Есть ли какое-либо различие между файлом ключей восстановления BitLocker и числовым паролем?
Есть ли какое-либо различие между файлом ключей восстановления BitLocker и числовым паролем, который негативно повлиял бы на мою способность разблокировать диск в ситуации восстановления?
Я часто шифрую жесткие диски USB, которые используются для резервных копий с BitLocker. Я сохраняю .BEK файл на сохраняемом сервере и использование, что для разблокирования дисков. Однако я также сохраняю удаленный Числовой Пароль, а также копия .BEK файл.
Если бы не необходимо сохранить оба из них удаленных, это было бы более просто не к. Но прежде чем я прекращаю делать так, я должен знать, существуют ли какие-либо различия, или глюки между этими двумя разблокировали методы, которые я должен учесть.
Некоторые детали
- Я делаю это на Сервере 2008, Сервер 2 008 R2, Сервер 2012 и Сервер 2 012 машин R2
- Я никогда не храню ключи в TPM
- Я использую "обычный" BitLocker (не Того)
На Сервере 2008/R2 я включаю BitLocker с:
manage-bde -on X: -rk "C:\BitLocker Keys" -rp
на Сервере 2012/R2 я включаю BitLocker с:
manage-bde -on "\\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
Опубликованные вами команды включают шифрование BDE для указанного вами тома, сохраняя файл ключа восстановления ( -rk ) в C: \ BitLocker Keys и создание числового пароля восстановления ( -rp ).
Если придет время, когда вам понадобится восстановить том, зашифрованный с помощью Bitlocker, вы можете использовать либо Восстановление Ключевой файл или цифровой пароль восстановления. Вам не нужны оба ... и если вы не собираетесь создавать резервные копии обоих, мне немного любопытно, почему вы создаете оба. Если вы собираетесь использовать только один, вы можете просто отбросить другой ( -rk или -rp ) из своей команды, а не создавать вариант восстановления, который вы ' re не собираюсь использовать в первую очередь.
Различия между двумя методами, похоже, неприменимы к вашему варианту использования - не похоже, что вы храните свои ключи восстановления в Active Directory или в системе шифрования диски, так что какой метод вы предпочитаете - это действительно ваш выбор.
Итак, в общем, для целей восстановления достаточно любого из них; вам не нужны оба.
В проекте BDE, над которым я работаю для своих корпоративных хозяев, я генерирую только числовой ключ восстановления, который копируется в Active Directory, и полагаюсь на модуль TPM для хранения шифрования ключи для разблокировки дисков для конечного пользователя. Работает нормально, но на самом деле ввод 48-символьной строки с помощью функциональных клавиш на компьютере - это немного больше боли, чем я хотел бы причинить себе, поэтому, если бы мне пришлось это сделать, я мог бы положиться на Recovery Вместо этого ключевые файлы, чего бы это ни стоило.