Abbiamo fatto alcuni alberino su BitLocker intorno ad alcuni delle caratteristiche e dei comandi più avanzati. L'una cosa che non abbiamo toccato ancora è giusta quanto facile è di cifrare il vostro azionamento con BitLocker. Prima che otteniamo iniziati sulla procedura una revisione piccola delle opzioni potete scegliere siete nell'ordine.

• TPM soltanto - questo è il più facile da schierare ed usare. Tutto accade nei precedenti invisibili all'utente.
• Dongle soltanto - questo è usato con i sistemi che non hanno un circuito integrato di TPM 1.2. Piuttosto che memorizzi il ket in TPM che lo immagazzina su una chiave del USB che deve essere insterted prima del caricamento del sistema del pc
• TPM + PERNO - questo è più sicuro. In effetti è una forma dell'autenticazione di due fattori, che cosa avete (il circuito integrato di TPM con la chiave) e che cosa conoscete (il PERNO)
• Dongle + PERNO - questa è ancora un'altra forma dell'autenticazione di due fattori per i più vecchi sistemi senza il circuito integrato di TPM 1.2

Personalmente preferisco TPM + PERNO mentre immagazzino solitamente le mie chiavi del USB nel mio sacchetto del taccuino. Se mai quello ottengono perso o rubato la persona ha tutti che dovessero ottenere l'accesso

…

Abbiamo superato Regolazioni di GPO per BitLocker recentemente ed ora stiamo andando riguardare la configurazione reale di BitLocker sul calcolatore in se. Ci è due sensi, il senso del GUI, o il senso di CLI. Oggi metteremo a fuoco sul metodo di CLI.

Ci è un ordine che permette che controlliate BitLocker via il CLI e che è controll-bde. Allontani semplicemente questo da un richiamo di ordine elevato e vedrete la seguente uscita.

Per determinare la condizione del volume funzioni semplicemente controll-bde - condizione

Prima che andiamo affatto più avanti dovrete avere preped l'azionamento con l'attrezzo della preparazione dell'azionamento di BitLocker. Il punto seguente è inizializzare TPM. Ci è ancora il metodo del GUI che usa TPM.MSC o potete fare funzionare il seguente ordine.

takeownership del â del tpm€ “del â del cscript€ manage-bde.wsf “-< parola d'accesso>

Con tutto aspettili può fare funzionare il seguente ordine cifrare l'azionamento.

recoverypassword C sul †del â del cscript manage-bde.wsf€ ““:

Once complete you can run manage-bde -status again!

Ever wanted to backup your ACLs for every file in a folder? With Windows Vista, and Microsoft Windows Server 2003 SP2 a new tool has been released called ICACLS.

To backup the ACLs of every file in a directory type:

icacls * /save aclfile.txt

This command saves the ACLs of all the files in the directory to a file called aclfile.txt. You can add “/T” to include all the subfolders.

You can later restore that file using the /restore aclfiles.txt.

This is great when an application or administrator makes changes to the ACLs and then forgets what they changed when it causes a problem.

You can also modify the ACE of a file this is the “Access Control Entry” it controls how different processes can access files. You do this by changing the Integrity Level of a file to Low Medium or High. The Integrity Level or IL indicates if a process may access a particular file. When a process launches it is given an IL typically the same IL as its parent process.

You can see the Integrity Level of your processes using a tool like processexplorer

…

We posted an article earlier about configuration settings in BitLocker. We covered most of the tabs from the GPO configuration settings. If you investigated the BitLocker Administrative Template you may noticed a final configuration you can adjust.

This is the “Configure TPM Platform validation profiles”

This GPO configures a specific aspect of the BitLocker configuration. Lets first review what happens when you enable BitLocker.

Once you initiate the BitLocker, a key is generated. This key is save to the TPM, AD, and or a USB or external source. This is the key that the computer uses to encrypt the hard drive. Now this key needs to be available whenever we want to read or write data from the hard drive. There are several ways we can do this.

1) Store the key in a TPM Chip. this is the most secure way to store the key. When you put a key in the TPM chip Windows will survey several configuration settings on the computer to generate a second key. (Yes we now have 2 keys) This second key is generated by reading values from several components during Windows Startup. Ex: The Bios configuration, the boot configuration, the master boot record, and several

…