BitLocker 復原概觀
BitLocker 復原是在磁碟驅動器未使用預設解除鎖定機制解除鎖定時,可以還原受 BitLocker 保護之磁碟驅動器的存取權。
本文說明觸發 BitLocker 復原的案例、如何設定裝置以儲存修復資訊,以及還原鎖定磁碟驅動器存取權的選項。
BitLocker 復原案例
下列清單提供導致裝置在啟動 Windows 時進入 BitLocker 恢復模式的常見事件範例:
輸入錯誤的 PIN 太多次
如果使用 USB 型金鑰而非 TPM,則關閉從 BIOS 或 UEFI 韌體讀取預先啟動環境中 USB 裝置的支援
在 BIOS 開機順序中的硬碟前面有 CD 或 DVD 磁碟驅動器 (虛擬機)
停駐或卸除可攜式計算機
磁碟上NTFS磁碟分區數據表的變更
開機管理員的變更
使用 PXE 開機
關閉、停用、停用或清除 TPM
TPM 自我測試失敗
使用新的 TPM 將主機板升級至新的主機板
升級重要的早期啟動元件,例如 BIOS 或 UEFI 韌體升級
從操作系統隱藏 TPM
修改 TPM 驗證設定檔) 使用的平台設定快取器 (PCR
將受 BitLocker 保護的磁碟驅動器移至新電腦
在具有 TPM 1.2 的裝置上,變更 BIOS 或韌體開機裝置順序
超過允許的登入嘗試失敗次數上限
注意
若要利用這項功能,您必須設定原則設定互動式登入:計算機帳戶鎖定閾值,位於計算機>設定Windows 設定>安全性設定>本機原則>安全性選項中。 或者,使用 Exchange ActiveSyncMaxFailedPasswordAttempts 原則設定,或使用 DeviceLock 設定服務提供者 (CSP) 。
在 BitLocker 復原程式中,建議您判斷造成裝置進入恢復模式的原因。 根本原因分析可能有助於防止未來再次發生問題。 例如,如果您判斷攻擊者已藉由取得實體存取來修改裝置,您可以實作新的安全策略來追蹤有實體存在的人員。
針對規劃的案例,例如已知的硬體或韌體升級,可以暫時暫停 BitLocker 保護來避免起始復原。 暫停 BitLocker 會讓磁碟驅動器完全加密,且系統管理員可以在計劃性工作完成後,快速繼續 BitLocker 保護。 使用 暫停 和 繼續 也會重新密封加密密鑰,而不需要輸入修復金鑰。
注意
如果暫停,除非使用 PowerShell 或 manage-bde.exe
命令行工具指定重新啟動計數,否則 BitLocker 會在裝置重新啟動時自動繼續保護。 如需暫停 BitLocker 的詳細資訊,請檢閱 BitLocker 作業指南。
提示
復原是在非計劃性或非預期行為的內容中描述。 不過,復原也可能是預期的生產案例所造成,例如為了管理訪問控制。 將裝置重新部署至組織中的其他部門或員工時,BitLocker 可能會在裝置傳遞給新使用者之前強制復原。
Windows RE 和 BitLocker 復原
Windows Recovery Environment (Windows RE) 可用來復原受 BitLocker 保護之磁碟驅動器的存取權。 如果裝置在兩次失敗后無法開機, 啟動修復 就會自動啟動。
當啟動修復因為開機失敗而自動啟動時,它只會執行操作系統和驅動程式檔案修復,前提是開機記錄或任何可用的損毀傾印指向特定損毀的檔案。 在支援 PCR[7] 特定 TPM 測量的裝置上,TPM 會驗證 Windows RE 是受信任的操作環境,並在未修改 Windows RE 時解除鎖定任何受 BitLocker 保護的磁碟驅動器。 如果已修改 Windows RE 環境,例如 TPM 已停用,磁碟驅動器會保持鎖定狀態,直到提供 BitLocker 修復密鑰為止。 如果啟動修復無法自動執行,而是 Windows RE 從修復磁碟手動啟動,則必須提供 BitLocker 修復密鑰才能解除鎖定受 BitLocker 保護的磁碟驅動器。
當您在使用 TPM + PIN 或作業系統磁碟驅動器保護裝置上的 [從 Windows RE 移除所有專案重設] 時,Windows RE 也會要求 BitLocker 修復金鑰。 如果您在具有僅限 TPM 保護的無鍵盤裝置上啟動 BitLocker 複原,Windows RE,而不是開機管理員,將會要求 BitLocker 修復密鑰。 輸入金鑰之後,您可以存取 Windows RE 疑難解答工具或正常啟動 Windows。
