通过使用正确的证书配置的数据恢复代理程序,可以完成对 BitLocker 保护的驱动器的恢复操作。在可以为驱动器配置数据恢复代理程序之前,必须在组策略管理控制台 (GPMC) 或本地组策略编辑器中,从“公钥策略”添加数据恢复代理程序。还必须启用和配置“为组织提供唯一标识符”策略设置,以将一个唯一标识符与使用 BitLocker 启用的新驱动器相关联。在 BitLocker 保护的驱动器上管理数据恢复代理程序必需有标识字段。仅当驱动器上存在标识字段并且该标识字段与计算机上配置的值相同时,BitLocker 才将管理和更新数据恢复代理程序。
证书要求
证书必须首先符合下列密钥用法和增强型密钥用法要求,才能将其用于使用 BitLocker 加密驱动器:
- 密钥用法属性必须为无、“密钥加密”,或以下密钥用法值之一:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE - 增强型密钥用法属性必须为无或以下值之一:
1.3.6.1.4.1.311.67.1.1
证书颁发机构支持的任何增强型密钥用法对象标识符
默认情况下,BitLocker 对象标识符设置为 1.3.6.1.4.1.311.67.1.1。例如,如果要与 BitLocker 共享现有证书,则可以使用组策略更改此值。如果证书属于数据恢复代理程序并且仅用于恢复 BitLocker 保护的数据,建议您也可以选择下列属性之一,但这不是强制性的。向驱动器添加数据恢复代理程序时,不会发生证书验证。
为 BitLocker 配置数据恢复代理程序和标识字段
以下过程介绍了如何为 BitLocker 配置数据恢复代理程序和标识字段。
本地管理员是完成这些过程所需的最低组成员身份。
 | 配置数据恢复代理程序的步骤 |
打开 GPMC 或本地组策略编辑器。
在控制台树中的“计算机配置\Windows 设置\安全设置\公钥策略”下,右键单击“BitLocker 驱动器加密”。
单击“添加数据恢复代理程序”以启动“添加故障恢复代理向导”。单击“下一步”。
在“选择故障恢复代理”页上,单击“浏览文件夹”,并选择一个 .cer 文件用作数据恢复代理程序。一旦选中该文件,该文件将被导入并显示在向导中的“恢复代理”列表中。可指定多个数据恢复代理程序。指定所有要使用的数据恢复代理程序之后,单击“下一步”。
向导的“正在完成添加故障恢复代理”页显示将添加到组策略的数据恢复代理程序列表。单击“完成”以确认数据恢复代理程序,并关闭向导。
向导关闭后,数据恢复代理程序将出现在详细信息窗格中。
| 配置标识字段的步骤 |
在 GPMC 或本地组策略编辑器中,在控制台树中展开到“计算机配置\管理模板\Windows 组件\BitLocker 驱动器加密”,然后单击“BitLocker 驱动器加密”以显示策略设置。
在详细信息窗格中,双击“为组织提供唯一标识符”策略设置。
单击“启用”。在“BitLocker 标识字段”中,输入用于组织的标识字段。
单击“确定”以应用并关闭策略设置。
 | 注意 |
|
对于在配置标识字段前使用 BitLocker 加密的驱动器,由于不存在标识字段,将不会为其分配数据恢复代理程序。可以使用 Windows Management Instrumentation (WMI) 或 Manage-bde 命令行工具在以前加密的驱动器上设置标识字段。使用 Manage-bde 时,标识字段将设置为在“为组织提供唯一标识符”策略设置中指定的值。有关使用 WMI 或 Manage-bde 的详细信息,请参阅 |