询对应BitLocker恢复秘钥的Powershell脚本
so1arsystem的博客
12-28 467
小小拷打了下GPT主要功能是根据用户输入的计算机名或中文描述,查找对应计算机的 BitLocker 恢复密钥。包含以下主要逻辑:输入检测:1.如果输入为中文用户名,则将会其作为CN在中查找对应的samAccountName,再将查找到的samAccountName作为计算机名进行查找2.如果检测用户输入的非中文,则直接将其作为计算机名进行查找。
部署BitLocker 加密
weixin_43144321的博客
03-15 2919
部署BitLocker 加密 部署環境:Win2016+Win10 控制器先安裝相關組件 控上設置相關組策略(相關設置可根據自己需要來設定) 檢查客戶端是否正常獲到組策略相關信息 4、客戶端在能正常連接控的情況下,用管理員權限打開命令提示符輸入加密指令 (客戶端可能存在有TPM芯片的情況,以下通用設置有無TPM均可使用) 4.1、 先在系統所在硬盤壓縮一個100MB空間 4.2、將剛壓縮出來的空間建立一個分區,盤符設為B。
环境下如何保护重要资料文件的安全(三)---BitLocker(上)
weixin_33957648的博客
09-04 677
之所以把BitLocker放在最后为大家介绍,一是因为这项技术相对EFS、RMS出现的较晚,从Vista企业版和终极版中才有的,遗憾的是由于Vista在我国的市场占有率并不高,加上BitLocker在Vista中的用户体验及使用都不是很好,所以实际应用过它的朋友也比较少。另一方面,设计它的主要目的是对整个磁盘进行加密,这包括了操作系统分区,存放资料的数据分区等,使得即使计...
Win11驱动器加密全攻略:保障数据安全的重要一步
最新发布
mmoo_python的博客
03-06 498
BitLocker是微软提供的一种驱动器加密工具,它能够对整个驱动器进行加密,包括系统驱动器、固定数据驱动器和可移动数据驱动器。通过BitLocker加密,即使驱动器被盗或丢失,没有正确的解密密钥,数据也无法被访问,从而大大增强了数据的安全性。在这些驱动器中,选择你想要加密的驱动器。注意,系统驱动器(通常是C盘)和固定数据驱动器都可以进行加密,但可移动数据驱动器(如U盘)可能需要使用兼容模式进行加密。对于本地驱动器(如系统驱动器和固定数据驱动器),建议使用新加密模式,因为它提供了更强的安全性和性能。
AD账户简单管理
weixin_57323573的博客
11-05 1474
AD账户批量删除 AD中指定时间未上线客户端或账户导出 AD已删除账号或计算机恢复 批量导出AD用户属性 批量获取计算机BitLocker密钥 AD账户批量添加属性 邮箱(例Email)
使用 BitLocker 对磁盘加密的完整方案实施指南
2302_78806594的博客
02-11 1915
本文将详细介绍如何使用 BitLocker 对磁盘进行加密,包括前期准备、具体实施步骤、风险措施以及恢复密钥管理,帮助企业高效实施数据加密方案。BitLocker 不仅提供了强大的加密功能,还能通过合理的管理,确保系统和数据的安全性和完整性。3. **配图**:在博客中加入一些截图,例如 BitLocker 加密界面、恢复密钥保存路径等,帮助读者更直观地理解操作步骤。2. 实用建议:提供一些实用建议,例如如何选择加密模式(TPM、PIN 或 USB 密钥),以及如何优化加密性能。
组策略配置BitLocker详解
weixin_33955681的博客
08-04 3703
老板昨天让豆子看看怎么统一配置一下BitLocker。豆子花了一天把网上的资料都翻了翻,中文资料基本太初级没用,英文的资料倒是很多,不过相当的凌乱,大概看了7,8份不同的参考资料,自己小结了一下整个最基本的配置流程。BitLocker的各种应用场景很多,有些东西限于水平和时间,可能不够精确,以后会慢慢修正和添加。以下解释都是豆子的大白话理解:基本定义:首先说说什么是BitLocker, 简单的说就...
