BitLocker 驱动器加密操作指南：使用 AD DS 恢复加密卷更新时间: 2008年5月应用到: Windows Server 2008, Windows Vista本文档介绍了组织如何使用保存在 Active Directory 域服务 (AD DS) 中的 BitLocker 恢复信息来访问 BitLocker 加密的数据。

我们建议您在计划 BitLocker 部署时为 BitLocker 创建完全恢复模式。

本文档介绍了哪些内容？本文中包含您在计划Windows Vista® Enterprise、Windows Vista® Ultimate 和Windows Server® 2008 的 BitLocker 恢复过程时可以使用的详细信息。

要正确了解和应用本文，您应该知道如何将 AD DS 设置为自动备份 BitLocker 恢复信息，以及保存到 AD DS 的恢复信息类型。

本文档包含下列主题：∙什么是 BitLocker 恢复？∙测试恢复∙计划恢复过程∙使用其他恢复信息∙附录 A：委派权限∙附录 B：重置恢复密码∙附录 C：检索 BitLocker 密钥数据包∙附录 D：保存 TPM 信息本文档没有介绍哪些内容？本文没有详细介绍如何配置 AD DS 以存储 BitLocker 恢复信息，但着重说明了您的组织可以计划恢复过程的方法。

您还可以通过使用 Windows 恢复环境 (Windows RE) 并在启动过程中输入恢复密码来恢复启用 BitLocker 的卷。

有关如何在 AD DS 中存储恢复信息的详细信息，请参阅“配置 Active Directory 以备份 Windows BitLocker 驱动器加密和受信任的平台模块恢复信息”(/fwlink/?LinkId=82827)。

什么是 BitLocker 恢复？在所有恢复方案中，AD DS 中存储的恢复密码可以解除对驱动器的访问锁定。

无论使用的是什么身份验证方法，这个存储的密码都可以恢复 BitLocker。

什么原因会导致 BitLocker 恢复？会导致 BitLocker 恢复的一些原因包括：∙攻击者修改了您的计算机。

使用受信任的平台模块 (TPM) 的计算机可能出现这种情况，因为 TPM 会在启动过程中检查启动组件的完整性。

∙将 BitLocker 保护的驱动器移动到新的计算机上。

∙升级到具有新的 TPM 的新主板。

∙关闭、禁用或清除 TPM。

∙升级关键的早期启动组件，从而导致 TPM 不能通过验证。

∙在启用 PIN 身份验证时，忘记 PIN。

∙在启用启动密钥身份验证时，丢失包含有启动密钥的可插入 USB 闪存驱动器。

备注对于已计划的方案（如已知的硬件升级），您可以通过临时禁用 BitLocker 保护来避免启动恢复。

由于禁用 BitLocker 会使该驱动器完全加密，因此管理员会在已计划的任务完成之后迅速重新启用 BitLocker 保护。

要临时禁用 BitLocker，请使用控制面板、命令行工具或可以调用相应 Windows Management Instrumentation (WMI) 接口方法的部署脚本。

对于恢复的描述都是在未计划或不希望发生的行为的上下文中进行，但是您也可以使恢复成为预期的生产方案，以管理访问控制。

例如，您在为企业的其他部门或员工部署台式计算机和便携式计算机时，可以在将计算机交给新用户之前强制进行 BitLocker 恢复。

测试恢复在创建完全 BitLocker 恢复过程之前，我们建议您测试恢复过程是如何用于最终用户（需要联系支持人员以获取恢复密码的用户）以及管理员（帮助最终用户获取恢复密码的用户）的。

使用下表确定在组织中测试恢复的最佳方式。

身份验证方法列显示了 BitLocker 身份验证方法。

选择与已在测试环境中实现的身份验证方法相对应的身份验证方法。

启动时保留 PIN在计算机启动时不输入 PIN，或输入错误的 PIN 可以启动恢复。

如果不输入 PIN，Windows 以前的恢复控制台会显示输入恢复密码的屏幕。

启动时保留启动密钥在计算机启动时不插入包含有启动密钥的 USB 闪存驱动器可以启动恢复。

如果不提供启动密钥，Windows 以前的恢复控制台会显示输入恢复密码的屏幕。

删除与 TPM 相关联的密钥保护程序如果没有基于 TPM 的密钥保护程序，用户只能使用恢复密码或恢复密钥才可以解除对驱动器的锁定。

强制对本地计算机进行恢复的步骤1.单击「开始」按钮，在“开始搜索”框中键入cmd，右键单击cmd.exe，然后单击“以管理员身份运行”。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在命令提示符下，键入以下命令，然后按 Enter：cscript manage-bde.wsf -forcerecovery <Volume>备注强制对远程计算机进行恢复的步骤1.单击「开始」按钮，在“开始搜索”框中键入cmd，右键单击cmd.exe，然后单击“以管理员身份运行”。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在命令提示符下，键入以下命令，然后按 Enter：cscript manage-bde.wsf -ComputerName <ComputerName>-forcerecovery <Volume>备注关闭 TPM可以使用 TPM 管理 Microsoft 管理控制台 (MMC) 管理单元来关闭 TPM。

