在 Active Directory 中存储 BitLocker 恢复密钥

您可以使用 Active Directory 安全地存储客户端计算机中 BitLocker 恢复密钥（密码）的备份。如果您有多个用户使用 BitLocker 来加密他们的数据，这将非常方便。您可以在域中配置组策略，以便在使用 BitLocker 加密任何驱动器时，计算机会将恢复密钥保存在 AD 中的计算机对象帐户中（就像存储使用 LAPS 生成的本地计算机管理员密码一样）。

要配置在 Active Directory 中存储 BitLocker 密钥，您的基础结构必须满足以下要求：

• 运行 Windows 10 或 Windows 8.1 专业版和企业版的客户端计算机；

• AD架构版本：Windows Server 2012或更高版本；

• 您的 GPO ADMX 文件必须更新到最新版本。

如何配置组策略以在 AD 中存储 BitLocker 恢复密钥？

要将 BitLocker 恢复密钥自动保存（备份）到 Active Directory 域，您需要配置特殊的 GPO。

1. 打开域组策略管理控制台（

   gpmc.msc

   ），创建一个新的 GPO 并将其链接到包含要在 AD 中启用自动 BitLocker 密钥保存的计算机的 OU；

2. 转到计算机配置 -> 管理模板 -> Windows 组件 -> BitLocker 驱动器加密；

3. 使用以下设置启用在 Active Directory 域服务中存储 BitLocker 恢复信息策略：需要将 BitLocker 备份到 AD DS 并选择要存储的 BitLocker 恢复信息：恢复密码和密钥包；

   

4. 然后转到“计算机配置”->“策略”->“管理模板”->“Windows 组件”->“BitLocker 驱动器加密”->“操作系统驱动器”，并启用策略选择如何恢复受 BitLocker 保护的操作系统驱动器。请注意，建议选中在将操作系统驱动器的恢复信息存储到 AD DS 之前不要启用 BitLocker。如果选中该选项，BitLocker 将不会启动驱动器加密，直到计算机在 AD 中保存新的恢复密钥（如果您是移动用户，则必须等待下一次连接到域网络）；

5. 在我们的示例中，为操作系统驱动器启用了 BitLocker 密钥的自动保存。如果要保存外部媒体设备或其他驱动器的 BitLocker 恢复密钥，请在以下 GPO 部分中配置类似的策略：固定数据驱动器和可移动数据驱动器；

   

6. 更新客户端上的组策略设置：

   gpupdate /force

7. 使用 BitLocker 加密运行 Windows 10 Pro 的计算机的系统驱动器（打开 BitLocker）；

   

8. Windows 10 会将计算机的 BitLocker 恢复密钥保存在 Active Directory 中并加密驱动器。

   您可能对一台计算机有多个 BitLocker 恢复密码（例如，针对不同的可移动设备）。

如果计算机磁盘已使用 BitLocker 加密，您可以在 AD 中手动同步。运行命令：

manage-bde -protectors -get c:

复制数字密码 ID 值（例如，

22A6A1F0-1234-2D21-AF2B-7123211335047

）。

运行以下命令将恢复密钥保存到当前计算机的 AD 帐户：

manage-bde -protectors -adbackup C: -id {22A6A1F0-1234-2D21-AF2B-7123211335047}

您将看到此消息：

Recovery information was successfully backed up to Active Directory

或者，您可以使用 PowerShell 将系统驱动器的 BitLocker 恢复密钥备份到 Active Directory：

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId

如何查看和管理 Active Directory 中的 BitLocker 恢复密钥？

从 Active Directory 用户和计算机管理单元（ADUC、

dsa.msc

），您必须安装远程服务器管理工具（RSAT）。

在 Windows Server 中，您可以使用服务器管理器安装BitLocker 驱动器加密管理实用程序功能（它包含 BitLocker 驱动器加密工具和 BitLocker 恢复密码查看器）。

或者您可以使用 PowerShell 安装这些 Windows Server 功能：

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

在 Windows 10 中，您必须从 RSAT 安装 RSAT-Feature-Tools-BitLocker。

现在，如果您在 ADUC 控制台中打开任何计算机的属性，您将看到一个新的 BitLocker 恢复 选项卡。

您可以在此处查看密码的创建时间、获取密码 ID 和 BitLocker 恢复密钥。

然后，如果用户忘记了自己的 BitLocker 密码，他可以将计算机屏幕上显示的恢复密钥的前 8 个符号告诉管理员，管理员可以使用操作 —>查找 BitLocker 恢复密码在 ADUC 中找到计算机的恢复密钥，并将其告诉用户。恢复密码（48 位数字）将有助于解锁受 Bitlocker 保护的驱动器。

默认情况下，只有域管理员才能查看 BitLocker 恢复密钥。在 Active Directory 中，您可以将查看特定 OU 中的 BitLocker 恢复密钥的权限委派给任何用户组。为此，请委派查看 msFVE-RecoveryInformation 属性值的权限。

因此，在本文中，我们展示了如何在 Active Directory 中配置 BitLocker 恢复密钥的自动备份。如果用户忘记了 BitLocker 密码，您可以获取该密码并恢复对用户设备上数据的访问权限。

如果硬盘的BitLocker系统信息区损坏，可以尝试按照本文解密数据。