欢迎光临,这里是 gOxiA=苏繁=SuFan 独立的个人博客。
本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m
转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!

HOWTO: 离线方式安装 WSL2 Ubuntu

[ 2021/09/02 16:12 | by gOxiA ]

wslfetch

  

HOWTO: 离线方式安装 WSL2 Ubuntu

  

        离线方式安装 WSL2 Ubuntu 只是一种比较极端的场景,使用的方案是从一台已安装了 WSL2 Ubuntu 的设备上使用 WSL 的导出功能将其导出为一个 tar 文件,然后再导入到目标设备上。当然,我们也可以先下载好 WSL 的 Linux 发行版,然后使用 Add-AppxPackage 安装。例如:

  

curl –L –o ubuntu-2004.appx https://aka.ms/wslubuntu2004

  

add-appxpackage .ubuntu-2004.appx

  

        以下是目前支持的 WSL 发行版:

      

        要从设备上导出已安装的发行版,可以使用 WSL 的 --export 参数,例如:

  

wsl --export Ubuntu Ubuntu-2004.tar

  

        要将导出的发行版成功安装并运行在目标计算机上,还需要做一些额外的准备。首先,启用“适用于 Linux 的 Windows 子系统”,可使用命令行或图形界面。

  

dism /online /enable-feature /featurename:microsoft-windows-subsystem-linux /all /norestart

  

windows-features

  

        因为我们的目标是要运行 WSL2 模式,所以还需要启用“虚拟机平台”,也可以使用命令行。

  

dism /online /enable-feature /featurename:virtualmachineplatform /all /norestart

  

        Windows 功能层面准备完毕后还没有完,因为目标设备不能联网,还需要手动下载和安装 Linux 内核更新包,以便能够支持 WSL2。

    

         现在准备工作完毕,我们可以打开 CMD,将 WSL2 设置为默认版本。

  

wsl --set-default-version 2

  

        至此,我们可以开始导入 Linux 发行包,使用 --import 参数,需提供发行名称,要安装到的路径,导出的发行包所在路径,以及指定为 WSL2 版本。

  

wsl --import Ubuntu C:\WSL .ubuntu-2004.tar --version 2

logo_intune

HOWTO: 通过 Intune 分发 WinGet 测试版

        WinGet 即 Windows 程序包管理器,官方解释为一个综合的程序包管理解决方案,由一个命令行工具和一组用于在 Windows 10 上安装应用程序的服务组成,主要面向开发人员或 ISV。对于企业 ITer 来说,如果你使用过这个工具就会发现它有无限潜能,因为我们可以利用 WinGet 实现应用程序的自动安装、升级等管理功能。如果希望了解 WinGet 的有关资讯,可以参考 gOxiA 之前的分享 “体验新的 Windows 程序包管理器”。

WinGet_Help

        由于 WinGet 还处于预览版阶段,所以并不是每一台 Windows 10 计算机都具备这个功能。根据微软官方目前的介绍,有三种方案可以获取到 WinGet:
1. 参加 Windows 程序包管理器预览体验计划,然后从 微软应用商店 下载 Windows 应用安装程序,即可开始体验 WinGet。

2. 参加 Windows Insider 项目,只要升级到了 Insider 版本,系统会内置 WinGet 可直接使用。

3. 下载 WinGet 安装包,手动安装 WinGet。


        本次分享将基于第三个方案,即下载 WinGet 安装包,然后通过 Intune 分发给 Windows 客户端,这样就能很轻松的部署或安装应用程序。首先访问 WinGet 项目页面,下载 msixbundle 格式的安装包。

WinGet_download

        接下来,通过 Microsoft Endpoint Manager 管理中心(Intune Portal)添加应用,应用类型为“LOB”即“业务线应用”,此类型可用于分发 msi、appx、appxbundle、msix 和 msixbundle 安装包。在选择应用包文件后,向导会执行依赖检测,如下图所示,要成功安装该应用,客户端计算机上必须已经安装 VCLibs 组件。如果无法确认客户端的组件安装情况,可手动上传这些组件。

Intune_Apps_Deploy_winget-1

        对于 Microsoft VCLibs 可以从下面的网页获取上传即可。

C++ Runtime framework packages for Desktop Bridgehttps://docs.microsoft.com/en-us/troubleshoot/cpp/c-runtime-packages-desktop-bridge

