bitlocker驱动器加密操作指南：使用adds恢复加密卷.docx

BitLocker 驱动器加密操作指南：使用 AD DS 恢复加密卷 更新时间: 2008年5月 应用到: Windows Server 2008, Windows Vista 本文档介绍了组织如何使用保存在 Active Directory 域服务 (AD DS) 中的 BitLocker 恢复信息来访问 BitLocker 加密的数据。我们建议您在计划 BitLocker 部署时为 BitLocker 创建完全恢复模式。 本文档介绍了哪些内容？ 本文中包含您在计划 Windows Vista? Enterprise、Windows Vista? Ultimate 和 Windows Server? 2008 的 BitLocker 恢复过程时可以使用的详细信息。 要正确了解和应用本文，您应该知道如何将 AD DS 设置为自动备份 BitLocker 恢复信息，以及保存到 AD DS 的恢复信息类型。 本文档包含下列主题：  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_WhatIsRecovery 什么是 BitLocker 恢复？  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_TestingRecovery 测试恢复  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_PlanningRecovery 计划恢复过程  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_UsingAddRecovery 使用其他恢复信息  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_AppendixA 附录 A：委派权限  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_AppendixB 附录 B：重置恢复密码  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_AppendixC 附录 C：检索 BitLocker 密钥数据包  HYPERLINK /zh-cn/library/cc771778(WS.10).aspx \l BKMK_AppendixD 附录 D：保存 TPM 信息 本文档没有介绍哪些内容？ 本文没有详细介绍如何配置 AD DS 以存储 BitLocker 恢复信息，但着重说明了您的组织可以计划恢复过程的方法。您还可以通过使用 Windows 恢复环境 (Windows RE) 并在启动过程中输入恢复密码来恢复启用 BitLocker 的卷。 有关如何在 AD DS 中存储恢复信息的详细信息，请参阅“配置 Active Directory 以备份 Windows BitLocker 驱动器加密和受信任的平台模块恢复信息”( HYPERLINK /fwlink/?LinkId=82827 \t blank /fwlink/?LinkId=82827)。 什么是 BitLocker 恢复？ 在所有恢复方案中，AD DS 中存储的恢复密码可以解除对驱动器的访问锁定。无论使用的是什么身份验证方法，这个存储的密码都可以恢复 BitLocker。 什么原因会导致 BitLocker 恢复？ 会导致 BitLocker 恢复的一些原因包括： 攻击者修改了您的计算机。使用受信任的平台模块 (TPM) 的计算机可能出现这种情况，因为 TPM 会在启动过程中检查启动组件的完整性。 将 BitLocker 保护的驱动器移动到新的计算机上。 升级到具有新的 TPM 的新主板。 关闭、禁用或清除 TPM。 升级关键的早期启动组件，从而导致 TPM 不能通过验证。 在启用 PIN 身份验证时，忘记 PIN。 在启用启动密钥身份验证时，丢失包含有启动密钥的可插入 USB 闪存驱动器。 备注 在开始恢复之前，我们建议您先确定导致恢复的原因。这样做可以防止以后再次发生这种问题。例如，如果您确定有攻击者通过获取物理访问权限修改了您的计算机，您可以创建新的安全策略以跟踪谁具有物理存在。如果攻击者修改了您的计算机，并且您在启动恢复之前没有解决该问题，则可能会发现，由于受到攻击您必须在启用 BitLocker 的卷上不断执行恢复。 对于已计划的方案（如已知的硬件升级），您可以通过临时禁用 BitLocker 保护来避免启动恢复。由于禁用 BitLocker 会使该驱动