老板昨天让豆子看看怎么统一配置一下bitlocker。豆子花了一天把网上的资料都翻了翻,中文资料基本太初级没用,英文的资料倒是很多,不过相当的凌乱,大概看了7,8份不同的参考资料,自己小结了一下整个最基本的配置流程。bitlocker的各种应用场景很多,有些东西限于水平和时间,可能不够精确,以后会慢慢修正和添加。
以下解释都是豆子的大白话理解:
基本定义:首先说说什么是bitlocker, 简单的说就是用来加密硬盘的,这样如果硬盘丢了,在其他的计算机上,如果没有正确的密码,是无法访问的。
硬件:bitlocker的使用需要硬件的支持,这个硬件模块叫tpm,一般计算机都有,可以在设备管理器里面查看。但是,macbook上面没有这个东西,因此苹果电脑上如果装了windows系统,而且还想使用 bitlocker这个功能,需要额外使用usb或者单独的密码来验证,这个本文不做讨论~
操作系统: osx和linux是不支持的。操作系统 win7 pro之前的是不支持的,win7支持的版本也只限于ultimate和enterprise版本,win8之后的各种版本都支持。
怎么玩:
bitlocker把硬盘分为os,data和removable 3大类,都可以进行加密,加密之后会看见盘符上面多了一把锁;如果可以访问的状态锁是打开的,如果不能访问的话锁会扣上;解锁一般有3种方式:password或者叫做pin,recovery key以及 data recovery agent(其实就是证书解锁)。锁上之后任何一种方式都能解锁姿势~。
pin一般可以有用户自己设定,他会同时生成一个recovery key,如果忘记了密码,可以通过这个key来解锁,这个key可以保存在文件,网络或者ad中; data recovery agent则是一个签发的证书,只要在对应的电脑上导入了对应的certificate和private key,就可以通过这个证书的thumprint来解锁。这个东西比较麻烦和混淆,后面会做具体说明。
额外还有很多具体的设置,比如你可以设定某台电脑上连接的硬盘都自动解锁,网络解锁,用户设置pin,操作系统的硬盘开机前额外验证pin等等。
具体操作:
下面来看看具体怎么配置的步骤:
添加scheme
配置权限,允许保存recovery key到ad
dc安装bitlocker的feature
配置ca和签署证书
配置gpo组策略
推送已有的bitlocker的计算机到ad
使用manage-bde工具来测试
首先看看scheme
一般说来,server 2008 r2以后的dc是不需要手动添加的了,可以通过这个powershell命令查看,如果返回值有下面5个对象,那么恭喜,第一步就可以略过了。
2. 给ad添加权限
首先需要从官网下载几个vbs的脚本。现在都powershell的时代了,微软也没改进一下10年前的方法~~
https://technet.microsoft.com/en-us/library/dn466534.aspx#sample scripts
复制粘贴脚本然后保存到dc的c:\bitlocker目录下
执行
然后就可以添加权限了。
打开aduc , 对应存放计算机对象的ou上,然后delegate control
打开向导
添加用户
添加self
选择自定义
选择对象computer
选择权限,写入tpm的信息
结束
这样计算机就有权限把tpm的信息写入ad了
3. dc上安装bitlocker的feature,这个没啥好说的,点开server manager,安装bitlocker,重启dc。dc会自动安装bitlocker viewer。
4. 配置ca和证书。 data recovery agent的配置是所有过程里面最让人混淆的一步。ca的配置这里不赘述了,主要是关于证书的签发。有些文档说需要复制一份key recovery 的证书模板,然后手动添加application extension,签发给用户,最后再配置证书和私钥到对应的计算机上。豆子自己的测试结果并不好使。
实际测试的结果显示,不需要这么麻烦,我可以直接签发basic efs的证书,然后成功利用这个证书在多台计算机上解锁u盘。
mmc里面打开certificate的snapin,personal -> certificate -> request new certificate
一路next下去
选择basic efs~
成功enrol之后找到这个签发的证书,双击,选择‘copy to file’
注意要导出私钥
把导出的pfx文件保存好,稍后需要安装到需要测试的计算机上。
5. 重头戏来了,配置gpo,官方推荐的配置如下,当然可以根据自己的需要进行修改
https://technet.microsoft.com/en-us/library/dd875532(ws.10).aspx
不过上面的内容仅仅是bitlocker的一部分,还需要修改下面的组策略
computer configuration -> administrative template -> system -> trusted platform module service
enable 这个服务。 豆子的dc是windows 2008 r2,据说 windows 2012里面这个选项就已经没有了
除此以为,我们还需要配置data recovery agent的gpo
computer configuration -> policies ->windows settings-> security settings->public key policies, 然后右击 bitlocker drive encryption 选择 add data recovery agent…
点击next
这里我直接选择browse directory, 然后选择我自己的账户(因为之前我签发的efs证书是用自己的账户)
他会提示我选择绑定哪一个证书,因为我做测试在自己的账户上签发了n个不同的证书,选择前面我们生成的那个efs 的就可以了
这里可以绑定任意多个,理论上任何一个都是可以用来解锁的
到这一步,基本上配置就都完成了。剩下的就是推送gpo到计算机了。
6. 如果已经有计算机打开bitlocker了,那么我们还需要推送已有的recovery key到ad上。
执行下面命令,获取对应磁盘的id和密码
推送到ad
登陆aduc,查看一下已经成功保持到ad了
7. 测试
我电脑上弄了3种类型的盘符,一个是操作系统c盘,一个是放数据的e盘,还有一个u盘 d。
看看状态
d盘和e盘我可以在图像界面设置密码或者修改密码 , d盘目前木有显示是因为我故意把他锁住了。事实上,u盘一旦拔出来,再插回去,不管是不是同一台电脑,只要之前在他上面打开了bitlocker,他的状态都是锁住的,需要使用任意三种方式之一来解锁才能访问。
下面演示一下如何解锁,双击d盘,他会弹出下面的对话框,我们可以输入自己设置的密码解锁,或者recovery key解锁,recovery key可以在aduc上查看,或者在解锁状态下通过manage-bde -protectors -get d: 查看
解锁之后就可以访问了
最后看看如何通过证书解锁
首先手动锁上d盘
查看一下对应的证书是否配置,指纹是什么
在当前计算机上,导入这个证书指纹对应的证书和私钥(第4步导出的那个证书文件)到personal,然后执行下面的命令,同样可以解锁。
综述,上面演示了一个基本的流程来在ad环境里面配置和使用bitlocker,有些细节限于篇幅没有详细解释。