Stocarea cheilor de recuperare BitLocker în Active Directory

Configurare noua (How To)

Situatie

Baza de date Active Directory poate fi utilizată ca locație centrală pentru stocarea cheilor de recuperare BitLocker. Puteți configura Politica de grup (GPO) pentru a salva automat cheile de recuperare pentru computerele cu BitLocker activat în AD. Administratorii pot apoi recupera în siguranță cheile de recuperare pentru computere din AD și pot debloca unitățile de stocare criptate ale dispozitivelor în cazul în care un utilizator uită parola BitLocker.

Peisajul administrării BitLocker

În prezent, Active Directory nu mai este sistemul principal/recomandat pentru gestionarea cheilor de recuperare BitLocker. Astăzi, pentru administrarea BitLocker, aveți la dispoziție soluții mai bune bazate pe cloud:

Microsoft Endpoint Manager (Intune). Acesta este înlocuitorul principal al MBAM.
Microsoft BitLocker Administration and Monitoring (MBAM) este învechit.
În mediile conectate la Entra ID și în cele hibride, cheile de recuperare BitLocker sunt de obicei depozitate la Entra ID prin intermediul politicilor Intune/de înscriere a dispozitivelor.

Stocarea cheilor BitLocker bazată pe AD este utilizată acum, de obicei, pentru:

  • Mediile locale vechi
  • Dispozitivele hibride alăturate la domeniu
    Rețelele izolate/fără conexiune la internet

Pentru organizațiile care planifică noi implementări, recomandăm să acorde prioritate gestionării BitLocker bazate pe Intune și depozitării cheilor de recuperare în Entra ID în locul stocării de recuperare bazate pe AD DS vechi, ori de câte ori este posibil.

Reguli de decizie

Ar trebui să utilizați copiile de rezervă BitLocker din AD DS în următoarele cazuri:

  • mediu exclusiv Active Directory local
  • nu există o identitate în cloud (Entra ID)
  • rețeaua dvs. este restricționată/izolată

Ar trebui să utilizați Intune/Entra ID în următoarele cazuri:

  • există o identitate în cloud sau hibridă
  • dispozitivele sunt alăturate la Entra ID sau într-un mod hibrid
  • Microsoft Endpoint Manager este disponibil

Nota Bene: Rețineți că Entra ID/Intune este planul de control implicit pentru recuperarea BitLocker în mediile Microsoft moderne. AD DS este o soluție de rezervă mai veche, pe care ar trebui să o utilizați numai în cazul în care identitatea în cloud nu este disponibilă.

În cazul în care utilizați Intune/Entra ID, ar trebui să omiteți toate secțiunile referitoare la schema AD și GPO. În cazul în care utilizați AD DS, omiteți secțiunile referitoare la Intune/Entra.

Cerințe de mediu și validarea schemei Active Directory

Nota Bene: Înainte de a configura backup-ul BitLocker în AD, vă recomandăm să verificați dacă schema AD a fost extinsă corespunzător și dacă atributele legate de BitLocker sunt prezente la nivel de schemă.

Rețineți că metoda de stocare a cheii de recuperare BitLocker depinde de arhitectura mediului. Ar trebui să alegeți una dintre următoarele:

  • AD DS local (vechi/hibrid)
  • Microsoft Entra ID (nativ în cloud)
  • Politici BitLocker gestionate de Intune (aceasta este abordarea modernă recomandată)

Cerințe de sistem

  • Computere cu Windows 10 sau 11 care rulează edițiile Pro, Education sau Enterprise;
  • Schema Active Directory trebuie să conțină un set de atribute personalizate ale obiectelor de tip computer pentru stocarea cheilor de recuperare BitLocker (disponibile în AD începând cu Windows Server 2012).

Pentru a verifica versiunea schemei AD:

(Get-ADObject `
(Get-ADRootDSE).schemaNamingContext `
-Properties objectVersion).objectVersion

Această operațiune verifică versiunea schemei AD pentru a se asigura că extensiile schemei sunt aplicate la nivel de pădure. Rețineți că versiunea schemei are doar caracter informativ (trebuie să verificați compatibilitatea cu BitLocker folosind verificarea prezenței ldapDisplayName).

