為了避免敏感資訊不慎外洩,微軟提供了BitLocker加密保護功能,而針對BitLocker電腦的集中控管需求,微軟進一步釋出MDAM套件,能夠集中管理Windows用戶端的BitLocker磁碟機加密,從管理端或使用者自助網站上取得修復金鑰資訊,以解決一般使用者忘記密碼或PIN碼的窘境。
在「群組原則管理編輯器」介面中,展開至「電腦設定」→「原則」→「系統管理範本」→「MDOP MBAM(BitLocker Management)」→「作業系統磁碟機」節點,然後開啟如圖30所示的「作業系統磁碟機加密設定」頁面。在此先勾選「在不含相容TPM的情形下允許使用BitLocker(需要密碼)」設定,必須注意的是,此選項僅適用在Windows 8以上的用戶端電腦。然後將「選取作業系統磁碟機的保護裝置」設定為【TPM和PIN】,並且設定用於啟動的最小PIN長度(最多20碼),最後按下〔確定〕按鈕。
 |
| ▲圖30 作業系統磁碟機加密原則設定。 |
緊接著,開啟如圖31所示的「選擇如何修復受BitLocker保護的作業系統磁碟機」頁面。先將「允許資料修復代理」勾選起來,再勾選「儲存作業系統磁碟機的BitLocker修復資訊到AD DS」選項。
 |
| ▲圖31 如何修復受BitLocker保護的作業系統。 |
至於是否要同時儲存修復密碼與金鑰封裝可以自行決定,但建議把預設未啟用的「請勿啟用BitLocker,除非作業系統磁碟機的修復資訊已儲存到AD DS」設定勾選起來,如此一來就能夠有效防範使用者遺失修復密碼的問題發生,因為至少在Active Directory內還存放一份。
接下來,用戶端使用者就可以自行到「控制台」中開啟「BitLocker磁碟機加密」介面,然後針對作業系統磁碟機點選「開啟BitLocker」,此時就會立即出現「選擇啟動時如何解除鎖定磁碟機」頁面,如圖32所示,這裡選用「插入在USB快閃磁碟機」的方式是最安全的做法,但對使用者來說稍嫌複雜,因此大部分用戶會選擇「輸入密碼」。
 |
| ▲圖32 加密作業系統磁碟機。 |
當選擇以「輸入密碼」來做為解鎖啟動時的驗證方法後,按下〔下一步〕按鈕便會來到如圖33所示的頁面。
 |
| ▲圖33 備份修復金鑰。 |
在此可以選擇「儲存到USB快閃磁碟機」、「儲存到檔案」或是「列印修復金鑰」。無論如何,使用者必須妥善保護此項資訊,以便在忘記解鎖密碼時還可以進行回復。不過別忘了,剛剛早已透過原則配置讓Active Directory中也存有一份修復金鑰。
請注意!關於BitLocker修復金鑰檔案的儲存,是無法選擇儲存在已啟用BitLocker加密的磁碟上,也無法儲存到非卸除式磁碟的根路徑內,否則會出現類似圖34所示的錯誤訊息。
 |
| ▲圖34 顯示修復金鑰儲存錯誤。 |
接著會出現如圖35所示的「選擇要加密的磁碟機大小」頁面,出現「只加密已使用的磁碟空間」及「加密整個磁碟」兩個選項,前者較適用在全新開始使用的磁碟機,後者則適合已經在使用中的磁碟機。按下〔下一步〕按鈕後,會詢問是否要「執行BitLocker系統檢查」,確認勾選此設定後按下〔確定〕按鈕。隨後,系統會提示需要重新開機。
 |
| ▲圖35 選擇所要加密的磁碟大小。 |
圖36所示便是重新開機後的BitLocker解除鎖定提示頁面,在沒有密碼或修復金鑰的情況下是無法正常啟動的。即便整個作業系統磁碟機被有心人士拔除到其他電腦來連接,也無法讀取到磁碟機中的任何資料。
 |
| ▲圖36 加密後的系統開機驗證。 |
在正常啟動作業系統的狀態下,無論是到「控制台」的「BitLocker加密選項」還是「BitLocker磁碟機加密」介面中,如圖37所示,都可以看到目前的作業系統磁碟機已經在加密狀態下。此外,只要在原則允許的情況下,使用者都可以隨時執行暫停保護、備份自己的修復金鑰、變更密碼、移除密碼以及關閉BitLocker功能。
 |
| ▲圖37 BitLocker磁碟機加密管理。 |