強制系統(tǒng)磁盤加密

想要讓整天奔波在外的移動工作者的筆記本電腦不會因為設(shè)備遺失而導(dǎo)致公司數(shù)據(jù)外泄，最保險的做法就是先對于操作系統(tǒng)磁盤進行BitLocker加密，然后再對于其他本地的固定磁盤以及各種卸除式數(shù)據(jù)磁盤(包含U盤)進行加密，如此一來不僅所有本地用戶數(shù)據(jù)與系統(tǒng)文件都會被加密，也包括了系統(tǒng)內(nèi)存頁面文件與休眠文件，以及所有存放重要商務(wù)數(shù)據(jù)的磁盤都會受到保護。

然而在Windows 10系統(tǒng)默認的狀態(tài)下，若要啟操操作系統(tǒng)磁盤的BitLocker功能將會出現(xiàn)錯誤信息，這是因為在默認策略的狀態(tài)下并沒有啟用“在不含兼容TPM的情形下允許使用BitLocker”。針對這個問題，我們可以一并從Active Directory組策略中來設(shè)置即可。

請在“組策略管理編輯器”界面中，展開至“計算機設(shè)置→策略→系統(tǒng)管理模板→ MDOP MBAM(BitLocker Management)→操作系統(tǒng)磁盤”節(jié)點下，然后開啟“操作系統(tǒng)磁盤加密設(shè)置”頁面。在此請先勾選“在不含兼容TPM的情形下允許使用BitLocker”設(shè)置，必須注意的是此選項僅適用在Windows 8以上的客戶端計算機。

然后請將“選取操作系統(tǒng)磁盤的保護設(shè)備”設(shè)置為“TPM和PIN”，并且設(shè)置用于啟動的最小PIN長度(最多20位)。點擊“確定”。

緊接著請開啟“選擇如何修復(fù)受BitLocker保護的操作系統(tǒng)磁盤”頁面。在此請先勾選“允許數(shù)據(jù)恢復(fù)代理”項，然后再將“存儲操作系統(tǒng)磁盤的BitLocker修復(fù)信息到AD DS”勾選。至于是否要同時存儲修復(fù)密碼與密鑰封裝可以自行決定，但筆者會建議把默認沒有勾選的“請勿啟用BitLocker，除非操作系統(tǒng)磁盤的修復(fù)信息已存儲到AD DS”設(shè)置勾選，如此一來可以有效防范用戶遺失修復(fù)密碼的問題發(fā)生，因為至少在Active Directory還有存放一份。

圖4 加密后的系統(tǒng)開機驗證

接下來客戶端用戶就可以自行到“控制臺”中開啟“BitLocker磁盤加密”界面，然后針對操作系統(tǒng)磁盤點擊“開啟BitLocker”，此時就會立即出現(xiàn)“選擇啟動時如何解除鎖定磁盤”項，在此選擇采用“插入在USB快閃磁盤”的方式是最安全的做法，但對于用戶來說稍顯復(fù)雜，因此大部分用戶會選擇“輸入密碼”。

當選擇以“輸入密碼”的方式來做為解鎖啟動時的驗證方法后，點擊“下一步”按鈕，便會選擇存儲到USB快閃磁盤，存儲到文件或是打印修復(fù)密鑰。無論如何用戶必須妥善保護此信息，以便在忘記解鎖密碼時還可以進行回復(fù)。不過別忘了！我們早已通過策略配置，讓Active Directory中也存有一份修復(fù)密鑰。

接著會出現(xiàn)“選擇要加密的磁盤大小”，分別有“只加密已使用的磁盤空間”以及“加密整個磁盤”，前者較適用在全新開始使用的磁盤，后者則適合已經(jīng)正在使用中的磁盤。點擊“下一步”后會詢問是否要“執(zhí)行BitLocker系統(tǒng)檢查”，確認勾選此設(shè)置后點擊“確定”。然后系統(tǒng)將會提示需要重新啟動。

如圖4所示便是重新啟動后的BitLocker解除鎖定提示頁面，在沒有密碼或修復(fù)密鑰的情況下是無法正常啟動的。即便整個操作系統(tǒng)磁盤被有心人士拔除到其他計算機來連接，也無法讀取到磁盤中的任何數(shù)據(jù)。

在正常啟操操作系統(tǒng)的狀態(tài)下，無論是到“控制臺”的“BitLocker加密選項”還是“BitLocker磁盤加密”界面中，都可以看到目前的操作系統(tǒng)磁盤已經(jīng)在加密狀態(tài)。

此外，只要是在策略允許的情況下，用戶都可以隨時執(zhí)行暫停保護、備分您的修復(fù)密鑰、變更密碼、移除密碼，以及關(guān)閉BitLocker功能。