讓組織準備使用 BitLocker:規劃和原則

適用對象

  • Windows10

本主題的適用對象為 IT 專業人員,說明如何規劃您的 BitLocker 部署。

當您設計 BitLocker 部署策略時,請根據貴組織的業務需求來定義適當的原則和設定需求。 下列主題將協助您收集資訊,您可以使用這些資訊來建立與管理 BitLocker 系統有關的決策過程。

審核您的環境

若要規劃您的 BitLocker enterprise 部署,您必須先瞭解您目前的環境。 進行非正式審計,以定義您目前的原則、程式和硬體環境。 首先,查看您現有的公司安全性原則,因為它們與磁片加密軟體有關。 如果您的組織目前未使用磁片加密軟體,將不會有任何原則。 如果您使用的是磁片加密軟體,您可能需要修改貴組織的原則,以解決 BitLocker 的功能。

使用下列問題協助您記錄貴組織的目前磁片加密安全性原則:

  1. 是否有任何原則可處理哪些電腦將使用 BitLocker,哪些電腦將不會使用 BitLocker?
  2. 有哪些原則可控制復原密碼及復原金鑰儲存空間?
  3. 驗證需要執行 BitLocker 復原之使用者身分識別的原則為何?
  4. 有哪些原則可控制組織中哪些人擁有復原資料的存取權?
  5. 有哪些原則可控制電腦退役或退休?

加密金鑰和驗證

BitLocker 可協助防止未經授權存取電腦遺失或被盜的資料:

  • 加密硬碟上的整個 Windows 作業系統磁片。
  • 驗證啟動程式的完整性。

受信任的平臺模組(TPM)是電腦製造商在許多較新的電腦上安裝的硬體元件。 它可以與 BitLocker 共同運作來協助保護使用者資料,以確保電腦在系統離線時不會遭到竄改。

此外,BitLocker 提供鎖定標準啟動程式的選項,直到使用者提供個人識別碼(PIN),或插入包含啟動金鑰的可移動 USB 裝置,例如快閃記憶體磁片磁碟機。 這些額外的安全性措施提供多重要素驗證,並可確保在使用者出示正確的 PIN 或啟動金鑰之前,電腦將不會啟動或從休眠狀態恢復執行。

在沒有 TPM 1.2 版或更新版本的電腦上,您仍可使用 BitLocker 來加密 Windows 作業系統的磁片。 不過,這個實現會要求使用者插入 USB 啟動金鑰來啟動電腦或從休眠中繼續,而且不會提供由 BitLocker 使用 TPM 所提供的預先啟動系統完整性驗證。

BitLocker 金鑰保護器

金鑰保護器 描述
TPM 用來協助建立安全根信任的硬體裝置。 BitLocker 只支援 TPM 版本1.2 或更新版本。
PIN 使用者輸入的數位金鑰保護器,除了 TPM 之外,還可以使用。
增強型 PIN 使用者輸入的字母數位金鑰保護器,除了 TPM 之外,還可以使用。
啟動金鑰 可儲存在大部分卸除式媒體上的加密金鑰。 此金鑰保護器可單獨用於非 TPM 電腦,或與 TPM 結合使用,以增強安全性。
復原密碼 在復原模式中,用來解除鎖定卷的48位數位。 數位通常可以在一般鍵盤上輸入(如果標準鍵盤上的數位沒有回應),您可以隨時使用功能鍵(F1-F10)輸入數位。
復原金鑰 儲存在卸除式媒體上的加密金鑰,可用於復原在 BitLocker 卷上加密的資料。

BitLocker 驗證方法

驗證方法 需要使用者互動 描述
僅 TPM TPM 會驗證早期啟動元件。
TPM + PIN TPM 會驗證早期啟動元件。 使用者必須先輸入正確的 PIN,才能繼續進行啟動程式,然後才能解除鎖定磁片磁碟機。 如果重複輸入不正確的 PIN 來保護 PIN 免遭暴力攻擊,TPM 將會輸入封鎖。 將觸發封鎖的重複嘗試次數是可變的。
TPM + 網路金鑰 TPM 成功驗證早期啟動元件,且已從 WDS 伺服器提供有效的加密網路金鑰。 這個驗證方法可在系統重新開機時提供自動解除鎖定作業系統卷,同時仍維持多重要素驗證。
TPM + 啟動金鑰 TPM 成功驗證早期啟動元件,且已插入包含啟動金鑰的 USB 快閃記憶體磁片磁碟機。
僅限啟動金鑰 系統會提示使用者插入包含復原金鑰和/或啟動金鑰的 USB 快閃記憶體磁片磁碟機,然後重新開機電腦。

您是否支援不含 TPM 版本1.2 或更新版本的電腦?

