企业中部署Bitlocker加密所有计算机磁盘

一、说明

在企业中去部署加密， 有时候情况会变得很复杂， 需要严密的去考虑实施计划和灾难恢复计划；

下面的内容中，抓取了关键的实施要点，展示了基本的实现效果。

阅读之前，需要您有一定程度的AD管理经验，Windows 7 使用经验。

二、测试环境

Server : Windows Server 2008 R2 + DC + DNS + DHCP

Client : Windows 7 Enterprise/Ultimate

三、前期工作

为每个客户端准备一个USB 存储设备（用于存储启动密钥）；

配置AD；

建立自定义的计算机OU；

将加入AD 的Windows 7 Enterprise/Ultimate 放置到该OU 中；

四、AD组策略配置

我们在测试环境启用了4个组策略：

计算机配置-策略-管理模板-WINDOWS 组件-BitLocker 驱动器加密 下的1个策略：

“将BitLocker恢复信息存储在Active Directory 域服务中”

计算机配置-策略-管理模板-WINDOWS 组件-BitLocker 驱动器加密-操作系统驱动器 下的3个策略：

“启动时需要附加身份验证”

“启动时需要附加身份验证（Windows Server 2008 和Windows Vista）”

“选择如何才能恢复受BitLocker 保护的操作系统驱动器”

特别注意：

在“启动时需要附加身份验证”2项组策略需要特别注意策略中的如下配置！  注意：我们国内是很难找到TPM 的！！

 

五、AD组策略实施

将我们配置好的组策略应用到自定义的计算机OU 上；

六、客户端加密

先加密C 盘（系统分区）， 再依次加密客户端所有分区，在加密C盘（系统盘时），必须要插入USB 存储以保存启动密钥；

恢复密钥可选择存储在相同的USB 存储中， 或打印出来， 或存储到数据文件中， 根据个人需求去选择；

需要说明的是： 加密分区的时间确实比较长， 但加密的同时，你是可以使用电脑的，没什么影响。

七、效果

开机时如果没检测到存储启动密钥的USB 存储， 则无法开机！

如果存储启动密钥的USB 存储丢失， 回车后可输入“恢复密钥”来恢复访问！！