Situatie

Stocarea cheilor de recuperare BitLocker în Active Directory (AD) este esențială într-un mediu de domeniu, pentru a preveni pierderea accesului la date și pentru o administrare centralizată a securității.

Înainte de a începe, asigură-te că:

• PC-urile rulează Windows Pro / Enterprise / Education

• Sunt membre într-un Domain Active Directory

• Ai drepturi de Administrator de domeniu

• BitLocker nu este deja activat (sau poate fi reconfigurat)

Pasul 1: Verifică schema Active Directory

Versiunile moderne de Windows Server includ deja suport BitLocker.

Pentru verificare:

1. Deschide Active Directory Users and Computers

2. Activează View → Advanced Features

3. Selectează un computer din domeniu

4. Verifică dacă există obiecte de tip:

   • msFVE-RecoveryInformation

Dacă există, schema este pregătită

Pasul 2: Configurează Group Policy pentru BitLocker

1. Deschide Group Policy Management

2. Creează un GPO nou sau editează unul existent

3. Navighează la:

   Computer Configuration →
Policies →
Administrative Templates →
Windows Components →
BitLocker Drive Encryption


Pasul 3: Forțează salvarea cheilor în Active Directory

Pentru fiecare tip de unitate (OS, Fixed, Removable):

Operating System Drives

1. Intră la Operating System Drives

2. Deschide Choose how BitLocker-protected operating system drives can be recovered

3. Setează pe Enabled

4. Bifează:

   • Save BitLocker recovery information to Active Directory Domain Services

   • Do not enable BitLocker until recovery information is stored in AD DS

Apasă OK

 Fixed Data Drives

1. Intră la Fixed Data Drives

2. Deschide Choose how BitLocker-protected fixed drives can be recovered

3. Setează pe Enabled

4. Bifează aceleași opțiuni

5. OK

 Removable Data Drives (opțional)

Procedura este identică dacă folosești stick-uri USB criptate.

Pasul 4: Aplică politica de grup

Pe calculatorul client:

1. Deschide Command Prompt ca Administrator

2. Rulează:

   gpupdate /force


3. Repornește PC-ul

 Pasul 5: Activează BitLocker pe stația client

1. Mergi la Control Panel → BitLocker Drive Encryption

2. Click pe Turn on BitLocker

3. Finalizează configurarea (PIN, TPM etc.)

 Cheia de recuperare va fi salvată automat în Active Directory.

Pasul 6: Verifică cheia BitLocker în Active Directory

1. Deschide Active Directory Users and Computers

2. Activează View → Advanced Features

3. Găsește obiectul computerului

4. Click dreapta → Properties

5. Tab BitLocker Recovery

Aici vei vedea Recovery Key ID și parola de recuperare.

Solutie

Tip solutie

Permanent