组策略配置BitLocker详解

时间  2021-01-19
标签 shell windows 网络 ide 工具 测试 加密 spa 操作系统 栏目 Unix 繁體版
原文   原文链接

老板昨天让豆子看看怎么统一配置一下BitLocker。豆子花了一天把网上的资料都翻了翻,中文资料基本太初级没用,英文的资料却是不少,不过至关的凌乱,大概看了7,8份不一样的参考资料,本身小结了一下整个最基本的配置流程。BitLocker的各类应用场景不少,有些东西限于水平和时间,可能不够精确,之后会慢慢修正和添加。shell


如下解释都是豆子的大白话理解:windows


基本定义:首先说说什么是BitLocker, 简单的说就是用来加密硬盘的,这样若是硬盘丢了,在其余的计算机上,若是没有正确的密码,是没法访问的。网络


硬件:Bitlocker的使用须要硬件的支持,这个硬件模块叫TPM,通常计算机都有,能够在设备管理器里面查看。可是,Macbook上面没有这个东西,所以苹果电脑上若是装了Windows系统,并且还想使用 Bitlocker这个功能,须要额外使用USB或者单独的密码来验证,这个本文不作讨论~  ide


操做系统:  OSX和Linux是不支持的。操做系统 win7 pro以前的是不支持的,win7支持的版本也只限于Ultimate和Enterprise版本,Win8以后的各类版本都支持。工具


怎么玩测试


BitLocker把硬盘分为OS,Data和removable 3大类,均可以进行加密,加密以后会看见盘符上面多了一把锁;若是能够访问的状态锁是打开的,若是不能访问的话锁会扣上;解锁通常有3种方式:password或者叫作PIN,recovery key以及 data recovery agent(其实就是证书解锁)。锁上以后任何一种方式都能解锁姿式~。 ui


PIN通常能够有用户本身设定,他会同时生成一个Recovery Key,若是忘记了密码,能够经过这个Key来解锁,这个Key能够保存在文件,网络或者AD中; data recovery agent则是一个签发的证书,只要在对应的电脑上导入了对应的certificate和private key,就能够经过这个证书的Thumprint来解锁。这个东西比较麻烦和混淆,后面会作具体说明。加密


额外还有不少具体的设置,好比你能够设定某台电脑上链接的硬盘都自动解锁,网络解锁,用户设置PIN,操做系统的硬盘开机前额外验证PIN等等。spa



具体操做:操作系统

下面来看看具体怎么配置的步骤:

  1. 添加Scheme

  2. 配置权限,容许保存Recovery key到AD

  3. DC安装BitLocker的feature

  4. 配置CA和签署证书

  5. 配置GPO组策略

  6. 推送已有的BitLocker的计算机到AD

  7. 使用manage-bde工具来测试



  1. 首先看看Scheme

    通常说来,Server 2008 R2之后的DC是不须要手动添加的了,能够经过这个Powershell命令查看,若是返回值有下面5个对象,那么恭喜,第一步就能够略过了。

PS C:\WINDOWS\system32> Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like "*ms-FVE*"}
DistinguishedName                                                                Name                       ObjectClass     ObjectGUID                          
-----------------                                                                ----                       -----------     ----------                          
CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au ms-FVE-RecoveryInformation classSchema     6dc4c79b-f090-4930-abb3-05b6a0c6db49
CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au        ms-FVE-RecoveryGuid        attributeSchema 6e84277d-64df-4147-85af-4cf84fd3620f
CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-VolumeGuid          attributeSchema c6cb202b-59b3-485f-b063-fd85319c57d9
CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au    ms-FVE-RecoveryPassword    attributeSchema 6370af52-3375-4961-8f67-50f9dbc6d9b2
CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=omnicom,DC=com,DC=au          ms-FVE-KeyPackage          attributeSchema 2b3a4e41-35ca-4c41-b09f-0286bb80086