Powershell脚本批量获取AD内计算机BitLocker密钥
weixin_57323573的博客
11-30 2040
$computer=Get-ADComputer -LDAPFilter "(name=*)" -SearchBase "OU=TEST,OU=TEST,OU=TEST,DC=TEST,DC=TEST,DC=TEST" #获取指定OU中计算机信息,可以修改为使用Import-CSV后使用get-ADComputer获取指定计算机信息 foreach ($disname in $computer.DistinguishedName) { #遍历计算机信息,获取DN Name $BitLockerOb.
Windows Server 2016搭建Bitlocker驱动器加密
嘻嘻哥哥~的博客
02-22 3518
Windows Server 2016搭建Bitlocker驱动器加密
如何启用 BitLocker 网络解锁
weixin_46583461的博客
05-04 5674
ll
AD备份灾难恢复】:数据持久安全的5大保障措施
本文系统地阐述了AD的结构、数据备份和灾难恢复的理论基础及实践操作,旨在为IT专业人员提供一套完整的AD备份和灾难恢复指南。文章涵盖了备份工具的选择配置、备份实施细节、自动化备份流程,以及灾难恢复计划...
【Active Directory整合】:控组策略AD无缝集成实践
本文深入探讨了AD控制器的基础知识、组策略管理的概念和应用,以及两者如何实现无缝集成。文章详细说明了组策略对象(GPO)的结构、配置、监控和故障排除,同时强调了AD架构对于组策略实施的重要性。实践案例分析...
2022年山东省职业院校技能大赛中职组“网络搭建应用”赛项规程
Jay
12-24 3477
竞赛包含职业规范素养、网络布线基础连接、交换配置调试、路由配置调试、无线网络配置、安全策略配置、业务选路组播配置、网络知识在线测试、云平台网络连接部署、Windows 服务配置和Linux 服务配置,共十个模块。LAN、STP、RSTP、MSTP、802.1X、ARP、交换机虚拟化、交换安全、端口聚合、端口镜像、VRRP、VRRPv3、IPV6、PBR、IPV6 PBR、ACL、DCHPv6、DHCP Snooping、QOS、BFD、Keepalive gateway、基于流的重定向等。
Active Directory计算机备份和恢复
运维有小邓
02-01 556
想了解关于RecoveryManager Plus产品的详细功能信息。请持续关注“运维有小邓”,小邓将带您了解更多IT运维新知识!
Bitlocker恢复 选项显示在 Active Directory 中
m0_62330803的博客
07-17 304
在应用---》可选功能 安装bitlocker 恢复。
重装系统发现有bitlockerBitLocker的主要作用)
热门推荐
BIGFISH2019的博客
05-18 1万+
由于自己的无知,导致这起数据安全事故。在收拾完烂摊子后,决定要去学习一下微软的BitLocker加密技术。在网上搜索资料,看到一篇文章讲解的比较好,拿过来分享给大家。BitLocker到底有什么用?被蓝屏锁定了如何恢复?这篇文章。itLocker是一种驱动器加密技术,它操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。我们的所有数据都保存在硬盘上,无论是机械硬盘HDD还是固态硬盘SSD。当我们打开电脑时,可能设置了密码或者PIN码,对其进行保护。
【M365运维】修复Bitlocker在AAD里没有密钥的故障
aladinggao的博客
11-27 2017
此密码有助于确保你可以对加密的卷进行解锁。此密码有助于确保你可以对加密的卷进行解锁。此密码有助于确保你可以对加密的卷进行解锁。BitLocker 驱动器加密: 配置工具版本 10.0.19041。BitLocker 驱动器加密: 配置工具版本 10.0.19041。BitLocker 驱动器加密: 配置工具版本 10.0.19041。BitLocker 驱动器加密: 配置工具版本 10.0.19041。BitLocker 驱动器加密: 配置工具版本 10.0.19041。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值