不知道小伙伴们听说过 BitLocker
没有?
这是一款硬盘加密程序,微软出品,Windows自带。
由于我没有怎么深入研究用过它,所以以我个人的浅薄的认知和体验来说,感觉这玩意的前身应该是叫作 EFS
的老前辈,不知道这样理解对不对,请小伙伴们批评指正。
BitLocker
很早就出现了,它是利用 TPM
安全模块来进行加密的。
在域环境中, BitLocker
可以通过AD来保存备份加密信息,而 EFS
好像功能没有那么多,那么强大。
至于你的电脑有没有 TPM
,怎么判断其实挺简单的,就一条命令:Get-Tpm
。
# cmd 命令提示符就用这个
C:\> PowerShell Get-Tpm
# PowerShell 就用这个
PS:\> Get-Tpm
没有TPM模块,就像这样。
有TPM模块,就像这样。
话说回来, TPM
也是要钱的,不是随便一台电脑上都会安装。
不过没有 TPM
不代表就不能用 BitLocker
,相反没有钱的你还是有机会和它玩耍一番的。
打开组策略,按照如下步骤启用 启动时需要附加身份验证
一项即可。
计算机配置 > 管理模板 > Windows组件 > BitLocker 驱动器加密 > 操作系统驱动器
硬盘加密是信息安全的重要一环
可能一般的小企业并没有导入使用过 BitLocker
,而通常大企业会因为比较重视信息安全,所以除了采用第三方的硬盘加密安全解决方案之外,微软自家出的 BitLocker
应用方案也被广泛采用。
其实就我个人看来哈,就算是中小企业也完全可以尝试运用 BitLocker
来加密电脑硬盘保护信息资产,因为这玩意就是 Windows 自带的,它不要钱啊!(当然正版Windows是要钱的)
说到不要钱,你是不是瞬间眼睛一亮,嘿嘿笑着露出了那一口大黄牙啊?
年轻人要学会淡定,别着急白嫖,要知道它虽然不要钱,可是它要管理维护啊,它要有技术人员操作的啊!
当然了,专职IT人员的工资可远远比不上每年公司软件投入的钱,老板们即使要精打细算,眼光也应该放得长远一点嘛,毕竟信息安全很重要啊!
好了,咱不扯远,把话说回来,既然 BitLocker
是要管理的,除导入加密外,平时最多的操作可能就是查询密钥了。
当用户密码忘了,就可以通过查询48位恢复密码来登录系统。
如果有用户老是忘记密码,或者作为系统管理员的你要管理很多很多密码,可以看看下面这篇文章。
文章导读:系统管理中如何记住那么多管理员密码?
BitLocker
恢复密码怎么查?
我们想要查询恢复密码,通常做法是打开AD管理工具去查询,就像下面步骤那样。
1、右击域名,选择 查找 BitLocker 恢复密码
。
2、然后在这个界面文本框中输入密码ID的前8个字符。
喂...等等!什么鬼?我上哪儿去找密码ID啊?
按密码ID来查询恢复密码,你是认真的吗,这操作是不是有点反人类的感觉?
看到了吧,我密码都记不住,怎么可能记住复杂的密码ID,这玩意真是鸡肋啊!
有专业的小伙伴这个时候会说,你找到主机名称,在属性选项卡里就可以查到密钥。
没错,小同学还是挺机灵的嘛,当时我就一记天马流行拳,仅用0.01秒就能点击100次鼠标的手速,终于找到了属性选项卡中 BitLocker 恢复
一项的内容。
怎么样?哥们我是练过的,单身的小伙伴们应该深有体会。
不过要是我想查找大量的恢复密码,我想恐怕我可能没有机会再秀拳法了,因为我的手可能会先废掉!
