Перейти к основному содержанию

BitLocker — сохранения ключей восстановления в AD

key ключ

Active Directory можно использовать для хранения резервных копий ключей восстановления BitLocker рабочих станций.

Настроим групповые доменные политики GPO так, чтобы при включении шифрования с помощью BitLocker доменный ПК сохранял копию ключа восстановления в учётной записи компьютера в AD.

Системные требования:

  • Клиентская ОС старше Windows 8.1 редакции Pro или Enterprise
  • Версия схемы AD не ниже Windows Server 2012
  • ADMX файлы групповых политик имеют актуальные версии

GPO для сохранения ключей восстановления BitLocker в AD

Создаём новую групповую политику в домене. Привязываем её к нужной организационной единице домена с рабочими станциями. Редактируем её.

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption.

bitlocker

Включаем политику "Store BitLocker recovery information in Active Directory Domain Services":

  • Enabled
  • Require BitLocker backup to AD DS
  • Select BitLocker recovery information to store: Recovery passwords and key packages

Apply.

bitlocker

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Operating System Drives.

bitlocker

Включаем политику "Choose how BitLocker-protected operating system drives can be recovered":

  • Enabled
  • Allow data recovery agent
  • Configure user storage of BitLocker recovery information: указываем параметры
  • Omit recovery options from the BitLocker setup wizard
  • Save Bitlocker recovery information to AD DS for operating system drives
  • Configure storage of BitLocker recovery information to AD DS: Store recovery passwords and key packages
  • Do not enable BitLocker until recovery information is stored to AD DS for operating system drives

Параметр "Do not enable BitLocker until recovery information is stored to AD DS for operating system drives" необходим для того, чтобы BitLocker не начинал шифрование, пока не синхронизирует ключи с Active Directory.

bitlocker

Если необходимо включить шифрование для других дисков или съёмных носителей, необходимо настроить аналогичную политику в разделах GPO:

  • Fixed Data Drives
  • Removable Data Drives

Включение BitLocker на рабочей станции

Дожидаемся распространение доменных политик по сайтам домена. Обновляем групповые политики на рабочей станции:

gpupdate /force

bitlocker

Шифруем диск. Правой кнопкой, включить BitLocker.

bitlocker

Или из панели управления: Шифрование диска BitLocker.

bitlocker

Windows сохранит ключ восстановления BitLocker компьютера в Active Directory и зашифрует диск. 

Если диск уже зашифрован с помощью BitLocker, вы можете вручную синхронизировать его в AD: 

manage-bde -protectors -get c:

Скопируйте Numerical Password ID (например, 33F6F1F0-7398-4D63-C80F-7C1643044047). Сохраните этот ключ восстановления в AD:

manage-bde -protectors -adbackup C: -id "{ваш Numerical Password ID}"

Результат: Recovery information was successfully backed up to Active Directory.

Аналогичную процедуру можно сделать через PowerShell:

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId

Управление ключами восстановления в AD

Для работы с ключами шифрования из консоли Active Directory Users and Computers можно установить компоненты BitLocker Drive Encryption Administration Utility, которые включают в себя:

  • BitLocker Drive Encryption Tools
  • BitLocker Recovery Password Viewer
bitlocker

В System Manager добавляем компоненты BitLocker Drive Encryption из пакета Remote Server Administration Tools (RSAT). Потребуется перезагрузка.

bitlocker

В Windows 10 можно установить RSAT-Feature-Tools-BitLocker из состава RSAT.

Компоненты также можно установить с помощью PowerShell:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

Открываем ADUC, в свойствах компьютера появилась вкладка BitLocker Recovery. Здесь можно посмотреть:

  • Время создания пароля
  • Password ID (Recovery Key ID, Key ID)
  • Recovery Password — ключ восстановления BitLocker
bitlocker

Если пользователь забудет пароль BitLocker (а он забудет), он может сообщить администратору Recovery Key ID или восемь его первых символов, которые показываются на экране его компьютера. 

bitlocker

Может потребоваться указать ключ восстановления BitLocker для данных или внешних дисков, например, если пользователь забыл пароль разблокировки.

bitlocker

Администратор сможет найти и сообщить пользователю ключ восстановления. Делается это с помощью функции Action → Find BitLocker recovery password при клике правой кнопкой на домен.

bitlocker

Ссылки

Включить BitLocker без TPM

Теги

 

Похожие материалы

Уязвимость SigRed в DNS сервере Windows

В DNS сервере Windows обнаружена критическая уязвимость семнадцатилетней давности. Уязвимость получила 10 баллов из 10 возможных по шкале CVSSv3, это плохо, так как эксплуатация уязвимости не требует особого ума. Патчи уже есть, так что не откладываем обновление.

Теги