恢复密钥

简介

恢复密钥是一个 48 位字符串，当密码被遗忘时，可用于解锁加密硬盘。即使硬件严重损坏，也仍然可以通过将硬盘安装到另一台计算机中并提供正确的恢复密钥来恢复驱动器中的内容。当用户忘记密码时，它也非常有用。

一旦部署了 BitLocker 加密策略，配置过程将在 PC 启动期间开始，并自动生成恢复密钥。管理员可以创建或修改 BitLocker 策略，以确保恢复密钥已更新到域控制器中。

以下是在启动时要求输入恢复密钥的界面：

注意：Windows AD 和 Azure AD 都支持恢复密钥备份。

为简化恢复密钥检索，建议将密钥备份到域控制器中。请按照以下步骤操作：

确保所有受管计算机的组策略 (GPO) 允许将恢复密钥更新到域控制器中。有关 BitLocker 组策略设置的详细信息，请参阅此页面。
在产品控制台中，导航到 BitLocker > 策略创建 > 创建策略。启用“将恢复密钥更新到域控制器”选项。要了解有关此选项及配置 BitLocker 策略的更多信息，请参阅此页面。

注意：启用此选项可确保每个新生成的密钥都会自动更新到 Active Directory 中。

检索恢复密钥的方法

通过 Endpoint Central 控制台
通过 Active Directory 用户和计算机

使用 Endpoint Central 检索恢复密钥

恢复密钥会在 BitLocker 配置期间自动生成，并且可为域用户备份到 AD 中。如果最终用户忘记了其 PIN 或密码短语，管理员可按以下步骤检索恢复密钥：

查找恢复密钥标识符：该标识符位于控制台中的“受管系统”下，可帮助定位特定计算机的恢复密钥。
检索恢复密钥：在“检索恢复密钥”部分中输入恢复密钥标识符或计算机名称，即可访问恢复密钥。访问后，该密钥将在机器下一次启动时轮换。

注意：部署 BitLocker 策略后，如果通过 Endpoint Central 访问现有恢复密钥，则系统会在下一次重启时自动生成新的恢复密钥。

导出恢复密钥

“导出恢复密钥”功能允许您将所有机器的恢复密钥安全备份到受密码保护的 XLSX 文件中。这简化了恢复密钥的检索过程，节省了时间和精力。

您还可以设置文件密码以保护该文件。

为确保敏感恢复信息的安全，下载文件时需要进行用户身份验证。

使用 Active Directory 用户和计算机检索恢复密钥

管理员可以使用 Active Directory 用户和计算机 (ADUC) 控制台来管理 Active Directory 对象，该控制台也可用作远程服务器管理工具 (RSAT)，以从 Windows 计算机中检索恢复密钥。请按照以下步骤操作：

打开 Active Directory 用户和计算机控制台。
打开受管计算机的“属性”选项卡。
单击“BitLocker 恢复”以显示恢复密钥和密码 ID。

您已成功使用 ADUC 找到 Windows 计算机的恢复密钥。

恢复密钥对于数据安全至关重要。即使在 Endpoint Central 服务器中保留了该密钥，它也可以备份到客户的 Active Directory 中（包括 Azure AD 和本地 AD）。如果一台计算机从 SoM 中移除，恢复密钥会在服务器中最多保留一年，并且可以使用恢复密钥标识符进行检索。要启用恢复密钥保留，请在“检索恢复密钥”页面上切换该选项。只有在恢复密钥成功存储到服务器后，加密才会开始。

恢复密钥保留策略

如果您还有其他问题，请参阅我们的常见问题部分以获取更多信息。