En esta página

En esta página

Cómo almacenar de forma segura las claves de recuperación de BitLocker en Active Directory

BitLocker es una de esas funciones que la mayoría de los usuarios de Windows pasan por alto hasta que es demasiado tarde. Es bastante potente: cifra las unidades y mantiene los datos seguros, pero administrar las claves de recuperación puede ser un poco complicado, especialmente en entornos empresariales. El truco está en almacenar esas claves de recuperación en Active Directory. De esta forma, si olvidas la contraseña o te bloquean el acceso, puedes recuperarlas de AD sin tener que buscar documentos impresos o unidades USB perdidas accidentalmente. Es un alivio saber que todo está centralizado y seguro, pero configurarlo puede ser un poco confuso si no estás familiarizado con las directivas de grupo o la línea de comandos.

Hacerlo correctamente significa menos llamadas frenéticas cuando alguien se bloquea o cuando se activa una alerta de disco. Además, aunque parezca un poco extraño, si administras una flota de dispositivos, automatizar el almacenamiento de las claves de recuperación te ahorra muchísimos problemas. Verás las claves de recuperación perfectamente almacenadas en AD, accesibles a través de las herramientas de administración, para que puedas recuperarlas o auditarlas fácilmente. Básicamente, debes configurar políticas de grupo que respalden automáticamente estas claves y luego transferir las claves existentes manualmente; claro, Windows no lo hace automáticamente con cifrados antiguos. Aquí tienes el resumen.

Cómo almacenar y recuperar claves de recuperación de BitLocker en Active Directory

Configurar políticas de grupo para la copia de seguridad automática de claves

Este paso es donde la mayoría de las configuraciones fallan. Debe configurar la directiva de grupo que indica a Windows que guarde automáticamente la información de recuperación en AD.¿Por qué? Porque sin ella, sus claves de recuperación permanecen locales y no son accesibles remotamente. Con una configuración correcta, cada vez que se cifra una unidad con BitLocker, su clave de recuperación se carga en AD sin complicaciones. La clave aparecerá en la pestaña «Recuperación de BitLocker» de cada objeto del equipo en AD.

Aquí es donde se vuelve técnico, pero es sencillo si sigues las rutas:

  • Abrir la Consola de administración de directivas de grupo (GPMC)
  • Vaya a Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Cifrado de unidad BitLocker
  • Habilite la política denominada “Almacenar información de recuperación de BitLocker en los servicios de dominio de Active Directory”
  • Para las unidades del sistema operativo, habilite también “Determinar cómo se pueden recuperar las unidades del sistema operativo protegidas con BitLocker” y marque ambas opciones:
    • Almacenar información de recuperación de BitLocker para unidades del sistema operativo en AD DS
    • Habilite BitLocker solo después de que la información de recuperación de la unidad del sistema operativo se almacene en AD DS

En algunas máquinas, esto podría requerir reiniciar o incluso actualizar la política ( gpupdate /forceen PowerShell).Asegúrese de haber aplicado la política a las unidades organizativas correctas o, en el peor de los casos, utilice la Consola de administración de directivas de grupo para vincular sus políticas a la unidad organizativa o dominio correcto. En una configuración que realicé, funcionó después de la primera actualización; en otras ocasiones, un reinicio pareció mejorarlo.

Guardar las claves de recuperación de BitLocker existentes en Active Directory

Si ya tiene unidades cifradas, no se preocupe: la política anterior no realiza copias de seguridad automáticas de esas claves antiguas. Debe obtenerlas manualmente con PowerShell o CMD. No es complicado, pero funciona de forma fiable. Los siguientes comandos pueden solucionarlo.

Abra una ventana de PowerShell con privilegios elevados (se requieren derechos de administrador).Para consultar el ID de recuperación de una unidad, ejecute:

manage-bde -protectors -get c:

Esto imprime mucha información, pero necesitas el «ID de la contraseña numérica»; parece un UUID, p.ej., {05296A47-B528-43C9-9E1C-FE6ACBFE2538}. Una vez que lo tengas, haz una copia de seguridad con:

manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"

Este comando envía la clave de recuperación a Active Directory. Si funciona, verá un mensaje de confirmación: «La información de recuperación se guardó en Active Directory».En algunos equipos, podría ser necesario ejecutarlo para cada unidad o dispositivo, según la configuración. No siempre funciona a la primera, pero normalmente basta con volver a ejecutarlo o reiniciarlo.

Cómo recuperar claves de recuperación almacenadas de Active Directory

Una vez almacenadas las claves en AD, acceder a ellas es muy sencillo, pero se necesitan las herramientas adecuadas. Normalmente, en un entorno de dominio, conviene abrir el complemento Usuarios y equipos de Active Directory o, mejor aún, instalar el Visor de contraseñas de recuperación de BitLocker. Estas herramientas se pueden agregar desde RSAT (Herramientas de administración remota del servidor).

Una vez instalado, busque la pestaña Recuperación de BitLocker en cada equipo de su dominio. Esta pestaña muestra las contraseñas e ID de recuperación. Si necesita consultar la información de recuperación de forma masiva o mediante scripts, también puede consultar AD mediante PowerShell, pero esto es para la configuración más avanzada.

Aviso: para que esto funcione, necesitas los permisos adecuados en AD, normalmente de administrador de dominio o derechos delegados. De lo contrario, la información de recuperación permanece oculta, lo cual resulta irónico, ya que debería estar accesible cuando la necesites.

En resumen, configurar esto requiere un poco de configuración inicial, pero ahorra muchos dolores de cabeza más adelante. Es un poco engorroso para las unidades cifradas existentes, pero hacer una copia de seguridad manual no es terrible, solo tedioso si tienes muchas. El enfoque automático para las nuevas cifraciones es sencillo una vez implementadas las políticas.

Con suerte, esto ahorrará algunas horas de resolución de problemas cuando alguien se quede sin acceso. Vale la pena por su tranquilidad.

Resumen

  • Configure políticas de grupo a través de gpedit.msc o GPMC para cargar automáticamente claves de recuperación
  • Realice una copia de seguridad manual de claves de recuperación antiguas con manage-bdecomandos
  • Utilice herramientas de AD o scripts de shell para recuperar claves más tarde
  • Aplicar políticas a las unidades organizativas correctas

Resumen

Almacenar las claves de recuperación de BitLocker en AD no es tarea fácil la primera vez, pero vale totalmente la pena. Esto significa recuperación ante desastres cuando fallan las unidades o los empleados olvidan sus contraseñas, todo en un lugar central y protegido. Claro que se requieren algunos comandos y políticas, pero una vez configurados, es un gran alivio. Además, Windows no siempre es muy intuitivo con esto, así que la copia de seguridad manual sigue siendo útil si ya tienes varias unidades cifradas. A mí me funcionó; espero que a ti también.

Artículos relacionados

Vistos recientemente

¿Te resultó útil este artículo?