强制系统磁盘加密
2020-04-15顾武雄
想要让整天奔波在外的移动工作者的笔记本电脑不会因为设备遗失而导致公司数据外泄,最保险的做法就是先对于操作系统磁盘进行BitLocker加密,然后再对于其他本地的固定磁盘以及各种卸除式数据磁盘(包含U盘)进行加密,如此一来不仅所有本地用户数据与系统文件都会被加密,也包括了系统内存页面文件与休眠文件,以及所有存放重要商务数据的磁盘都会受到保护。
然而在Windows 10系统默认的状态下,若要启操操作系统磁盘的BitLocker功能将会出现错误信息,这是因为在默认策略的状态下并没有启用“在不含兼容TPM的情形下允许使用BitLocker”。针对这个问题,我们可以一并从Active Directory组策略中来设置即可。
请在“组策略管理编辑器”界面中,展开至“计算机设置→策略→系统管理模板→ MDOP MBAM(BitLocker Management)→操作系统磁盘”节点下,然后开启“操作系统磁盘加密设置”页面。在此请先勾选“在不含兼容TPM的情形下允许使用BitLocker”设置,必须注意的是此选项仅适用在Windows 8以上的客户端计算机。
然后请将“选取操作系统磁盘的保护设备”设置为“TPM和PIN”,并且设置用于启动的最小PIN长度(最多20位)。点击“确定”。
紧接着请开启“选择如何修复受BitLocker保护的操作系统磁盘”页面。在此请先勾选“允许数据恢复代理”项,然后再将“存储操作系统磁盘的BitLocker修复信息到AD DS”勾选。至于是否要同时存储修复密码与密钥封装可以自行决定,但笔者会建议把默认没有勾选的“请勿启用BitLocker,除非操作系统磁盘的修复信息已存储到AD DS”设置勾选,如此一来可以有效防范用户遗失修复密码的问题发生,因为至少在Active Directory还有存放一份。
图4 加密后的系统开机验证
接下来客户端用户就可以自行到“控制台”中开启“BitLocker磁盘加密”界面,然后针对操作系统磁盘点击“开启BitLocker”,此时就会立即出现“选择启动时如何解除锁定磁盘”项,在此选择采用“插入在USB快闪磁盘”的方式是最安全的做法,但对于用户来说稍显复杂,因此大部分用户会选择“输入密码”。
当选择以“输入密码”的方式来做为解锁启动时的验证方法后,点击“下一步”按钮,便会选择存储到USB快闪磁盘,存储到文件或是打印修复密钥。无论如何用户必须妥善保护此信息,以便在忘记解锁密码时还可以进行回复。不过别忘了!我们早已通过策略配置,让Active Directory中也存有一份修复密钥。
接着会出现“选择要加密的磁盘大小”,分别有“只加密已使用的磁盘空间”以及“加密整个磁盘”,前者较适用在全新开始使用的磁盘,后者则适合已经正在使用中的磁盘。点击“下一步”后会询问是否要“执行BitLocker系统检查”,确认勾选此设置后点击“确定”。然后系统将会提示需要重新启动。
如图4所示便是重新启动后的BitLocker解除锁定提示页面,在没有密码或修复密钥的情况下是无法正常启动的。即便整个操作系统磁盘被有心人士拔除到其他计算机来连接,也无法读取到磁盘中的任何数据。
在正常启操操作系统的状态下,无论是到“控制台”的“BitLocker加密选项”还是“BitLocker磁盘加密”界面中,都可以看到目前的操作系统磁盘已经在加密状态。
此外,只要是在策略允许的情况下,用户都可以随时执行暂停保护、备分您的修复密钥、变更密码、移除密码,以及关闭BitLocker功能。