Bitlocker磁盘加密策略With TPM(1)---Intune终结点管理（7）

Bitlocker磁盘加密策略With TPM(1)---Intune终结点管理（7）

什么是bitlocker驱动器加密

BitLocker 为你的计算机提供脱机数据和操作系统保护。 BitLocker 有助于确保在已安装的操作系统处于脱机状态时，如果计算机被篡改，则不会显示存储在运行 Windows 的计算机上的数据。 BitLocker 使用称为受信任的平台模块 (TPM) 的微芯片，为你的数据提供增强的保护，并保留早期启动组件的完整性。 TPM 可以通过加密整个 Windows 卷来帮助防止数据被盗或未经授权的查看。

BitLocker 旨在为带有兼容 TPM 微芯片和 BIOS 的计算机提供最完美的最终用户体验。 兼容的 TPM 定义为版本1.2 的 TPM，其中包含支持受信任计算组定义的信任度量的静态根所需的 BIOS 修改。 TPM 可与BitLocker 交互，以帮助在计算机重新启动时提供无缝保护。

简单说，bitlocker驱动器加密是我们计算机上的是一项数据保护功能，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁，BitLocker为丢失或被盗的计算机提供增强的数据窃取或数据暴露保护。BitLocker会加密存储在Windows操作系统卷和驱动器以及配置的数据驱动器上的所有数据。

Bitlocker驱动器加密恢复秘钥保存方式：

A.   保存到云域账户或登录当前系统的Microsoft账户

B.    保存到U盘

C.   保存到文件

D.   打印恢复秘钥

E.    保存到本地AD账户属性中

F.    由MBAM服务器统一管理

完成bitlocker驱动器加密后用户体验：

A．        无TPM芯片的设备开机时先输入bitlocker加密password，再输入系统登录password

B．        有TPM芯片设备，加密后用户体验与加密前一致；

C．        BIOS 支持UEFI启动的，可以设置USB启动，加密完成后，开机时插入设置的U盘，启动后再输入系统登录password；

常用的实现bitlocker驱动器加密的方式：

A.   用户在客户端为驱动器手动启用bitlocker加密；

B.    设置AD组策略为加域的设备统一启动bitlocker加密，同时恢复秘钥保存在AD账户属性中；

C.   在AD域环境部署MBAM服务器，通过AD组策略统一为加域设备启用bitlocker加密，MBAM服务器提供加密报告，提允许最终用户使用自助服务门户独立恢复加密设备；

D.   在AD域环境中通过下发脚本或注册表方式为域内计算机开启bitlocker加密，恢复秘钥保存在AD账户属性中；

E.    通过SCCM为设备启动bitlocker加密（这个我没做过）；

F.    通过intune下发磁盘加密配置文件实现已注册到intune设备的驱动器加密（这篇文章主要整理的这个）；

通过intune实现bitlocker驱动器加密有哪些优势？

•        针对有兼容TPM芯片且win10以上操作系统可以实现统一静默的完成驱动器加密；

•        Intune配置文件报告可以使安全人员能够快速确定单个计算机甚至企业本身的合规性状态。

•         减少帮助台上的工作量，以帮助最终用户使用BitLocker PIN和恢复密钥请求；

•        允许最终用户使用自助服务门户独立恢复加密设备。

•        使安全人员能够轻松审核访问以恢复关键信息。

•        使用户能够继续在任何地方工作，并确保其公司数据受到保护。

Bitlocker驱动器加密常规设备类型

操作系统均为win10以上版本：

A.   已加域，有TPM芯片设备

B.    已加域，无TPM芯片设备

C.   未加域，有TPM芯片设备

D.   未加域，无TPM芯片设备

Bitlocker驱动器加密策略

当所有win10 设备均已注册到intune后是否加入到本地AD域已对bitlocker驱动器加密策略下发无影响，根据常规设备类型，建议设置2个bitlocker驱动器加密配置文件，一个分配给无TPM芯片设备，一个分配给有TPM芯片设备；

A.    BitLockerProfile With TPM

B.     BitLockerProfile Without TPM

BitLocker Profile With TPM

策略应用范围

A． 已加域，有TPM芯片设备

B．  未加域，有TPM芯片设备

策略应用后效果

静默完成磁盘加密，加密开始后驱动器显示bitlocker加密图标

BitLocker Profile With TPM配置

1.    登录到endpoint管理中心，终结点安全性—磁盘加密—创建策略

4.    开始配置设置，按需完成固定驱动器设置，基本设置，可移动驱动器设置，OS驱动器设置等相关bitlocker配置，这个策略是应用给兼容TPM芯片的设备，所以我的设置如下，供参考：

Bitlocker-固定驱动器设置

l  阻止对不受bitlocker保护的驱动器的写入权限，选择“是”后策略下发成功后，如果驱动器未加密无法写入，OS驱动器可以正常写入；l  如果设置了“驱动器恢复”，需要注意，要设置“恢复秘钥文件创建”为“允许”，否则无法开始加密；l  需要设备将恢复信息备份到AzureAD，此项选择“是”，则在恢复信息备份完成前不会开始加密；

Bitlocker-基本设置

l  隐藏有关第三方加密提示可以实现无提示（静默）加密；l  测试环境为azuread joined hybrid环境，配置了恢复password轮替；

Bitlocker-可移动驱动器设置

Bitlocker-OS驱动器设置

l  如果策略应用给兼容TPM设备并实现无提示（静默）加密建议如下设置TPM相关配置l  兼容的TPM—启动l  兼容的TPM启动PIN—阻止l  兼容的TPM启动秘钥—阻止l  兼容的TPM启动秘钥和PIN—阻止l  需要设备将恢复信息备份到AzureAD，此项选择“是”，则在恢复信息备份完成前不会开始加密；

6.    指定应用范围，分配给组或者所有用户，这里的组为 安全组

客户端效果

1.             客户端会自动开始加密工作，可以在我的电脑中可以看到驱动器已带小锁，

2.             在客户端可以通过命令查看加密进度，get-bitlockervolume或manage-bde.exe -status

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。