Назад | Перейти на главную страницу

Есть ли разница между файлом ключа восстановления BitLocker и числовым паролем?

Есть ли разница между файлом ключа восстановления BitLocker и числовым паролем? это негативно повлияет на мою способность разблокировать диск в сценарии бедствия?

Я часто шифрую жесткие диски USB, которые используются для резервного копирования с помощью BitLocker. Я сохраняю .BEK файл на сервере, для которого выполняется резервное копирование, и используйте его для разблокировки дисков. Тем не менее, я также сохраняю цифровой пароль, а также копию .BEK файл.

Если нет необходимости сохранять оба этих файла вне офиса, было бы проще не делать этого. Но прежде чем я перестану это делать, мне нужно знать, есть ли различия или ошибки между этими двумя методами разблокировки я должен принять во внимание.

Некоторые детали

На сервере 2008 / R2 Я включаю BitLocker с помощью:

manage-bde -on X: -rk "C:\BitLocker Keys" -rp

на сервере 2012 / R2 Я включаю BitLocker с помощью:

manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used

Опубликованные вами команды включают шифрование BDE для указанного вами тома, сохраняя файл ключа восстановления (-rk) к C:\BitLocker Keysи создание числового пароля восстановления (-rp).

Если придет время восстановить том, зашифрованный с помощью Bitlocker, вы можете использовать либо файл ключа восстановления или цифровой пароль восстановления. Вам не нужны оба ... и если вы не собираетесь создавать резервные копии обоих, мне немного любопытно, почему вы создаете оба. Если вы собираетесь использовать только один, вы можете просто отказаться от другого (-rk или -rp) из вашей команды, а не сгенерировать вариант восстановления, который вы вообще не собираетесь использовать.

Различия между этими двумя методами, похоже, неприменимы к вашему варианту использования - не похоже, что вы храните ключи восстановления в Active Directory или шифруете системные диски, поэтому действительно ваш выбор в отношении того, какой метод вы предпочитаете .

Итак, в общем, для целей восстановления достаточно одного; вам не нужны оба.

В проекте BDE, над которым я работаю для своих корпоративных хозяев, я генерирую только числовой ключ восстановления, который копируется в Active Directory, и полагаюсь на модуль TPM для хранения ключей шифрования, чтобы разблокировать диски для конечного пользователя. . Работает нормально, но на самом деле вводится строка из 48 символов с функциональными клавишами на компьютере это немного больше, чем мне нравится причинять себе, поэтому, если бы мне пришлось делать это заново, я мог бы вместо этого полагаться на файлы ключа восстановления, чего бы это ни стоило.