企业中部署Bitlocker加密所有计算机磁盘

一、说明

在企业中去部署加密, 有时候情况会变得很复杂, 需要严密的去考虑实施计划和灾难恢复计划;

下面的内容中,抓取了关键的实施要点,展示了基本的实现效果。

阅读之前,需要您有一定程度的AD管理经验,Windows 7 使用经验。

二、测试环境

Server : Windows Server 2008 R2 + DC + DNS + DHCP

Client : Windows 7 Enterprise/Ultimate

三、前期工作

为每个客户端准备一个USB 存储设备(用于存储启动密钥);

配置AD;

建立自定义的计算机OU;

将加入AD 的Windows 7 Enterprise/Ultimate 放置到该OU 中;

四、AD组策略配置

我们在测试环境启用了4个组策略:

计算机配置-策略-管理模板-WINDOWS 组件-BitLocker 驱动器加密 下的1个策略:

“将BitLocker恢复信息存储在Active Directory 域服务中”

计算机配置-策略-管理模板-WINDOWS 组件-BitLocker 驱动器加密-操作系统驱动器 下的3个策略:

“启动时需要附加身份验证”

“启动时需要附加身份验证(Windows Server 2008 和Windows Vista)”

“选择如何才能恢复受BitLocker 保护的操作系统驱动器”

AD策略-顶层

AD策略-OS 驱动器

特别注意:

在“启动时需要附加身份验证”2项组策略需要特别注意策略中的如下配置!  注意:我们国内是很难找到TPM 的!!

取消TPM 要求

 

五、AD组策略实施

将我们配置好的组策略应用到自定义的计算机OU 上;

六、客户端加密

先加密C 盘(系统分区), 再依次加密客户端所有分区,在加密C盘(系统盘时),必须要插入USB 存储以保存启动密钥;

恢复密钥可选择存储在相同的USB 存储中, 或打印出来, 或存储到数据文件中, 根据个人需求去选择;

需要说明的是: 加密分区的时间确实比较长, 但加密的同时,你是可以使用电脑的,没什么影响。

windows 7加密

七、效果

开机时如果没检测到存储启动密钥的USB 存储, 则无法开机!

1

如果存储启动密钥的USB 存储丢失, 回车后可输入“恢复密钥”来恢复访问!!

2

你可能感兴趣的:(部署,企业,计算机,磁盘,BitLocker)