Есть ли разница между файлом ключа восстановления BitLocker и числовым паролем? это негативно повлияет на мою способность разблокировать диск в сценарии бедствия?
Я часто шифрую жесткие диски USB, которые используются для резервного копирования с помощью BitLocker. Я сохраняю .BEK
файл на сервере, для которого выполняется резервное копирование, и используйте его для разблокировки дисков. Тем не менее, я также сохраняю цифровой пароль, а также копию .BEK
файл.
Если нет необходимости сохранять оба этих файла вне офиса, было бы проще не делать этого. Но прежде чем я перестану это делать, мне нужно знать, есть ли различия или ошибки между этими двумя методами разблокировки я должен принять во внимание.
Некоторые детали
На сервере 2008 / R2 Я включаю BitLocker с помощью:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp
на сервере 2012 / R2 Я включаю BitLocker с помощью:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
Опубликованные вами команды включают шифрование BDE для указанного вами тома, сохраняя файл ключа восстановления (-rk
) к C:\BitLocker Keys
и создание числового пароля восстановления (-rp
).
Если придет время восстановить том, зашифрованный с помощью Bitlocker, вы можете использовать либо файл ключа восстановления или цифровой пароль восстановления. Вам не нужны оба ... и если вы не собираетесь создавать резервные копии обоих, мне немного любопытно, почему вы создаете оба. Если вы собираетесь использовать только один, вы можете просто отказаться от другого (-rk
или -rp
) из вашей команды, а не сгенерировать вариант восстановления, который вы вообще не собираетесь использовать.
Различия между этими двумя методами, похоже, неприменимы к вашему варианту использования - не похоже, что вы храните ключи восстановления в Active Directory или шифруете системные диски, поэтому действительно ваш выбор в отношении того, какой метод вы предпочитаете .
Итак, в общем, для целей восстановления достаточно одного; вам не нужны оба.
В проекте BDE, над которым я работаю для своих корпоративных хозяев, я генерирую только числовой ключ восстановления, который копируется в Active Directory, и полагаюсь на модуль TPM для хранения ключей шифрования, чтобы разблокировать диски для конечного пользователя. . Работает нормально, но на самом деле вводится строка из 48 символов с функциональными клавишами на компьютере это немного больше, чем мне нравится причинять себе, поэтому, если бы мне пришлось делать это заново, я мог бы вместо этого полагаться на файлы ключа восстановления, чего бы это ни стоило.