BitLocker 管理和监视网站
适用于: Configuration Manager(current branch)
BitLocker 管理和监视网站是 BitLocker 驱动器加密的管理界面。 它也称为技术支持门户。 使用此网站可以查看报告、恢复用户的驱动器以及管理设备 TPM。
在使用它之前,请在 Web 服务器上安装此组件。 有关详细信息,请参阅 设置 BitLocker 报表和门户。
通过以下 URL 访问管理和监视网站: https://webserver.contoso.com/HelpDesk
注意
可以在管理和监视网站中查看 恢复审核报告 。 将其他 BitLocker 管理报表添加到 Reporting Services 点。 有关详细信息,请参阅 查看 BitLocker 报表。
组
若要访问管理和监视网站的特定区域,用户帐户需要位于以下组中之一。 使用所需的任何名称在 Active Directory 中创建这些组。 安装此网站时,可以指定这些组名称。 有关详细信息,请参阅 设置 BitLocker 报表和门户。
组 | 说明 |
---|---|
BitLocker 技术支持管理员 | 提供对管理和监视网站所有区域的访问。 帮助用户恢复其驱动器时,只能输入恢复密钥,而不输入域和用户名。 如果用户是此组和 BitLocker 技术支持用户组的成员,则管理员组权限将覆盖用户组权限。 |
BitLocker 技术支持用户 | 提供对管理和监视网站的 “管理 TPM ”和 “驱动器恢复 ”区域的访问权限。 使用任一区域时,都需要填写所有字段,包括用户的域和帐户名称。 如果用户是此组和 BitLocker 技术支持管理员组的成员,则管理员组权限将覆盖用户组权限。 |
BitLocker 报表用户 | 提供对管理和监视网站的 “报表” 区域的访问权限。 |
管理 TPM
如果用户输入错误的 PIN 太多次,他们可以锁定 TPM。 在 TPM 锁之前,用户可以输入错误 PIN 的次数因制造商而异。 从管理和监视网站的 “管理 TPM ”区域,访问集中式密钥恢复数据系统。
有关 TPM 所有权的详细信息,请参阅 配置 MBAM 以托管 TPM 和存储 OwnerAuth 密码。
注意
从 Windows 10 版本 1607 开始,Windows 在预配 TPM 时不会保留 TPM 所有者密码。
在 Web 浏览器中转到管理和监视网站,例如
https://webserver.contoso.com/HelpDesk
。在左窗格中,选择“ 管理 TPM ”区域。
输入计算机的完全限定域名和计算机名称。
如有必要,请输入用户的域和用户名以检索 TPM 所有者密码文件。
为 请求 TPM 所有者密码文件的原因选择以下选项之一:
- 重置 PIN 锁定
- 启用 TPM
- 关闭 TPM
- 更改 TPM 密码
- 清除 TPM
- 其他
提交表单后,网站将返回以下响应之一:
如果找不到匹配的 TPM 所有者密码文件,则会返回错误消息。
已提交计算机的 TPM 所有者密码文件
检索 TPM 所有者密码文件后,网站会显示所有者密码。
若要将密码保存到文件,请选择“ 保存”。
在 “管理 TPM ”区域中,选择“ 重置 TPM 锁定 ”选项,并提供 TPM 所有者密码文件。
重置 TPM 锁定。 BitLocker 还原用户对设备的访问权限。
重要
不要共享 TPM 哈希值或 TPM 所有者密码文件。
驱动器恢复
提示
从版本 2107 开始,还可以从 Microsoft Intune 管理中心获取租户附加设备的 BitLocker 恢复密钥。 有关详细信息,请参阅 租户附加:BitLocker 恢复密钥。
在恢复模式下恢复驱动器
在以下情况下,驱动器进入恢复模式:
- 用户丢失或忘记其 PIN 或密码
- 受信任的模块平台 (TPM) 检测计算机的 BIOS 或启动文件的更改
若要获取恢复密码,请使用管理和监视网站的 驱动器恢复 区域。
重要
恢复密码在一次性使用后过期。 在 OS 驱动器和固定数据驱动器上,自动应用一次性规则。 在可移动驱动器上,它会在删除并重新插入驱动器时应用。
在 Web 浏览器中转到管理和监视网站,例如
