有没有优雅一点的BitLocker密钥查询方法?

不知道小伙伴们听说过 BitLocker 没有?

这是一款硬盘加密程序,微软出品,Windows自带。

由于我没有怎么深入研究用过它,所以以我个人的浅薄的认知和体验来说,感觉这玩意的前身应该是叫作 EFS 的老前辈,不知道这样理解对不对,请小伙伴们批评指正。

BitLocker 很早就出现了,它是利用 TPM 安全模块来进行加密的。

在域环境中, BitLocker 可以通过AD来保存备份加密信息,而 EFS 好像功能没有那么多,那么强大。


至于你的电脑有没有 TPM ,怎么判断其实挺简单的,就一条命令:Get-Tpm

# cmd 命令提示符就用这个
C:\> PowerShell Get-Tpm

# PowerShell 就用这个
PS:\> Get-Tpm
 


没有TPM模块,就像这样。


有TPM模块,就像这样。


话说回来, TPM 也是要钱的,不是随便一台电脑上都会安装。

不过没有 TPM 不代表就不能用 BitLocker ,相反没有钱的你还是有机会和它玩耍一番的。

打开组策略,按照如下步骤启用 启动时需要附加身份验证 一项即可。

计算机配置 > 管理模板 > Windows组件 > BitLocker 驱动器加密 > 操作系统驱动器
 


硬盘加密是信息安全的重要一环

可能一般的小企业并没有导入使用过 BitLocker ,而通常大企业会因为比较重视信息安全,所以除了采用第三方的硬盘加密安全解决方案之外,微软自家出的 BitLocker 应用方案也被广泛采用。

其实就我个人看来哈,就算是中小企业也完全可以尝试运用 BitLocker 来加密电脑硬盘保护信息资产,因为这玩意就是 Windows 自带的,它不要钱啊!(当然正版Windows是要钱的)

说到不要钱,你是不是瞬间眼睛一亮,嘿嘿笑着露出了那一口大黄牙啊?

年轻人要学会淡定,别着急白嫖,要知道它虽然不要钱,可是它要管理维护啊,它要有技术人员操作的啊!

当然了,专职IT人员的工资可远远比不上每年公司软件投入的钱,老板们即使要精打细算,眼光也应该放得长远一点嘛,毕竟信息安全很重要啊!


好了,咱不扯远,把话说回来,既然 BitLocker 是要管理的,除导入加密外,平时最多的操作可能就是查询密钥了。

当用户密码忘了,就可以通过查询48位恢复密码来登录系统。


如果有用户老是忘记密码,或者作为系统管理员的你要管理很多很多密码,可以看看下面这篇文章。

文章导读:系统管理中如何记住那么多管理员密码?

https://www.sysadm.cc/index.php/xitongyunwei/794-how-to-remember-so-many-administrator-passwords-in-system-management


BitLocker 恢复密码怎么查?

我们想要查询恢复密码,通常做法是打开AD管理工具去查询,就像下面步骤那样。

1、右击域名,选择 查找 BitLocker 恢复密码


2、然后在这个界面文本框中输入密码ID的前8个字符。

喂...等等!什么鬼?我上哪儿去找密码ID啊?

按密码ID来查询恢复密码,你是认真的吗,这操作是不是有点反人类的感觉?


看到了吧,我密码都记不住,怎么可能记住复杂的密码ID,这玩意真是鸡肋啊!

有专业的小伙伴这个时候会说,你找到主机名称,在属性选项卡里就可以查到密钥。

没错,小同学还是挺机灵的嘛,当时我就一记天马流行拳,仅用0.01秒就能点击100次鼠标的手速,终于找到了属性选项卡中 BitLocker 恢复 一项的内容。


怎么样?哥们我是练过的,单身的小伙伴们应该深有体会。

不过要是我想查找大量的恢复密码,我想恐怕我可能没有机会再秀拳法了,因为我的手可能会先废掉!

