■ 河南 郭建偉

編者按：對(duì)于Windows Server 2016來(lái)說(shuō)，如何保護(hù)數(shù)據(jù)的安全性，是管理員必須面對(duì)的問(wèn)題。實(shí)際上，在Windows Server 2016中已經(jīng)內(nèi)置了完善的加密功能，包括EFS和BitLocker加密機(jī)制。要想靈活的使用這些加密功能，需要對(duì)其進(jìn)行深入的了解。這樣才可以在在實(shí)際使用過(guò)程中，有效的解決與之相關(guān)的各種問(wèn)題。

EFS加密的運(yùn)作機(jī)制

對(duì)于EFS加密來(lái)說(shuō)，允許系統(tǒng)中的所有用戶加密自己的文件。和一般的加密軟件不同，EFS加密使用的是AES 256位加密算法，不需要用戶輸入密鑰，對(duì)于用戶來(lái)說(shuō)，加密過(guò)程是完全透明的。

一旦加密完成，只有該用戶才可以打開(kāi)加密文件，即使是管理員，也無(wú)權(quán)訪問(wèn)這些文件。

實(shí)際上，EFS是使用證書(shū)中的私鑰對(duì)文件進(jìn)行加密的，在默認(rèn)情況下，其會(huì)生成或者申請(qǐng)用于加密的證書(shū)。如果沒(méi)有證書(shū)架構(gòu)體系的話，其會(huì)幫助用戶生成自簽名證書(shū)。

當(dāng)然，EFS加密必須依賴NTFS文件系統(tǒng)，當(dāng)用戶將加密文件移動(dòng)到別的NTFS分區(qū)時(shí)，系統(tǒng)會(huì)自動(dòng)對(duì)其解密，然后執(zhí)行移動(dòng)和加密處理，該過(guò)程對(duì)于用戶是透明的，文件移動(dòng)完成后依然處于加密狀態(tài)。在默認(rèn)情況下，只有該用戶或者恢復(fù)代理可以打開(kāi)加密文件。

例如以域用戶身份登錄某臺(tái)主機(jī)，選擇目標(biāo)文件或文件夾，在其屬性窗口中的“常規(guī)”面板中點(diǎn)擊“高級(jí)”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項(xiàng)，點(diǎn)擊確定按鈕，完成加密操作。

運(yùn)行“mmc”程序，在控制臺(tái)中點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在左側(cè)選擇“證書(shū)”項(xiàng)，點(diǎn)擊添加按鈕，選擇“我的用戶賬戶”項(xiàng)，將其添加進(jìn)來(lái)。在左側(cè)選擇“證書(shū)”→“個(gè)人”→“證書(shū)”項(xiàng)，在右側(cè)顯示頒發(fā)給用戶的自簽名證書(shū)。

EFS就是使用該證書(shū)的私鑰對(duì)文件進(jìn)行加密的。對(duì)于EFSL來(lái)說(shuō)，其實(shí)際上使用了FEK（即File Encryption Key），來(lái)對(duì)用戶的文件進(jìn)行直接加密。

而FEK自身也會(huì)被用戶證書(shū)中的公鑰進(jìn)行加密，用戶需要使用證書(shū)中的私鑰對(duì)FEK進(jìn)行解密，并通過(guò)FEK對(duì)文件進(jìn)行解密。

可以看出，真正加密和解密文件的是FEK。對(duì)于用戶的私鑰來(lái)說(shuō)，是使用用戶密碼的哈希值對(duì)其進(jìn)行加密的。

對(duì)EFS加密進(jìn)行管控

在實(shí)際的網(wǎng)絡(luò)環(huán)境中，需要部署證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器，為用戶頒發(fā)證書(shū)，來(lái)更好的完成EFS加密操作。選擇上述自簽名證書(shū)，點(diǎn)擊工具欄上的刪除按鈕，將其刪除。

為了便于操作，可以登錄到Windows Server 2016域控服務(wù)器，在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory證書(shū)服務(wù)”項(xiàng)，完成該角色安裝。在配置界面中選擇“證書(shū)頒發(fā)機(jī)構(gòu)”項(xiàng)，其余選項(xiàng)保持默認(rèn)。這樣，當(dāng)在客戶機(jī)上選擇目標(biāo)文件夾，在去屬性窗口中選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項(xiàng)，點(diǎn)擊確定按鈕，可以發(fā)現(xiàn)其操作速度變得遲緩，其實(shí)在后臺(tái)系統(tǒng)會(huì)向證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器申請(qǐng)證書(shū)，

