集中控管企業Windows 10 BitLocker磁碟加密機制

為了避免敏感資訊不慎外洩,微軟提供了BitLocker加密保護功能,而針對BitLocker電腦的集中控管需求,微軟進一步釋出MDAM套件,能夠集中管理Windows用戶端的BitLocker磁碟機加密,從管理端或使用者自助網站上取得修復金鑰資訊,以解決一般使用者忘記密碼或PIN碼的窘境。

TOP 5:在忘記密碼時解除BitLocker加密的磁碟

從事過IT系統維護管理工作的人員都知道,無論是E-mail信箱密碼、網域帳戶密碼、網站應用程式密碼,還是個人電腦密碼,老是有使用者反應忘記密碼,這個時候IT人員就得想辦法進入後台,將他的密碼改為一組預設值。類似這樣的情境,在Windows電腦都啟用BitLocker功能之後,肯定還是會繼續發生。

此刻還好已經結合了MBAM的套件來進行集中控管,讓BitLocker的修復金鑰可以經由使用者自己或管理人員來協助取得,怎麼做呢?這裡來做個示範。首先,假設有一個卸除式的USB外接硬碟,如圖38所示已經忘記解鎖的密碼,且使用者自己的備份修復金鑰也遺失了,這時候仍然點選「輸入修復金鑰」繼續。


▲圖38 解除BitLocker磁碟機加密。

如圖39所示,在輸入修復金鑰頁面內,可以發現系統已經提示目前的金鑰識別碼,先牢記此八位數的金鑰識別碼,而畫面先停留在此。


▲圖39 輸入修復金鑰。

緊接著,該名使用者可以在公司網路中的任一台電腦開啟瀏覽器以自己的網域帳戶密碼來登入MBAM的自助式網站。如圖40所示,將剛剛的八位數修復金鑰識別碼輸入到此頁面的對應欄位內,再挑選適當的原因並按下〔取得金鑰〕按鈕。


▲ 圖40 從MBAM自助式網站取得四十八位數的BitLocker修復金鑰。

只要使用者所輸入的修復金鑰識別碼正確,便會立即出現四十?八位數的BitLocker修復金鑰。將其複製,然後張貼至上一步驟中的修復金鑰欄位內,並按下〔解除鎖定〕按鈕即可。成功解除鎖定後,該名使用者務必重新設定一組新的密碼。

前面因忘記解鎖密碼而取得修復金鑰的方法,是透過MBAM自助式網站讓使用者自行登入來取得。接下來的做法則是改由登入MBAM管理員主控台網站,來協助使用者解除磁碟機鎖定的需要。

如圖41所示,先點選至「磁碟機修復」頁面,然後分別輸入使用者網域、使用者識別碼、八位數修復金鑰識別碼以及選擇適當的原因。


▲圖41 進入「磁碟機修復」頁面設定。

其實,管理人員取得BitLocker用戶端相對修復金鑰的方法,並不是只有透過MBAM管理員主控台網站才行,經由「Active Directory使用者與電腦」介面也可以取得,只是在此之前必須先從「伺服器管理員」介面中,如圖42所示新增一個「BitLocker磁碟加密管理公用程式」節點下的「BitLocker修復密碼檢視器」功能。至於「BitLocker磁碟機加密工具」功能,可以選擇性安裝,因為可能會希望將某些Windows Server 2012 R2伺服器納入BitLocker磁碟機的管理範圍,並且希望有完整的專屬命令工具可以用來管理BitLocker設定。


▲圖42 到Windows Server 2012 R2新增功能。

完成安裝「BitLocker修復密碼檢視器」伺服器功能後,就可以開啟「Active Directory使用者與電腦」介面,然後針對已啟用BitLocker功能的電腦物件開啟其「內容」設定視窗。接著,如圖43所示在〔BitLocker修復〕頁籤內就會看到四十?八碼的修復密碼資訊。


▲圖43 由管理者檢視電腦修復金鑰。

無論用戶端的BitLocker修復金鑰是否已成功取得,被授權的管理人員都可以從MBAM管理員主控台網站,如圖44所示透過「報告」節點頁面來查詢修復稽核報告,查詢的條件可以是特定的技術服務人員、用戶端使用者、要求結果、金鑰類型或起訖日期。


▲圖44 檢視修復稽核報告。

結語

現今企業行動工作者的隨身裝置肯定不會只有筆電,至少還會有智慧型手機或平板,而且品牌與系統可能都不一樣。無論行動裝置類型為何,裡面通常多少都會存放與公司相關的商務資料,最常見的就是公司的E-mail信箱、網路硬碟以及資訊入口網站的自動登入設定等等,一旦遺失且又落入惡意人士的手上,若沒有在第一時間獲得最佳的安全處理,實在很難評估接下來公司所面臨的損失會有多麼嚴重。

因此,企業IT部門對於人員隨身的各類行動裝置,除了需要做好基本連接授權的管制之外,還必須針對所有已授權的人員與裝置做好事前與事後資料外洩的防護機制。

<本文作者:顧武雄, Microsoft MVP、MCITP與MCTS認證專家、台灣微軟Technet、TechEd、Webcast、MVA特約資深顧問講師。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!