BitLocker恢复密钥文件和数字密码之间是否有任何区别,这会对我在灾难情况下解锁驱动器的能力产生负面影响 ?
我经常使用BitLockerencryption用于备份的USB硬盘驱动器。 我将.BEK文件保存在正在备份的服务器上,并使用它来解锁驱动器。 但是,我也保存非现场数字密码以及.BEK文件的副本。
如果没有必要保存这两个异地,这将是更简单的不。 但在我停止使用之前,我需要知道这两种解锁方法之间是否存在差异或陷阱 ,我需要考虑。
一些细节
在Server 2008 / R2上,我启用BitLocker:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp
在Server 2012 / R2上启用BitLocker:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
您发布的命令为您指定的卷打开BDEencryption,将恢复密钥文件( -rk )保存到C:\BitLocker Keys ,并生成数字恢复密码( -rp )。
如果时间到了,您需要恢复Bitlockerencryption卷,则可以使用恢复密钥文件或数字恢复密码。 你不需要两个,如果你不想两者都备份,我有点好奇你为什么产生这两个。 如果你只打算使用一个,那么你可以从你的命令中删除另一个( -rk或者-rp ),而不是生成一个你不打算使用的恢复选项。
这两种方法之间的差异似乎并不适用于您的使用情况 – 它看起来不像是将恢复密钥存储在Active Directory中,或者是对系统驱动器进行encryption,所以确实是您select使用哪种方法。
因此,总之,任何一方都足以用于恢复目的; 你不需要两个。
在BDE项目中,我正在为我的公司总监工作,我只生成一个数字恢复密钥,将其备份到Active Directory,并依靠TPM模块存储encryption密钥,以便为最终用户解锁驱动器。 工作正常,但实际上input一个48个字符的string与计算机上的function键比我喜欢给自己造成一点痛苦,所以如果我把它做了,我可以依靠恢复密钥文件,而不是这是值得的。