标签: bitlocker

由于最近的安全发现可能大多数 SSD 都以一种完全幼稚和破坏的方式实现加密，我想检查我的哪些 BitLocker 机器正在使用硬件加密，哪些机器正在使用软件。

我找到了一种禁用硬件加密的方法，但我不知道如何检查我是否使用了硬件加密（在这种情况下，我必须重新加密驱动器）。我该怎么做？

我知道manage-bde.exe -status这给了我一个输出，例如：

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [Windows]
[OS Volume]

    Size:                 952.62 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

但我不知道我想要的信息是否在这个屏幕上。

我正在运行 Windows 7 RTM 并且有两个物理驱动器 BitLockered。因为我的机器有一个 TPM，当我打开它时它会很好地启动。但是我的雇主更愿意在启动时要求我输入密码。

我找到了这篇文章：http: //4sysops.com/archives/review-windows-7-bitlocker/，它告诉我要设置哪些组策略标志才能让 BitLocker 在启动时挑战 PIN。

鉴于系统已经加密，我找不到如何设置此 PIN？

我也遇到过http://technet.microsoft.com/en-us/library/dd875532%28WS.10%29.aspx并且很想知道这些建议中的哪些可以安全地应用于已经加密的系统？

我在组策略中配置了 BitLocker 和 TPM 设置，以便设置所有选项并将恢复密钥存储在 Active Directory 中。我们所有的机器都运行带有标准企业形象的 Windows 7，并在 BIOS 中启用并激活了它们的 TPM 芯片。

我的目标是让所有用户必须做的就是单击启用 BitLocker 并让它消失。微软甚至提供了可以通过脚本部署的自动化示例。但要使这一过程顺利进行，有一个小问题。

在 GUI 中，当用户启用 BitLocker 时，它必须使用自动生成的所有者密码初始化 TPM。但是，恢复密码会显示给用户，并提示他们将其保存到文本文件中。我似乎无法抑制此对话框，并且无法跳过该步骤。这是一个不需要的（也是不必要的）提示，因为密钥已成功备份到 AD。

如果我编写部署脚本，我必须在初始化 TPM 时在脚本中提供所有者密码，并且我希望它像 GUI 那样随机生成。

有什么方法可以让 BitLocker 部署真正按照我想要的方式实现零接触？

以某种方式，用户的机器无法从 TPM 芯片读取 bitlocker 密码，我必须输入恢复密钥（存储在 AD 中）才能进入。没什么大不了的，但是一旦进入机器，我尝试根据恢复文档暂停 bitlocker，并收到有关 TPM 未初始化的错误消息。我知道 TPM 已打开并在 BIOS 中激活，但 Windows 仍然让我重新初始化 TPM 芯片，并在此过程中创建了一个新的TPM 所有者密码。

我发现这很奇怪，因为它提示我保存此密码或打印它（没有不这样做的选项），但它没有提及恢复密码，也没有将此密码备份到 AD。

在用户拿起她的笔记本电脑离开后，我开始思考如果 TPM 密码更改，恢复密码是否也会更改？如果是这样，则需要将新的恢复密码上传到 AD，但 MS 的文档没有说明这一点，并且不会在组策略规定时自动将新的恢复密钥（如果存在）备份到 AD必须，并且从网络的角度来看 AD 是可访问的。

我们需要在可从 Hyper-V 虚拟机内访问的 iSCSI LUN 上强制执行静态加密。

我们已经使用 BitLocker 实施了一个可行的解决方案，在 Hyper-V 虚拟服务器上使用 Windows Server 2012，该服务器具有对我们 SAN 上的 LUN 的 iSCSI 访问权限。我们能够通过使用THIS POST 中定义的“软盘密钥存储”黑客成功地做到这一点。但是，这种方法对我来说似乎很“笨拙”。

在我的持续研究中，我发现亚马逊企业 IT 团队发布了一份白皮书，其中准确概述了我在更优雅的解决方案中寻找的内容，没有“软盘黑客”。在本白皮书的第 7 页，他们声明他们实施了Windows DPAPI 加密密钥管理来安全地管理他们的 BitLocker 密钥。这正是我想要做的，但他们说他们必须编写一个脚本来做到这一点，但他们没有提供脚本，甚至没有提供关于如何创建脚本的任何指示。

有没有人详细了解如何创建“与服务和受服务器计算机帐户 DPAPI 密钥保护的密钥库文件结合的脚本”（正如他们在白皮书中所述）来管理和自动解锁 BitLocker 卷？任何建议表示赞赏。

