###业务需求
1、加密系统盘,防止硬件被盗可能导致数据丢失
2、双人输入密码登录,规避人员单点风险
由于系统盘加密,启动时需要提供解密密钥,如果不使用tpm,是需要插入usb设备提供密钥文件,这无法满足双人分别掌握密钥的要求。
所以需要tpm芯片,通过开机pin方式,由不同人员分别掌握启动pin密码的前半部分和后半部分。
系统启动流程如下,设置加密系统盘,系统加电启动后,通过输入pin从tpm芯片导出加密密钥来启动系统,实现硬件丢失后没有加电启动pin码无法开机,并且由于硬盘是加密的,也无法读取硬盘上的数据。
###1、升级操作新系统
####win7磁盘加密,系统要求:Windows 7 Enterprise 和 Windows 7 Ultimate 版本。
首先打开开始菜单,里面有一个程序叫做 Windows Anytime Update的程序
打开,然后在弹出的窗口中点击用序列号进行升级!然后在里面输入27GBM- Y4QQC-JKHXW-D9W83-FJQKD(注意!这是升级由家庭初级版升级至家庭专业版的序列号!
必须先从初级版升级至专业版,才能从专业版升级 为旗舰版!不能越级升级!
接下来可就是从家庭高级 版升级至旗舰版了!过程较上面完全一样!升级的序列号为6K2KY-BFH24-PJW6W-9GK29-TMPWP或22TKD-F8XX6- YG69F-9M66D-PMJB
###2、设置bitlocker组策略,配置为只可以用启动PIN
gpedit.msc
计算机设置-管理模板-windows组件-bitloacker驱动器加密-启动时需要附加身份验证
有TPM时计算机的设置
配置TPM启动:不允许TPM
配置TMP启动PIN:有TPM时需要启动PIN
配置TPM启动密钥:有TPM时不允许启动密钥
配置TPM启动密钥和PIN:有TPM时不允许启动密钥和PIN
###3、初始化tpm芯片
tpm.msc
如果已经有人初始化过tpm,则选择重新初始化tpm设备.
重启动电脑.根据提示初始化后,设置密码
输入tpm所有者密码
###4、设置加密方式为启动pin码和密钥文件
manage-bde -on c: -TPMANDPIN -rk d:\
输入启动PIN密码
根据提示重新启动,输入启动PIN插入密钥文件设备完成验证
系统自动开始硬盘加密
###5、设置操作系统的登录密码
###6、注意保存好之前保存到d:\文件用于应急情况下的磁盘解密
###7、其他密钥管理命令
manage-bde -protectors -add c: -tp -tsk d:\
manage-bde -protectors -add c: -tp
manage-bde -protectors -get c:
manage-bde -protectors -delete c: -id {4B8CD769-C26F-41D2-ACE3-1BC2AAD36D62}
参考文档
Windows 7 BitLocker 实战
https://blogs.technet.microsoft.com/xiwang/2009/05/19/windows-7-bitlocker/
通过cmd命令行来删除bitlocker服务的方法
http://iknow.lenovo.com/app/detail/dc_142430.html
© 2017, 新之助meow. 原创文章转载请注明: 转载自http://www.xinmeow.com