iThome

微軟在Windows Vista及Server 2008中新增的磁碟加密工具「BitLocker」,在設計之初原本僅能加密系統磁區,到了Vista SP1已經能加密所有的本機磁碟,Windows 7又進一步改進新增BitLocker To Go功能,並開始支援外接磁碟機或隨身碟。

目前共有26條與BitLocker直接或間接相關的群組原則,其中6條與卸除式磁碟(亦即BitLocker To Go功能)有關。IT人員可以利用這些原則,強制使用者必須在企業環境下使用受BitLocker保護的隨身碟,或是指定BitLocker的解密方式(密碼、智慧卡或TPM安全晶片),以及密碼復原方式(復原密碼、修復金鑰,或是儲存在AD網域服務(DS)上的復原資訊)。舉例來說,如果想要讓員工在使用隨身碟之前,一定要用BitLocker加密才能存取資料,可以到GPME的「電腦設定/系統管理範本/Windows元件/BitLocker磁碟機加密/卸除式資料磁碟機」來設定相關原則。由於加密系統最讓人擔心的就是忘記密碼或解密程序,導致資料無法存取,因此Server 2008 R2也允許IT人員選擇把金鑰備份到AD DS。

值得注意的是,在啟用這項功能時,必須決定一旦備份失敗,是否要繼續啟用BitLocker,如果選取「需要BitLocker備份至AD DS」選項,則電腦必須連接到網域,同時BitLocker修復資訊也成功備份至AD DS,BitLocker才會開啟。這個選項在預設情況下會自行套用,以確保BitLocker修復金鑰可被存取並執行。

如果需要一次解密大量經BitLocker加密的儲存裝置,IT人員只要利用資料復原代理(Data Recovery Agent,DRA)就能達到目的。在啟用DRA之前,必須先到本機群組原則設定項中,找到位於「公開金鑰原則」的「BitLocker磁碟機加密設定」,再從右鍵選單中點選「新增資料復原代理」,以啟用DRA精靈,並指定特定的使用者帳戶為BitLocker的復原代理,讓這個帳戶能透過公開的金鑰來解密加密磁區。所有被設定為復原代理的帳戶,都必須具備復原代理憑證,IT人員可以手動建立此憑證,或是直接從AD的使用者清單中挑選。

 

開啟拒絕存取設定

如果啟用「拒絕未受BitLocker保護之卸除式磁碟機的寫入存取權」,員工將只能把資料寫入經BitLocker加密過的隨身碟,連接這臺電腦的其他隨身碟則自動變為唯讀狀態。

 

BitLocker加密警告訊息

完成拒絕存取設定後,只要插入未經BitLocker加密的隨身碟就會出現這個畫面。必須注意的是,這項設定與「系統/卸除式儲存裝置存取權」原則會互相影響。

 


相關報導請參考「用群組原則輕鬆管理使用者電腦

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement