Назад | Перейти на главную страницу

Bitlocker: один и тот же ключ восстановления на нескольких устройствах

Задний план

Я работаю в компании, которая сдает в аренду медицинские приборы для тестирования поликлиникам. Эти устройства не присоединены к домену и доступны только через наше решение MDM. Эти устройства подключаются к веб-службе, которая взаимодействует с этими устройствами для управления устройством тестирования. Поскольку это веб-служба, на устройстве не хранится никакая конфиденциальная информация PHI или PII, за исключением памяти. То есть на диск никогда ничего не записывается.

Недавно было принято бизнес-решение включить BitLocker на всех этих устройствах. Все они работают под управлением Windows (7 или 8.1), и все они имеют модуль TPM. (Мы объяснили бизнесу, что включение BitLocker нам ничего не даст, но я предполагаю, что им это нужно для маркетинговых целей или чего-то в этом роде).

Проблема

Поскольку количество наших устройств исчисляется тысячами, я хочу максимально упростить управление нашей службой технической поддержки. Во время исследования Включить-BitLocker командлет для PowerShell, я нашел запись под названием Включить BitLocker с указанным ключом восстановления, включая запись в командной строке и краткое описание.

Это означает, что я могу предоставить свой собственный ключ восстановления. Насколько я понимаю, каждому устройству требуется свой собственный уникальный ключ восстановления, хотя при его использовании уникальный ключ восстановления шифруется с помощью общего ключа восстановления, что позволяет использовать один ключ восстановления повсеместно.

Я пытался найти больше информации по этому поводу в другом месте, хотя не нашел особо.

Мой вопрос

Можно ли использовать общий ключ восстановления на всех наших устройствах? Я подозреваю, что это возможно, если моя интерпретация этого командлета верна, хотя я слышал слухи и подозрения, что для этого может потребоваться присоединение этих устройств к домену Active Directory, что на данный момент невозможно.

Помимо разветвлений безопасности (когда потеря общего ключа позволяет расшифровать все устройства), есть ли какие-либо другие проблемы, которые мне, возможно, придется изучить дополнительно при реализации этого решения, или, возможно, вещи, которые я не учел, которые могут сделать это решение либо невозможным, либо нежелательно?

Да, можно зашифровать данные с помощью Bitlocker и пароля, например:

$SecurePassword = (Read-Host -AsSecureString)

Enable-Bitlocker -Mountpoint $DriveLetter -EncryptionMethod Aes256 -Password $SecurePassword -PasswordProtector -UsedSpaceOnly

Это работает для меня при шифровании файлов виртуальных дисков для резервного копирования вне офиса .... не пробовал использовать его на диске C на настольном компьютере / ноутбуке.

Я бы исследовал более комплексное решение, приведенное выше предназначено только для тестирования.

Mcafee и другие сторонние компании также могут иметь решения для управления ключами в облаке. Я считаю, что в Microsoft Azure также есть способ управления ключами в облаке.