圖1 EFS加密屬性窗口

當(dāng)申請(qǐng)完成后，才會(huì)使用FEK完成加密操作，然后使用證書(shū)對(duì)FEK進(jìn)行加密。打開(kāi)上述證書(shū)管理窗口，可以發(fā)現(xiàn)證書(shū)頒發(fā)機(jī)構(gòu)為其發(fā)布的證書(shū)。對(duì)于這種基于證書(shū)架構(gòu)體系的加密模式來(lái)說(shuō)，域管理員可以需要來(lái)決定哪些用戶可以EFS加密，哪些用戶則不允許執(zhí)行加密操作。在域控上打開(kāi)組策略編輯器，在左側(cè)選擇“林”→“域”→“域名”項(xiàng)，在其中選擇某個(gè)OU，在其右鍵菜單上點(diǎn)擊“在這個(gè)域中創(chuàng)建GPO并在此處鏈接”項(xiàng)，輸入GPO的名稱（例如“EFSgpo”）。

在該GPO的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“計(jì)算機(jī)配置”→“Windos設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項(xiàng)，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在打開(kāi)窗口選擇“不允許”項(xiàng)，點(diǎn)擊應(yīng)用按鈕保存配置。當(dāng)以該OU中的域用戶身份登錄客戶機(jī)后，執(zhí)行“gpupdate /force”命令，來(lái)刷新組策略。這樣，其會(huì)無(wú)法使用EFS對(duì)文件進(jìn)行加密。對(duì)應(yīng)地，在上述組策略設(shè)置窗口中選擇“允許”項(xiàng)，允許執(zhí)行EFS加密，并可以選擇是否加密用戶的文檔文件夾內(nèi)容，創(chuàng)建或更改用戶密鑰時(shí)顯示密鑰備份通知等項(xiàng)目。在“證書(shū)”面板（如圖1）中的“自動(dòng)證書(shū)申請(qǐng)的EFS模版”欄中顯示“基本 EFS”，說(shuō)明其使用的是基本的EFS證書(shū)模版。

如果取消“允許EFS的證書(shū)頒發(fā)機(jī)構(gòu)不可用時(shí)生成自簽名證書(shū)”項(xiàng)，那么就會(huì)禁止客戶端使用自簽名證書(shū)。打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)控制臺(tái)，在左側(cè)選擇“證書(shū)模版”項(xiàng)，在右側(cè)的右鍵菜單上點(diǎn)擊“管理”項(xiàng)，雙擊“基本EFS”項(xiàng)，在其屬性窗口中打開(kāi)“安全”面板，可以看到只要是“Authenticated Users”（身份驗(yàn)證的用戶）或者“Doamin Users”（域用戶）組的成員，都是可以注冊(cè)該證書(shū)的。利用這一特性，可以控制哪些用戶可以使用該證書(shū)模版。

例 如 選 擇“Domain Users”組，點(diǎn)擊刪除按鈕，將其從列表中清除。點(diǎn)擊“添加”按鈕，導(dǎo)入所需的組（例如“Domain Admins”等），之后選中這些組，在權(quán)限列表中的的“允許”列中選擇“注冊(cè)”項(xiàng)，這樣只有指定的組中的用戶才可以申請(qǐng)證書(shū)，來(lái)執(zhí)行EFS加密操作。對(duì)于其他的用戶來(lái)說(shuō)，是無(wú)法進(jìn)行文件加密操作的。

使用EFS保護(hù)共享存儲(chǔ)

在一般情況下，EFS加密文件都是存儲(chǔ)在本地的。在網(wǎng)絡(luò)環(huán)境中，常常需要將加密文件存儲(chǔ)到共享文件夾或者文件服務(wù)器中，作為備份之用。為此管理員需要對(duì)文件服務(wù)器啟用委派功能，并為用戶創(chuàng)建對(duì)應(yīng)的配置文件，在文件服務(wù)器中來(lái)生成所需的證書(shū)。當(dāng)然，無(wú)論加密文件，創(chuàng)建配置文件的證書(shū)，對(duì)于用戶來(lái)說(shuō)完全是透明的。