        应用信息中根据实际需求填写相关信息即可,没有特别之处。

Intune_Apps_Deploy_winget-2

        在 分配应用 这里,考虑到是面向系统层面的应用,且希望所有设备都安装,所以采用了“Required”选项,分配给了所有设备。

Intune_Apps_Deploy_winget-3

        至此,配置结束!非常期待 Windows 11 里的 NewStore 尽快开放,因为预示着 Android 应用的到来!!!

winget_newstore

logo_intune

HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive

        如果企业客户端已经通过 Intune 来管理有一段时间,可能会注意到当用户完成 Autopilot,登录系统会发现 OneDrive 并没有自动配置,处于未登录状态,客户如果启动 OneDrive 会出现配置向导,需要完成账户登录验证等一系列的配置。早先有热心的 ITer 分享了一些经验,例如通过修改注册表或使用脚本来实现自动配置。随着微软不断完善 Intune 中的配置文件,现在终于原生支持配置 OneDrive 了!

Windows_OneDrive

        如果你正打算为客户端实现以无提示方式登录 OneDrive,那么今天这篇分享将揭晓答案。在 Intune 设备配置文件中微软已经在“模板 - 管理模板”中添加了对“OneDrive”的支持。

Intune_Add_AdministrativeTemplate


        在“计算机配置 - OneDrive”下,请启用“让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用”,并根据需要启用“使用 OneDrive文件随选”,这个功能在启用后会仅以联机模式运行,可以避免将所有 OneDrive 文件同步回本地所引发的一些连锁问题。

Device_Settings_OneDrive

        相信随着 Intune 的不断完善,可令 ITer 更轻松快速的将基于本地管理的客户端切换至云端。如果你希望了解 GPO 在 Intune 下的支持情况,可以参考这篇文档 https://goxia.maytide.net/read.php/2003.htm,其中有提及如何利用 Intune 的 “组策略分析”功能来确认 Intune 当前对 GPO的支持情况和进度。如果你在关注 Intune 的发展或功能更新,推荐收藏并定期浏览 “Intune 新增功能”。

Windows 11 启用或删除的功能

[ 2021/08/06 10:09 | by gOxiA ]

Windows-11-logo

Windows 11 弃用或删除的功能

        微软在公布 Windows 11 后,用户可以通过 Windows Insider 获取到开发测试版以体验这个全新的操作系统。对于企业 IT 桌面的交付人员,他们更关注的是 Windows 11 带来了哪些改变?!因为需要确保在持续的交付过程中不会严重影响到最终用户。接下来快速了解一下在 Windows 11中哪些功能会被弃用或删除,以评估我们可能受影响的使用中的关键功能。

  • Cortana 将不再包含在 OOBE 过程中,以及固定在任务栏中。
  • 使用 MSA (Microsoft Account)登录时,桌面壁纸将不会再同步或从其他设备上同步回来。
  • Internet Explorer 已禁用,默认推荐为 Microsoft Edge,如果网站需要 IE 访问可考虑使用 Edge 中的 IE Mode。
  • 数学输入面板已删除。数学识别器可通过按需安装,包括数学输入控制和识别器。对于 OneNote 等应用中的数学模拟不会受到此更改影响。
  • 新闻和兴趣已经演变为小组件,默认可在任务栏左侧找到该图标。
  • 锁屏中的“快速状态”和相关设置已被删除。
  • S Mode仅适用于 Windows 11 的家庭版。
  • “开始”在 Windows 11 中显著更改,不再支持命名应用组和文件夹,布局当前无法重新部署。从Windows 10 升级时,固定的应用和站点不会迁移。实时磁贴特性不再可用。
  • 平板电脑模式已删除。
  • 任务栏功能已更改,不再包含人脉;某些图标不再出现在系统栏;任务栏只支持屏幕底部停靠;应用不能再自定义任务栏区域。
  • 时间线 已被删除
  • 以下应用在升级时不会删除,但将不再安装在新设备上,或在执行全新安装的 Windows 11 上,但可以从应用商店下载它们。


详情也可参考官方文档:https://www.microsoft.com/en-us/windows/windows-11-specifications#primaryR4