要关闭 TPM，请使用“TPM 管理”管理单元1.单击「开始」按钮，在“开始搜索”框中键入tpm.msc，然后单击tpm.msc。

2.如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。

3.在控制台树中，选择 TPM。

4.在“操作”窗格中，单击“关闭TPM”，然后在向导中键入 TPM 所有者密码。

您也可以使用 TPM WMI 接口写一个脚本来自动检索存储的 TPM 所有者密码哈希值，然后使用该哈希值在本地或远程关闭 TPM。

计划恢复过程计划 BitLocker 恢复过程时，先请查阅您的组织恢复敏感信息的当前最佳做法。

例如：企业如何处理丢失的 Windows 密码？您的组织如何执行智能卡 PIN 重置？使用这些最佳做法和相关资源（人力和工具）帮助制定 BitLocker 恢复模式。

启动 BitLocker 恢复后，用户可以使用恢复密码来解除对加密数据的访问锁定。

您必须同时为您的组织考虑自动恢复和恢复密码检索方法。

确定恢复过程后，您应该：∙熟悉可以检索恢复密码的方式。

请参阅：∙自动恢复∙恢复密码检索∙确定恢复后的一系列步骤，包括分析恢复发生的原因以及重置恢复密码。

请参阅：∙恢复后分析自动恢复在某些情况下，用户可能在打印结果或 USB 闪存驱动器中具有恢复密码，并且可以执行自动恢复。

我们建议您的组织为自动恢复创建策略。

例如，您可能希望用户在执行自动恢复前后联系支持人员以识别根本原因。

恢复密码检索如果用户在打印结果或 USB 闪存驱动器中没有恢复密码，则该用户需要联系支持人员。

备注通过 Active Directory 用户和计算机工具的 BitLocker 恢复密码查看器，域管理员可以查看 Active Directory 中特定计算机对象的 BitLocker 恢复密码。

由于 Windows Vista 中还没有提供 Active Directory 用户和计算机管理单元，因此查看器工具必须安装在 Windows Server 2003 或 Windows XP 计算机上。

有关如何获取该工具及其使用方法的信息，请参阅 Microsoft 知识库文章 (/fwlink/?LinkId=93476)。

可以将下表用作创建自己的恢复过程（用于恢复密码检索）的模板。

示例过程使用的是 Active Directory 用户和计算机工具的 BitLocker 恢复密码查看器。

∙记录用户的计算机名称∙确认用户的身份∙找到 AD DS 中的恢复密码∙收集信息以确定恢复发生的原因∙向用户提供恢复密码记录用户的计算机名称您可以使用用户的计算机名称来找到 AD DS 中的恢复密码。

如果用户不知道计算机名称，请让用户阅读“BitLocker 驱动器加密密码项”用户界面中驱动器标签的第一个词。

该词是启用 BitLocker 时该计算机的名称，应该也就是该计算机当前的名称。

确认用户的身份您应该确认寻求恢复密码的人是否就是该计算机真正的授权用户。

另一种方法就是确认该用户提供的计算机名称是否属于该用户。

找到 AD DS 中的恢复密码找到与 AD DS 中的名称相符合的计算机对象。

由于计算机对象的名称都列于 AD DS 的全局编录中，因此即使您有多域林也应该可以找到该对象。

多个恢复密码如果有多个恢复密码存储在 AD DS 的一个计算机对象下，则 BitLocker 恢复信息对象的名称包含创建该密码的日期。

如果您不确定要提供哪一个密码，或如果您担心提供的是错误的密码，请让用户读取显示在恢复控制台中的密码 ID。

不需要用户读取全部 ID 即可将范围缩小到该计算机的某个密码。

前八个字符或后六个字符已足够进行确认。

由于密码 ID 是唯一一个与存储在 AD DS 中的每一个恢复密码有关联的值，因此使用此 ID 运行查询会找到正确的密码来解除对加密卷的锁定。

收集信息以确定恢复发生的原因向用户提供恢复密码前，您应该收集可以帮助确定需要进行恢复的原因的所有信息，以在恢复后分析过程中分析其根本原因。

有关恢复后分析的详细信息，请参阅恢复后分析。

向用户提供恢复密码因为恢复密码是 48 位数，我们建议您让用户记下该密码或将密码输入其他计算机。

一旦启动恢复，用户在每次计算机启动时都会遇到 BitLocker 恢复控制台。

（例外情况：用户在联系支持人员后立即找到或记住了启动密钥或 PIN。

）为了避免在可以执行恢复后分析之前用户反复联系支持人员，支持人员可以提醒用户记下恢复密码并将其保存在安全的地方（如，放在钱包中）。

恢复后分析过程中，管理员可以刷新驱动器的 BitLocker 保护以避免在每次启动时进行恢复。

有关恢复后分析的详细信息，请参阅恢复后分析。

备注恢复后分析BitLocker 将使用恢复密码访问卷与使用非恢复方法（如 TPM）访问卷视为同一种方式。

解除卷锁定意味着加密密钥已经发布，并且已准备好在将数据写入卷时进行实时加密，并且在从卷中读取数据时也进行实时加密。

一旦将卷解除锁定，BitLocker 将进行同样的操作，无论访问权限是如何授予的。