例如，當(dāng)用戶在本地復(fù)制了加密文件夾后，在地址欄中的訪問(wèn)“\filesrv.xxx.com”地址，來(lái)訪問(wèn)目標(biāo)文件服務(wù)器。當(dāng)在其中粘貼時(shí)，系統(tǒng)會(huì)出現(xiàn)“確實(shí)要在不加密的情況下復(fù)制此文件夾？”的提示，點(diǎn)擊“是”按鈕，執(zhí)行粘貼操作，系統(tǒng)先在本地對(duì)加密文件進(jìn)行解密，之后將其上傳到文件服務(wù)器中。

圖2 啟用委派功能

在共享路徑中選擇該文件夾，在其屬性窗口中的“常規(guī)”面板中點(diǎn)擊“高級(jí)”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項(xiàng)，試圖對(duì)其進(jìn)行加密時(shí)，系統(tǒng)會(huì)出現(xiàn)“文件應(yīng)用屬性時(shí)出錯(cuò)”的提示，導(dǎo)致加密失敗。

為了解決該問(wèn)題，需要在域控上打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“Computers”容器，在右側(cè)選擇目標(biāo)文件服務(wù)器，在其屬性窗口中的“委派”面板（如圖2）中選擇“信任此計(jì)算機(jī)來(lái)委派任何服務(wù)( 僅限Kerberos)”項(xiàng)，點(diǎn)擊應(yīng)用按鈕保存配置。

使用域管理員登錄文件服務(wù)器，在CMD窗口中執(zhí)行“sysdm.cpl”命令，在系統(tǒng)屬性窗口中的“高級(jí)”面板中的“用戶配置文件”欄中點(diǎn)擊“設(shè)置”按鈕，在打開(kāi)窗口中可以看到客戶端用戶的配置文件。雖然該客戶端用戶沒(méi)有登錄過(guò)本服務(wù)器，但是當(dāng)其將文件上傳之后試圖執(zhí)行加密操作時(shí)，系統(tǒng)就會(huì)自動(dòng)創(chuàng)建該配置文件。

選擇該配置文件項(xiàng)目，點(diǎn)擊刪除按鈕將其清除。之后在客戶端上重新登錄，再次訪問(wèn)共享文件夾。對(duì)上傳的文件進(jìn)行加密，可以看到加密成功了。

當(dāng)客戶端復(fù)制了個(gè)加密文件，將其轉(zhuǎn)帖到共享文件夾后，系統(tǒng)會(huì)先對(duì)其進(jìn)行解密，之后將其上傳到共享路徑，然后對(duì)其進(jìn)行加密。注意，在解密和加密的過(guò)程中，使用的是不同的證書(shū)。

使用恢復(fù)代理，找回加密數(shù)據(jù)

如果用戶誤操作（例如格式化C盤等），就會(huì)導(dǎo)致無(wú)法訪問(wèn)其他磁盤上的加密文件。因?yàn)檫@會(huì)造成用戶證書(shū)異常的問(wèn)題，沒(méi)有辦法使用證書(shū)來(lái)解開(kāi)FEK密鑰，自然無(wú)法解密EFS加密文件。使用數(shù)據(jù)恢復(fù)代理功能，可以應(yīng)對(duì)這一情況。

對(duì)于數(shù)據(jù)恢復(fù)代理來(lái)說(shuō)，存在兩種不同的選項(xiàng)，其一是與EFS相關(guān)的，即允許設(shè)置另外一個(gè)用戶（一般為管理員），可以作為數(shù)據(jù)恢復(fù)代理的用戶，對(duì)于用戶加密的文件來(lái)說(shuō)，數(shù)據(jù)恢復(fù)代理的用戶也是可以訪問(wèn)的。

另外一種是和證書(shū)相關(guān)的，當(dāng)用戶丟失了證書(shū)的私鑰，自然無(wú)法訪問(wèn)加密文件。因?yàn)樽C書(shū)是由證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的，如果在證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器存儲(chǔ)了用戶的私鑰，就可以很輕松的幫助用戶回復(fù)私鑰。用戶得到私鑰后，將其導(dǎo)入當(dāng)前的系統(tǒng)中，就可以順利訪問(wèn)EFS加密文件了。

