Implements BitLocker full disk encryption on Windows endpoints using TPM, PIN, or keys. Guides PowerShell commands, GPO/Intune deployment for compliance like PCI DSS, HIPAA, GDPR.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在以下情况下使用本技能:
Implements BitLocker full disk encryption on Windows endpoints with TPM setup via PowerShell and GPO for compliance and data-at-rest protection.
Implements BitLocker disk encryption on Windows endpoints with TPM checks, PowerShell verification, and GPO setup for enterprise compliance and data protection.
Hardens Windows 10/11 and Server 2019/2022 endpoints using CIS Benchmarks via GPO templates and CIS-CAT verification. For new deployments, audit fixes, and compliance baselines.
Share bugs, ideas, or general feedback.
在以下情况下使用本技能:
不适用于 Linux 磁盘加密(使用 LUKS/dm-crypt)或 macOS(使用 FileVault)。
# 检查 TPM 状态
Get-Tpm
# ManufacturerId, ManufacturerVersion, TpmPresent, TpmReady, TpmEnabled
# 检查 TPM 版本(最佳兼容性需要 2.0)
(Get-WmiObject -Namespace "root\cimv2\security\microsofttpm" -Class Win32_Tpm).SpecVersion
# 检查 UEFI/安全启动
Confirm-SecureBootUEFI
# 如果已启用安全启动则返回 True
# 检查 BitLocker 就绪状态
$vol = Get-BitLockerVolume -MountPoint "C:"
$vol.VolumeStatus # 应为 "FullyDecrypted"
$vol.ProtectionStatus # 应为 "Off"
计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密
操作系统驱动器:
- 启动时要求其他身份验证:已启用
- 无兼容 TPM 时允许 BitLocker:已禁用(强制使用 TPM)
- 配置 TPM 启动:允许 TPM
- 配置 TPM 启动 PIN:允许与 TPM 配合使用的启动 PIN
- 配置 TPM 启动密钥:允许与 TPM 配合使用的启动密钥
- 选择如何恢复受 BitLocker 保护的操作系统驱动器:已启用
- 允许数据恢复代理:True
- 配置恢复信息存储到 AD DS:已启用
- 将操作系统驱动器的恢复信息保存到 AD DS:存储恢复密码和密钥包
- 在存储恢复信息之前不启用 BitLocker:已启用
- 选择驱动器加密方法和密码强度:
- 操作系统驱动器:XTS-AES 256 位(Windows 10 1511+)
- 固定驱动器:XTS-AES 256 位
- 可移动驱动器:AES-CBC 256 位(用于跨平台兼容性)
固定数据驱动器:
- 选择如何恢复受 BitLocker 保护的固定驱动器:已启用
- 在 AD DS 中存储恢复密码:已启用
可移动数据驱动器:
- 控制在可移动驱动器上使用 BitLocker:已启用
- 配置可移动驱动器的密码使用:要求复杂性
# 使用仅 TPM 保护程序启用 BitLocker(对用户透明)
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-TpmProtector -SkipHardwareTest
# 使用 TPM + PIN 启用 BitLocker(推荐用于笔记本电脑)
$pin = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-TpmAndPinProtector -Pin $pin
# 添加恢复密码保护程序
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector
# 将恢复密钥备份到 Active Directory
Backup-BitLockerKeyProtector -MountPoint "C:" `
-KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[1].KeyProtectorId
# 加密固定数据驱动器
Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 `
-RecoveryPasswordProtector -AutoUnlockEnabled
Intune → 端点安全 → 磁盘加密 → 创建配置文件
平台:Windows 10 及更高版本
配置文件:BitLocker
设置:
BitLocker 基本设置:
- 操作系统驱动器加密:要求
- 固定数据驱动器加密:要求
- 可移动数据驱动器加密:要求
操作系统驱动器设置:
- 启动时的其他身份验证:要求
- TPM 启动:允许
- TPM 启动 PIN:要求(用于高安全端点)
- 加密方法:XTS-AES 256 位
- 恢复:托管到 Azure AD
固定驱动器设置:
- 加密方法:XTS-AES 256 位
- 恢复:托管到 Azure AD
分配到:所有托管 Windows 设备(或特定组)
# 查看本地系统上的恢复密钥
(Get-BitLockerVolume -MountPoint "C:").KeyProtector |
Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} |
Select-Object KeyProtectorId, RecoveryPassword
# 从 Active Directory 检索恢复密钥(需要 RSAT)
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} `
-SearchBase "CN=COMPUTER01,OU=Workstations,DC=corp,DC=example,DC=com" `
-Properties msFVE-RecoveryPassword |
Select-Object -ExpandProperty msFVE-RecoveryPassword
# 从 Azure AD 检索恢复密钥
# Azure 门户 → Azure AD → 设备 → [设备] → BitLocker 密钥
# 或通过 Microsoft Graph API:
# GET /devices/{id}/bitlockerRecoveryKeys
# 检查设备群中的加密状态
manage-bde -status C:
# 已加密驱动器的预期输出:
# 转换状态:完全加密
# 加密百分比:100.0%
# 加密方法:XTS-AES 256
# 保护状态:保护已开启
# 密钥保护程序:TPM,数字密码
# PowerShell 合规检查
$vol = Get-BitLockerVolume -MountPoint "C:"
if ($vol.ProtectionStatus -eq "On" -and $vol.VolumeStatus -eq "FullyEncrypted") {
Write-Host "合规:BitLocker 已启用且完全加密"
} else {
Write-Host "不合规:BitLocker 状态 - 保护:$($vol.ProtectionStatus),卷:$($vol.VolumeStatus)"
}
| 术语 | 定义 |
|---|---|
| TPM(可信平台模块) | 存储 BitLocker 加密密钥并提供测量启动完整性的硬件安全芯片 |
| XTS-AES 256 | BitLocker 使用的加密算法;XTS 模式为磁盘加密提供比 CBC 更好的保护 |
| 恢复密钥 | 48 位数字密码,用于在 TPM 身份验证失败时解锁受 BitLocker 加密的驱动器 |
| 密钥保护程序 | 用于解锁 BitLocker 的方法(TPM、TPM+PIN、恢复密码、启动密钥、智能卡) |
| 仅已用空间加密 | 仅加密包含数据的扇区;初始加密速度更快,但可能在可用空间中留下残余数据 |
| 全盘加密 | 加密整个卷,包括可用空间;速度较慢,但对之前包含数据的驱动器更安全 |