Windows RE 顯示的 BitLocker 複原畫面具有朗讀程式和螢幕小鍵盤等輔助功能工具,可協助您輸入 BitLocker 修復金鑰:
- 若要在 Windows RE 中的 BitLocker 複原期間啟動朗讀程式,請按 WIN + CTRL + Enter
- 若要啟用螢幕小鍵盤,請點選文字輸入控件
如果 Windows 開機管理員要求 BitLocker 修復密鑰,可能無法使用這些工具。
BitLocker 複原選項
在復原案例中,可以使用下列選項來還原磁碟驅動器的存取權,視套用至裝置的原則設定而定:
- 修復密碼:48 位數的數位,用來在磁碟區處於恢復模式時解除鎖定磁碟區。 修復密碼可能會儲存為文本檔,列印或儲存在 Microsoft Entra ID 或 Active Directory 中。 如果有的話,使用者可以提供修復密碼
-
修復金鑰:儲存在抽取式媒體上的加密金鑰,可用來復原 BitLocker 磁碟區上加密的數據。 檔案名格式為
<protector_id>.bek
。 針對 OS 磁碟驅動器,如果 BitLocker 偵測到導致裝置啟動時無法解除鎖定磁碟驅動器的條件,則可以使用修復金鑰來存取裝置。 如果基於某些原因而忘記密碼或裝置無法存取磁碟驅動器,您也可以使用修復密鑰來存取使用 BitLocker 加密的固定數據磁碟驅動器和抽取式磁碟驅動器
- 密鑰套件:可與 BitLocker 修復工具搭配使用的解密密鑰,以重新建構磁碟驅動器的重要部分並復原可復原的數據。 使用密鑰套件和 修復密碼 或 修復金鑰時,可以解密受 BitLocker 保護之磁碟驅動器損毀的部分。 每個金鑰套件僅適用於具有對應磁碟驅動器標識碼的磁碟驅動器。 密鑰套件不會自動產生,而且可以儲存在檔案或 Active Directory 網域服務 中。 金鑰套件無法儲存在 Microsoft Entra ID
- Data Recovery Agent 憑證:D ata Recovery Agent (DRA) 是一種與 Active Directory 安全性主體相關聯的憑證,可用來存取使用相符公鑰設定的任何 BitLocker 加密磁碟驅動器。 DRA 可以使用其認證來解除鎖定磁碟驅動器。 如果磁碟驅動器是 OS 磁碟驅動器,磁碟驅動器必須掛接為另一部裝置上的數據磁碟驅動器,DRA 才能解除鎖定
提示
控制台 小程式 (中的數據和卸載式磁碟驅動器) ,或在啟動前復原畫面中,使用者都可以提供修復密碼和修復密鑰。 建議您設定原則設定來自定義啟動前復原畫面,例如新增自定義訊息、URL 和技術支援中心連絡資訊。 如需詳細資訊,請檢閱 BitLocker 預先啟動復原畫面一文。
規劃 BitLocker 複原程式時,請先參閱組織目前復原敏感性資訊的最佳做法。 例如:
☑️ | 問題 |
---|---|
🔲 | 組織如何處理遺失或忘記的密碼? |
🔲 | 組織如何執行智慧卡 PIN 重設? |
🔲 | 是否允許使用者儲存或擷取他們擁有之裝置的復原資訊? |
🔲 | 您希望用戶參與 BitLocker 設定程式的程度為何? 您要讓使用者與程式互動、無訊息或兩者互動嗎? |
🔲 | 您要在何處儲存 BitLocker 修復金鑰? |
🔲 | 您要啟用修復密碼輪替嗎? |
回答問題有助於判斷組織的最佳 BitLocker 複原程式,並據此設定 BitLocker 原則設定。 例如,如果組織有重設密碼的程式,則類似的程式可用於 BitLocker 復原。 如果不允許使用者儲存或擷取復原資訊,組織可以使用數據復原代理程式 (DRA) ,或自動備份復原資訊。
下列原則設定會定義可用來還原對受 BitLocker 保護之磁碟驅動器之存取權的復原方法:
提示
在每個原則中,選取 [儲存 BitLocker 修復資訊以 Active Directory 網域服務],然後選擇要儲存在 AD DS 中的 BitLocker 修復資訊。 使用 [在復原資訊儲存在 AD DS 中之前不要啟用 BitLocker] 選項,以防止使用者啟用 BitLocker,除非磁碟驅動器的 BitLocker 修復資訊備份成功 Microsoft Entra ID 或 AD DS。
BitLocker 修復密碼
