我正在寻找通过组策略创buildBitLocker策略的帮助。 我自己做得不好,需要那些比我更有经验的人的帮助。 服务器:Windows Server 2012客户端:Windows 7旗舰版,戴尔笔记本电脑(2014),带有TPM模块 完整的本地磁盘encryption 我希望启动尽可能简单。 我不希望用户在启动时必须inputPIN码。 我想要的唯一的保护是,如果硬盘驱动器被删除,他们将无法查看内容 恢复密钥应该存储在AD中,并通过那里进行pipe理 插入笔记本电脑的任何USB驱动器在使用前都需要进行BitLockerencryption,并且可以使用PIN码保护(4位数字PIN码) 以上是可能的,任何人都可以帮助的GPO设置 。 我遵循了一些指南并部署了策略,但是我可以看到错误消息,指出我的GPO具有矛盾的设置或类似的消息。 谢谢 詹姆士
我有新的批量笔记本电脑的形象,几乎所有的人都完成,但其中2(相同型号)有我无法解决的问题。 我启用BitLocker,并确保它也可以通过PIN恢复。 这工作正常,但不是我提到的2。 我有他们bitlocker使用快速的方式不是完整的磁盘,因为他们是新的 我有政策启用,他们是域名笔记本电脑,看截图 我已经确定我input了正确的PIN码,并且看到我点击插入时input的内容。 这是我如何与所有的笔记本电脑做到这一点,没有任何问题。 其他pincode也复位 禁用保护并重新启动计算机,并再次使其能够testing,在这里没有任何改变。 这是manage-bde -status的输出 任何想法,为什么说pincode是不正确的? 虽然我知道它是正确的?
我已经使用Bitlockerencryption可移动驱动器。 我将把这个驱动力交给另一方,并希望有效地禁止这个人写这个驱动器的能力。 这个人只有在input密码后才能读取数据。 我相信通过使用组策略我可以做到这一点,但我对政策感到困惑。 我想做什么? 如果是的话,我将不胜感激一些指导。 谢谢!
我的组织在Server 2008 R2模式上运行AD DS。 我知道,这已经是一个糟糕的开始,但我们假装这是不可能改变的。 在我们的默认域策略中,我们启用了以下设置,要求对TPM所有者授权值散列值进行AD备份: Computer Settings\Policies\Administrative Templates\System\Trusted Platform Module Services\Turn on TPM backup to Active Directory Domain Services 因此,当我尝试使用BitLocker对AD绑定的Windows 8 Enterprise计算机进行encryption时,它会失败,因为Windows 8会尝试将TPM授权哈希存储为计算机对象的子对象 (types为ms-TPM-OwnershipInformation )而Server 2008 R2模式需要将此信息存储为计算机对象的属性 (特别是msTPM-OwnerInformation )。 这是非常好的,实际上, 在TechNet文章中清楚地logging了这种行为是有意的,解决scheme是更新到Server 2012架构。 凉。 关注我的一点是,当我试图encryption一个AD绑定的Windows 8.1企业机器时,它在这种情况下成功。 但是,尽pipe需要TPM备份的策略设置,也不会发生 – 它既不存储在计算机属性中,也不会作为计算机的子对象创build。 在这个问题上,我一直没有find任何可以说明Windows 8.1的行为与Windows 8不同的文档。 由于Server 2008 R2的主stream支持截止date不到14年1月13日,因此我不希望微软有意实施我所描述的内容。 可能这是一个无意的行为? 如果是这样,那么最好的解决scheme是如何与微软进行沟通?
我有Win Server 2012,连接到它的其中一个硬盘驱动器被映射为Windows 10客户端的networking驱动器。 如果我使用客户端上的用户帐户使用bitlocker对这些驱动器进行encryption,那么服务器上的pipe理员帐户也可以访问它们吗? 我希望两台机器上的两个用户都能够访问encryption的内容,这怎么可能呢?
BitLocker恢复密钥文件和数字密码之间是否有任何区别,这会对我在灾难情况下解锁驱动器的能力产生负面影响 ? 我经常使用BitLockerencryption用于备份的USB硬盘驱动器。 我将.BEK文件保存在正在备份的服务器上,并使用它来解锁驱动器。 但是,我也保存非现场数字密码以及.BEK文件的副本。 如果没有必要保存这两个异地,这将是更简单的不。 但在我停止使用之前,我需要知道这两种解锁方法之间是否存在差异或陷阱 ,我需要考虑。 一些细节 我在Server 2008,Server 2008 R2,Server 2012和Server 2012 R2机器上执行此操作 我从不将密钥存储在TPM中 我使用“常规”BitLocker(而不是To-Go) 在Server 2008 / R2上,我启用BitLocker: manage-bde -on X: -rk "C:\BitLocker Keys" -rp 在Server 2012 / R2上启用BitLocker: manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
我正在尝试使用以下命令来encryption数据卷(例如E :): manage-bde -protectors -add E: -pw 当我执行上面的命令,它会要求input密码,所以我input了密码。 它正在成功encryption我的数据量。 现在,我想创build一个脚本来encryption数据卷,所以我需要将密码作为parameter passing给上述的powershell命令。 我怎样才能做到这一点? 是否有任何选项可以为manage-bde命令传递密码?
我有一个新的要求来encryption一个sql数据库中的数据,而它是静止的。 到目前为止,我已经看了Bitlocker(见下文),和其他商业产品(我不会因为我不寻找这个产品是最好的答案)。 我也看了SQL透明数据encryption。 TDE似乎是相当简单的select,但考虑到使用6核时sql的定价非常高。 我被要求find其他选项。 我的主要问题是关于BitLocker及其在hyper-v guest虚拟机和hyper-v主机中的使用。 首先可以在一个超v客人中使用Bitlocker,我发现有50%的post说不支持其他人说这是? 我也应该在超v主机级别使用它吗? 这里是对我来说有点模糊的地方。 如果我在启动卷上启用,那么是没有启动密码(一个选项)不能启动主机,但不encryption共享存储上的数据,我假设我无法encryptioniSCSI卷,因为它们在我们的hyper-v集群中的多个节点之间共享。 这使得它毫无意义,因为如果有人窃取存储设备,他们可以读取数据。
如何查看TPM所有者是否已经设置? 所有看到的是如何清除TPM,重置所有者密码,更改所有者的示例。 我只想看看是否已经设置了所有者,可能是谁设置的。 看看tpm.msc对我来说不是很明显,是否有一个所有者设置。 这可能吗? 我怎么知道一个拥有者是否已经在Windows上设置了tpm?
所以我有一堆存储在一些计算机帐户(msFVE-RecoveryInformation属性)的旧bitlocker密钥: Bitlocker重新运行了多次,每次重新encryption时都会生成并备份一个新的恢复密码,所以“旧”密钥不再被使用。 删除它们是否安全?或者是否会将计算机帐户搞砸?