Stats
Actions
Tags
Implements BitLocker full disk encryption on Windows endpoints using TPM, PIN, or keys. Guides PowerShell commands, GPO/Intune deployment for compliance like PCI DSS, HIPAA, GDPR.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:implementing-disk-encryption-with-bitlockerThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
在以下情况下使用本技能:
在以下情况下使用本技能:
不适用于 Linux 磁盘加密(使用 LUKS/dm-crypt)或 macOS(使用 FileVault)。
# 检查 TPM 状态
Get-Tpm
# ManufacturerId, ManufacturerVersion, TpmPresent, TpmReady, TpmEnabled
# 检查 TPM 版本(最佳兼容性需要 2.0)
(Get-WmiObject -Namespace "root\cimv2\security\microsofttpm" -Class Win32_Tpm).SpecVersion
# 检查 UEFI/安全启动
Confirm-SecureBootUEFI
# 如果已启用安全启动则返回 True
# 检查 BitLocker 就绪状态
$vol = Get-BitLockerVolume -MountPoint "C:"
$vol.VolumeStatus # 应为 "FullyDecrypted"
$vol.ProtectionStatus # 应为 "Off"
计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密
操作系统驱动器:
- 启动时要求其他身份验证:已启用
- 无兼容 TPM 时允许 BitLocker:已禁用(强制使用 TPM)
- 配置 TPM 启动:允许 TPM
- 配置 TPM 启动 PIN:允许与 TPM 配合使用的启动 PIN
- 配置 TPM 启动密钥:允许与 TPM 配合使用的启动密钥
- 选择如何恢复受 BitLocker 保护的操作系统驱动器:已启用
- 允许数据恢复代理:True
- 配置恢复信息存储到 AD DS:已启用
- 将操作系统驱动器的恢复信息保存到 AD DS:存储恢复密码和密钥包
- 在存储恢复信息之前不启用 BitLocker:已启用
- 选择驱动器加密方法和密码强度:
- 操作系统驱动器:XTS-AES 256 位(Windows 10 1511+)
- 固定驱动器:XTS-AES 256 位
- 可移动驱动器:AES-CBC 256 位(用于跨平台兼容性)
固定数据驱动器:
- 选择如何恢复受 BitLocker 保护的固定驱动器:已启用
- 在 AD DS 中存储恢复密码:已启用
可移动数据驱动器:
- 控制在可移动驱动器上使用 BitLocker:已启用
- 配置可移动驱动器的密码使用:要求复杂性
# 使用仅 TPM 保护程序启用 BitLocker(对用户透明)
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-TpmProtector -SkipHardwareTest
# 使用 TPM + PIN 启用 BitLocker(推荐用于笔记本电脑)
$pin = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 `
-TpmAndPinProtector -Pin $pin
# 添加恢复密码保护程序
Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector
# 将恢复密钥备份到 Active Directory
Backup-BitLockerKeyProtector -MountPoint "C:" `
-KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[1].KeyProtectorId
# 加密固定数据驱动器
Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 `
-RecoveryPasswordProtector -AutoUnlockEnabled
Intune → 端点安全 → 磁盘加密 → 创建配置文件
平台:Windows 10 及更高版本
配置文件:BitLocker
设置:
BitLocker 基本设置:
- 操作系统驱动器加密:要求
- 固定数据驱动器加密:要求
- 可移动数据驱动器加密:要求
操作系统驱动器设置:
- 启动时的其他身份验证:要求
- TPM 启动:允许
- TPM 启动 PIN:要求(用于高安全端点)
- 加密方法:XTS-AES 256 位
- 恢复:托管到 Azure AD
固定驱动器设置:
- 加密方法:XTS-AES 256 位
- 恢复:托管到 Azure AD
分配到:所有托管 Windows 设备(或特定组)
# 查看本地系统上的恢复密钥
(Get-BitLockerVolume -MountPoint "C:").KeyProtector |
Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} |
Select-Object KeyProtectorId, RecoveryPassword
# 从 Active Directory 检索恢复密钥(需要 RSAT)
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} `
-SearchBase "CN=COMPUTER01,OU=Workstations,DC=corp,DC=example,DC=com" `
-Properties msFVE-RecoveryPassword |
Select-Object -ExpandProperty msFVE-RecoveryPassword
# 从 Azure AD 检索恢复密钥
# Azure 门户 → Azure AD → 设备 → [设备] → BitLocker 密钥
# 或通过 Microsoft Graph API:
# GET /devices/{id}/bitlockerRecoveryKeys
# 检查设备群中的加密状态
manage-bde -status C:
# 已加密驱动器的预期输出:
# 转换状态:完全加密
# 加密百分比:100.0%
# 加密方法:XTS-AES 256
# 保护状态:保护已开启
# 密钥保护程序:TPM,数字密码
# PowerShell 合规检查
$vol = Get-BitLockerVolume -MountPoint "C:"
if ($vol.ProtectionStatus -eq "On" -and $vol.VolumeStatus -eq "FullyEncrypted") {
Write-Host "合规:BitLocker 已启用且完全加密"
} else {
Write-Host "不合规:BitLocker 状态 - 保护:$($vol.ProtectionStatus),卷:$($vol.VolumeStatus)"
}
| 术语 | 定义 |
|---|---|
| TPM(可信平台模块) | 存储 BitLocker 加密密钥并提供测量启动完整性的硬件安全芯片 |
| XTS-AES 256 | BitLocker 使用的加密算法;XTS 模式为磁盘加密提供比 CBC 更好的保护 |
| 恢复密钥 | 48 位数字密码,用于在 TPM 身份验证失败时解锁受 BitLocker 加密的驱动器 |
| 密钥保护程序 | 用于解锁 BitLocker 的方法(TPM、TPM+PIN、恢复密码、启动密钥、智能卡) |
| 仅已用空间加密 | 仅加密包含数据的扇区;初始加密速度更快,但可能在可用空间中留下残余数据 |
| 全盘加密 | 加密整个卷,包括可用空间;速度较慢,但对之前包含数据的驱动器更安全 |
npx claudepluginhub killvxk/cybersecurity-skills-zhImplements BitLocker full disk encryption on Windows endpoints with TPM setup via PowerShell and GPO for compliance and data-at-rest protection.
Implements full disk encryption with Microsoft BitLocker on Windows endpoints, including TPM verification, GPO configuration, and recovery key management for compliance.
Implements full disk encryption with Microsoft BitLocker on Windows endpoints, including TPM configuration, GPO settings, and recovery key management for compliance.