主页

如何为所有端点创建主BitLocker恢复密钥

关键点
预配置
生成主恢复证书
将DRA保护程序部署到端点
密钥安全及生命周期注意事项
导出丢失的DRA私钥
使用DRA私钥解锁操作系统驱动器
删除DRA保护程序

概述

在大型Windows环境中,BitLocker恢复通常依赖于每台设备存储的单独48位恢复密码。当这些密码不可用时,恢复操作变得困难,可能导致永久性数据丢失。

为了大规模解决此问题,BitLocker支持一种 基于证书的恢复机制 ,称为 数据恢复代理 (DRA)。管理员无需为每个设备管理恢复密码,而是生成一个 单一证书对 ,作为 主恢复密钥:

  • A 公钥证书(.cer) 部署到所有受管理的端点,并作为BitLocker保护程序添加。
  • A 私钥证书(.pfx) 由组织安全保管,可解锁任何由对应公钥保护的驱动器。

BitLocker DRA 恢复流程

通过Endpoint Central管理时,此方法提供了集中、受控且可审计的BitLocker恢复,而不会削弱BitLocker的加密模型。

使用ManageEngine Endpoint Central通过DRA集中管理BitLocker恢复!

立即应用

预配置

在创建和部署主恢复密钥之前,请审查以下先决条件以确保成功执行。

支持的操作系统

确保端点运行支持BitLocker DRA的Windows版本:

Windows客户端操作系统

  • Windows 7 — 企业版,旗舰版
  • Windows 8 / 8.1 — 专业版,企业版
  • Windows 10 — 专业版,企业版,教育版
  • Windows 11 — 专业版,企业版,教育版

Windows服务器操作系统

  • Windows Server 2008 / 2008 R2
  • Windows Server 2012 / 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

PowerShell 可用性

  • 必须安装Windows PowerShell 5.1或更高版本。
  • 脚本必须以管理员权限运行。

安全规划

  • 确定一个 安全、受控的系统 用于生成证书。
  • 决定私钥文件(.pfx)的存储位置(例如离线USB存储或安全保管库)。
  • 限制只有授权恢复人员可访问私钥。

生成主恢复证书

这一步生成了构成集中BitLocker恢复基础的证书对。

  1. 下载此 证书生成脚本.
  2. 在选定的安全系统上以管理员身份打开 Windows PowerShell
  3. 运行以下命令,将<path to certificate>替换为文件的实际路径:
    PowerShell.exe -ExecutionPolicy Bypass -File "<path to certificate>\UEMS_Generate_Cert.ps1"
  4. 运行此脚本将生成BitLocker DRA证书,并将以下两个文件导出到脚本目录。系统提示时,请创建一个 强密码 以保护私钥。
     
    • 公钥(.cer):将此文件部署到所有端点,以在驱动器上配置BitLocker DRA保护程序。
    • 私钥(.pfx): 请安全存储此文件 (例如,保存在USB上)并保管好密码。此密钥用于解锁任何用对应公钥加密的驱动器。

证书也安装在生成证书的本地证书存储中,便于未来导出(如有需要)。

将DRA保护程序部署到端点

主恢复证书创建后,必须将公钥部署到所有受管理设备,以便添加为BitLocker保护程序。

添加部署脚本

  1. 下载 DRA 部署脚本.
  2. 在 Endpoint Central 控制台,导航至 Configuration → Script Repositories.
  3. 选择 Create/Modify Script → Add Script.
  4. 浏览并选择提供的 UEMS_BLM_DRA_Script.ps1 文件。

  5. 点击 Add Script.

    添加脚本

配置部署

  1. 导航至 Configuration → Windows → Custom Script → Computer.
  2. 选择 UEMS_BLM_DRA_Script.ps1 上一步添加的脚本。
  3. Dependency Files 字段,浏览并选择生成的 .cer 文件 [此 .cer 文件必须使用此特定名称 (UEMS_BLM_PublicKey.cer) 才能正常工作]。

  4. 配置以下设置:

    • 频率: 一次
    • 日志记录: 启用 (启用日志以便故障排除)
    • 运行身份: 系统用户

    创建配置

  5. 点击 部署。将配置部署到所需的设备组。
     

    注意: 对于已加密的驱动器(锁定驱动器除外),将立即添加 DRA Protector;对于尚未加密的驱动器,一旦驱动器被加密,DRA Protector 将自动添加。

验证执行

导航至 Configuration > All Configuration 并选择已部署的配置以查看摘要。

  • 成功:绿色状态表示配置执行成功。

  • 失败:如果配置失败,通过选择该配置,点击 Execution Status,然后选择 View Log.