        如果您仍在继续关注 Windows 10,也可以从以下文档了解其不再开发的功能或删除的功能。

logo_intune

HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥

        通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器,以及基本设置的管理配置。

intune_bitlocker_1

        但不当的配置也会对客户端的正常部署造成困扰,正如本例所要分享的,IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker,但结果并不如人意。你可以看到如下图所示,设备在经历 Autopilot 配置进入系统桌面后,系统栏弹出磁盘加密的需求提示,当点击这个通知会弹出“是否已准备好开始加密?”的向导。

Bitlocker_setup

        根据提示,确认没有安装和使用第三方的加密软件,但执行结果却失败了!提示“无法创建恢复密码和恢复密钥……”。此时,我们可以通过“事件查看器”,在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索,可从下方截图中看到 ID 4103 的记录,Error Message 为“组策略设置不允许创建恢复密码”!!!既然是组策略的问题,且客户端是基于 Intune 管理的,那就要回到 Endpoint Manager 管理中心来排查。

Bitlocker_troubleshooting

        检查磁盘加密策略,在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”,确认该配置为“允许”。

intune_bitlocker_2

        这是一个典型的配置问题,为避免不必要的错误发生,我们还是需要预先阅读各选项的详细说明,了解其设计意图和使用条件。

logo_intune

HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题

        早先 gOxiA 分享了"HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题",如果你所在的组织已经开始基于 Intune 实施现代管理,并希望借助 Intune 下发策略来为客户端 BitLocker 启用 PIN 支持,那么暂时可能会有些小问题,你会发现找遍所有配置文件类型都没有提供“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”(Enable use of Bitlocker auth requiring preboot keyboard - OSEnablePrebootInputProtectorsOnSlates)这个配置选项,不论是现有的配置文件模板,还是管理模板,即使是可自定义的 CSP。

        借助 Intune 提供的“组策略分析”功能,可以了解 Intune 当前对组织在应用的 GPO 的支持情况和进度,如下图所示,可确认 Intune 目前尚未提供 OSEnablePrebootInputProtectorsOnSlates 的支持。

Intune_GPOAnalysis

Intune_GPOAnalysis_1

        解决方案

        既然现有配置策略没有提供 OSEnablePrebootInputProtectorsOnSlates 的支持,那就只能使用下发 PowerShell 脚本实现。我们知道 GPO 配置对应相关注册表键值,我们只需要借助 PowerShell 向注册表写入键值即可,以下脚本可作为参考:

new-item -path HKLM:\SOFTWARE\Policies\Microsoft -name FVC; Set-itemproperty -path HKLM:\SOFTWARE\Policies\Microsoft\FVE -name OSEnablePrebootInputProtectorsOnSlates -value 1 -type Dword -force

        PowerShell 脚本文件准备完毕后便可转向 Intune 管理后台 Microsoft Endpoint Manager admin center,在“设备”下找到“脚本”即可添加。

Device_Scripts_PowerShell

        需要注意的是因为注册表键值位于 HKLM 下,所以无需启用“使用已登录的凭据运行此脚本”,后面跟随向导完成即可,至此 BitLocker 启用 PIN 支持的 Intune 策略添加完毕,当我们使用 Intune 进行策略下发时如果没有可用的配置文件或 CSP,则需要借助 PowerShell 以脚本方式变通实现。

  

HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题

  

        如果你所在的组织正在实施 BitLocker + TPM + PIN 的多验证方式来保护员工硬盘上的数据,可能会遇到如下图所展示的问题,在添加 PIN 时会发生一个错误,代码为:0x803100B5,即:“没有检测到预启动键盘。用户可能无法提供必要的输入来解锁卷。”

  

Bitlocker_0x803100b5

  

        出现该问题的设备通常是平板二合一类型的 Windows PC,由于键盘能够被拆卸,预启动环境又没有提供虚拟触摸键盘的支持,可能会导致在解锁时用户无法输入密钥。要解决这个问题也非常简单,我们只需要修改组策略(GPO)即可。使用 gpedit.msc 或 gpmc.msc 打开组策略编辑器,定位至“ 计算机配置 - 策略 - 管理模板 - Windows 组件 - BitLocker 驱动器加密 - 操作系统驱动器 ”,“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”。如下图所示:

  

Bitlocker_GPO

  

