我知道,当您强制将 BitLocker 恢复信息存储在 Active Directory 中(通过 GPO)时,它会存储在计算机对象的ms-FVE-恢复密码属性。微软还提供了有关如何使用 Active Directory 备份 BitLocker 驱动器加密恢复信息但是,尚不清楚这些信息从被加密的客户端传输到存储该信息的域控制器的安全性如何。
我的问题是,当此恢复密码从客户端传递到 Active Directory 时,它是否已加密,或者是否以明文形式发送。我假设它是加密的,但为了理智起见,我想验证这一点。
有人知道吗?
答案1
看到 AD 和您的计算机帐户之间已经有 PKI 对,我会假设它是使用该签名加密的。只有一种方法可以检查它,但我没有任何 BitLocker 加密系统,也不在我的网络上进行验证。