Pentru a verifica prezența extensiei de schemă BitLocker, executați următoarea comandă:

$schemaNC = (Get-ADRootDSE).schemaNamingContext
Get-ADObject $schemaNC -Property objectVersion, name
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext `
-Filter “ldapDisplayName -like ‘msFVE*'” `
-Properties ldapDisplayName |
Select-Object ldapDisplayName

Validarea compatibilității BitLocker cu Active Directory ar trebui să includă:

  • Verificarea versiunii schemelor
  • Confirmarea prezenței atributelor legate de BitLocker (msFVE*)
  • În cele din urmă, verificarea stării de funcționare cu ajutorul comenzii:

Get-ADReplicationFailure -Target * -Scope Forest
Get-ADReplicationPartnerMetadata -Target * | Select LastReplicationSuccess

Chiar și în cazul în care atributele de schemă sunt prezente, copierea de rezervă BitLocker poate eșua din următoarele motive:

  • lipsa aplicării GPO
  • lipsa permisiunilor de scriere pe computer
  • direcționarea incorectă către unitatea organizațională (OU)
  • dispozitivul hibrid nu este conectat corespunzător la AD DS

Pentru o implementare reușită a BitLocker, trebuie să îndepliniți toate condițiile următoare:

  • Există o parolă de recuperare
  • Starea protecției BitLocker este activată
  • Obiectul msFVE-RecoveryInformation există în AD
  • Parola de recuperare poate fi recuperată din ADUC/PowerShell

Atribute obligatorii ale schemei Active Directory

Trebuie să existe următoarele cinci atribute:

  • ms-FVE-KeyPackage
  • ms-FVE-RecoveryGuid
  • ms-FVE-RecoveryInformation
  • ms-FVE-RecoveryPassword
  • ms-FVE-VolumeGuid

Solutie

Configurarea politicii de grup pentru salvarea cheilor de recuperare BitLocker în Active Directory

Pentru a salva automat cheile de recuperare BitLocker ale computerelor în Active Directory, configurați un obiect de politică de grup (GPO) la nivel de domeniu:

1. Deschideți Consola de administrare a politicilor de grup (gpmc.msc)
2. Creați un nou obiect de politică de grup (GPO) sau editați unul existent. Asigurați-vă că GPO-ul este legat de unitatea organizațională (OU) care conține obiectele de computer la care doriți să aplicați politica de backup BitLocker.
Se poate crea un GPO numit „Politica_BitLocker” în unitatea organizațională(OU): „Workstations”.

3. Editați obiectul GPO și accesați Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption.

4. Activați politica „Store BitLocker Recovery information in Active Directory Domain Services”. Bifați opțiunea „SRequire BitLocker backup to AD DS” și selectați “store BitLocker Recovery passwords and key packages”.

5. Apoi, selectați unul dintre următoarele dosare GPO, în funcție de tipurile de unități pentru care doriți să faceți cheile de recuperare BitLocker recuperabile.

  • Operating System Drives
  • Fixed Data Drives
  • Removable Data Drives

Se poate alege “Operating System Drives”  si bifa politica ““Choose how BitLocker-protected system drives can be recovered

6. Selectați „Enable” și bifați caseta „Do not enable BitLocker until recovery information is stored in AD DS for”. Această politică permite BitLocker să înceapă criptarea unităților de stocare numai după ce informațiile de recuperare sunt salvate în AD.

