Windows Server 2019BitLocker磁盘加密配置与恢复密钥管理

# 检查TPM状态
Get-Tpm

# 启用BitLocker（使用TPM保护）
Enable-BitLocker -MountPoint "C:" -TpmProtector -RecoveryPasswordProtector -SkipHardwareTest

# 查看加密进度
Get-BitLockerVolume -MountPoint "C:" | Select-Object ProtectionStatus, EncryptionPercentage

# 使用密码（适合无TPM设备）
Enable-BitLocker -MountPoint "C:" -PasswordProtector -Password (ConvertTo-SecureString "YourStrongP@ssw0rd!" -AsPlainText -Force) -RecoveryPasswordProtector

# 备份到AD
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId

# 导出恢复密钥
(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object { $_.KeyProtectorType -eq "RecoveryPassword" }

# 暂停保护（重启后恢复）
Suspend-BitLocker -MountPoint "C:" -RebootCount 1

# 永久解密
Disable-BitLocker -MountPoint "C:"

# 通过组策略集中管理BitLocker
# gpedit.msc > 计算机配置 > 管理模板 > Windows组件 > BitLocker驱动器加密

# 关键策略配置：
# 1. 操作系统驱动器 > 启动时需要附加身份验证 > 已启用
# 2. 操作系统驱动器 > 配置加密方法 > AES 256位
# 3. 固定数据驱动器 > 配置加密方法 > AES 256位
# 4. 可移动数据驱动器 > 控制使用 > 已启用

# AD集中管理恢复密钥
# 组策略 > 计算机配置 > 管理模板 > Windows组件 >
# BitLocker驱动器加密 > 操作系统驱动器 >
# 选择如何恢复受BitLocker保护的操作系统驱动器 >
# 已启用 > 将恢复密码保存到AD

# 配置组策略向AD备份恢复信息
# 确保计算机已加入域

# 通过GPO配置AD备份
# 1. 打开组策略管理控制台
# 2. 创建或编辑BitLocker GPO
# 3. 导航到：计算机配置 > 策略 > 管理模板 >
#    Windows组件 > BitLocker驱动器加密
# 4. 启用"将恢复信息保存到AD"
# 5. 选择"存储恢复密码和密钥包"

# 从AD中查找恢复密码
# AD用户和计算机 > 查看 > 高级功能 >
# 计算机对象 > 属性 > BitLocker恢复
# 或使用PowerShell查询
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} -Properties msFVE-RecoveryPassword