Questions tagged «bitlocker»

1
使用BitLocker时如何检查硬盘是否已通过软件或硬件加密?
由于最近的安全性研究结果,即可能大多数SSD都以一种幼稚的方式破坏了加密,我想检查哪些BitLocker计算机正在使用硬件加密,哪些计算机正在使用软件。 我找到了一种禁用硬件加密的方法,但是我不知道如何检查是否正在使用硬件加密(在这种情况下,我将不得不重新加密驱动器)。我该怎么办? 我知道manage-bde.exe -status哪个给了我这样的输出: Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [Windows] [OS Volume] Size: 952.62 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 128 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: …

3
如何设置BitLocker PIN?
我正在运行Windows 7 RTM,并且两个物理驱动器均已BitLockered。因为我的机器有TPM,所以开机时可以很好地启动所有机器。但是,如果我在引导时要求输入密码,我的老板会更喜欢。 我发现了这篇文章:http: //4sysops.com/archives/review-windows-7-bitlocker/告诉我要设置哪些组策略标志,以使BitLocker在启动时可以挑战PIN。 在系统已经加密的情况下,我找不到如何设置此PIN? 我也遇到过http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx,并且很好奇要对已经加密的系统安全使用以下建议中的哪些?
15 bitlocker 

2
如何在不提示最终用户的情况下启用BitLocker
我已经在组策略中配置了BitLocker和TPM设置,以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7,并在BIOS中启用并激活了它们的TPM芯片。 我的目标是做到这一点,以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是,要使此过程顺利进行,有一个小的障碍。 在GUI中,当用户启用BitLocker时,必须使用自动生成的所有者密码初始化TPM。但是,将向用户显示恢复密码,并提示他们将其保存到文本文件。我似乎无法隐藏此对话框,因此无法跳过该步骤。由于密钥已成功备份到AD,因此这是不需要的(也是不必要的)提示。 如果对部署进行脚本编写,则在初始化TPM时必须在脚本中提供所有者密码,并且希望以GUI的方式随机生成它。 有什么方法可以使BitLocker部署真正实现我想要的零接触?

2
TPM必须重新初始化:是否必须将新的恢复密码上传到AD?
以某种方式,用户的计算机无法从TPM芯片上读取位锁密码,因此我必须输入恢复密钥(存储在AD中)才能进入。没什么大不了的,但是一旦进入计算机,我尝试根据恢复文档挂起bitlocker,并收到有关未初始化TPM的错误消息。我知道TPM已启动并已在BIOS中激活,但是Windows仍然让我重新初始化TPM芯片,并在此过程中创建了新的 TPM所有者密码。 我发现这很奇怪,因为它提示我保存或打印该密码(没有选择不要这样做),但是它没有引用恢复密码,也没有将此密码备份到AD。 用户拿起笔记本电脑离开后,我开始思考如果TPM密码更改了,恢复密码也会更改吗?如果是这样,则需要将新的恢复密码上载到AD,但是MS的文档没有明确说明,并且当组策略说新的恢复密钥(如果存在)时,不会自动将新的恢复密钥备份到AD。必须,并且从网络角度来看,AD是可访问的。
8 bitlocker  tpm 

1
具有Windows DPAPI加密密钥管理的BitLocker
我们需要在可从Hyper-V虚拟机访问的iSCSI LUN上实施静态加密。 我们已经在Hyper-V虚拟服务器上使用Windows Server 2012使用BitLocker实施了可行的解决方案,该服务器具有对SAN上LUN的iSCSI访问权限。我们可以通过使用THIS POST中定义的“软盘密钥存储”技巧成功地做到这一点。但是,这种方法对我来说似乎是“骗子”。 在我的继续研究中,我发现Amazon Corporate IT团队发布了一份WHITEPAPER,该白皮书准确地概述了我在一个更优雅的解决方案中所需要的内容,而没有“软盘黑客”。在此白皮书的第7页上,他们声明他们实现了Windows DPAPI加密密钥管理来安全地管理其BitLocker密钥。这正是我要执行的操作,但是他们表示必须编写脚本才能执行此操作,但是他们没有提供脚本,甚至没有提供有关如何创建脚本的指针。 是否有人详细说明如何创建“与服务结合的脚本以及受服务器的计算机帐户DPAPI密钥保护的密钥存储文件”(如白皮书中所述)以管理和自动解锁BitLocker卷?任何建议表示赞赏。 -编辑1- 根据以下Evan的回答,这是我已经弄清楚的内容,但我仍然很困惑。 我假设使用PsExec并运行以下命令,PowerShell在System帐户下运行,并且它将“加密带有计算机帐户密码的字符串”,如Evan所述。它是否正确? PsExec.exe -i -s Powershell.exe 然后从PS内部,(以本文为参考),我运行以下命令来生成SecureString密码: ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt 这给了我一个包含安全字符串的文件,格式为“ 01000000d08c…”(总共524个字符)。然后,我现在可以创建一个计划任务以在启动时运行,该任务使用以下命令加载密码(作为SecureString)并将其传递给Unlock-BitLocker命令: $SecureBitLockerPassword = Get-Content C:\securestring.txt | ConvertTo-SecureString Unlock-BitLocker -MountPoint "E:" -Password $ SecureBitLockerPassword 但是,如果我只是将加密的密码作为文件存储在硬盘上,那么加密和解密密码有什么意义呢?这与以纯文本格式存储密码并使用以下内容(无需创建安全字符串文件)一样安全吗? $SecureString = ConvertTo-SecureString " MyBitLockerPassword " …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.