适用于企业的 BitLocker 管理

BitLocker 管理的理想之处是,让 IT 管理员能够通过让 Windows 执行更实用的任务来自动设置管理策略,从而避免使用工具或其他机制。 此设想需要利用现代硬件开发。 例如,TPM 2.0 和安全启动的进步以及其他硬件的改进已经帮助缓解了支持人员的支持负担,我们将发现支持呼叫量相应降低,同时用户满意度有所提高。 Windows 继续成为内置加密管理的新功能和改进的重点,例如,在支持新式待机的设备上自动启用加密,从 Windows 8.1 开始。

虽然已经发布了许多 Windows BitLocker文档,但客户经常要求提供有关特定于任务的特定文档的建议和指针,这两者都易于简要介绍如何部署和管理 BitLocker。 本文将链接到相关文档、产品和服务,以帮助解决此问题以及其他相关的常见问题,还提供针对不同类型的计算机的 BitLocker 建议。

重要

在将来的本地方案中,将从 ConfigMgr 提供 Microsoft BitLocker 管理和监视(MBAM)功能。

管理加入域的计算机并移动到云

在 Windows 预安装环境 (WinPE) 中时,使用 Microsoft System Center 2012 Configuration Manager SP1 (SCCM) 或更高版本映像自己的计算机的公司可以使用现有的任务序列预配置 BitLocker 加密,然后可以启用保护。 这可以帮助确保从一开始即对计算机进行加密,甚至在用户收到计算机之前进行加密。 作为映像过程的一部分,公司还可以决定使用 SCCM 预设置任何所需的 BitLocker 组策略

企业可以使用Microsoft BitLocker 管理和监视(MBAM)2019 年7月的主流支持结束之前,使用 Microsoft bitlocker 管理和监视()管理客户端计算机,直到年7月,他们可以获得延长的支持直至2026。 因此,在今后几年中,企业的一个好策略将计划和迁移到适用于 BitLocker 的基于云的管理。 有关如何在 Azure Active Directory (Azure AD)中存储恢复密钥的详情,请参阅PowerShell 示例

管理加入到 Azure Active Directory 的设备

加入到 Azure AD 的设备是使用来自 MDM 解决方案(如 Microsoft Intune)的移动设备管理(MDM)策略管理的。 如果没有 Windows 10 版本1809,只有本地管理员才能通过 Intune 策略启用 BitLocker。 从 Windows 10 版本1809开始,Intune 可以为标准用户启用 BitLocker。 可以通过策略配置设置提供程序(CSP)从托管计算机查询bitlocker 设备加密状态,该提供程序报告是否在设备上启用了 BitLocker 设备加密。 遵守 BitLocker 设备加密策略可以作为对 Exchange Online 和 SharePoint Online 等服务进行条件访问的一项要求。

从 Windows 10 版本 1703(也称为 Windows 创意者更新)开始,策略 CSPBitLocker CSP 均可通过 MDM 触发 BitLocker 的启用。 BitLocker CSP 添加的策略选项不仅可确保加密已发生,并且在运行 Windows 10 和 Windows phone 的计算机上可用。

对于符合新式待机和 HSTI 的硬件,当使用其中任一功能时,只要用户将设备加入到 Azure AD,将自动打开BitLocker 设备加密。 Azure AD 提供的门户还会备份恢复密钥,以便用户可以在需要时检索自己的恢复密钥以用于自助服务。 对于尚未加密的较旧设备,从 Windows 10 版本 1703(Windows 10 创意者更新)开始,管理员可以使用 BitLocker CSP 触发加密并将恢复密钥存储在 Azure AD 中。

这也适用于 Azure 混合广告。

管理工作区已加入的 Pc 和手机

对于使用 "连接到工作或学校帐户" 注册的 windows 电脑和 windows phone,BitLocker 设备加密通过 MDM 进行管理,与连接到 Azure AD 的设备相同。

管理服务器

服务器通常使用 PowerShell 进行安装、配置和部署,因此建议同样使用 PowerShell 在服务器上启用 BitLocker,理想情况下作为初始设置的一部分。 BitLocker 是 Windows Server 中的可选组件 (OC),因此请按照 BitLocker:如何在 Windows Server 2012 及更高版本上部署中的说明添加 BitLocker OC。

最精简的服务器界面是一些 BitLocker 管理工具的先决条件。 安装服务器核心前,必须首先添加必要的 GUI 组件。 结合使用按需功能和更新的系统与修补的映像如何更新本地源媒体以添加角色和功能中介绍了将 shell 组件添加到服务器核心的步骤。

如果要手动安装服务器(例如独立服务器),那么选择具有桌面体验的服务器是最简单的途径,因为可以避免执行将 GUI 添加到服务器核心的步骤。

此外,无人照看数据中心可以利用第二个因素的增强型安全性,同时通过选择性地组合使用 BitLocker (TPM+PIN) 和 BitLocker 网络解锁,避免重启期间所需的用户干预。 BitLocker 网络解锁融合了最好的硬件保护、位置依赖关系和自动解锁,同时处于受信任的位置。 有关配置步骤,请参阅 BitLocker:如何启用网络解锁

有关详细信息,请参阅 BitLocker 常见问题文章和相关文章中的其他有用链接。  

PowerShell 示例

对于加入 Azure AD 的计算机(包括虚拟机),应将恢复密码存储在 Azure Active Directory 中。

示例:使用 PowerShell 添加恢复密码并将其备份到 Azure AD 中,然后才能启用 BitLocker

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

对于加入域的计算机(包括服务器),应将恢复密码存储在 Active Directory 域服务 (AD DS) 中。

示例:使用 PowerShell 添加恢复密码并将其备份到 AD DS 中,然后才能启用 BitLocker

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

随后,可以使用 PowerShell 启用 BitLocker。

示例:使用 PowerShell 启用具有 TPM 保护程序的 BitLocker

Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

示例:使用 PowerShell 启用具有 TPM+PIN 保护程序的 BitLocker,在此情况下需将 PIN 设置为 123456

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

相关文章

BitLocker:常见问题

Microsoft BitLocker Administration and Management (MBAM)

Windows 10 中的 BitLocker 设备加密概述

BitLocker 组策略参考

Microsoft Intune (概述)

配置设置提供程序 (策略 CSP:请参阅 Security-RequireDeviceEncryption

BitLocker CSP

Windows Server 安装工具

Windows Server 安装选项

如何更新本地源媒体以添加角色和功能

如何添加或删除服务器核心上的可选组件(按需功能)

BitLocker:如何在 Windows Server 2012 及更高版本上部署

BitLocker:如何启用网络解锁

受防护的 VM 和受保护的结构

PowerShell

Windows PowerShell 的 BitLocker cmdlet

Surface Pro 规格