7. Așteptați ca noile setări GPO să fie aplicate sau executați comanda gpupdate /force pentru a aplica imediat politica pe un computer. Verificați dacă politica a fost aplicată:

gpresult /r

Activați protecția BitLocker pe o statie

Utilizați una dintre următoarele metode pentru a activa protecția unității de stocare în Windows:

  • Deschideți File Explorer, faceți clic dreapta pe unitatea de stocare și selectați „Activați BitLocker”. Urmați pașii simpli ai expertului pentru a activa criptarea BitLocker.
  • Sau activați BitLocker pentru o unitate de stocare folosind PowerShell:

Enable-Bitlocker -MountPoint c: -UsedSpaceOnly -SkipHardwareTest -RecoveryPasswordProtector

După activarea BitLocker, trebuie să verificați în mod explicit dacă cheia de recuperare a fost salvată cu succes în AD. Rețineți că acest pas confirmă succesul efectiv al depozitării în siguranță, nu doar configurarea politicii.

Pasul 1. Verificați dacă există protecția

manage-bde -protectors -get C:

Pasul 2. Verificați dacă escrow readiness state este pregătit (IMPORTANT)

(Get-BitLockerVolume -MountPoint “C:”).KeyProtector |
Where-Object {$_.KeyProtectorType -eq ‘RecoveryPassword’}

Pasul 3. Verificați dacă informațiile de recuperare există în AD (CRITIC)

$ComputerDN = (Get-ADComputer $env:COMPUTERNAME).DistinguishedName

Get-ADObject `
-Filter {objectClass -eq «msFVE-RecoveryInformation»} `
-SearchBase $ComputerDN `
-Properties «msFVE-RecoveryPassword»,’whenCreated’

Rețineți că, chiar și în cazul în care Politica de grup este configurată corect, cheile de recuperare BitLocker nu vor fi stocate în AD dacă:

  • TPM-ul nu este pregătit/nu este inițializat
  • Nu a fost creată o parolă de protecție pentru recuperare
  • Dispozitivul dvs. a fost criptat înainte de aplicarea politicii și nu a fost executată o copie de rezervă manage-bde
  • Un computer nu are acces de scriere la obiectul msFVE-RecoveryInformation din AD

Copierea de rezervă manuală a cheilor existente cu ajutorul comenzii manage-bde

Dacă unitățile erau deja criptate înainte de activarea politicii de grup BitLocker, puteți utiliza instrumentul manage-bde pentru a trimite manual cheia de recuperare către AD.

1. Obțineți codul numeric de acces pentru unitatea protejată:

manage-bde -protectors -get c:

2. Faceți o copie de rezervă a cheii contului de computer din AD:

manage-bde -protectors -adbackup c: -id „{ID-ul numeric al parolei}”

Delegarea controlului în AD

1. Click dreapta pe unitatea organizațională (OU) din Active Directory care conține obiectele de tip computer cu cheile de recuperare BitLocker și selectați opțiunea „Delegate Control”.

2. Adăugați grupul de delegați și apoi click pe Next.

3. Selectați opțiunea „Create a custom task to delegate” și apoi click pe Next.

4. Selectați opțiunea „Only the following objects in the folder”, bifați caseta „msFVE-RecoveryInformation objects”.

5. Selectați permisiunile „Read”, și apoi click pe „Next”.

6. Toți utilizatorii adăugați în grupul „BitLocker Password Viewers” pot accesa tab-ul Recovery, care conține informații privind recuperarea BitLocker.

În cazul în care comanda returnează unul sau mai multe obiecte msFVE-RecoveryInformation cu atributele msFVE-RecoveryPassword completate, aceasta înseamnă că cheia de recuperare BitLocker a fost stocată cu succes în AD.

Rețineți că, în cadrul AD forest de mari dimensiuni, validarea schemelor ar trebui să se bazeze pe metadatele schemelor și pe interogări de tip ldapDisplayName, fata de o simplă potrivire a numelor (care poate genera rezultate inconsistente între domenii/replici).

Arhitectura de recuperare BitLocker trebuie să fie întotdeauna aliniată la strategia de identitate:

  • AD DS (tradițional/hibrid)
  • Entra ID (nativ pentru cloud)
  • Intune (platformă pentru a gestiona dispozitivele finale).

Tip solutie

Permanent

Voteaza

Up Down
(0 din 0 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?