Questions tagged «bitlocker»

由于最近的安全性研究结果，即可能大多数SSD都以一种幼稚的方式破坏了加密，我想检查哪些BitLocker计算机正在使用硬件加密，哪些计算机正在使用软件。 我找到了一种禁用硬件加密的方法，但是我不知道如何检查是否正在使用硬件加密（在这种情况下，我将不得不重新加密驱动器）。我该怎么办？ 我知道manage-bde.exe -status哪个给了我这样的输出： Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 952.62 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: …

25 windows  security  bitlocker 

我正在运行Windows 7 RTM，并且两个物理驱动器均已BitLockered。因为我的机器有TPM，所以开机时可以很好地启动所有机器。但是，如果我在引导时要求输入密码，我的老板会更喜欢。 我发现了这篇文章：http: //4sysops.com/archives/review-windows-7-bitlocker/告诉我要设置哪些组策略标志，以使BitLocker在启动时可以挑战PIN。 在系统已经加密的情况下，我找不到如何设置此PIN？ 我也遇到过http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx，并且很好奇要对已经加密的系统安全使用以下建议中的哪些？

15 bitlocker 

我已经在组策略中配置了BitLocker和TPM设置，以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7，并在BIOS中启用并激活了它们的TPM芯片。 我的目标是做到这一点，以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是，要使此过程顺利进行，有一个小的障碍。 在GUI中，当用户启用BitLocker时，必须使用自动生成的所有者密码初始化TPM。但是，将向用户显示恢复密码，并提示他们将其保存到文本文件。我似乎无法隐藏此对话框，因此无法跳过该步骤。由于密钥已成功备份到AD，因此这是不需要的（也是不必要的）提示。 如果对部署进行脚本编写，则在初始化TPM时必须在脚本中提供所有者密码，并且希望以GUI的方式随机生成它。 有什么方法可以使BitLocker部署真正实现我想要的零接触？

10 windows  active-directory  group-policy  bitlocker  tpm 

以某种方式，用户的计算机无法从TPM芯片上读取位锁密码，因此我必须输入恢复密钥（存储在AD中）才能进入。没什么大不了的，但是一旦进入计算机，我尝试根据恢复文档挂起bitlocker，并收到有关未初始化TPM的错误消息。我知道TPM已启动并已在BIOS中激活，但是Windows仍然让我重新初始化TPM芯片，并在此过程中创建了新的 TPM所有者密码。 我发现这很奇怪，因为它提示我保存或打印该密码（没有选择不要这样做），但是它没有引用恢复密码，也没有将此密码备份到AD。 用户拿起笔记本电脑离开后，我开始思考如果TPM密码更改了，恢复密码也会更改吗？如果是这样，则需要将新的恢复密码上载到AD，但是MS的文档没有明确说明，并且当组策略说新的恢复密钥（如果存在）时，不会自动将新的恢复密钥备份到AD。必须，并且从网络角度来看，AD是可访问的。

8 bitlocker  tpm 

我们需要在可从Hyper-V虚拟机访问的iSCSI LUN上实施静态加密。 我们已经在Hyper-V虚拟服务器上使用Windows Server 2012使用BitLocker实施了可行的解决方案，该服务器具有对SAN上LUN的iSCSI访问权限。我们可以通过使用THIS POST中定义的“软盘密钥存储”技巧成功地做到这一点。但是，这种方法对我来说似乎是“骗子”。 在我的继续研究中，我发现Amazon Corporate IT团队发布了一份WHITEPAPER，该白皮书准确地概述了我在一个更优雅的解决方案中所需要的内容，而没有“软盘黑客”。在此白皮书的第7页上，他们声明他们实现了Windows DPAPI加密密钥管理来安全地管理其BitLocker密钥。这正是我要执行的操作，但是他们表示必须编写脚本才能执行此操作，但是他们没有提供脚本，甚至没有提供有关如何创建脚本的指针。 是否有人详细说明如何创建“与服务结合的脚本以及受服务器的计算机帐户DPAPI密钥保护的密钥存储文件”（如白皮书中所述）以管理和自动解锁BitLocker卷？任何建议表示赞赏。 -编辑1- 根据以下Evan的回答，这是我已经弄清楚的内容，但我仍然很困惑。 我假设使用PsExec并运行以下命令，PowerShell在System帐户下运行，并且它将“加密带有计算机帐户密码的字符串”，如Evan所述。它是否正确？ PsExec.exe -i -s Powershell.exe 然后从PS内部，（以本文为参考），我运行以下命令来生成SecureString密码： ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt 这给了我一个包含安全字符串的文件，格式为“ 01000000d08c…”（总共524个字符）。然后，我现在可以创建一个计划任务以在启动时运行，该任务使用以下命令加载密码（作为SecureString）并将其传递给Unlock-BitLocker命令： $SecureBitLockerPassword = Get-Content C:\securestring.txt | ConvertTo-SecureString Unlock-BitLocker -MountPoint "E:" -Password $ SecureBitLockerPassword 但是，如果我只是将加密的密码作为文件存储在硬盘上，那么加密和解密密码有什么意义呢？这与以纯文本格式存储密码并使用以下内容（无需创建安全字符串文件）一样安全吗？ $SecureString = ConvertTo-SecureString " MyBitLockerPassword " …

8 amazon-ec2  windows-server-2012  iscsi  disk-encryption  bitlocker