--- 编辑 1 ---

根据下面埃文的回复，这是我想出来的，但我仍然被卡住了。

我假设使用PsExec并运行以下命令，PowerShell 正在系统帐户下运行，并且它将“使用机器帐户的密码加密字符串”，正如 Evan 所说。这样对吗？

PsExec.exe -i -s Powershell.exe

然后在 PS 中，（使用这篇文章作为参考）我运行这个命令来生成 SecureString 密码：

ConvertTo-SecureString -String "MyBitLockerPassword" -AsPlainText –Force | ConvertFrom-SecureString | Out-File C:\securestring.txt

这给了我一个包含“01000000d08c...”格式的安全字符串的文件（总共524个字符）。然后，我现在可以创建一个在启动时运行的计划任务，它使用以下内容加载密码（作为 SecureString）并将其传递给Unlock-BitLocker命令： …

我们正在 Dell PowerEdge R620 硬件上运行新的 Windows 2008 R2 服务器。

我正在尝试在 C 驱动器上启用 BitLocker 加密，我已经从 BIOS 启用了 TPM。

在检查您的计算机配置的阶段，我们收到一条错误消息

“BitLocker 安装程序要求驱动器文件系统为 NTFS。转换文件系统并再次运行 BitLocker 安装程序。”

C 盘实际上是 NTFS，但我们注意到有几个额外的分区是由戴尔自动添加的，主要是一个 39 MB 的 OEM 分区和一个 2GB 标记为“OS”的 FAT32 分区。

我想知道是否有人遇到过类似的情况，因为我现在正试图弄清楚如何继续前进？理想情况下，我希望保留任何戴尔分区，如果这意味着我们有实用程序可用于在硬件出现问题时对其进行故障排除。

对此配置问题的任何见解将不胜感激。

是否有可能以某种方式（启动脚本？）阻止任何未加密的计算机连接到域？

环境：Windows 活动目录，1000 台左右的计算机，主要是 bitlocker 加密，在 win 7 或 10 企业版上约为 50/50。

我很快就会为我们的移动员工购买一些运行 Windows 7 的笔记本电脑。由于我们业务的性质，我需要驱动器加密。Windows BitLocker 似乎是显而易见的选择，但看起来我需要购买 Windows 7 Enterprise 或 Ultimate 版本才能获得它。任何人都可以提供有关最佳行动方案的建议：

a) 使用 BitLocker，咬紧牙关，付费升级到 Enterprise/Ultimate

b) 购买另一个更便宜的 3rd 方驱动器加密产品（建议表示赞赏）

c) 使用免费的驱动加密产品，例如 TrueCrypt

理想情况下，我也对使用驱动器加密软件的人的“真实世界”体验和任何需要注意的陷阱感兴趣。

提前谢谢了...

更新

由于以下原因，决定使用 TrueCrypt：

a) 产品有良好的记录

b) 我没有管理大量笔记本电脑，因此与 Active Directory、管理控制台等集成并不是一个巨大的好处

c) 尽管 eks 确实对 Evil Maid (EM) 攻击提出了很好的观点，但我们的数据并不能将其视为主要因素

d) 成本（免费）是一大优势，但不是主要动力

我面临的下一个问题是成像 (Acronis/Ghost/..) 加密驱动器将无法工作，除非我执行逐个扇区的成像。这意味着一个 80Gb 的加密分区会创建一个 80Gb 的图像文件:(

我们公司的笔记本电脑已经使用了 2 年多，它们都变得很慢，其中许多最近的硬盘随机死机。我注意到我的许多同事在他们的扩展坞上使用倾斜的姿势。我想这对于磁盘性能和耐用性来说并不理想。所以我想用SSD替换所有磁盘。

我以前克隆（引导）磁盘，主要是在服务器环境中，曾经在家里的笔记本电脑（运行 Linux）中使用 dd：

dd if=/dev/sda of=/dev/sdb bs=32M

但是，我从未对使用 Bitlocker 加密的 NTFS 驱动器执行过此操作。这会起作用吗？我不想购买一堆 SSD 只是为了发现我的计划有缺陷。

Windows 10，服务器 2012 R2 域

我对离线恢复 bitlocker 加密驱动器的选项感到困惑。

假设我正在使用 TPM（不将密钥存储在 USB/软盘驱动器上）使用 bitlocker 加密域计算机的 HDD，并将密钥备份到 AD，并且这些密钥可供我使用。

我可以从这些 TPM bitlocker 加密计算机中的其中一台拉出硬盘驱动器，然后将其作为外部驱动器连接到另一台计算机（使用 USB 到 SATA 电缆或其他任何东西），然后从 AD 恢复该驱动器的 bitlocker 密钥并使用它来解密它和读取数据？