    部署状态

部署后发生的情况

部署成功后,每个 BitLocker 加密的驱动器都会获得一个 额外的恢复保护器 绑定到 DRA 证书。现有的加密保持不变;无需重新加密。在无法使用标准恢复密码的恢复场景中:

  • 可以使用 私有 .pfx 文件 及其密码解锁驱动器。
  • 这在所有接收到公钥的终端上均适用。

这建立了一个 由组织控制的单一恢复机制 ,可以跨设备工作,无需依赖每台机器的恢复密钥。

密钥安全及生命周期注意事项

私钥保护

  • 私钥及其密码是关键资产。
  • 如果两者都丢失 并且 证书从原系统中移除,则该 DRA 保护的驱动器将无法恢复。
  • 请勿从生成系统的证书存储中删除该证书。

密钥恢复与轮换

  • 如果私钥文件丢失,可以从生成证书的原系统中重新导出。
  • 如果证书本身丢失或被泄露:
    • 从所有终端移除现有的 DRA 保护器。
    • 生成新的证书对。
    • 在整个组织范围内重新部署更新后的公钥。

运营影响

  • DRA 不替代标准 BitLocker 恢复密码;它是对其的补充。
  • 管理员获得了一个受控的备用机制,同时不降低终端的安全状态。

导出丢失的DRA私钥

  1. 下载 此脚本.
  2. 在生成证书的同一台机器上运行以下步骤 在 Windows PowerShell(管理员权限)中执行以下命令并替换.
  3. 为文件的实际路径: 如果机器上只有一个名为
    PowerShell.exe -ExecutionPolicy Bypass -File "<path to certificate>\UEMS_Export_Pvt_Key.ps1"
  4. UEMS_BLM_DRA 的 DRA 证书,脚本会自动检测并在提示您设置 .pfx 文件密码后导出私钥。如果机器上存在多个 DRA 证书(例如,提供的生成脚本执行了多次),脚本将列出所有匹配证书并提示您通过其
  5. 证书指纹(Thumbprint) 选择正确的证书。.
  6. 要确认正确的证书指纹,您可以验证已部署到终端的公钥。在任何添加了公钥保护器的终端,运行以下命令:
    manage-bde -protectors -get <DriveLetter>:

  7. 选择正确的证书指纹后,脚本将提示您设置密码,然后将 私钥(.pfx)导出到执行脚本的同一目录。 按照以下步骤使用 DRA 私钥在启动时解锁操作系统驱动器:

    导出 DRA 密钥

使用DRA私钥解锁操作系统驱动器

本文档假设操作系统驱动器盘符是

注意: C: 进入恢复模式的命令提示符:
  1. 如果恢复密码不可用,提示输入恢复密钥时按
    • Esc 故障排除 > 高级选项 > 命令提示符
    • 导航至 解锁驱动器:[连接包含对应 .pfx 的 USB 设备到机器].

  2. 运行以下命令,使用私钥(保存于 USB 设备)解锁驱动器,并将 <Path to .pfx file on USB> 替换为 USB 中 .pfx 文件的实际路径:

    • 系统提示时,
      manage-bde -unlock C: -certificate -cf "<Path to .pfx file on USB>" -pin
    • 输入导出 .pfx 文件时创建的密码。 要查找 USB 盘符,运行以下命令,它会显示带有标签 USB 的盘符: 解密驱动器:
    • 现在驱动器已解锁,但退出命令提示符后会重新锁定。为防止此情况,
      diskpart
      list volume

    通过 CMD 设置驱动器字母

    使用私钥解锁操作系统驱动器

  3. 我们建议通过以下命令解密驱动器:
    验证解密状态: 解密需要时间。
    manage-bde -off C:
  4. 转换状态
    显示 完全解密(Fully Decrypted) 之前, 不要重启电脑。 使用状态命令监视进度: 完全解密后,关闭命令提示符并重启电脑。
    manage-bde -status C:
  5. 添加删除脚本 如需删除机器上所有 DRA 保护器,请下载.

删除DRA保护程序

,如需删除特定 DRA 保护器,请下载

  1. UEMS_Delete_Specific_DRA_Protectors.ps1 此脚本此脚本.
  2. 在 Endpoint Central 控制台,导航至 Configuration → Script Repositories.
  3. 选择 Create/Modify Script → Add Script.
  4. 浏览并选择提供的 UEMS_Delete_All_DRA_Protectors.ps1 在 Dependency Files 字段,浏览并选择需要删除的确切 .cer 公钥文件 [此 .cer 文件必须使用此特定名称 (UEMS_BLM_PublicKey.cer) 才能正常工作]。 开始您的 文件。
  5. 点击 Add Script.

配置部署

  1. 导航至 Configuration → Windows → Custom Script → Computer.
  2. 选择 UEMS_Delete_All_DRA_Protectors.ps1 在 Dependency Files 字段,浏览并选择需要删除的确切 .cer 公钥文件 [此 .cer 文件必须使用此特定名称 (UEMS_BLM_PublicKey.cer) 才能正常工作]。 开始您的 上一步添加的脚本。
  3. 30 天免费试用并管理
  4. 配置以下设置:
    • 频率: 一次
    • 日志记录: 启用 (启用日志以便故障排除)
    • 运行身份: 系统用户
  5. 点击 部署。将配置部署到所需的设备组。

验证执行

导航至 Configuration > All Configuration 并选择已部署的配置以查看摘要。

  • 成功:绿色状态表示配置执行成功。
  • 失败:如果配置失败,通过选择该配置,点击 Execution Status,然后选择 View Log.

 

无限终端 — 安全且受保护! 受到以下机构信赖 统一端点管理和安全解决方案 端点安全

操作系统部署

移动设备管理
补丁管理软件部署工具与配置»资产管理补丁管理流程Windows 补丁管理