BitLocker 恢复密钥文件和数字密码之间是否有任何区别会对我在灾难情况下解锁驱动器的能力产生负面影响?
我经常使用 BitLocker 加密用于备份的 USB 硬盘驱动器。我将.BEK文件保存在正在备份的服务器上,并使用它来解锁驱动器。但是,我还将数字密码和文件副本保存在异地.BEK。
如果没有必要将这两个都保存在异地,那么不保存会更简单。但在我停止这样做之前,我需要知道这两种解锁方法之间是否存在任何差异或陷阱,我需要考虑到这一点。
一些细节
- 我在 Server 2008、Server 2008 R2、Server 2012 和 Server 2012 R2 机器上执行此操作
- 我从不将密钥存储在 TPM 中
- 我使用“常规”BitLocker(不是 To-Go)
在 Server 2008/R2上,我通过以下方式启用 BitLocker:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp
在 Server 2012/R2上,我启用 BitLocker:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
您发布的命令为您指定的卷打开 BDE 加密,将恢复密钥文件 (
-rk) 保存到C:\BitLocker Keys,并生成数字恢复密码 (-rp)。如果您需要恢复 Bitlocker 加密的卷,您可以使用恢复密钥文件或数字恢复密码。你不需要两者......如果你不打算备份两者,我有点好奇你为什么要生成两者。如果你只打算使用一个,你也可以从你的命令中删除另一个(
-rk或-rp),而不是生成一个你一开始不会使用的恢复选项。两种方法之间的差异似乎不适用于您的用例 - 您似乎不会将恢复密钥存储在 Active Directory 中,或加密系统驱动器,因此您可以选择您喜欢哪种方法.
因此,总而言之,任何一个都足以用于恢复目的;你不需要两者。
在我为我的公司霸主工作的 BDE 项目中,我只生成一个数字恢复密钥,它会备份到 Active Directory,并依靠 TPM 模块来存储加密密钥来为最终用户解锁驱动器. 工作正常,但实际上在计算机上用功能键输入一个 48 个字符的字符串比我想对自己造成的痛苦要多一些,所以如果我不得不重新做一遍,我可能会改用恢复密钥文件,不管怎样这是值得的。