2. 给AD添加权限


首先须要从官网下载几个VBS的脚本。如今都Powershell的时代了,微软也没改进一下10年前的方法~~

 

https://technet.microsoft.com/en-us/library/dn466534.aspx#Sample scripts


复制粘贴脚本而后保存到DC的C:\Bitlocker目录下


wKioL1mD2D6DbUKsAABS8Q_jXVs593.jpg


执行

wKiom1mD1WDgcgCDAACrHoVw3t0058.jpg


而后就能够添加权限了。

打开ADUC , 对应存放计算机对象的OU上,而后Delegate Control

wKiom1mD2fXSR7O6AACZixSOhwU247.jpg

打开向导

wKiom1mD2fXgTKLhAAB3rHbdxtc629.jpg

添加用户

wKioL1mD2faTz7-LAABL4Nf_-rk283.jpg

添加Self

wKiom1mD2fawfZHMAABj625UZUg974.jpg


选择自定义

wKioL1mD2ffArZmyAACAN_9DdDU951.jpg


选择对象Computer

wKiom1mD2fij46oZAACzzEmD-F4029.jpg


选择权限,写入TPM的信息

wKioL1mD2fmAJWWuAAChAZlzI5Q295.jpg

结束

wKioL1mD2fqC8ulfAAC3Z5cdRMg616.jpg


这样计算机就有权限把TPM的信息写入AD了


3. DC上安装BitLocker的feature,这个没啥好说的,点开Server Manager,安装BitLocker,重启DC。DC会自动安装Bitlocker Viewer。


4. 配置CA和证书。 data recovery agent的配置是全部过程里面最让人混淆的一步。CA的配置这里不赘述了,主要是关于证书的签发。有些文档说须要复制一份Key Recovery 的证书模板,而后手动添加Application Extension,签发给用户,最后再配置证书和私钥到对应的计算机上。豆子本身的测试结果并很差使。


实际测试的结果显示,不须要这么麻烦,我能够直接签发basic EFS的证书,而后成功利用这个证书在多台计算机上解锁U盘。

MMC里面打开Certificate的SnapIn,Personal -> Certificate -> Request New Certificate


wKioL1mD41rC_duAAAChJtBW_Sk828.jpg


一路Next下去


wKiom1mD4-GiwSeFAACAvtSsTJQ245.jpg

wKioL1mD4-GDtcSkAAB1aFRb3o0531.jpg


选择Basic EFS~

wKiom1mD4-LChuAlAACYn5MEiWE545.jpg


成功Enrol以后找到这个签发的证书,双击,选择‘Copy to File’


wKioL1mD5JLx5lXaAACE4P7RtaI176.jpg


wKioL1mD5JTjsmFiAAB8uPZACqI577.jpg


注意要导出私钥

wKiom1mD5JWgdrv3AABzY3Dbspw761.jpg


把导出的PFX文件保存好,稍后须要安装到须要测试的计算机上。


5. 重头戏来了,配置GPO,官方推荐的配置以下,固然能够根据本身的须要进行修改

https://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx


不过上面的内容仅仅是BitLocker的一部分,还须要修改下面的组策略

Computer Configuration -> Administrative Template -> System -> Trusted Platform Module Service


wKioL1mD5fuhdxmMAAFGiAl8iT4918.jpg


Enable 这个服务。 豆子的DC是windows 2008 R2,听说 Windows 2012里面这个选项就已经没有了

wKiom1mD5fyQMCqwAADn5QG7B94311.jpg


除此觉得,咱们还须要配置Data Recovery Agent的GPO


  1. Computer Configuration -> Policies ->Windows Settings-> Security Settings->Public Key Policies, 而后右击 BitLocker Drive Encryption 选择 Add Data Recovery Agent…

wKioL1mD5tCQEI-1AACqTLGvulM431.jpg

点击Next


wKioL1mD57ijunxmAACA6d1cUtM051.jpg



这里我直接选择Browse Directory, 而后选择我本身的帐户(由于以前我签发的EFS证书是用本身的帐户)


wKiom1mD57ngcrexAAB-l_RjbUY777.jpg


他会提示我选择绑定哪个证书,由于我作测试在本身的帐户上签发了N个不一样的证书,选择前面咱们生成的那个EFS 的就能够了

wKiom1mD57rjbygNAABZerBXyhU914.jpg


这里能够绑定任意多个,理论上任何一个都是能够用来解锁的


到这一步,基本上配置就都完成了。剩下的就是推送GPO到计算机了。


6. 若是已经有计算机打开BitLocker了,那么咱们还须要推送已有的Recovery Key到AD上。


执行下面命令,获取对应磁盘的ID和密码

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
    Numerical Password:
      ID: {5AE32687-8E48-46D9-8096-9394B996323A}
      Password:
        003135-453508-448393-555390-091179-159577-396374-379665
    TPM:
      ID: {D25D3302-CC81-4FA5-BA41-F84F64D4246F}
      PCR Validation Profile:
        7, 11
        (Uses Secure Boot for integrity validation)
    Data Recovery Agent (Certificate Based):
      ID: {7184E029-D82C-47D8-AEA1-507E1EB8FAC6}
      Certificate Thumbprint:
        482bda8296519fbdb95e3228ff021d1cf2c62ab2


