我正在运行一台有两个磁盘的小型 Windows Server 机器 - 一个用于操作系统和应用程序,一个用于数据。
我想使用 BitLocker 加密数据驱动器(使用密码就可以了,不需要 TPM),但就我而言,我只能在登录机器后才能解锁驱动器。由于机器上运行的某些服务的数据位于数据驱动器上(即 MSSQL 实例),这可能会破坏机器上的服务启动。
我可以在启动时(即服务启动前)输入密码,因为我可以从任何地方通过 VPN 和网络 KVM 切换器访问机器。
我已经阅读过一种通过任务计划程序中的启动时任务来执行此操作的方法,但恐怕这在启动过程中可能还为时已晚,无法确保依赖驱动器上数据的服务正常启动。
我想避免加密操作系统驱动器(这反过来当然会启用自动解锁辅助驱动器的可能性),因为这会影响性能。
如何才能实现数据驱动器的加密并在启动过程中尽早解锁?
答案1
此解决方案似乎要求您的计算机已加入域。(抱歉,如果您的情况并非如此。)
特殊服务保护者
您参考了任务计划程序,它将使用 -unlock 命令。(例子)
我建议使用不同的保护器,但是,我无法测试这一点,但您可以尝试:
管理-bde-保护器-添加 E:-sid Domain\Machine$-服务
E:作为您的小型空实验分区,以便您可以先尝试一些东西;)。
您可以使用 Windows GUI 正常加密 E: 分区;您可以使用 PDF 打印机来跳过“保存恢复密码”部分。不过不要把自己锁在外面。
从头开始:(您将需要在终端中输入密码;保存输出的恢复密钥。)
管理-bde -在 E: -UsedSpaceOnly -RecoveryPassword -密码 -sid Domain\Machine$ -服务
或按步骤进行,首先:
管理-bde -on E: -UsedSpaceOnly -RecoveryPassword -密码
管理-bde-保护器-添加 E:-sid Domain\Machine$-服务
如果出现问题(对于这个实验分区),manage-bde -off E:请先进行简单运行,然后再试一次。
现在我知道 -sid 用户引用在第一次登录后解锁驱动器;我希望机器/服务 sid 在启动期间解锁驱动器。
附加信息:
您的机器不在域中吗?恐怕这行不通。我从未在未加入域的计算机或虚拟机上使用过任何 -sid 命令。