BitLocker 的恢復密鑰文件和數字密碼有什麼區別嗎?
BitLocker 恢復密鑰文件和數字密碼之間是否有任何區別會對我在災難情況下解鎖驅動器的能力產生負面影響?
我經常使用 BitLocker 加密用於備份的 USB 硬碟驅動器。我將
.BEK文件保存在正在備份的伺服器上,並使用它來解鎖驅動器。但是,我還將數字密碼和文件副本保存在異地.BEK。如果沒有必要將這兩個都保存在異地,那麼不保存會更簡單。但在我停止這樣做之前,我需要知道這兩種解鎖方法之間是否存在任何差異或陷阱,我需要考慮到這一點。
一些細節
- 我在 Server 2008、Server 2008 R2、Server 2012 和 Server 2012 R2 機器上執行此操作
- 我從不將密鑰儲存在 TPM 中
- 我使用“正常”BitLocker(不是 To-Go)
在 Server 2008/R2上,我通過以下方式啟用 BitLocker:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp在 Server 2012/R2上,我啟用 BitLocker:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
您發布的命令為您指定的捲打開 BDE 加密,將恢復密鑰文件 (
-rk) 保存到C:\BitLocker Keys,並生成數字恢復密碼 (-rp)。如果您需要恢復 Bitlocker 加密的捲,您可以使用恢復密鑰文件或數字恢復密碼。你不需要兩者……如果你不打算備份兩者,我有點好奇你為什麼要生成兩者。如果你只打算使用一個,你也可以從你的命令中刪除另一個(
-rk或-rp),而不是生成一個你一開始不會使用的恢復選項。兩種方法之間的差異似乎不適用於您的案例 - 您似乎不會將恢復密鑰儲存在 Active Directory 中,或加密系統驅動器,因此您可以選擇您喜歡哪種方法.
因此,總而言之,任何一個都足以用於恢復目的;你不需要兩者。
在我為我的公司霸主工作的 BDE 項目中,我只生成一個數字恢復密鑰,它會備份到 Active Directory,並依靠 TPM 模組來儲存加密密鑰來為最終使用者解鎖驅動器. 工作正常,但實際上在電腦上用功能鍵輸入一個 48 個字元的字元串比我想對自己造成的痛苦要多一些,所以如果我不得不重新做一遍,我可能會改用恢復密鑰文件,不管怎樣這是值得的。