判斷您是否要支援的電腦在您的環境中沒有 TPM 版本1.2 或更高版本。 如果您選擇在這種類型的電腦上支援 BitLocker,使用者就必須使用 USB 啟動金鑰來引導系統。 這需要與多重要素驗證類似的其他支援流程。

貴組織的哪些區域需要資料保護的基準層級?

TPM 專用驗證方法將針對需要資料保護的基線層級,以符合安全性原則的組織,提供最透明的使用者體驗。 它的擁有權總成本最低。 僅適用于無人參與或必須重新開機無人參與的電腦,也可能更適合使用 TPM。

不過,TPM 專用驗證方法提供最低的資料保護層級。 這個驗證方法會針對修改早期啟動元件的攻擊提供保護,但受硬體或早期啟動元件中的潛在缺陷可能會影響保護層級。 BitLocker 的多重要素驗證方法會顯著增加整個資料保護層級。

貴組織的哪些區域需要更安全的資料保護層級?

如果您組織中的某些區域的資料是位於使用者電腦上,且其資料被視為高度敏感,請考慮在這些系統上使用多重要素驗證來部署 BitLocker 的最佳做法。 要求使用者輸入 PIN 會顯著增加系統的保護層級。 您也可以使用 BitLocker 網路解除鎖定,在連線到可提供網路解除鎖定金鑰的信任有線網路時,自動解鎖這些電腦。

貴組織喜歡哪些多重要素驗證方法?

多重要素驗證方法所提供的保護差異無法輕易量化。 考慮每個驗證方法對技術支援、使用者教育、使用者生產力及自動化系統管理流程的影響。

TPM 硬體設定

在您的部署方案中,找出您要支援哪些基於 TPM 的硬體平臺。 從您選擇的 OEM 中記錄硬體模型,以便對其設定進行測試及支援。 TPM 硬體在規劃和部署的各個階段都需要特殊考慮。

TPM 1.2 狀態與初始化

針對 TPM 1.2,有多種可能的狀態。 Windows 10 會自動初始化 TPM,這會將它帶入已啟用、已啟用且擁有的狀態。 這是 BitLocker 在可以使用 TPM 之前所需的狀態。

簽署金鑰

若要讓 BitLocker 能使用 TPM,它必須包含簽署金鑰(這是 RSA 金鑰組)。 金鑰組的私用半部是在 TPM 內,且在 TPM 外永遠不會顯示或無法存取。 如果 TPM 不含簽署金鑰,BitLocker 會強制 TPM 在安裝 BitLocker 時自動產生一個金鑰。

簽署金鑰可以在 TPM 生命週期的各個點建立,但是只需要在 TPM 存留期內建立一次。 如果 TPM 不存在簽署金鑰,則必須先建立,才能採取 TPM 擁有權。

如需 TPM 和 TCG 的詳細資訊,請參閱信任的計算群組:受信任的平臺模組(TPM)https://go.microsoft.com/fwlink/p/?linkid=69584規格()。

非 TPM 硬體設定

不含 TPM 的裝置,仍可透過磁片磁碟機加密加以保護。 Windows To Go 工作區可以使用啟動密碼,以及沒有 TPM 的電腦使用啟動金鑰來受 BitLocker 保護。

使用下列問題來找出可能會影響您在非 TPM 設定中部署的問題:

  • 密碼複雜性規則是否已就緒?
  • 您是否有適用于每個電腦的 USB 快閃記憶體磁片磁碟機預算?
  • 在啟動期間,您現有的非 TPM 裝置支援 USB 裝置嗎?