        如果需要通过注册表实现,可参考如下信息:

  

Key: HKLM\Software\Policies\Microsoft\FVE

  

Value: OSEnablePrebootInputProtectorsOnSlates

  

Type: DWORD

  

Enabled Value (decimal): 1

logo_intune

  

HOWTO: 使用 Intune 为 Windows PC 部署 LOB 应用

  

        趁热打铁,昨天 gOxiA 分享了“HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用”,今天我们继续 Intune 部署应用的话题,来聊聊使用 Intune 来部署 LOB 应用。LOB 即 业务线(Line-of-business)应用,它通常是一个单独的安装/应用包,如 .msi、.appx、.appxbundle,或是 .msix 和 .msixbundle。其中 MSI 大家都应该很熟悉了,是 Windows 标准的安装包格式,它通常是所谓的 Win32 应用,支持静默安装和高级安装选项,非常适合于企业部署使用;而 appx 和 appxbundle 即 Microsoft Store 中的应用包,属于 UWP 类型应用程序,利用这种应用包文件,可离线安装或脱离 Microsoft Store 来安装 UWP 应用;后者的 msix 和 msixbundle 是微软最新推出的安装包格式。

  

        本例 gOxiA 将会介绍分发 UWP 应用包(.appx & .appxbundle)的方法。首先您需要从组织的软件供应商那里获取到 appx 或 appxbundle 格式的应用包,如果它们已经发布到了 Microsoft Store 中,已经具有 MSfB 的 IT 管理员便可以从中下载这些应用包。(你可能觉得此举有些多余,其实在某些场景下确实需要通过这个 Workaround 来获取和分发 UWP 应用,这里就不点透了!)

  

        获取到应用包后,便可以前往 Microsoft Endpoint Manager admin center 进行添加,如果你在持续关注 gOxiA 的 Intune 主题文章,应该已经对添加应用不再陌生,这里就不再复述步骤只提重点。在应用类型中选择“业务线应用”,然后上传应用包文件,此时你会看到如下图类似的界面,会提示此应用包还需要其他依赖项应用文件,需要逐个添加后才能确保该应用包安装完毕后可以正常运行。

  

Intune_WinApp_LOBApp-1

  

        应用包添加完毕后,就会看到应用信息的必填项都会自动带入,我们仅需要额外的配置其他信息,并添加应用 Logo 图片文件即可。

  

Intune_WinApp_LOBApp-2

  

        重点来了,在分配选项中,现在就能看到 Required 和 Available for enrolled devices 选项。

  

Intune_WinApp_LOBApp-3

  

        到这里,使用 Intune 分发应用的“道路”上又前进了一步。参考文档:Add a Windows line-of-business app to Microsoft Intune | Microsoft Docs

logo_intune

  

HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用

  

        如果之前你阅读过“HOWTO: 从 Microsoft Store for Business 删除应用”,应该会对 Intune 部署 Microsoft Store for Business(以下简称MSfB)应用有一定的了解,而今天要与大家分享的是通过 Intune 部署 Microsoft Store 应用。两者的区别在于 MSfB 除了可以通过 Company Portal公司门户)和 Microsoft Store 来获取安装外,还支持强制部署(Required),这样应用就可以直接推送安装给设备或用户,无需用户再去选择安装;而后者 Microsoft Store 应用仅支持用户选择安装(Available for enrolled devices),即发布的应用必须由用户通过 Company Portal 去触发安装。很显然 MSfB 更适用于企业,但该服务目前并不是在所有区域可用,所以折中的选择只有 Microsoft Store,当然如果你的企业已经获得了 LOB App(.appx, .appxbundle, .msix, .msixbundle, .msi),也将会支持 Required 模式,gOxiA 将在以后分享这些内容。

  

        言归正传,要使用 Intune 部署 Microsoft Store 应用(以下简称:MSStore App)十分简单,首先要获取到 MSStore App 的 URL,如果你已经在一台 Windows PC 上安装了这款应用,则可以通过鼠标右键单击应用,然后选择“更多”下的“共享”。

  

MSStoreAppShare 

  

        之后系统会自动打开 Microsoft Store 应用并定位到这款应用信息页面,还会弹出共享对话框,在对话框中单击“复制链接”,此时并没有结束,必须要打开浏览器粘贴并访问此 URL,并获取浏览器地址栏中的 URL 才可以添加到 Intune 中,根据需要可以将应用的 Logo 图片保存到本地以备后用。

