我正在寻求帮助,通过组策略创建 BitLocker 策略。我自己做这件事失败了,需要比我更有经验的人的帮助。
服务器:Windows Server 2012 客户端:Windows 7 Ultimate,它们是带有 TPM 模块的戴尔笔记本电脑(2014 年)
- 完整的本地磁盘加密
- 我希望启动过程尽可能简单。我不希望用户在启动时输入 PIN。我想要的唯一保护是,如果硬盘被移除,他们将无法查看内容
- 恢复密钥应存储在 AD 中,并通过 AD 进行管理
- 任何插入笔记本电脑的 USB 驱动器在使用前都需要进行 BitLocker 加密,并且可以进行 PIN 保护(4 位数字 PIN)
以上是否可行,有人能帮助进行 GPO 设置吗。
我遵循了许多指南并部署了一项策略,但我看到错误消息,指出我的 GPO 具有矛盾的设置或类似的消息。
谢谢
詹姆士
答案1
在 AD 中存储密钥(确保已经扩展了架构 -https://technet.microsoft.com/en-us/library/dd875533(v=WS.10).aspx) - Windows 组件/BitLocker 驱动器加密 - 将 BitLocker 恢复信息存储在 Active Directory 域服务中(Windows Server 2008 和 Windows Vista) - 要求将 BitLocker 备份到 AD DS - 已启用,选择适当的我们使用选择要存储的 BitLocker 恢复信息:恢复密码和密钥包
对于硬盘驱动器,您有针对操作系统和其他固定硬盘驱动器的特定设置。根据需要设置两者。选择如何恢复受 BitLocker 保护的操作系统驱动器 - 配置 BitLocker 恢复信息的用户存储:需要 48 位恢复密码 允许 256 位恢复密钥 从 BitLocker 设置向导中省略恢复选项:已启用 将 BitLocker 恢复信息保存到操作系统驱动器的 AD DS:已启用 配置将 BitLocker 恢复信息存储到 AD DS:存储恢复密码和密钥包 在将恢复信息存储到操作系统驱动器的 AD DS 之前,请勿启用 BitLocker:已启用
可移动驱动器 (USB) - Windows 组件/BitLocker 驱动器加密/可移动数据驱动器 控制可移动驱动器上 Bitlocker 的使用:已启用 拒绝对未受 Bitlocker 保护的可移动驱动器进行写访问:已启用 允许用户暂停和解密可移动数据驱动器上的 BitLocker 保护:已禁用 选择如何恢复受 BitLocker 保护的可移动驱动器 - 将可移动数据驱动器的 BitLocker 恢复信息保存到 AD DS:已启用 配置将 BitLocker 恢复信息存储到 AD DS:备份恢复密码和密钥包 配置可移动数据驱动器密码的使用(无 PIN,但您可以将密码设置为 4 个字符并禁用复杂性,我们不会):已启用 配置可移动数据驱动器的密码复杂性:允许密码复杂性 可移动数据驱动器的最小密码长度:8