分享方式:


透過網路加密復原資料

適用於:Configuration Manager (目前的分支)

當您建立 BitLocker 管理原則時,Configuration Manager將復原服務部署到管理點。 在 BitLocker 管理原則的 [ 客戶 端管理] 頁面上,當您 設定 BitLocker 管理服務時,用戶端會將金鑰修復資訊備份至月臺資料庫。 此資訊包括 BitLocker 修復金鑰、復原套件和 TPM 密碼雜湊。 當使用者被鎖定在受保護的裝置外時,您可以使用此資訊來協助他們復原裝置的存取權。

基於這項資訊的敏感性,您必須保護它。

重要事項

從 2103 版開始,復原服務的實作已變更。 它不再使用舊版 MBAM 元件,但在概念上仍稱為 復原服務。 所有版本 2103 用戶端都會使用管理點的 訊息處理引擎 元件作為其復原服務。 他們會透過安全的用戶端通知通道委付其修復金鑰。 透過這項變更,您可以啟用Configuration Manager月臺來增強 HTTP。 此設定不會影響Configuration Manager中 BitLocker 管理的功能。

當月臺和用戶端都執行 Configuration Manager 2103 版或更新版本時,用戶端會透過安全的用戶端通知通道,將其修復金鑰傳送至管理點。 如果有任何用戶端位於 2010 版或更早版本,則需要管理點上啟用 HTTPS 的復原服務來委付其金鑰。

HTTPS 憑證需求

注意事項

只有當月臺是 2010 版或更早版本,或是您將 BitLocker 管理原則部署到Configuration Manager用戶端版本 2010 或更早版本的裝置時,才適用這些需求。

Configuration Manager需要用戶端與復原服務之間的安全連線,才能透過網路加密傳輸中的資料。 使用下列其中一個選項:

注意事項

如果您的月臺有多個管理點,請在月臺上所有管理點上啟用 HTTPS,而受 BitLocker 管理的用戶端可能會與其通訊。 如果 HTTPS 管理點無法使用,用戶端可能會容錯移轉至 HTTP 管理點,然後無法委付其修復金鑰。

此建議適用于這兩個選項:啟用 HTTPS 的管理點,或啟用在管理點上裝載復原服務的 IIS 網站。

設定 HTTPS 的管理點

在舊版Configuration Manager最新分支中,若要整合您必須啟用 HTTPS 的 BitLocker 復原服務,請啟用管理點。 必須要有 HTTPS 連線,才能將網路上的修復金鑰從Configuration Manager用戶端加密到管理點。 針對 HTTPS 設定管理點和所有用戶端,對許多客戶來說可能很困難。

啟用 IIS 網站的 HTTPS

HTTPS 需求現在適用于裝載復原服務的 IIS 網站,而不是整個管理點角色。 此設定會放寬憑證需求,且仍會加密傳輸中的修復金鑰。

管理點 的用戶端連線 屬性可以是 HTTPHTTPS。 如果為 HTTP設定管理點,則支援 BitLocker 復原服務:

  1. 取得伺服器驗證憑證。 將憑證系結至裝載 BitLocker 復原服務之管理點上的 IIS 網站。

  2. 設定用戶端信任伺服器驗證憑證。 有兩種方法可以完成此信任:

    • 使用來自公用和全域信任憑證提供者的憑證。 Windows 用戶端包含受信任的跟憑證授權單位單位, (來自這些提供者的 CA) 。 藉由使用其中一個提供者所簽發的伺服器驗證憑證,您的用戶端應該會自動信任它。

    • 使用 CA 從組織的公開金鑰基礎結構 (PKI) 所簽發的憑證。 大部分的 PKI 實作都會將受信任的根 CA 新增至 Windows 用戶端。 例如,搭配群組原則使用 Active Directory 憑證服務。 如果您從用戶端不會自動信任的 CA 發出伺服器驗證憑證,請將 CA 受信任的根憑證新增至用戶端。

提示

唯一需要與復原服務通訊的用戶端,就是您打算以 BitLocker 管理原則為目標並包含 用戶端管理規則的客戶 端。

針對連線進行疑難排解

在用戶端上,使用 BitLockerManagementHandler.log 針對此連線進行疑難排解。 針對復原服務的連線能力,記錄檔會顯示用戶端正在使用的 URL。 根據 Configuration Manager 版本,在記錄檔中找出專案:

  • 在 2103 版和更新版本中,專案開頭為 Recovery keys escrowed to MP
  • 在 2010 版和更早版本中,專案開頭為 Checking for Recovery Service at

後續步驟

第一次部署原則之前,將資料庫中的復原資料加密是選擇性的必要條件。

部署 BitLocker 管理用戶端