推送到AD

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -adbackup c: -id '{5AE32687-8E48-46D9-8096-9394B996323A}'
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Recovery information was successfully backed up to Active Directory.
PS C:\WINDOWS\system32>


登录ADUC,查看一下已经成功保持到AD了


wKioL1mD6avDXbiGAAB13l7XURM124.jpg



7. 测试


我电脑上弄了3种类型的盘符,一个是操做系统C盘,一个是放数据的E盘,还有一个U盘 D。

wKioL1mD6qHiFHueAABNJihdBUM115.jpg

看看状态


PS C:\WINDOWS\system32> 
PS C:\WINDOWS\system32> .\manage-bde.exe -status
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]
    Size:                 231.29 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: omnicom
    Key Protectors:
        Numerical Password
        TPM
        Data Recovery Agent (Certificate Based)
Volume E: [Data]
[Data Volume]
    Size:                 0.49 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: omnicom
    Automatic Unlock:     Disabled
    Key Protectors:
        Numerical Password
        Password
        Data Recovery Agent (Certificate Based)
Volume D: [Label Unknown]
[Data Volume]
    Size:                 Unknown GB
    BitLocker Version:    2.0
    Conversion Status:    Unknown
    Percentage Encrypted: Unknown%
    Encryption Method:    AES 128
    Protection Status:    Unknown
    Lock Status:          Locked
    Identification Field: Unknown
    Automatic Unlock:     Disabled
    Key Protectors:
        Numerical Password
        Password
        Data Recovery Agent (Certificate Based)


D盘和E盘我能够在图像界面设置密码或者修改密码 , D盘目前木有显示是由于我故意把他锁住了。事实上,U盘一旦拔出来,再插回去,不论是不是同一台电脑,只要以前在他上面打开了Bitlocker,他的状态都是锁住的,须要使用任意三种方式之一来解锁才能访问。

wKioL1mD6-vxpztoAAB-KMZgUeU689.jpg


下面演示一下如何解锁,双击D盘,他会弹出下面的对话框,咱们能够输入本身设置的密码解锁,或者recovery key解锁,recovery key能够在ADUC上查看,或者在解锁状态下经过manage-bde -protectors -get d: 查看


wKiom1mD7KfRElHfAABwGs4gTac640.jpg



解锁以后就能够访问了

wKiom1mD7S_AHJK-AAAxYiRAUS0102.jpg


最后看看如何经过证书解锁


首先手动锁上D盘

PS C:\WINDOWS\system32> .\manage-bde.exe -lock d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: is now locked


查看一下对应的证书是否配置,指纹是什么

PS C:\WINDOWS\system32> .\manage-bde.exe -protectors -get d:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume D: [Label Unknown]
All Key Protectors
    Numerical Password:
      ID: {92319191-E7DC-4393-875A-663926AC47D7}
    Password:
      ID: {DCF42582-F2C3-44A7-81E2-6FC26685060E}
    Data Recovery Agent (Certificate Based):
      ID: {AD39876C-3D7C-4444-91BA-EFE6C11ACE34}
      Certificate Thumbprint:
        482bda8296519fbdb95e3228ff021d1cf2c62ab2


在当前计算机上,导入这个证书指纹对应的证书和私钥(第4步导出的那个证书文件)到personal,而后执行下面的命令,一样能够解锁。

PS C:\WINDOWS\system32> manage-bde -unlock d: -certificate -ct 482bda8296519fbdb95e3228ff021d1cf2c62ab2
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
The certificate successfully unlocked volume D:.


综述,上面演示了一个基本的流程来在AD环境里面配置和使用BitLocker,有些细节限于篇幅没有详细解释。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程