VietNetwork.Vn

Điều gì xảy ra nếu bạn quên mã PIN BitLocker hoặc mất chìa khóa? Chúng tôi có thể triển khai quy trình khôi phục BitLocker bằng các giải pháp truy xuất mật khẩu khôi phục và tự khôi phục trong Windows Server 2016.

Có một số phương pháp khôi phục BitLocker khác nhau mà chúng tôi sẽ đề cập ở đây.

Giành quyền truy cập vào hệ thống bằng mã hóa ổ đĩa BitLocker (BDE) về cơ bản liên quan đến việc có khóa khôi phục. Khóa khôi phục được tạo trong khi định cấu hình BitLocker và có thể được lưu thủ công hoặc tự động vào Active Directory, tùy thuộc vào cài đặt chính sách nhóm.

1. Quy trình khôi phục BitLocker thủ công

Quá trình khôi phục thủ công rất có thể là những gì bạn sẽ sử dụng nếu bạn chỉ sử dụng BitLocker cho chính mình hoặc trong một môi trường rất nhỏ, vì quá trình này đủ dễ dàng để quản lý ở quy mô nhỏ. Khi BitLocker được thiết lập, bạn sẽ được cung cấp khóa khôi phục gồm 48 chữ số. Bạn có thể in, lưu hoặc lưu trữ khóa khôi phục này ở một vị trí an toàn. Nếu bạn cần thực hiện khôi phục BitLocker, chỉ cần nhấn 'esc' trên màn hình khởi động BitLocker và nhập khóa khôi phục.

Hãy nhớ rằng bất kỳ ai có quyền truy cập vào khóa khôi phục đều có thể giải mã ổ đĩa mà nó được thiết lập, vì vậy điều rất quan trọng là nó được lưu trữ ngoại tuyến một cách an toàn. Tương tự như vậy, nếu mật khẩu khôi phục bị mất và bạn không có phương pháp giải mã đĩa nào khác, dữ liệu sẽ không thể truy cập được.

2. Quá trình phục hồi BitLocker Active Directory

Thay vì lưu khóa BitLocker theo cách thủ công vào một vị trí an toàn, chúng tôi có thể tự động gửi khóa đó đến bộ điều khiển miền Active Directory. Điều này cho phép chúng tôi tập trung quy trình khôi phục BitLocker trong miền của chúng tôi. Để sử dụng phương pháp lưu trữ khóa khôi phục này, trước tiên nó phải được bật thông qua chính sách nhóm trước khi bật BitLocker.

Chỉnh sửa đối tượng chính sách nhóm của bạn và duyệt đến Cấu hình máy tính > Chính sách > Mẫu quản trị > Cấu phần Windows > Mã hóa ổ đĩa BitLocker > Lưu trữ thông tin khôi phục BitLocker trong Dịch vụ miền Active Directory, như minh họa bên dưới. Chính sách này sẽ được áp dụng cho tất cả các máy mà bạn muốn định cấu hình BitLocker trên đó. Lưu ý rằng nó chỉ áp dụng cho Windows Server 2008 trở về trước.


Sau khi được bật, chúng tôi có tùy chọn đánh dấu vào "Yêu cầu sao lưu BitLocker vào AD DS", tùy chọn này được chọn theo mặc định.


Điều này cho phép các máy trên miền đã truy xuất các thay đổi chính sách không thể bật BitLocker trừ khi có kết nối hoạt động với bộ điều khiển miền Active Directory để khóa khôi phục có thể được lưu vào bộ điều khiển miền. Chỉ sau khi khóa khôi phục đã được sao lưu thành công, cấu hình của BitLocker mới được tiến hành.