细想之下真是可怕,于是乎我想到了另辟蹊径,决心必须要把BitLocker密钥自动导出。


我打开搜索引擎,翻山越岭、跋山涉水,经过无数次研读和尝试,终于找到了老外的一篇博文。

https://ndswanson.wordpress.com/2014/10/20/get-bitlocker-recovery-from-active-directory-with-powershell/

这篇博文可谓是惊世骇俗、短小而精悍,我看了半天,也懵了半天,最后才明白文章的最后面给出的命令即为最终答案。

不要看它简单就小看了它,像下面这样就够用了。

# 获取你想要查询的计算机对象
PS> $Computer = Get-ADComputer -Filter {Name -eq 'Hostname'}

# 获取该计算机的所有BitLocker恢复密钥,注意参数 “SearchBase” 
PS> $BitLockerObjects = Get-ADObject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $Computer.DistinguishedName -Properties 'msFVE-RecoveryPassword'

# 输出结果,打完收工
PS> $BitLockerObjects
DistinguishedName : CN=2020-10-20T13:10:38-06:00{E59D69FF-6A3B-42A6-89C0-57A0DA0E302A},CN=xjpc01,OU=swCompute
rs,DC=sysadm,DC=cc
msFVE-RecoveryPassword : 465762-121880-049797-598411-533643-549890-128436-549736
Name : 2020-10-20T13:10:38-06:00{E59D69FF-6A3B-42A6-89C0-57A0DA0E302A}
ObjectClass : msFVE-RecoveryInformation
ObjectGUID : d0a15cc8-5f86-42ed-8942-633cec25b6b1
......
......
 


一共就三条命令啊,咱的 PS 水平真心差,先试试看好不好用吧。

结果输入第一条命令哥们就栽了。


怎么就挂了呢?

我跑到AD服务器上再试试,居然好使得很,没有报错啊?

哦,过了一会儿我回过味儿来了,原来我是在没有安装远程服务管理工具的客户端上执行的命令。

这些命令都是要调用AD管理工具组件的。

好吧,算我年轻没见过世面,我先安装一个再来试过。


Windows10远程服务器管理工具,日常管理AD之重器。

想图个方便就在这儿下载吧,Win10/Win2016 都可安装使用哦。

WindowsTH-RSAT_WS2016-x64.msu(92.33M)

下载链接:https://www.90pan.com/b2217169

提取码:


输入密码,继续阅读



扫码关注微信公众号,回复文章ID免费获取密码


<文章ID:000795>


说是迟,那时快,有小一半带薪拉屎的功夫我就安装好了远程管理工具。

回过头来,再试试那几条 PowerShell 命令,看来是猜对了,完全没问题了。


从图中能看到,指定计算机名称查询即可得到该计算机的加密密钥信息,相应的 msFVE-RecoveryPassword 一项就是传说中的 BitLocker 恢复密码。

相对按密码ID前8位来查询 BitLocker 恢复密码,按计算机名称来查找才比较符合人性嘛!


给出的命令简单易用,想查询的时候只要打命令就行了。

但是,嘿嘿注意这里又有转折了,难道就这么简单地结束了吗?

事实证明,滚动条还没有滑动到底,文章还没有结束呢!

是的,如果只是陈述一些命令就没多大意思了。

如果比输入命令还可以再优雅一点、再人性化一点那就更好了不是吗,哪怕只要好一点点也行啊!


网管小贾自制 BitLocker 查询器登录

一个简单易用的小工具,我自己做的,解放双手、挤出时间做更多有意义的事。


这款小工具使用很简单。

  1. 可以按主机名查询 BitLocker 信息。
  2. 可以按容器路径查询 BitLocker 信息。
  3. 可以导出当前域的全部 BitLocker 信息。
  4. 查询结果中,点击任意一项,其他项自动对齐,便于对照查看。


免费分享给小伙伴们,其中第2、3项功能需要注册。

当然了,注册也是免费的,只要你关注@网管小贾,公众号内回复 xjbitlocker 即可获取。

如果你觉得好用,别忘记分享给更多的小伙伴哦!

如果你有什么好的建议或想法,欢迎留言区讨论!


网管小贾的BitLocker查询器(46.55K)

下载链接:https://pan.baidu.com/s/1tmGwWIZbU_2uoNCeCaNe5w

提取码:


输入密码,继续阅读



扫码关注微信公众号,回复文章ID免费获取密码


<文章ID:000795>


WeChat@网管小贾 | www.sysadm.cc



评论  
0 #1 网管小贾 2021-01-13 10:16
:lol: 请小伙伴们注意啦,“网管小贾的BitLocker查询器“是用于AD域环境中的,是在密钥集中统一备份保 存于AD域服务器中的情况下查询使用的,单机加密并不适用哦!
引用
提交评论

安全码
刷新

© 2020-present 网管小贾 | 微信公众号 @网管小贾
许可协议:CC-BY-NC 4.0 | 转载文章请注明作者出处及相关链接