若要復原 BitLocker,如果可以的話,使用者可以使用修復密碼。 BitLocker 修復密碼對於建立所在的裝置而言是唯一的,而且可以用不同的方式儲存。 根據設定的原則設定,修復密碼可以是:
- 儲存在 Microsoft Entra ID 中,以 Microsoft Entra 聯結
- 儲存在 AD DS 中,適用於已加入 Active Directory 的裝置
- 儲存在文字檔上
- 印刷
擁有修復密碼的存取權可讓持有者解除鎖定受 BitLocker 保護的磁碟區,並存取其所有數據。 因此,貴組織必須建立程式來控制對復原密碼的存取,並確保它們會安全地儲存,與它們所保護的裝置分開。
注意
您可以選擇將 BitLocker 修復金鑰儲存在使用者的 Microsoft 帳戶中。 此選項適用於不是網域成員,且使用者使用Microsoft帳戶的裝置。 針對 Microsoft Entra 未加入或加入 Active Directory 的裝置,將修復密碼儲存在Microsoft帳戶是預設建議的修復密鑰儲存方法。
您應該在啟用 BitLocker 之前設定修復密碼的備份,但也可以在加密之後完成,如 BitLocker 作業指南中所述。
組織中慣用的備份方法是自動將 BitLocker 復原資訊儲存在中央位置。 根據組織的需求,復原資訊可以儲存在 Microsoft Entra ID、AD DS 或檔案共用中。
建議使用下列 BitLocker 備份方法:
- 針對已加入 Microsoft Entra 裝置,請將修復金鑰儲存在 Microsoft Entra ID
- 針對已加入 Active Directory 的裝置,將修復密鑰儲存在 AD DS 中
注意
沒有任何自動方式可將卸除式存儲設備的修復金鑰儲存在 Microsoft Entra ID 或 AD DS 中。 不過,您可以使用 PowerShell 或 manage.bde.exe
命令來執行此動作。 如需詳細資訊和範例,請檢閱 BitLocker 作業指南。
數據復原代理程式
DRA 可用來復原 OS 磁碟驅動器、固定數據磁碟驅動器和抽取式數據磁碟驅動器。 不過,當用來復原 OS 磁碟驅動器時,操作系統磁碟驅動器必須掛接在另一部裝置上作為 數據磁碟驅動器 ,DRA 才能解除鎖定磁碟驅動器。 數據復原代理程式會在加密時新增至磁碟驅動器,而且可以在加密之後更新。
透過密碼或金鑰復原使用 DRA 的好處是 DRA 可作為 BitLocker 的主要金鑰 。 使用 DRA,您可以復原受原則保護的任何磁碟區,而不需要尋找每個個別磁碟區的特定密碼或密鑰。
若要為已加入Active Directory 網域的裝置設定 DRA,需要執行下列步驟:
- 取得 DRA 憑證。 BitLocker 會先檢查下列密鑰使用方式和增強金鑰使用方式屬性,再使用憑證。
- 如果索引鍵使用屬性存在,它必須是下列其中一項:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE
- 如果有增強的金鑰使用 (EKU) 屬性,它必須是下列其中一項:
- 如原則設定中所指定,或預設值
1.3.6.1.4.1.311.67.1.1
- 您的證書頒發機構單位 (CA) 支援的任何 EKU 物件識別碼
- 如原則設定中所指定,或預設值
- 如果索引鍵使用屬性存在,它必須是下列其中一項:
- 使用下列路徑透過組策略新增 DRA:計算機設定>原則>Windows 設定安全性>>設定公鑰原則>BitLocker 磁碟驅動器加密
- 設定 [ 為您的組織提供唯一標識符 ] 原則設定,將唯一標識符與使用 BitLocker 啟用的新磁碟驅動器產生關聯。 識別欄位是用來唯一識別業務單位或組織的字串。 需要識別欄位,才能在受 BitLocker 保護的磁碟驅動器上管理數據復原代理程式。 BitLocker 只會在磁碟驅動器上有識別欄位時管理及更新 DRA,且與裝置上設定的值相同
- 設定下列原則設定,以允許針對每個磁碟驅動器類型使用 DRA 進行復原:
儲存在 Microsoft Entra ID 中的 BitLocker 修復資訊
已加入 Microsoft Entra 裝置的 BitLocker 復原資訊可以儲存在 Microsoft Entra ID 中。 將 BitLocker 修復密碼儲存在 Microsoft Entra ID 中的優點是,使用者可以輕鬆地從網路擷取指派給他們之裝置的密碼,而不需要涉及技術支持人員。