Đối với Windows Server 2012 trở lên, chúng tôi bật "Chọn cách khôi phục các ổ đĩa hệ điều hành được bảo vệ bằng BitLocker" từ thư mục con Ổ đĩa hệ điều hành. Cũng có các tùy chọn tương tự cho Ổ dữ liệu cố định hoặc Ổ dữ liệu di động. Theo mặc định, "Lưu thông tin khôi phục BitLocker vào AD DS cho ổ đĩa hệ điều hành" được bật, lý tưởng nhất là bạn cũng nên bật "Không bật BitLocker cho đến khi thông tin khôi phục được lưu trữ vào AD DS cho ổ đĩa hệ điều hành". Điều này đảm bảo rằng BitLocker chỉ có thể được bật nếu chúng tôi chắc chắn có một bản sao của khóa khôi phục được lưu trữ trong AD.


Mặc dù việc lưu trữ các khóa khôi phục trong Active Directory rất tiện lợi nhưng các khóa khôi phục phải được truy xuất thủ công từ bộ điều khiển miền bằng cách xem các thuộc tính đối tượng máy tính và chuyển đến tab Khôi phục BitLocker.


Chúng tôi cũng có thể tìm kiếm Active Directory để tìm mật khẩu khôi phục BitLocker như minh họa bên dưới bằng cách chỉ cần nhấp chuột phải vào miền và chọn "Tìm mật khẩu khôi phục BitLocker".


Điều này cho phép chúng tôi tìm kiếm mã định danh được liên kết với khóa khôi phục, mã này được cung cấp cùng với khóa khôi phục khi BitLocker được bật.


Như chúng ta có thể thấy ở đây, mật khẩu khôi phục có sẵn trong AD, xác nhận rằng chúng ta có thể tập trung quá trình khôi phục BitLocker.

3. Sao lưu mật khẩu BitLocker bằng PowerShell

Ngoài ra còn có một số lệnh ghép ngắn PowerShell hữu ích có sẵn để lưu trữ các khóa khôi phục trong Active Directory. Chúng tôi có thể sử dụng 'manage-bde' như hình dưới đây để hiển thị mật khẩu khôi phục cho ổ đĩa được chỉ định. Lưu ý rằng để thực hiện việc này, ổ đĩa phải được mở khóa, điều này yêu cầu bạn phải giải mã nó trước.


Từ đầu ra của lệnh này, chúng ta có thể ghi lại ID, vì chúng ta sẽ sử dụng nó tiếp theo. Nếu bạn đã bật BitLocker trước khi định cấu hình chính sách nhóm cần thiết để đảm bảo các khóa khôi phục được lưu trữ trong Active Directory, đừng lo! Chúng tôi có thể sử dụng PowerShell để lưu khóa khôi phục BitLocker vào Active Directory bằng cách chỉ định cờ 'adbackup' theo sau là đĩa và ID cho mật khẩu.


4. Phục hồi tự động

Quản trị và giám sát Microsoft BitLocker (MBAM) có sẵn cho khách hàng của Microsoft. Đây là một giải pháp được nhắm mục tiêu hướng tới các tổ chức lớn. Nó được sử dụng để quản lý tập trung các khóa khôi phục BitLocker, vì nó cho phép truy cập tự phục vụ vào các khóa khôi phục BitLocker, cho phép người dùng truy xuất khóa khôi phục của họ một cách an toàn trong trường hợp họ không thể giải mã đĩa của mình. Tùy chọn này sẽ hữu ích trong việc giảm chi phí quản trị vì người dùng có thể tìm khóa khôi phục của riêng họ khi cần. Đây là tùy chọn tốt nhất hiện có để triển khai quy trình khôi phục BitLocker bằng cách sử dụng tính năng tự khôi phục trong Windows.

Chúng tôi đã đề cập đến một vài phương pháp khác nhau chỉ cho bạn cách triển khai quy trình khôi phục BitLocker bằng cách sử dụng các giải pháp truy xuất mật khẩu khôi phục và tự khôi phục với Active Directory. Nếu không có khóa khôi phục, bạn có thể không truy cập được vào dữ liệu của mình, vì vậy, khi thiết lập BitLocker, hãy đảm bảo rằng dữ liệu đó được ghi ở đâu đó, cho dù dữ liệu đó được lưu thủ công ở đâu đó ngoại tuyến an toàn hay trong Active Directory.