這里以前者為例進(jìn)行說(shuō)明，當(dāng)證書(shū)信息丟失后，在域控上打開(kāi)組策略管理器，在左側(cè)選擇“l(fā)”→“域”→“域名” →“Default Doamin Policy”項(xiàng)，在 其 編 輯窗口中左側(cè)選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“公鑰策略”→“加密文件系統(tǒng)”項(xiàng)，在右側(cè)可以看到其已經(jīng)配置好了文件恢復(fù)的代理項(xiàng)目。

默認(rèn)是管理員頒發(fā)給自己的自簽名證書(shū)，這不適用于實(shí)際的生產(chǎn)環(huán)境，所以將其刪除掉。

在左側(cè)的“加密文件系統(tǒng)”項(xiàng)的右鍵菜單上點(diǎn)擊“創(chuàng)建數(shù)據(jù)恢復(fù)代理程序”項(xiàng)，其就會(huì)自動(dòng)尋找證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器，來(lái)申請(qǐng)新的證書(shū)，作為文件恢復(fù)代理之用。

之后選擇該證書(shū)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”→“導(dǎo)出”項(xiàng)，在向?qū)Ы缑嬷羞x擇“是，導(dǎo)出私鑰”項(xiàng)，輸入管理員密碼，將其導(dǎo)出為獨(dú)立的文件，例如“gly.pfx”。在客戶端上執(zhí)行“gpedit /force”命令。來(lái)刷新組策略。

注意，這必須在系統(tǒng)處于正常狀態(tài)，即用戶沒(méi)有加密文件之前進(jìn)行。

當(dāng)用戶選擇目標(biāo)文件或文件夾，在其屬性窗口中的“常規(guī)”面板中點(diǎn)擊“高級(jí)”按鈕，選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”項(xiàng)，點(diǎn)擊“詳細(xì)信息”按鈕，在“此文件由恢復(fù)策略定義的恢復(fù)證書(shū)”欄中可以看到恢復(fù)證書(shū)信息。

當(dāng)用戶證書(shū)丟失后，可以將上述“gly.pfx”文件復(fù)制過(guò)來(lái)，雙擊該文件，輸入密碼后將其導(dǎo)入進(jìn)來(lái)。這樣，就可以訪問(wèn)加密文件了。

BitLocker加密的特點(diǎn)

EFS加密技術(shù)雖然簡(jiǎn)單易用，但是卻存在一些不足，例如其無(wú)法對(duì)整個(gè)驅(qū)動(dòng)器進(jìn)行加密等。相比之下。BitLocker可以實(shí)現(xiàn)更加高級(jí)的加密操作。使用BitLocker不僅可以加密普通的磁盤，對(duì)于諸如Azure等云平臺(tái)中的虛擬機(jī)來(lái)說(shuō)，同樣可以對(duì)VHD/VHDX等虛擬磁盤進(jìn)行加密，從而有效保護(hù)其安全。

對(duì)于Windows 10等客戶機(jī)來(lái)說(shuō)，可以打開(kāi)控制面板，在系統(tǒng)和安全窗口中點(diǎn)擊“BitLocker驅(qū)動(dòng)器加密”項(xiàng)，在對(duì)應(yīng)的磁盤右側(cè)點(diǎn)擊“啟動(dòng)BitLocker”項(xiàng)，來(lái)激活BitLocker加密功能。

圖3 使用BitLocker加密磁盤

對(duì) 于Windows Server 2016服務(wù)器來(lái)說(shuō)，需要在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷羞x擇“BitLocker驅(qū)動(dòng)器加密”項(xiàng)，來(lái)安裝該角色。在目標(biāo)驅(qū)動(dòng)器的右鍵菜單上點(diǎn)擊“啟用BitLocker”項(xiàng)，在打開(kāi)窗口（如圖3）中可以使用密碼的方式，對(duì)其進(jìn)行加密操作。根據(jù)需要，可以將恢復(fù)密鑰備份到優(yōu)盤，文件或者將其打印出來(lái)。例如將其備份到指定的文件，之后選擇新加密模式或者兼容模式（適用于加密移動(dòng)存儲(chǔ)），執(zhí)行加密的過(guò)程。