啟用 BitLocker 時,請使用 BitLocker 系統檢查選項來測試個別硬體平臺。 系統檢查將確保 BitLocker 可以在加密磁片卷之前,正確讀取 USB 裝置和加密金鑰的復原資訊。 CD 和 DVD 光碟機不能作為區塊儲存裝置,且無法用來儲存 BitLocker 復原資料。

磁片配置考慮

若要正常運作,BitLocker 需要特定的磁片設定。 BitLocker 需要兩個符合下列需求的分區:

  • 作業系統磁碟分割包含作業系統及其支援檔案;它必須使用 NTFS 檔案系統進行格式化
  • 系統磁碟分割(或引導分區)包含在 BIOS 或 UEFI firware 準備好系統硬體之後載入 Windows 所需的檔案。 此分區上未啟用 BitLocker。 若要讓 BitLocker 正常運作,系統磁碟分割不得經過加密,且必須位於與作業系統不同的磁碟分割上。 在 UEFI 平臺上,系統磁碟分割必須使用 FAT 32 檔案系統來格式化。 在 BIOS 平臺上,系統磁碟分割必須以 NTFS 檔案系統格式化。 大小至少應為 350 MB

Windows 安裝程式會自動設定您電腦的磁片磁碟機,以支援 BitLocker 加密。

Windows 復原環境(Windows RE)是以 Windows 預先安裝環境(Windows PE)為基礎的可擴展恢復平臺。 當電腦無法啟動時,Windows 會自動轉換為此環境,而 Windows 中的啟動修復工具會自動進行診斷並修復無法引導的 Windows 安裝。 Windows 也包含可提供復原金鑰或復原密碼來解除鎖定受 BitLocker 保護的磁片的驅動程式和工具。 若要將 Windows RE 與 BitLocker 搭配使用,Windows RE 啟動映射必須位於不受 BitLocker 保護的標籤上。

您也可以從本機硬碟以外的啟動媒體使用 Windows RE。 如果您選擇不在啟用 BitLocker 的電腦的本機硬碟上安裝 Windows RE,您可以使用替補啟動方法(例如 Windows 部署服務、cd-rom 或 USB 快閃磁碟機)來進行恢復。

BitLocker 預配

在 Windows Vista 和 Windows 7 中,BitLocker 是透過 [manage-bde] 命令列介面或 [控制台] 使用者介面,為系統和資料量,在安裝後進行安裝。 有了較新的作業系統,就可以在安裝作業系統前輕鬆地提供 BitLocker。 Preprovisioning 需要電腦擁有 TPM。

若要檢查特定卷的 BitLocker 狀態,系統管理員可以在 BitLocker 控制台小程式或 Windows Explorer 中查看該磁片磁碟機的狀態。 [等待啟用] 的狀態為黃色驚嘆號圖示,表示該磁片磁碟機是針對 BitLocker 進行 preprovisioned。 此狀態表示加密磁片卷時,只會用到清晰的保護器。 在這種情況下,該卷不會受到保護,必須先將安全金鑰新增到該磁片卷,才能認為該磁碟機受到完全保護。 系統管理員可以使用 [控制台] 選項、manage-bde 工具或 WMI Api 來新增適當的金鑰保護裝置,並更新卷狀態。

當您使用 [控制台] 選項時,系統管理員可以選擇開啟 BitLocker ,並遵循嚮導中的步驟來新增保護器(例如作業系統標籤的 PIN),或是在 dat 中使用密碼或智慧卡保護程式一個卷。 然後在變更音量狀態之前,出現 [磁片磁碟機安全性] 視窗。

系統管理員可以從 Windows 預先安裝環境(WinPE)開始進行作業系統部署之前,先啟用 BitLocker。 在執行 Windows 安裝程式前,請先將隨機產生的清除金鑰保護器套用到格式化的卷,並加密卷,以進行這項作業。 如果加密只使用 [已使用的磁碟空間] 選項,此步驟只需要幾秒鐘的時間,因此您就能順利地納入常規部署程式。

僅限使用的磁碟空間加密

BitLocker 設定向導可讓管理員在啟用大量 BitLocker 時,選擇 [只有已使用的磁碟空間] 或 [完全加密] 方法。 系統管理員可以使用新的 BitLocker 群組原則設定,只強制執行已使用的磁碟空間或完整磁片加密。

啟動 BitLocker 設定向導會提示您輸入要使用的驗證方法(密碼和智慧卡可用於資料量)。 選取方法並儲存復原金鑰之後,系統會要求您選擇磁片磁碟機加密類型,請使用 [僅限磁碟空間] 或 [完整磁片磁碟機加密]。

