我已经做了一些关于在机器没有TPM的环境中使用BitLocker的研究,看来您需要使用闪存驱动器才能正常工作。 这似乎是Windows 7和Windows 2008 R2的情况。 我已阅读有关Windows 8和Windows 2012 R2的冲突信息,声明BitLocker可以在不使用TPM和USB驱动器的情况下使用。 这是真的? 有没有人有使用没有TPM或USB闪存驱动器的BitLocker的经验? 如果是这样,它只涉及到Windows 8和2012R2一些信息build议? 如果是这样的话,有没有一个有信誉的网站,我还没有find详细解释呢?
假设您的计算机使用BitLockerencryption的系统驱动器,并且您没有使用PIN码,因此计算机将无人值守启动。 如果攻击者将系统启动到Windows预安装环境中,会发生什么情况? 他们将有权访问encryption的驱动器? 如果您拥有TPM而不是仅使用USB启动密钥,它会改变吗? 我想要确定的是TPM / USB启动密钥是否可用,而无需从原始操作系统启动。 换句话说,如果您使用的是USB启动密钥,并且计算机正常重启,那么数据仍然会受到保护,除非攻击者能够login。但是如果黑客只是将服务器引导到Windows预安装环境中插入的USB启动密钥? 他们会接触到这些数据吗? 或者这将需要恢复密钥? 理想情况下恢复密钥将需要像这样启动,但我没有看到这在任何地方logging。
当您在没有TPM的系统上安装Bitlocker时,您需要将启动密钥放在闪存驱动器上。 由于您很难指望用户分别存储他的笔记本和闪存驱动器,如果Bitlocker在未经encryption的系统中丢失/被盗,是否会提供任何优势?
我们公司的笔记本电脑已经用了两年多了,而且都变得很慢了,很多硬盘最近都是随机死亡。 我注意到,我的许多同事使用倾斜的姿势为他们的坞站。 我想这对磁盘性能和耐用性来说并不理想。 所以我想用SSDreplace所有的磁盘。 我已经克隆(引导)磁盘之前,在服务器环境中主要和一次在我的笔记本电脑在家里(运行Linux)使用DD: dd if=/dev/sda of=/dev/sdb bs=32M 但是,我从来没有使用Bitlockerencryption的NTFS驱动器做到这一点。 这会工作吗? 我不想购买一堆固态硬盘,只是发现我的计划有缺陷。
在对我们的PC进行成像时,我们通常会为我们的设备创build临时名称,以将设备名称更改为适合其需要的任何特定部门。 问题是我们无法发送任何没有encryption的设备,我们碰巧在整个企业中使用Bitlocker。 当我们使用临时名称Bitlocker设备时,Bitlocker使用临时设备名称,并在inputencryption密码时显示。 当我们的其他设施的技术人员去重命名我们的临时名称时,临时名称在Bitlocker中不会改变。 当我们的售票系统询问设备名称以及排除故障时,这会使我们的用户和我们的一些技术人员感到困惑。 这里有人对这个问题有什么build议吗?
我正在通过AD在工作中尝试bitlocker部署。 已经在互联网上search,但最有用的参考似乎是: http://technet.microsoft.com/en-us/library/cc766015(v=ws.10).aspx 服务器2012 R2,完全更新。 testing客户端是Windows 7旗舰版64位,完全更新。 由于某种原因,这是行不通的 – 我怎样才能找出什么是错的? 我创build了一个GPO,将其链接到OU,将win7机器join到域中,并将win7机器移动到OU中。 我希望它(也许是不正确的?)只是开始encryption,并将bitlocker恢复密钥保存到AD的某处(不知道在哪里可以find)。但它什么都不做。 检查BIOS是否启用了TPM。 我尝试了'''gpupdate / force'''并重新启动win7机器…但仍然没有。 计算机/策略/pipe理模板/系统/ TPM服务 (已禁用)打开TPM备份到AD 计算机/策略/pipe理模板/ Windows组件/ Bitlocker驱动器encryption (已启用)在AD(Server 2008和Vista)中存储位锁恢复信息 计算机/策略/pipe理模板/ Windows组件/ Bitlocker驱动器encryption/操作系统驱动器 (已启用)在操作系统驱动器上强制进行驱动器encryption 我注意到的第一件事是它只是说“2008年和Vista”…是否应该有一些额外的设置在其他地方的Win7和8? 天哪,find某种方式来诊断为什么它不工作,而不是盲目地猜测,真的很好。另外,如果有人成功地做了这件事,并logging了这个过程?
我有一台Windows Server 2012的机器,我创build了存储在我的桌面上的VHD磁盘。 该磁盘由Bitlockerencryption。 但是,当我装入磁盘并inputencryption密码时,其他用户(pipe理员)也可以访问它上面的文件。 有没有办法阻止其他用户(甚至pipe理员)访问该驱动器?
我们目前在工作中使用笔记本电脑上的Bitlocker。 帮助台负责在构build系统时将Bitlocker密钥备份到AD。 我们最近碰到一个问题,那就是用户有一个BitLockerclosures的硬件问题,所以它不会超过屏幕提示恢复密钥。 没问题,我们之前有过这个,除了当我看AD时没有钥匙,这意味着有人忘了把它备份起来。 所以我随机点击一些其他的笔记本电脑对象,并find另一个没有备份。 所以这让我觉得我们需要认真研究一下,然后再发生(更高层次的员工)。 而不是通过整个笔记本电脑OU,点击Bitlocker恢复选项卡,有没有办法在PowerShell检查该标签,看看里面有什么东西? 我甚至不需要知道那里的关键,只要知道是否有数据显示它已经被备份。 如果不是这不是世界末日,但我宁愿能用脚本来做到这一点,而不是手动。 🙂 我一直在网上寻找,但到目前为止,没有发现我想要的东西,通常比我需要的要复杂得多。 谢谢你提供的所有帮助!
BitLockerVolume -MountPoint C).KeyProtector我看到多个RecoveryPassword密钥保护器,我怎么知道哪一个是活动的? 如果我拔下硬盘并将其插入另一台计算机,它将要求我提供其中一个密钥,但是如何知道将要请求的密钥ID? 编辑:所以这是我的关注,我知道多个键可以是活动的,但当Windows提示它要求一个特定的密钥ID: 那么,我怎么知道它将要求的密钥ID,我可以给它在这个屏幕上的任何活动键? 它要求一个具体的,如果我给它一个不同的,它会很酷吗?
Microsoft Key Distribution Service没有启动我的DC(kdssvc.dll),当我查看Microsoft \ Kdssvc下的事件日志时,看到以下事件: 事件ID 4001组密钥分发服务无法启动。 状态0x80070020。 事件ID 4007 组密钥分发服务无法连接到本地主机上的域控制器。 状态0x80070020。 由于错误,组密钥分发服务无法启动。 请联系pipe理员以解决问题。 错误0x80070020指示某种types的文件locking。 有谁知道我可以修复这个错误? networking故障排除有点稀疏,与KDC混淆。 澄清:这个问题不是关于Kerberos,而是关于在公司环境中处理Group Managed Service Accounts(gMSA),Bitlocker和Windows Activation Services的服务帐户。 这里更新的是procmon