Bitlocker

BitLocker 組策略要求

  • January 21, 2015

我正在尋求有關通過組策略創建 BitLocker 策略的幫助。我自己沒有做到這一點,需要比我更有經驗的人的幫助。

伺服器:Windows Server 2012 客戶端:Windows 7 Ultimate & 它們是帶有 TPM 模組的戴爾筆記型電腦 (2014)

  • 完全本地磁碟加密
  • 我希望啟動盡可能簡單。我不希望使用者在啟動時必須輸入 PIN。我想要的唯一保護是如果硬碟被移除,他們將無法查看內容
  • 恢復密鑰應儲存在 AD 中並通過那裡進行管理
  • 任何插入筆記型電腦的 USB 驅動器都需要在使用前進行 BitLocker 加密,並且可以使用 PIN 保護(4 位數字 PIN)

以上是否可能,任何人都可以幫助 GPO 設置

我遵循了許多指南並部署了策略,但我可以看到錯誤消息指出我的 GPO 有矛盾的設置或類似的消息。

謝謝

詹姆士

在 AD 中儲存密鑰(確保您已擴展架構 - https://technet.microsoft.com/en-us/library/dd875533(v=WS.10).aspx) - Windows 組件/BitLocker 驅動器加密 - 儲存Active Directory 域服務(Windows Server 2008 和 Windows Vista)中的 BitLocker 恢復資訊 - 需要將 Bitlocker 備份到 AD DS - 已啟用,選擇我們使用的適當的選擇 BitLocker 恢復資訊來儲存:恢復密碼和密鑰包

對於硬碟驅動器,您有特定於作業系統和其他固定硬碟驅動器的設置。根據需要設置兩者。選擇如何恢復受 BitLocker 保護的作業系統驅動器 - 配置 BitLocker 恢復資訊的使用者儲存:需要 48 位恢復密碼 允許 256 位恢復密鑰 在 BitLocker 設置嚮導中省略恢復選項:已啟用 將 BitLocker 恢復資訊保存到 AD DS作業系統驅動器:已啟用 將 BitLocker 恢復資訊儲存到 AD DS:儲存恢復密碼和密鑰包 在作業系統驅動器的恢復資訊儲存到 AD DS 之前,不要啟用 BitLocker:已啟用

可移動驅動器 (USB) - Windows 組件/BitLocker 驅動器加密/可移動數據驅動器 控制在可移動驅動器上使用 Bitlocker:已啟用 拒絕對不受 Bitlocker 保護的可移動驅動器的寫訪問:已啟用 允許使用者暫停和解密可移動數據驅動器上的 BitLocker 保護:已禁用 選擇如何恢復受 BitLocker 保護的可移動驅動器 - 將 BitLocker 恢復資訊保存到可移動數據驅動器的 AD DS:已啟用 配置將 BitLocker 恢復資訊儲存到 AD DS:備份恢復密碼和密鑰包 配置可移動數據驅動器密碼的使用(沒有 PIN,但您可以將密碼設置為 4 個字元並禁用複雜性,我們不會):啟用 為可移動數據驅動器配置密碼複雜性:允許密碼複雜性 可移動數據驅動器的最小密碼長度:8

引用自:https://serverfault.com/questions/658020