和EFS加 密 不 同，BitLocker僅僅是針對(duì)磁盤進(jìn)行的，對(duì)于用戶則沒(méi)有限制。

BitLocker加密機(jī)制部署方式

在實(shí)際的生產(chǎn)環(huán)境中，如果每次訪問(wèn)BitLocker加密盤，都需要輸入密碼的話，操作起來(lái)是比較繁瑣的。

其 實(shí)，BitLocker支 持多種解密方法，例如可以將Startup Key（可以理解為密鑰）保存到優(yōu)盤中，利用該優(yōu)盤直接解密。

對(duì)于公有云中的虛擬機(jī)來(lái)說(shuō)，可以啟用虛擬TPM功能，來(lái)執(zhí)行解密操作。

如果主機(jī)配置了TPM芯片，可以采用TPM+ Startup Key的方式，進(jìn)行解密操作。

如果主機(jī)配置了TPM芯片和Smart Card設(shè)備，可以采用PM+PIN的方式，來(lái)實(shí)現(xiàn)解密操作。

當(dāng) 然，如 果 采 用TPM+PIN+Startup Key的方式進(jìn)行解密，無(wú)疑是安全性的?？梢钥闯觯珺itlocker提供了多種靈活的部署方式。

使用BitLocker保護(hù)虛擬機(jī)安全

例如對(duì)于Windows Server 2016的Hyper-V虛擬機(jī)中，增加了虛擬的TPM芯片的功能，可以有效保護(hù)虛擬機(jī)的安全。如果沒(méi)有啟用該功能，在默認(rèn)情況下，雖然可以對(duì)虛擬機(jī)中的數(shù)據(jù)盤進(jìn)行BitLocker加密，但是對(duì)系統(tǒng)盤進(jìn)行加密時(shí)，系統(tǒng)會(huì)提示出錯(cuò)信息。

運(yùn) 行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計(jì) 算 機(jī) 配 置”→“管理 模 版”→“Windows組件”→“Bitlocker”→“操作系統(tǒng)驅(qū)動(dòng)器”項(xiàng)，在右側(cè)雙擊“啟動(dòng)時(shí)需要附加身份驗(yàn)證”項(xiàng)，在打開(kāi)窗口（如圖4）中選擇“已啟用”項(xiàng)，那么允許在沒(méi)有兼容的TPM時(shí)允許BitLocker加密系統(tǒng)盤。之后才可以對(duì)系統(tǒng)盤進(jìn)行加密處理，可以使用密碼或者包含Startup Key的優(yōu)盤進(jìn)行解密。

圖4 啟用附加身份驗(yàn)證功能

但是，對(duì)于公有云中的虛擬機(jī)來(lái)說(shuō)，這樣的解密操作是難以實(shí)施的。在Hyper-V管理器中選擇目標(biāo)虛擬機(jī)，在右側(cè)點(diǎn)擊“設(shè)置”按鈕，在打開(kāi)窗口左側(cè)選擇“硬件”→“安全”項(xiàng)，在右側(cè)選擇“啟用受信任的平臺(tái)模塊”項(xiàng)，可以啟用虛擬的TPM芯片功能。進(jìn)入虛擬機(jī)環(huán)境，打開(kāi)組策略窗口，在上述配置窗口中選擇“未配置”項(xiàng)。默認(rèn)情況下，Bitlocker就會(huì)識(shí)別到本機(jī)已經(jīng)配置好了TPM芯片，之后就可以對(duì)系統(tǒng)盤進(jìn)行加密處理，并將解密密鑰保存在TPM芯片中。當(dāng)然，恢復(fù)密鑰是可以保存在指定的文件中，或者可以將其打印出來(lái)。這樣，當(dāng)啟動(dòng)該虛擬機(jī)時(shí)，系統(tǒng)就會(huì)自動(dòng)從虛擬的TPM芯片中讀取密鑰，對(duì)系統(tǒng)盤進(jìn)行解密操作。

利用活動(dòng)目錄管理恢復(fù)密鑰

當(dāng)用戶不慎將密鑰丟失后，可以使用恢復(fù)密鑰進(jìn)行解密，可以將恢復(fù)密鑰保存優(yōu)盤。文件中或者打印出來(lái)，但是如果用戶將恢復(fù)密鑰也丟失的話，是無(wú)法進(jìn)行恢復(fù)的。為了解決這一問(wèn)題，可以將恢復(fù)信息保存在活動(dòng)目錄中，這樣就會(huì)使其變得更可靠更穩(wěn)定，管理員可以據(jù)此來(lái)恢復(fù)用戶的加密數(shù)據(jù)。

