7384 подписчика

BitLocker — сохранения ключей восстановления в AD

8 октября 20248 окт 2024

3 мин

Active Directory можно использовать для хранения резервных копий ключей восстановления BitLocker рабочих станций. Настроим групповые доменные политики GPO так, чтобы при включении шифрования с помощью BitLocker доменный ПК сохранял копию ключа восстановления в учётной записи компьютера в AD. Системные требования: Создаём новую групповую политику в домене. Привязываем её к нужной организационной единице домена с рабочими станциями. Редактируем её. Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption. Включаем политику "Store BitLocker recovery information in Active Directory Domain Services": Apply. Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives. Включаем политику "Choose how BitLocker-protected operating system drives can be recovered": Параметр "Do not enable BitLocker until recovery information is stored to AD DS for operating system driv

Оглавление

GPO для сохранения ключей восстановления BitLocker в AD
Включение BitLocker на рабочей станции
Управление ключами восстановления в AD

Active Directory можно использовать для хранения резервных копий ключей восстановления BitLocker рабочих станций.

Настроим групповые доменные политики GPO так, чтобы при включении шифрования с помощью BitLocker доменный ПК сохранял копию ключа восстановления в учётной записи компьютера в AD.

Системные требования:

Клиентская ОС старше Windows 8.1 редакции Pro или Enterprise
Версия схемы AD не ниже Windows Server 2012
ADMX файлы групповых политик имеют актуальные версии

GPO для сохранения ключей восстановления BitLocker в AD

Создаём новую групповую политику в домене. Привязываем её к нужной организационной единице домена с рабочими станциями. Редактируем её.

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption.

Включаем политику "Store BitLocker recovery information in Active Directory Domain Services":

Enabled
Require BitLocker backup to AD DS
Select BitLocker recovery information to store: Recovery passwords and key packages

Apply.

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives.

Включаем политику "Choose how BitLocker-protected operating system drives can be recovered":

Enabled
Allow data recovery agent
Configure user storage of BitLocker recovery information: указываем параметры
Omit recovery options from the BitLocker setup wizard
Save Bitlocker recovery information to AD DS for operating system drives
Configure storage of BitLocker recovery information to AD DS: Store recovery passwords and key packages
Do not enable BitLocker until recovery information is stored to AD DS for operating system drives

Параметр "Do not enable BitLocker until recovery information is stored to AD DS for operating system drives" необходим для того, чтобы BitLocker не начинал шифрование, пока не синхронизирует ключи с Active Directory.

Если необходимо включить шифрование для других дисков или съёмных носителей, необходимо настроить аналогичную политику в разделах GPO:

Fixed Data Drives
Removable Data Drives

Включение BitLocker на рабочей станции

Дожидаемся распространение доменных политик по сайтам домена. Обновляем групповые политики на рабочей станции:

gpupdate /force

Шифруем диск. Правой кнопкой, включить BitLocker.

Или из панели управления: Шифрование диска BitLocker.

Windows сохранит ключ восстановления BitLocker компьютера в Active Directory и зашифрует диск.

Если диск уже зашифрован с помощью BitLocker, вы можете вручную синхронизировать его в AD:

manage-bde -protectors -get c:

Скопируйте Numerical Password ID (например, 33F6F1F0-7398-4D63-C80F-7C1643044047). Сохраните этот ключ восстановления в AD:

manage-bde -protectors -adbackup C: -id "{ваш Numerical Password ID}"

Результат: Recovery information was successfully backed up to Active Directory.

Аналогичную процедуру можно сделать через PowerShell:

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId

Управление ключами восстановления в AD

Для работы с ключами шифрования из консоли Active Directory Users and Computers можно установить компоненты BitLocker Drive Encryption Administration Utility, которые включают в себя:

BitLocker Drive Encryption Tools
BitLocker Recovery Password Viewer

В System Manager добавляем компоненты BitLocker Drive Encryption из пакета Remote Server Administration Tools (RSAT). Потребуется перезагрузка.

В Windows 10 можно установить RSAT-Feature-Tools-BitLocker из состава RSAT.

Компоненты также можно установить с помощью PowerShell:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

Открываем ADUC, в свойствах компьютера появилась вкладка BitLocker Recovery. Здесь можно посмотреть:

Время создания пароля
Password ID (Recovery Key ID, Key ID)
Recovery Password — ключ восстановления BitLocker

Если пользователь забудет пароль BitLocker (а он забудет), он может сообщить администратору Recovery Key ID или восемь его первых символов, которые показываются на экране его компьютера.

Может потребоваться указать ключ восстановления BitLocker для данных или внешних дисков, например, если пользователь забыл пароль разблокировки.

Администратор сможет найти и сообщить пользователю ключ восстановления. Делается это с помощью функции Action → Find BitLocker recovery password при клике правой кнопкой на домен.

Источник:

internet-lab.ru

BitLocker — сохранения ключей восстановления в AD | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Гаджеты и электроника

5,73 млн интересуются