BitLocker 恢复密钥文件和数字密码之间有什么区别这会对我解锁驱动器的能力产生负面影响在灾难场景中?
我经常使用 BitLocker 加密用于备份的 USB 硬盘。我将文件保存.BEK在要备份的服务器上,并使用它来解锁驱动器。不过,我还将数字密码以及文件的副本保存在异地.BEK。
如果没有必要将这两项都保存在异地,那么不保存会更简单。但在我停止这样做之前,我需要知道是否有任何差异或陷阱我需要考虑这两种解锁方法。
一些细节
- 我在 Server 2008、Server 2008 R2、Server 2012 和 Server 2012 R2 机器上执行此操作
- 我从不将密钥存储在 TPM 中
- 我使用“常规” BitLocker(不是 To-Go)
在服务器上2008/R2我使用以下方式启用 BitLocker:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp
在服务器上2012/R2我使用以下方式启用 BitLocker:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
答案1
您发布的命令正在为您指定的卷打开 BDE 加密、将恢复密钥文件 ( -rk) 保存到C:\BitLocker Keys并生成数字恢复密码 ( -rp)。
如果需要恢复 Bitlocker 加密卷,可以使用任何一个恢复密钥文件或数字恢复密码。您不需要两者……如果您不打算备份两者,我有点好奇您为什么要生成两者。如果您只打算使用其中一个,那么您也可以从命令中删除另一个(-rk或-rp),而不是生成您一开始就不会使用的恢复选项。
这两种方法之间的差异似乎并不适用于您的用例 - 您似乎并没有将恢复密钥存储在 Active Directory 中,也没有加密系统驱动器,因此您实际上可以选择您喜欢的方法。
因此,总而言之,无论哪种方式都足以达到恢复目的;不需要两者。
在我为公司领导开展的 BDE 项目中,我只生成一个数字恢复密钥,该密钥会备份到 Active Directory,并依靠 TPM 模块存储加密密钥,以便为最终用户解锁驱动器。工作正常,但实际上输入的是 48 个字符的字符串使用功能键在计算机上恢复比我想承受的更痛苦,所以如果我必须重来一次,我可能会依靠恢复密钥文件,无论它有什么价值。