您也可以將復原密碼的存取權委派給技術支援中心,以利支援案例。
儲存在 Microsoft Entra ID 中的 BitLocker 修復密碼資訊是bitlockerRecoveryKey
資源類型。 您可以從 Microsoft Entra 系統管理中心、Microsoft Intune 系統管理中心 (擷取資源,以供在 Microsoft Intune) 中註冊的裝置、使用PowerShell或使用 Microsoft Graph 來擷取。 如需詳細資訊,請參閱 bitlockerRecoveryKey 資源類型。
儲存在 AD DS 中的 BitLocker 修復資訊
已加入 Active Directory 網域之裝置的 BitLocker 復原資訊可以儲存在 AD DS 中。 信息會儲存在計算機物件本身的子物件中。 每個 BitLocker 復原物件都包含修復密碼和其他復原資訊。 每個計算機物件下可以存在一個以上的 BitLocker 修復對象,因為可以有一個以上的修復密碼與已啟用 BitLocker 的磁碟區相關聯。
BitLocker 復原對象的名稱會將全域唯一標識碼 (GUID) 和日期和時間資訊,固定長度為 63 個字元。 語法為 <Object Creation Date and Time><Recovery GUID>
。
注意
Active Directory 會維護計算機物件之所有修復密碼的歷程記錄。 除非刪除計算機對象,否則不會自動從 AD DS 移除舊的修復金鑰。
BitLocker 復原物件 (cn) 的一般名稱是 ms-FVE-RecoveryInformation
。 每個 ms-FVE-RecoveryInformation
物件都有下列屬性:
屬性名稱 | 描述 |
---|---|
ms-FVE-RecoveryPassword |
用來復原 BitLocker 加密磁碟區的 48 位數修復密碼。 |
ms-FVE-RecoveryGuid |
與 BitLocker 修復密碼相關聯的 GUID。 在 BitLocker 的復原模式中,會向用戶顯示 GUID,以便找到正確的修復密碼來解除鎖定磁碟區。 GUID 也包含在復原對象的名稱中。 |
ms-FVE-VolumeGuid |
與 BitLocker 支援的磁碟區相關聯的 GUID。 雖然儲存在) 中的 ms-FVE-RecoveryGuid 密碼 (對於每個修復密碼都是唯一的,但是每個 BitLocker 加密磁碟區的磁碟區標識碼都是唯一的。 |
ms-FVE-KeyPackage |
磁碟區的 BitLocker 加密金鑰受到對應的修復密碼保護。 使用此金鑰套件和 (儲存在 ms-FVE-RecoveryPassword ) 中的修復密碼,如果磁碟損毀,可以解密受 BitLocker 保護的磁碟區部分。 每個金鑰套件僅適用於具有對應磁碟區標識碼 (儲存在) 中的 ms-FVE-VolumeGuid 磁碟區。 BitLocker 修復工具可用來使用密鑰套件。 |
若要深入瞭解儲存在 AD DS 中的 BitLocker 屬性,請檢閱下列文章:
根據預設,不會儲存 BitLocker 金鑰套件。 若要將套件連同復原密碼一起儲存在 AD DS 中,必須在控制復原方法的原則中選取 [備份修復密碼] 和 [金鑰套件 原則] 設定。 金鑰套件也可以從工作磁碟區匯出。
如果復原資訊未備份至 AD DS,或您想要將金鑰套件儲存在替代位置,請使用下列命令來產生磁碟區的金鑰套件:
manage-bde.exe -KeyPackage C: -id <id> -path <path>
在指定的路徑中會建立檔名格式為 的 BitLocker Key Package {<id>}.KPG
檔案。
注意
若要從已解除鎖定、受 BitLocker 保護的磁碟區匯出新的密鑰套件,本機系統管理員必須先存取工作磁碟區,才能對磁碟區造成任何損害。
後續步驟
瞭解如何取得已加入 Microsoft Entra、Microsoft Entra 混合式加入和已加入 Active Directory 裝置的 BitLocker 復原資訊,以及如何還原鎖定磁碟驅動器的存取權: