背景
我所在的公司向医疗诊所出租医疗检测设备。这些设备未加入域,只能通过我们的 MDM 解决方案访问。这些设备连接到一个 Web 服务,该服务与这些设备交互以操作检测设备。由于这是一项 Web 服务,因此设备上不会存储任何类型的敏感 PHI 或 PII,内存除外。也就是说,不会将任何敏感信息写入磁盘。
最近,公司决定在所有这些设备上启用 BitLocker。它们都运行 Windows(7 或 8.1),并且都配有 TPM 模块。(我们确实向公司解释过,启用 BitLocker 不会给我们带来任何好处,但我认为他们希望这样做是出于营销目的或类似目的)。
问题
由于我们的设备数量达数千台,我希望尽可能简化技术支持团队的管理。在研究启用BitLockerPowerShell 的命令行程序,我找到了一个名为使用指定的恢复密钥启用 BitLocker,包括命令行条目和简短描述。
对我来说,这意味着可以提供我自己的恢复密钥。据我所知,每台设备都需要自己唯一的恢复密钥,但使用这个密钥会用通用恢复密钥加密唯一的恢复密钥,从而允许在所有设备上使用单个恢复密钥。
我曾尝试在其他地方查找有关此问题的更多信息,但找到的并不多。
我的问题
是否可以在所有设备上使用通用恢复密钥?我认为这是可能的,假设我对该命令行的解释是正确的,尽管我听到传言和怀疑,这可能需要将这些设备加入 Active Directory 域,但目前这是不可能的。
除了安全影响(丢失通用密钥会导致所有设备解密)之外,在实施此解决方案时是否还有其他问题需要我进一步探讨,或者也许我没有考虑到可能使该解决方案不可能或不可取的事情?
答案1
Yup 可以使用 Bitlocker 和密码加密数据,例如:
$SecurePassword = (Read-Host -AsSecureString)
Enable-Bitlocker -Mountpoint $DriveLetter -EncryptionMethod Aes256 -Password $SecurePassword -PasswordProtector -UsedSpaceOnly
这对我来说可以加密虚拟磁盘文件以进行异地备份......还没有在桌面/笔记本电脑的 C 盘上尝试过。
我会研究更全面的解决方案,以上仅用于测试。
Mcafee 和其他第三方公司可能也有管理云中密钥的解决方案。我相信 Microsoft Azure 也有管理云中密钥的方法。