Cómo almacenar de forma segura las claves de recuperación de BitLocker en Active Directory
BitLocker es una forma bastante fiable de cifrar tus unidades, pero averiguar cómo almacenar o recuperar las claves de recuperación puede ser un poco complicado, sobre todo si intentas hacerlo en Active Directory (AD).Quizás lo hayas configurado en un par de máquinas y ahora necesites recuperar esas claves más tarde, o quizás estés intentando establecer una política para que todas las unidades nuevas guarden automáticamente su información de recuperación en AD. En cualquier caso, navegar por el proceso no siempre es sencillo, y a veces la configuración no funciona como esperas. Así que aquí tienes un ejemplo práctico para entenderlo: sí, a veces solo se trata de ejecutar los comandos correctos y ajustar las políticas, pero bueno, funciona una vez que le coges el truco.
Cómo guardar claves de BitLocker existentes en Active Directory
El problema es que las claves de recuperación de las unidades cifradas antes de configurar las políticas de grupo no se transfieren automáticamente. Es necesario insertarlas manualmente en AD. Esto es útil si se realiza una auditoría o simplemente se quiere asegurar de que no se pierda nada en caso de que una unidad falle. El truco está en ejecutar un par de comandos desde el símbolo del sistema o PowerShell, así que vamos al grano.
Realizar una copia de seguridad manual de las claves de recuperación existentes en AD
- Abra una ventana administrativa de PowerShell. Para ello, haga clic derecho en PowerShell y seleccione «Ejecutar como administrador».
- Primero, necesitas el ID del protector, básicamente, el identificador del método de recuperación. Ejecuta:
manage-bde -protectors -get c:manage-bde -protectors -adbackup c: -id "{YOUR-KEY-ID-HERE}"Cómo configurar políticas para que todas las unidades nuevas guarden automáticamente la información de recuperación en AD
Si desea que todo se gestione automáticamente, cree un objeto de directiva de grupo (GPO) que obligue a BitLocker a realizar una copia de seguridad de las claves de recuperación en AD. Esto garantizará que, en cuanto se cifre la unidad, su información de recuperación se almacene de forma segura en su dominio.
Configurar la política de grupo para nuevas unidades
- Vaya a la Consola de administración de directivas de grupo (GPMC). Normalmente, la encontrará en Herramientas administrativas o ejecutando gpmc.msc.
- Cree un nuevo GPO o edite uno existente vinculado a la OU o dominio donde se encuentran sus computadoras.
- Vaya a Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker.
- Establezca estas dos opciones:
- Almacenar información de recuperación de BitLocker para unidades del sistema operativo en AD DS : habilite esta opción.
- Requerir PIN al iniciar esta unidad : opcional, pero si desea mayor seguridad, actívelo aquí o por unidad.
- Si desea incluir otros tipos de unidades, como fijas o extraíbles, ajuste las subcarpetas según corresponda.
Una vez en el cliente, esta política se activa durante el cifrado de la unidad. Verá un mensaje durante la configuración: «Siguiente» suele ser el botón que debe pulsar, lo que significa que se almacenará la clave de recuperación en AD. No es una técnica mágica; solo tenga en cuenta que no realiza una copia de seguridad de las claves de las unidades existentes por arte de magia. Debe hacerlo manualmente, como se indicó anteriormente.
Implementación de políticas en versiones anteriores del sistema operativo
Si aún usa Windows Vista, XP o Server 2008, el proceso es un poco más manual. Debe habilitar la configuración específica «BStore itLocker recovery information in Active Directory Domain Services» en el Editor de directivas de grupo, ubicado en Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker. Parece similar, pero en sistemas operativos más antiguos, la interfaz de usuario a veces no es tan intuitiva y es posible que vea un diseño u opciones diferentes.
Aplicación de la política después de la configuración
Una vez implementadas las políticas y vinculadas correctamente, todas las unidades recién cifradas enviarán automáticamente sus datos de recuperación a AD. Puede confirmarlo seleccionando «Siguiente» cuando aparezca el mensaje; es solo un acceso directo para verificar que se almacenó la información de recuperación. A veces no funciona de inmediato; en ese caso, reiniciar o actualizar la política en gpupdate /forceel cliente suele solucionar el problema.
Cómo recuperar claves de recuperación más tarde: cómo realizar consultas en AD
Ahora, la parte importante: cómo encontrar esas claves de recuperación almacenadas posteriormente. Primero, asegúrese de tener instaladas las herramientas de Cifrado de unidad BitLocker en sus controladores de dominio o equipos de administración. Vienen con el complemento Usuarios y equipos de Active Directory o mediante las herramientas RSAT.
Una vez instalado, simplemente dirígete a la pestaña «Recuperación de BitLocker» en cada objeto informático de ADUC. Se mostrarán todas las contraseñas e ID de recuperación almacenados. Si la pestaña no aparece, revisa los permisos o la instalación de la función.
O mejor aún, puedes ejecutar un comando de PowerShell:
Get-ADObject -Filter {objectClass -eq "msFVE-RecoveryInformation"} -SearchBase "CN=Computers, DC=yourdomain, DC=com"y analizar los resultados para encontrar una máquina específica o una clave de recuperación. Sinceramente, es un poco más complejo, pero una vez configurado, recuperar claves está a solo un par de clics o comandos.
- Asegúrate de que tus herramientas de administración estén actualizadas o es posible que te falten pestañas y opciones adicionales.
- Es posible que necesite ajustar los permisos en AD para ver estos objetos de recuperación; no asuma que todos tienen acceso.
Artículos relacionados
¿Te resultó útil este artículo?