细想之下真是可怕,于是乎我想到了另辟蹊径,决心必须要把BitLocker密钥自动导出。
我打开搜索引擎,翻山越岭、跋山涉水,经过无数次研读和尝试,终于找到了老外的一篇博文。
这篇博文可谓是惊世骇俗、短小而精悍,我看了半天,也懵了半天,最后才明白文章的最后面给出的命令即为最终答案。
不要看它简单就小看了它,像下面这样就够用了。
# 获取你想要查询的计算机对象
PS> $Computer = Get-ADComputer -Filter {Name -eq 'Hostname'}
# 获取该计算机的所有BitLocker恢复密钥,注意参数 “SearchBase”
PS> $BitLockerObjects = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $Computer.DistinguishedName -Properties 'msFVE-RecoveryPassword'
# 输出结果,打完收工
PS> $BitLockerObjects
DistinguishedName : CN=2020-10-20T13:10:38-06:00{E59D69FF-6A3B-42A6-89C0-57A0DA0E302A},CN=xjpc01,OU=swCompute
rs,DC=sysadm,DC=cc
msFVE-RecoveryPassword : 465762-121880-049797-598411-533643-549890-128436-549736
Name : 2020-10-20T13:10:38-06:00{E59D69FF-6A3B-42A6-89C0-57A0DA0E302A}
ObjectClass : msFVE-RecoveryInformation
ObjectGUID : d0a15cc8-5f86-42ed-8942-633cec25b6b1
......
......
一共就三条命令啊,咱的 PS
水平真心差,先试试看好不好用吧。
结果输入第一条命令哥们就栽了。
怎么就挂了呢?
我跑到AD服务器上再试试,居然好使得很,没有报错啊?
哦,过了一会儿我回过味儿来了,原来我是在没有安装远程服务管理工具的客户端上执行的命令。
这些命令都是要调用AD管理工具组件的。
好吧,算我年轻没见过世面,我先安装一个再来试过。
Windows10远程服务器管理工具,日常管理AD之重器。
想图个方便就在这儿下载吧,Win10/Win2016 都可安装使用哦。
WindowsTH-RSAT_WS2016-x64.msu(92.33M)
下载链接:https//www.90pan.com/b2217169
抱歉链接失效,有需要的小伙伴请留言给我。
提取码:
★扫码关注公众号, 发送【000795】获取阅读密码
抱歉,链接失效!有需要的小伙伴请关注公众号留言。
说是迟,那时快,有小一半带薪拉屎的功夫我就安装好了远程管理工具。
回过头来,再试试那几条 PowerShell
命令,看来是猜对了,完全没问题了。
从图中能看到,指定计算机名称查询即可得到该计算机的加密密钥信息,相应的 msFVE-RecoveryPassword
一项就是传说中的 BitLocker
恢复密码。
相对按密码ID前8位来查询 BitLocker
恢复密码,按计算机名称来查找才比较符合人性嘛!
给出的命令简单易用,想查询的时候只要打命令就行了。
但是,嘿嘿注意这里又有转折了,难道就这么简单地结束了吗?
事实证明,滚动条还没有滑动到底,文章还没有结束呢!
是的,如果只是陈述一些命令就没多大意思了。
如果比输入命令还可以再优雅一点、再人性化一点那就更好了不是吗,哪怕只要好一点点也行啊!
网管小贾自制 BitLocker 查询器登录
一个简单易用的小工具,我自己做的,解放双手、挤出时间做更多有意义的事。
这款小工具使用很简单。
- 可以按主机名查询 BitLocker 信息。
- 可以按容器路径查询 BitLocker 信息。
- 可以导出当前域的全部 BitLocker 信息。
- 查询结果中,点击任意一项,其他项自动对齐,便于对照查看。
免费分享给小伙伴们,其中第2、3项功能需要注册。
当然了,注册也是免费的,只要你关注@网管小贾,公众号内回复 xjbitlocker
即可获取。
如果你觉得好用,别忘记分享给更多的小伙伴哦!
如果你有什么好的建议或想法,欢迎留言区讨论!
网管小贾的BitLocker查询器(46.55K)
下载链接:https://pan.baidu.com/s/1tmGwWIZbU_2uoNCeCaNe5w
提取码:
★扫码关注公众号, 发送【000795】获取阅读密码
WeChat@网管小贾 | www.sysadm.cc