強(qiáng)制系統(tǒng)磁盤加密

想要讓整天奔波在外的移動(dòng)工作者的筆記本電腦不會(huì)因?yàn)樵O(shè)備遺失而導(dǎo)致公司數(shù)據(jù)外泄，最保險(xiǎn)的做法就是先對(duì)于操作系統(tǒng)磁盤進(jìn)行BitLocker加密，然后再對(duì)于其他本地的固定磁盤以及各種卸除式數(shù)據(jù)磁盤(包含U盤)進(jìn)行加密，如此一來(lái)不僅所有本地用戶數(shù)據(jù)與系統(tǒng)文件都會(huì)被加密，也包括了系統(tǒng)內(nèi)存頁(yè)面文件與休眠文件，以及所有存放重要商務(wù)數(shù)據(jù)的磁盤都會(huì)受到保護(hù)。

然而在Windows 10系統(tǒng)默認(rèn)的狀態(tài)下，若要啟操操作系統(tǒng)磁盤的BitLocker功能將會(huì)出現(xiàn)錯(cuò)誤信息，這是因?yàn)樵谀J(rèn)策略的狀態(tài)下并沒有啟用“在不含兼容TPM的情形下允許使用BitLocker”。針對(duì)這個(gè)問題，我們可以一并從Active Directory組策略中來(lái)設(shè)置即可。

請(qǐng)?jiān)凇敖M策略管理編輯器”界面中，展開至“計(jì)算機(jī)設(shè)置→策略→系統(tǒng)管理模板→ MDOP MBAM(BitLocker Management)→操作系統(tǒng)磁盤”節(jié)點(diǎn)下，然后開啟“操作系統(tǒng)磁盤加密設(shè)置”頁(yè)面。在此請(qǐng)先勾選“在不含兼容TPM的情形下允許使用BitLocker”設(shè)置，必須注意的是此選項(xiàng)僅適用在Windows 8以上的客戶端計(jì)算機(jī)。

然后請(qǐng)將“選取操作系統(tǒng)磁盤的保護(hù)設(shè)備”設(shè)置為“TPM和PIN”，并且設(shè)置用于啟動(dòng)的最小PIN長(zhǎng)度(最多20位)。點(diǎn)擊“確定”。

緊接著請(qǐng)開啟“選擇如何修復(fù)受BitLocker保護(hù)的操作系統(tǒng)磁盤”頁(yè)面。在此請(qǐng)先勾選“允許數(shù)據(jù)恢復(fù)代理”項(xiàng)，然后再將“存儲(chǔ)操作系統(tǒng)磁盤的BitLocker修復(fù)信息到AD DS”勾選。至于是否要同時(shí)存儲(chǔ)修復(fù)密碼與密鑰封裝可以自行決定，但筆者會(huì)建議把默認(rèn)沒有勾選的“請(qǐng)勿啟用BitLocker，除非操作系統(tǒng)磁盤的修復(fù)信息已存儲(chǔ)到AD DS”設(shè)置勾選，如此一來(lái)可以有效防范用戶遺失修復(fù)密碼的問題發(fā)生，因?yàn)橹辽僭贏ctive Directory還有存放一份。

圖4 加密后的系統(tǒng)開機(jī)驗(yàn)證

接下來(lái)客戶端用戶就可以自行到“控制臺(tái)”中開啟“BitLocker磁盤加密”界面，然后針對(duì)操作系統(tǒng)磁盤點(diǎn)擊“開啟BitLocker”，此時(shí)就會(huì)立即出現(xiàn)“選擇啟動(dòng)時(shí)如何解除鎖定磁盤”項(xiàng)，在此選擇采用“插入在USB快閃磁盤”的方式是最安全的做法，但對(duì)于用戶來(lái)說(shuō)稍顯復(fù)雜，因此大部分用戶會(huì)選擇“輸入密碼”。

當(dāng)選擇以“輸入密碼”的方式來(lái)做為解鎖啟動(dòng)時(shí)的驗(yàn)證方法后，點(diǎn)擊“下一步”按鈕，便會(huì)選擇存儲(chǔ)到USB快閃磁盤，存儲(chǔ)到文件或是打印修復(fù)密鑰。無(wú)論如何用戶必須妥善保護(hù)此信息，以便在忘記解鎖密碼時(shí)還可以進(jìn)行回復(fù)。不過別忘了！我們?cè)缫淹ㄟ^策略配置，讓Active Directory中也存有一份修復(fù)密鑰。

接著會(huì)出現(xiàn)“選擇要加密的磁盤大小”，分別有“只加密已使用的磁盤空間”以及“加密整個(gè)磁盤”，前者較適用在全新開始使用的磁盤，后者則適合已經(jīng)正在使用中的磁盤。點(diǎn)擊“下一步”后會(huì)詢問是否要“執(zhí)行BitLocker系統(tǒng)檢查”，確認(rèn)勾選此設(shè)置后點(diǎn)擊“確定”。然后系統(tǒng)將會(huì)提示需要重新啟動(dòng)。

如圖4所示便是重新啟動(dòng)后的BitLocker解除鎖定提示頁(yè)面，在沒有密碼或修復(fù)密鑰的情況下是無(wú)法正常啟動(dòng)的。即便整個(gè)操作系統(tǒng)磁盤被有心人士拔除到其他計(jì)算機(jī)來(lái)連接，也無(wú)法讀取到磁盤中的任何數(shù)據(jù)。

在正常啟操操作系統(tǒng)的狀態(tài)下，無(wú)論是到“控制臺(tái)”的“BitLocker加密選項(xiàng)”還是“BitLocker磁盤加密”界面中，都可以看到目前的操作系統(tǒng)磁盤已經(jīng)在加密狀態(tài)。

此外，只要是在策略允許的情況下，用戶都可以隨時(shí)執(zhí)行暫停保護(hù)、備分您的修復(fù)密鑰、變更密碼、移除密碼，以及關(guān)閉BitLocker功能。