做过IT系统运维管理任务的人们都知道，无论是Email邮箱密码、网域帐户密码、网站应用程序密码，还是个人计算机密码，总是会有用户忘记密码，这时候IT人员就得想办法进入后台，来将他的密码改为一组默认值。

像这样的情形在许多Windows计算机都启用了BitLocker功能之后，肯定还是会继续发生的。

此刻还好已经结合了MBAM的程序包来进行集中管理，让BitLocker的修复密钥可以经由用户自己或管理人员来协助取得，怎么做呢？

让我们先来做个示范，首先假设我们有一个USB外接硬盘，已经忘记解锁的密码了，并且用户自己的备份修复密钥也遗失了，这时候请仍然点击“输入修复密钥”项继续。

在输入修复密钥页面中，可以发现系统已经提示我们目前的密钥标识符，请先牢记此8位数的密钥标识符，而画面先停留在此。

紧接着，该用户可以在公司网络中的任一计算机上开启浏览器，并以自己的网络帐户和密码来登录MBAM的自助式网站。

请将刚刚的8位数修复密钥标识符，输入在此页面的相当字段之中，然后再挑选适当的原因并点击“取得密钥”按钮即可。

此时只要用户所输入的修复密钥标识符正确，便会立即出现48位数的BitLocker修复密钥。请将它复制后粘贴至上一步骤中的修复密钥字段之中，然后点击“解除锁定”按钮即可。成功解除锁定之后，务必请该用户重新设置一组新的密码。

前面因忘记解锁密码而取得修复密钥的方法，是通过MBAM自助式网站让用户自行登录来取得。接下来的做法则是改由登录MBAM管理员控制台网站，来协助用户解除磁盘锁定的需要。

请点击至“磁盘修复”页面，然后分别输入用户网域、用户标识符、8位数修复密钥标识符，以及选择适当的原因即可。

其实管理人员取得BitLocker客户端相对修复密钥的方法，并不是只有通过MBAM管理员控制台网站才可以，经由“Active Directory用户与计算机”界面也是可以取得的，只是在此之前您必须先从“服务器管理员”界面中，添加一个位于“BitLocker磁盘加密管理公用程序”节点下的“BitLocker修复密码查看器”功能，至于“BitLocker磁盘加密工具”功能可以选择性安装，因为您可能会希望将某些Windows Server 2012 R2服务器纳入BitLocker磁盘的管理范围，并且希望能够有完整的专属命令工具来管理BitLocker设置。

完成“BitLocker修复密码查看器”服务器功能的安装之后，就可以开启“Active Directory用户与计算机”界面，然后针对有启用BitLocker功能的计算机对象开启其“内容”。接着便可以在“BitLocker修复”的页签之中，看到48位的修复密码信息。

图5 检视修复审核报告

其实无论客户端的BitLocker修复密钥是否有成功取得，被授权的管理人员都可以从MBAM管理员控制台网站上，通过如图5所示的“报告”节点页面，来查询修复审核报告，而查询的条件则可以通过特定的技术服务人员、客户端用户、要求结果、密钥类型，以及起始日期来完成。

结语：

现今企业移动办公的人随身设备肯定不会只有纸笔和笔记本电脑，至少还会有智能手机或平板，而且品牌与系统可能都不一样。无论移动设备类型如何，这里通常多少也都会存放与公司相关的业务数据，最常见的就是公司的E-mail邮箱、网络硬盘以及入口网站的自动登录信息等等，一旦遗失且被人恶意利用的话，若没有第一时间获得最佳的安全处理，实在很难评估接下来公司所要面临的损失会有多么严重与深远。因此，企业IT部门对于员工随身的各类移动设备，除了需要做好基本连接授权的管制之外，还要对所有已授权的人员与设备，做好事前与事后的数据外泄的防护机制。