  

MSStoreAppShare-1

  

        现在访问 Microsoft Endpoint Manager admin center,定位至 应用 - Windows 应用下,添加应用选择 Microsoft Store 应用 类型,标星号的文本框为必填项,名称和发行者可以根据应用实际信息填写,说明部分由于支持 Markdown 格式,所以需要先点击“编辑说明”才能输入内容;应用商店 URL 便是我们前面获取到的最终的应用 URL,如果输入错误的格式会有提示信息;这里还建议直接将应用归类,并根据需要设定为特色应用,这样当用户打开 Company Portal 时就能在醒目的位置看到它;还记得前面让保存的 Logo 图片吗,可以将其上传这样用户就能更直观的获取到应用的信息。

  

Intune_WinApp_MSStoreApp

  

        在“分配”配置页面中,我们会看到当前只有一个选项,即:可用于已注册的设备(Available for enrolled devices),并支持分配个特定组或所有用户。所以你会留意到 MSStore App 存在诸多限制,其实并不适合企业用户部署。

  

Intune_WinApp_MSStoreApp-1

  

        MSStore App 添加完毕后可以在应用列表中看到,下图中可以看到 MSStore App 和 MSfB App 两种类型。

  

Intune_WinApp_MSStoreApp-2

  

        现在用户就可以启动 Company Portal 来选择安装应用,如果在前面我们将它设定为特色应用,则会看到如下图类似的排版。

  

Intune_WinApp_MSStoreApp-3

  

深入探讨 Windows 10 BitLocker 自动设备加密

  

        早先 gOxiA 分享了"BitLocker 自动设备加密"特性的一些细节,在这里可以先重温一遍。一些品牌笔记本,或 Windows 平板,或二合一的 Windows 设备,尤其是商用产品在使用时会发现磁盘自动激活了 BitLocker 加密保护,这一安全特性源于 Windows 10 BitLocker 的自动设备加密特性,但 BitLocker 自动设备加密特性详细划分是有两个状态的,其一是“启用状态”,其二便是“激活状态”,两者的区别在于前者启用状态下只是将硬盘 BitLocker 加密置于就绪状态,但并没有真正激活保护,所以在这一状态下,我们是可以通过 WinPE 或 WinRE 来访问磁盘内容的。而后者“激活状态”下等于 BitLocker 已开始保护磁盘。

  

        那么在什么硬件条件下才会启用 BitLocker 自动设备加密呢?!

  

        当一台 Windows 10 设备满足以下要求时,就会启用 BitLocker 自动设备加密特性。

  
      
  • 设备包含TPM,包括 TPM 1.2或2.0
  •     
  • 基于 UEFI 启动
  •     
  • 已启用 Secure Boot
  •     
  • 已启用 DMA Protection(直接内存访问保护)
  

        当设备具备以上要求时,启用自动加密前,Windows 10 还会在首次开机时执行如下测试:

  
      
  • TPM 必须配置了 PCR7
  •     
  • 启用了 UEFI 和 Secure Boot
  •     
  • 支持 Modern Standby 或 HSTI 验证
  •     
  • 具备不小于250MB 的启动分区
  •     
  • 操作系统版本不早于 Windows 10 1703
  

        以上需求条件和测试都通过后,BitLocker自动设备加密特性/功能 便会启用,此时我们可以用命令“Manage-bde -status”查看状态。

  

        接下来我们再来了解激活 BitLocker 磁盘保护,或者说 BitLocker 自动设备加密在几个场景下的表现/影响。

  
      
  1. 当使用 MSA 或 AAD 账户登录 Windows,会启用 BitLocker 自动设备加密,并激活 BitLocker 磁盘保护。
  2.     
  3. 当使用本地账号登录 Windows,仅会启用 BitLocker 自动设备加密。
  4.     
  5. 当使用 AD 账号登录 Windows,具体受组策略影响。
  

        作为企业用户,如果认为 BitLocker 自动设备加密特性会对现有安全策略或 IT桌面运维流程有影响,则可以禁用 BitLocker 自动设备加密,请注意这一特性其实是 Windows 10 BitLocker 的安全特性。目前可参考的企业部署方式如下:

  
      
  1. Windows 应答文件 Unattend.xml,我们可以在 OfflineServing、Specialize、oobeSystem 阶段进行预配置。
  

Microsoft-Windows-SecureStartup-FilterDriver

  

PreventDeviceEncryption=True

  
      
  1. 通过注册表,可用阶段如上。
  

HKLM\SYSTEM\CurrentControlSetControl\Bitlocker

  

PreventDeviceEncryption REG_DWORD 1

  
      
  1. 命令行
  

Manage-bde -off [driverletter:]

  

        出于安全考虑还是强烈推荐使用 BitLocker 自动设备加密的,这样有助于我们快速实时 BitLocker 磁盘保护。另外还想与大家分享的是关于 BitLocker recovery 出现的原因以及获取恢复密钥的方法。

  

        首先,我们要正确认识开机出现的 BitLocker recovery,即“输入恢复密钥以进行恢复”,如下图所示:

  

image

  

image

  

        当电脑在启动时出现这个界面,除了在恢复系统,或用 WinPE 或 WinRE 引导时出现外(如果无需读取磁盘数据可以选择略过或继续以跳过),主要还是安全原因,可能的因素如下但不局限于:

  
      

    •攻击者修改了您的计算机。这适用于具有受信任平台模块 (TPM)的计算机,因为 TPM 在启动期间检查启动组件的完整性。

        

    •将受 BitLocker 保护的驱动器移动到新计算机中。

        

    •使用新的 TPM 升级到新主板。

        

    •关闭、禁用或清除 TPM。

        

    •升级导致 TPM 验证失败的关键早期启动组件。

        

    •启用 PIN 身份验证时忘记 PIN。

        

    •启用启动密钥身份验证时,丢失包含启动密钥的可插拔 USB 闪存驱动器。

  

        最后 gOxiA 介绍几种场景下获取 BitLocker 恢复密钥的方法,首先如果是使用 MSA 登录,即使用 Microsoft Account(早先称为 Hotmail、MSN、LiveID……)的情况下,密钥会保存在 Microsoft 的个人账户信息中,我们可以通过网址 http://aka.ms/myrecoverykey 登录访问获取,或根据 BitLocker recovery 界面给出的 URL 获取,成功登录网站后可看到设备密钥 ID 对应的 恢复密钥,如下图所示:

  

image

  

        第二个场景是使用 AAD 账号登录,即使用 Microsoft 365 账号(原 Office 365 账号,也称为 Azure AD账号)登录的情况下,可以让 Azure 管理员从 AAD 门户的设备中找到对应的电脑,获取恢复密钥,如下图所示:

  

https://portal.azure.com/#blade/Microsoft_AAD_Devices/DevicesMenuBlade/Devices/menuId/

  

image

  

        也可以通过 Office 365 Portal 的账户信息中的设备页获取,如下图所示:

  

https://myaccount.microsoft.com/device-list

  

image

  

        第三个场景是使用本机账号登录,即在 OOBE 中创建了本地账号登录的情况下,在激活 BitLocker 磁盘保护时,必然会提示备份密钥。要备份密钥或管理 BitLocker 可通过“Windows 设置 - 更新和安全 - 设备加密 - BitLocker 设置”;也可以直接在任务栏搜索框键入 BitLocker 搜索。

  

image

  

image

  

        还有第四个场景,也是最典型的 AD 账号登录,如果 IT 管理员配置了将 BitLocker 信息保存到 AD 的策略,则可以通过 RSAT 的 BitLocker 驱动器加密管理实用程序 通过 ADUC 获取 BitLocker 恢复密码。

  

image

  

相关的组策略 (Windows Server 2019)请关注:计算机配置 - 策略 - 管理模板 - Windows 组件 - BitLocker 驱动器加密 - 操作系统驱动器(固定驱动器),配置“选择如何才能恢复 BitLocker 保护的操作系统驱动器”。

  

image

    

参考资料:

  

https://docs.microsoft.com/zh-cn/windows/security/information-protection/bitlocker/bitlocker-recovery-guide-plan

  

https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-10-6b71ad27-0b89-ea08-f143-056f5ab347d6

  

https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/bitlocker-recovery-password-viewer-tool

分页: 1/184 第一页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]