BitLocker Windows 資料保護 作業系統 MBAM 加密 資安 AD

集中控管企業Windows 10 BitLocker磁碟加密機制

2015-11-09
為了避免敏感資訊不慎外洩,微軟提供了BitLocker加密保護功能,而針對BitLocker電腦的集中控管需求,微軟進一步釋出MDAM套件,能夠集中管理Windows用戶端的BitLocker磁碟機加密,從管理端或使用者自助網站上取得修復金鑰資訊,以解決一般使用者忘記密碼或PIN碼的窘境。
首先,IT人員必須在這些Windows用戶端上根據32位元或64位元版本的不同,安裝相對應的MbamClientSetup.exe程式。整個安裝過程不需要進行任何設定,完成安裝之後,在「控制台」頁面內,如圖22所示就會多了一個「BitLocker加密選項」圖示。


▲圖22 Windows 10控制台內多了「BitLocker加密選項」。

如圖23所示,開啟「BitLocker加密選項」頁面後,除了會看到系統將提示磁碟已受到公司BitLocker原則的管制外,還可以知道目前有哪些固定式磁碟或外接式磁碟已啟用BitLocker加密保護功能。


▲圖23 顯示BitLocker加密選項。

管理人員若想要隨時檢查此用戶端的Windows是否已經正常運行MBAM的代理程式,最直接的做法就是如圖24所示開啟「工作管理員」介面來查看MBAMAgent程式是否出現在處理程序的即時監視頁面內,而其相對的服務名稱是BitLocker Management Client服務。


▲圖24 開啟Windows 10「工作管理員」查看。

確認在每一部準備要集中控管的Windows用戶端內已經安裝好MBAM的代理程式之後,接下來想辦法透過Active Directory群組原則來控管這些已部署下去的代理程式執行原則。先到如圖25所示的官方網站上下載最新MDOP系統管理範本。

·Microsoft Desktop Optimization Pack系統管理範本v2.0下載網址: https://www.microsoft.com/zh-tw/download/details.aspx?id=41183


▲圖25 下載MDOP系統管理範本。

解壓縮後,展開至「MDOP_ADMX_Templates\Microsoft Desktop Optimization Pack」路徑下,這裡可以看到很多不同套件專用的群組原則範本資料夾。

在開啟MBAM2.5SP1資料夾之後,接著如 圖26所示將BitLockerManagement.admx與BitLockerUserManagement.admx兩個範本檔,複製到網域控制站(DC)之SYSVOL共用路徑下的「DNS網域名稱\Policues\PolicyDefinitions」資料夾內,然後將「zh-Hant」子資料夾內的BitLockerManagement.adml與BitLockerUserManagement.adml兩個語言套件,複製到相對的「zh-Hant」子資料夾內即可。


▲圖26 置放BitLocker管理範本。

完成MBAM群組原則範本檔案的存放動作後,開啟「群組原則管理編輯器」,在「電腦設定」→「原則」→「系統管理範本」節點下,可以發現多了一個MDOP MBAM(BitLocker Management)節點,旗下便有四大主要原則設定的分類資料夾,如圖27所示分別是「用戶端管理」、「作業系統磁碟機」、「卸除式磁碟機」以及「固定磁碟機」。


▲圖27 檢視MBAM系統管理原則。

隨即展開至「用戶端管理」節點下,然後找到「設定MBAM服務」並加以開啟。此原則的設定與啟用,可協助管理人員將Windows用戶端之BitLocker加密修復資訊的金鑰修復服務備份,有效避免因遺失金鑰資訊導致加密資料遺失。

如圖28所示,完成「MBAM修復服務端點」與「MBAM狀態報告服務端點」網址設定,以及選取要儲存的BitLocker修復資訊類型之後,選取「已啟用」並按下〔確定〕按鈕。而關於其中兩個預設網址欄位的輸入,只要從「說明」欄位內複製過來就可以。


▲圖28 設定MBAM服務。

TOP 4:如何強制用戶端作業系統磁碟加密

想要讓整天在外奔波的行動工作者,不會因為筆電遺失而導致公司資料外洩,最保險的做法就是先針對作業系統磁碟機進行BitLocker加密,然後再將其他本機的固定磁碟機以及各種卸除式資料磁碟機(包含隨身碟)進行加密,如此一來不僅所有本機使用者資料與系統檔案都會被加密,連系統記憶體分頁檔與休眠檔案,以及所有存放重要商務資料的磁碟機也都會受到保護。

然而,在Windows 10系統預設的狀態下,若要啟動作業系統磁碟機的BitLocker功能,將會出現如圖29所示的錯誤訊息,因為在預設原則的狀態下並沒有啟用「在不含相容TPM的情形下允許使用BitLocker」功能。針對這個問題,可以一併從Active Directory群組原則中來設定。


▲圖29 啟動作業系統磁碟機。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!