通过网络加密恢复数据
适用于: Configuration Manager(current branch)
创建 BitLocker 管理策略时,Configuration Manager将恢复服务部署到管理点。 在 BitLocker 管理策略的“ 客户端 管理”页上, 配置 BitLocker 管理服务时,客户端会将密钥恢复信息备份到站点数据库。 此信息包括 BitLocker 恢复密钥、恢复包和 TPM 密码哈希。 当用户被锁定在其受保护的设备外时,你可以使用此信息帮助他们恢复对设备的访问。
鉴于此信息的敏感性,需要对其进行保护。
重要
从版本 2103 开始,恢复服务的实现已更改。 它不再使用旧 MBAM 组件,但在概念上仍称为 恢复服务。 所有版本 2103 客户端都使用管理点 的消息处理引擎 组件作为其恢复服务。 他们通过安全客户端通知通道托管其恢复密钥。 通过此更改,可以为Configuration Manager站点启用增强的 HTTP。 此配置不会影响 Configuration Manager 中的 BitLocker 管理功能。
当站点和客户端都运行Configuration Manager版本 2103 或更高版本时,客户端会通过安全客户端通知通道将其恢复密钥发送到管理点。 如果任何客户端位于版本 2010 或更早版本上,则需要在管理点上启用 HTTPS 的恢复服务来托管其密钥。
HTTPS 证书要求
注意
仅当站点版本为 2010 或更低版本时,或者将 BitLocker 管理策略部署到具有 Configuration Manager 客户端版本 2010 或更低版本的设备时,这些要求才适用。
Configuration Manager需要在客户端和恢复服务之间建立安全连接,以加密通过网络传输的数据。 使用以下选项之一:
在托管恢复服务(而不是整个管理点角色)的管理点上启用 HTTPS- 启用 IIS 网站。
配置 HTTPS 的管理点。 在管理点的属性上, “客户端连接” 设置必须为 HTTPS。
注意
如果站点有多个管理点,请在 BitLocker 托管客户端可能与之通信的站点上的所有管理点上启用 HTTPS。 如果 HTTPS 管理点不可用,客户端可能会故障转移到 HTTP 管理点,然后无法托管其恢复密钥。
此建议适用于这两个选项:为 HTTPS 启用管理点,或启用在管理点上托管恢复服务的 IIS 网站。
配置 HTTPS 的管理点
在早期版本的 Configuration Manager current Branch 中,若要集成 BitLocker 恢复服务,必须启用 HTTPS 管理点。 需要 HTTPS 连接来加密网络上从 Configuration Manager 客户端到管理点的恢复密钥。 对于许多客户来说,为 HTTPS 配置管理点和所有客户端可能具有挑战性。
启用 HTTPS 的 IIS 网站
HTTPS 要求现在适用于托管恢复服务的 IIS 网站,而不是整个管理点角色。 此配置放宽了证书要求,并且仍会加密传输中的恢复密钥。
管理点的 “客户端连接 ”属性可以是 HTTP 或 HTTPS。 如果为 HTTP 配置了管理点,则支持 BitLocker 恢复服务:
获取服务器身份验证证书。 将证书绑定到托管 BitLocker 恢复服务的管理点上的 IIS 网站。
将客户端配置为信任服务器身份验证证书。 可通过两种方法实现此信任:
使用来自公共和全局受信任的证书提供程序的证书。 Windows 客户端包括受信任的根证书颁发机构 (CA) 这些提供程序。 通过使用其中一个提供程序颁发的服务器身份验证证书,客户端应自动信任它。
使用 CA 从组织的公钥基础结构颁发的证书 (PKI) 。 大多数 PKI 实现将受信任的根 CA 添加到 Windows 客户端。 例如,将 Active Directory 证书服务与组策略配合使用。 如果从客户端不自动信任的 CA 颁发服务器身份验证证书,请将 CA 受信任的根证书添加到客户端。
提示
唯一需要与恢复服务通信的客户端是你计划以 BitLocker 管理策略为目标并包含 客户端管理规则的客户端 。
排查连接问题
在客户端上,使用 BitLockerManagementHandler.log 对此连接进行故障排除。 对于与恢复服务的连接,日志显示客户端正在使用的 URL。 根据 Configuration Manager 的版本在日志中找到条目:
- 在版本 2103 及更高版本中,条目以 开头
Recovery keys escrowed to MP - 在版本 2010 及更早版本中,条目以 开头
Checking for Recovery Service at
后续步骤
在首次部署策略之前,加密数据库中的恢复数据是可选的先决条件。