https://webserver.contoso.com/HelpDesk
。在左窗格中,选择“ 驱动器恢复 ”区域。
如有必要,请输入用户的域和用户名以查看恢复信息。
若要查看可能匹配的恢复密钥的列表,请输入恢复密钥 ID 的前 8 位数字。 若要获取确切的恢复密钥,请输入整个恢复密钥 ID。
选择以下选项之一作为 驱动器解锁的原因:
- 操作系统启动顺序已更改
- BIOS 已更改
- 操作系统文件已修改
- 丢失启动密钥
- 丢失 PIN
- TPM 重置
- 丢失通行短语
- 丢失的智能卡
- 其他
提交表单后,网站将返回以下响应之一:
如果用户具有多个匹配的恢复密码,则会返回多个可能的匹配项。
已提交用户的恢复密码和恢复包。
注意
如果要恢复损坏的驱动器,恢复包选项会为 BitLocker 提供恢复驱动器所需的重要信息。
如果找不到匹配的恢复密码,则会返回错误消息。
检索恢复密码和恢复包后,网站会显示恢复密码。
若要复制密码,请选择“ 复制密钥”。 若要将恢复密码保存到文件,请选择“ 保存”。
若要解锁驱动器,请输入恢复密码或使用恢复包。
恢复移动的驱动器
将驱动器移动到新计算机时,由于 TPM 不同,BitLocker 不接受以前的 PIN。 若要恢复已移动的驱动器,请获取恢复密钥 ID 以检索恢复密码。
若要恢复已移动的驱动器,请使用管理和监视网站的 驱动器恢复 区域。
在具有移动驱动器的计算机上,在 Windows 恢复环境 (WinRE) 模式下启动计算机。
在 WinRE 中,BitLocker 将移动的 OS 驱动器视为固定数据驱动器。 BitLocker 显示驱动器的恢复密码 ID 并提示输入恢复密码。
注意
在某些情况下,在启动过程中,如果选项可用,请选择“ 我忘记了 PIN ”。 然后进入恢复模式以显示恢复密钥 ID。
使用恢复密钥 ID 从管理和监视网站获取恢复密码。 有关详细信息,请参阅 在恢复模式下恢复驱动器。
如果将移动的驱动器配置为在原始计算机上使用 TPM 芯片,请完成以下步骤。 否则,恢复过程已完成。
解锁驱动器后,在 WinRE 模式下启动计算机。 在 WinRE 中打开命令提示符,并使用
manage-bde
命令解密驱动器。 此工具是在不使用原始 TPM 芯片的情况下删除 TPM + PIN 保护程序的唯一方法。 有关此命令的详细信息,请参阅 Manage-bde。完成后,正常启动计算机。 Configuration Manager将强制实施 BitLocker 策略,以使用新计算机的 TPM 加 PIN 加密驱动器。
恢复损坏的驱动器
使用恢复密钥 ID 从管理和监视网站获取恢复密钥包。 有关详细信息,请参阅 在恢复模式下恢复驱动器。
在计算机上保存 恢复密钥包 ,然后将其复制到驱动器损坏的计算机。
以管理员身份打开命令提示符,并键入以下命令:
repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>
替换以下值:
-
<corrupted drive>
:损坏驱动器的驱动器号,例如D:
-
<fixed drive>
:可用硬盘驱动器的驱动器号,其大小与损坏的驱动器相同或更大。 BitLocker 恢复损坏的驱动器上的数据并将其移动到指定的驱动器。 将覆盖此驱动器上的所有数据。 -
<key package>
:恢复密钥包的位置 -
<recovery password>
:关联的恢复密码
例如:
repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888
-
有关此命令的详细信息,请参阅 Repair-bde。
报告
管理和监视网站包括 恢复审核报告。 其他报表可从 Configuration Manager Reporting Services 点获取。 有关详细信息,请参阅 查看 BitLocker 报表。
在 Web 浏览器中转到管理和监视网站,例如
https://webserver.contoso.com/HelpDesk
。在左窗格中,选择“ 报表” 区域。
从顶部菜单栏中,选择 “恢复审核报告”。
有关此报告的详细信息,请参阅 恢复审核报告
提示
若要保存报表结果,请在“报表”菜单栏上选择“导出”。