[已使用的磁碟空間] 只表示只有包含資料的磁片部分會受到加密,未使用的空間將保持不加密。 這會讓加密程式速度變得更快,尤其是在新的電腦和資料磁碟機上。 當使用此方法啟用 BitLocker 時,系統會將使用的磁片部分新增到磁片磁碟機,所以磁片磁碟機上不會儲存已加密的資料。

[完整磁片磁碟機加密] 表示整個磁片磁碟機無論是否儲存在磁片上,都將經過加密。 這適用于已改變用途的磁片磁碟機,而且可能包含先前使用的資料。

Active Directory 網域服務考慮

BitLocker 會與 Active Directory 網域服務(AD DS)整合,以提供集中化金鑰管理。 根據預設,不會將任何復原資訊備份到 Active Directory。 系統管理員可以針對每個磁片磁碟機類型設定下列群組原則設定,以啟用 BitLocker 恢復資訊的備份:

電腦 Configuration\Administrative Templates\Windows Components\BitLocker 磁片磁碟機 Encryption\磁片磁碟機類型\Choose 如何復原受 BitLocker 保護的磁片磁碟機。

根據預設,只有網域管理員可以存取 BitLocker 復原資訊,但可以將 access 委派給其他人

針對每個電腦物件,會儲存下列恢復資料:

  • 復原密碼

    用來復原受 BitLocker 保護的磁片卷的48位數恢復密碼。 使用者在 BitLocker 進入 [復原模式] 時,輸入此密碼來解除鎖定磁片卷。

  • 金鑰套件資料

    使用此金鑰套件和復原密碼時,如果磁片嚴重損毀,您就能解密受 BitLocker 保護的磁片卷部分。 每個金鑰套件都只適用于它所建立的標籤,可由對應的標籤加以識別。

針對復原密碼保護程式的 FIPS 支援

Windows Server 2012 R2 和 Windows 8.1 中推出的功能,可讓 BitLocker 在 FIPS 模式中發揮完整功能。

注意: 英國聯邦資訊處理標準(FIPS)定義美國聯邦政府使用之電腦系統的安全性與互通性需求。 FIPS 140 標準定義核准的密碼演算法。 FIPS 140 標準也會針對金鑰產生和金鑰管理提出需求。 美國國家標準與技術協會(NIST)使用密碼模組驗證程式(CMVP)來判斷加密演算法的特定實現是否符合 FIPS 140 標準。 只有在已提交且已超過 NIST 驗證的情況中,才會將加密演算法的實現視為符合 FIPS 140。 即使該實現產生相同的資料做為相同演算法的驗證實現,也無法將尚未提交的演算法視為 FIPS 相容。

在這些支援的 Windows 版本之前,當 Windows 處於 FIPS 模式時,BitLocker 會禁止建立或使用復原密碼,而是強迫使用者使用復原金鑰。 如需這些問題的詳細資訊,請參閱支援文章kb947249

但在執行這些支援系統且已啟用 BitLocker 的電腦上:

  • 在 Windows 處於 FIPS 模式時,可以建立 FIPS 相容的恢復密碼保護器。 這些保護器使用 FIPS 140 NIST SP800-132 演算法。
  • 在 Windows 8.1 上的 FIPS 模式中建立的復原密碼,可以與其他系統上建立的復原密碼區別。
  • 使用 FIPS 相容演算法的 [恢復密碼保護程式] 進行的復原解除鎖定,在目前適用于復原密碼的所有案例中都能正常運作。
  • 當 FIPS 相容的復原密碼解除鎖定時,即使在 FIPS 模式中,仍會解除鎖定,以允許讀/寫存取。
  • FIPS 相容的恢復密碼保護器可以在 FIPS 模式中匯出並儲存在 AD a 中。

針對支援 BitLocker 的所有 Windows 版本(無論是否在 FIPs 模式中),復原密碼的 BitLocker 群組原則設定都是相同的。

不過,您無法在 Windows Server 2012 R2 和 Windows 8.1 之前的系統上,使用 FIPS 模式的系統上產生的復原密碼。 在 windows server 2012 R2 和 Windows 8.1 2012 上建立的復原密碼無法與 Windows Server R2 和 Windows 8.1 之前作業系統上的 BitLocker 相容;因此,您應該改用復原金鑰。

更多資訊