圖5 使用BitLocker加密磁盤

以域管理員身份登錄啟用了Bitlocker加密功能的服務(wù)器，打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇域名，在其右鍵菜單上點(diǎn)擊“委派控制”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，在用戶或組窗口中點(diǎn)擊“添加”按鈕，在打開(kāi)窗口中的額“輸入對(duì)象名稱來(lái)選擇”欄中輸入“self”，將其導(dǎo)入進(jìn)來(lái)，即允許每臺(tái)主機(jī)在啟用BitLocker供后，可以向活動(dòng)目錄寫入恢復(fù)密鑰信息。點(diǎn)擊下一步按鈕，選擇“創(chuàng)建自定義任務(wù)去委派”項(xiàng)，在下一步窗口中選擇“只是在這個(gè)文件夾中的下列對(duì)象”項(xiàng)，在列表中選擇“計(jì)算機(jī) 對(duì)象”項(xiàng).

點(diǎn)擊下一步按鈕，在權(quán)限窗口（如圖5）中選擇“特定屬性”和“特定子對(duì)象的創(chuàng)建/刪除”項(xiàng)，在“權(quán)限”列表中選擇“寫入 msTPMTpminfomationForComputer”項(xiàng)，可以如果用戶擁有向活動(dòng)目錄寫入恢復(fù)密鑰的權(quán)限。點(diǎn)擊完成按鈕，完成配置操作。

打開(kāi)組策略編輯器，在左側(cè)選擇“計(jì)算機(jī)配置”→“管理 模 版”→“Windows組件”→“Bitl ocker驅(qū)動(dòng)器加密”項(xiàng)，可以選擇不同類別的驅(qū)動(dòng)器（包括操作系統(tǒng)驅(qū)動(dòng)器，固定數(shù)據(jù)驅(qū)動(dòng)器，可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器等），例如選擇操作系統(tǒng)驅(qū)動(dòng)器，在右側(cè)雙擊“選擇如何才能恢復(fù)受BitLocker保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器”項(xiàng)，在其屬性窗口中選擇“已啟用”項(xiàng)，確保選擇“為操作系統(tǒng)驅(qū)動(dòng)器將BitLocker恢復(fù)信息保存在AD DS中”項(xiàng)。

完成了以上配置后，當(dāng)在指定的Windows Server 2016服務(wù)器執(zhí)行了BitLocker加密操作后，恢復(fù)密鑰就會(huì)寫入到活動(dòng)目錄中。以域管理員身份登錄服務(wù)器，打開(kāi)Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“Computers”容器，在右側(cè)選擇目標(biāo)主機(jī)，在其屬性窗口中打開(kāi)“BitLocker恢復(fù)”面板，可看到寫入到活動(dòng)目錄中的恢復(fù)密鑰項(xiàng)目。在“詳細(xì)信息”欄中顯詳細(xì)的密鑰信息。當(dāng)用戶丟失了密鑰后，就可以利用這里提供的密鑰，來(lái)恢復(fù)加密磁盤。但是，對(duì)于Windows 10等客戶端主機(jī)來(lái)說(shuō)，雖然之前啟用了BitLocker加密功能，但是在Active Directory用戶和計(jì)算機(jī)窗口打開(kāi)這些主機(jī)時(shí)，卻沒(méi)發(fā)現(xiàn)恢復(fù)密鑰的信息。

為此可以使用Managebde工具，來(lái)允許其將恢復(fù)密鑰寫入到活動(dòng)目錄中。在這些客戶機(jī)上中打開(kāi)CMD窗口，執(zhí) 行“manage-bd e-protectors -get d:”命令，來(lái)獲取指定驅(qū)動(dòng)器（這里為D盤）的恢復(fù)密鑰信息，復(fù)制其中的數(shù)字密碼。執(zhí)行“manage-bde -protectors-adbackup d: -id {xxx} ”命令，即可將指定磁盤的恢復(fù)密鑰寫入到活動(dòng)目錄中。其中的“xxx”表示數(shù)字密碼。當(dāng)然，在客戶機(jī)上也需要在組策略窗口中針對(duì)特定的驅(qū)動(dòng)器，來(lái)允許其將恢復(fù)密鑰寫入到AD DS中。實(shí)際上，這里僅僅在本機(jī)上進(jìn)行了配置，在實(shí)際的網(wǎng)絡(luò)環(huán)境中，需要在活動(dòng)目錄的組策略中進(jìn)行統(tǒng)一的配置，這樣操作起來(lái)就更加快捷。