In questa pagina

In questa pagina

Come archiviare in modo sicuro le chiavi di ripristino di BitLocker in Active Directory

BitLocker è una di quelle funzionalità che la maggior parte degli utenti Windows trascura finché non è troppo tardi. In realtà è piuttosto potente: crittografa le unità e protegge i dati, ma gestire le chiavi di ripristino può essere un po’ complicato, soprattutto in un contesto aziendale. Il vero trucco è: archiviare le chiavi di ripristino in Active Directory. In questo modo, se si dimentica la password o si rimane bloccati, è possibile recuperare le chiavi da Active Directory senza perdere tempo a cercare ricevute stampate o unità USB perse accidentalmente.È un sollievo sapere che tutto è centralizzato e sicuro, ma la configurazione può essere un po’ complicata se non si ha familiarità con i criteri di gruppo o la riga di comando.

Fare tutto correttamente significa meno chiamate frenetiche quando qualcuno viene bloccato fuori o quando scatta il flag di un’unità. Inoltre, è un po’ strano, ma se gestisci una flotta di dispositivi, automatizzare l’archiviazione delle chiavi di ripristino risparmia un sacco di seccature. Aspettati di vedere le chiavi di ripristino archiviate ordinatamente in AD, accessibili tramite gli strumenti di gestione, in modo da poterle ripristinare o controllare con facilità. In pratica, vuoi configurare criteri di gruppo che eseguano automaticamente il backup di queste chiavi e poi trasferire manualmente le chiavi esistenti, perché ovviamente Windows non lo fa automaticamente per le vecchie crittografie. Quindi, ecco un riepilogo.

Come archiviare e recuperare le chiavi di ripristino di BitLocker in Active Directory

Configurare i criteri di gruppo per il backup automatico delle chiavi

Questo è il punto in cui la maggior parte delle configurazioni inciampa.È necessario impostare i criteri di gruppo che indicano a Windows di salvare automaticamente le informazioni di ripristino in AD. Perché? Beh, perché senza di essi, le chiavi di ripristino rimangono locali e non sono accessibili da remoto. Se configurato correttamente, ogni volta che un’unità viene crittografata con BitLocker, la sua chiave di ripristino viene caricata in AD senza ulteriori complicazioni. La chiave dovrebbe apparire nella scheda “Ripristino BitLocker” di ogni oggetto computer in AD.

Qui la cosa si fa più tecnica, ma è semplice se si seguono i percorsi:

  • Aprire la console di gestione dei criteri di gruppo (GPMC)
  • Passare a Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Crittografia unità BitLocker
  • Abilita il criterio denominato “Archivia le informazioni di ripristino di BitLocker in Active Directory Domain Services”
  • Per le unità del sistema operativo, abilitare anche “Determina come possono essere ripristinate le unità del sistema operativo protette da BitLocker” e selezionare entrambe le opzioni:
    • Archivia le informazioni di ripristino di BitLocker per le unità del sistema operativo in AD DS
    • Abilita BitLocker solo dopo che le informazioni di ripristino dell’unità del sistema operativo sono state archiviate in AD DS

Su alcuni computer, potrebbe essere necessario un riavvio o persino un aggiornamento dei criteri ( gpupdate /forcein PowerShell).Assicuratevi di aver applicato i criteri alle unità organizzative corrette o, nel peggiore dei casi, utilizzate la Console Gestione Criteri di Gruppo per collegare i criteri all’unità organizzativa o al dominio corretto. In una configurazione che ho eseguito, ha funzionato dopo il primo aggiornamento; altre volte, un riavvio sembrava risolvere il problema.

Salva le chiavi di ripristino BitLocker esistenti in Active Directory

Se hai già delle unità crittografate, non preoccuparti: la policy di cui sopra non esegue automaticamente il backup delle vecchie chiavi. Devi recuperarle manualmente con PowerShell o CMD. Non è un metodo sofisticato, ma funziona in modo affidabile. I comandi seguenti possono fare al caso tuo.

Aprire una finestra di PowerShell con privilegi elevati (sono necessari diritti di amministratore).Per interrogare l’ID di ripristino di un’unità, eseguire:

manage-bde -protectors -get c:

Questo comando stampa un sacco di informazioni, ma quello che ti serve è l'”ID per la password numerica” ​​(simile a un UUID, ad esempio {05296A47-B528-43C9-9E1C-FE6ACBFE2538}). Una volta ottenuto, esegui il backup con:

manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"

Questo comando invia la chiave di ripristino ad Active Directory. Se funziona, verrà visualizzato un messaggio di conferma: “Le informazioni di ripristino sono state salvate in Active Directory”.Su alcuni computer, potrebbe essere necessario eseguire questo comando per ogni unità o dispositivo, a seconda della configurazione. Non sempre funziona al primo tentativo, ma di solito una rapida riesecuzione o un riavvio sono sufficienti.

Come recuperare le chiavi di ripristino memorizzate da Active Directory

Una volta archiviate le chiavi in ​​Active Directory, accedervi è semplicissimo, ma servono gli strumenti giusti. In genere, in un ambiente di dominio, è consigliabile aprire lo snap-in Utenti e computer di Active Directory o, meglio ancora, installare BitLocker Recovery Password Viewer. Questi strumenti possono essere aggiunti da RSAT (Strumenti di amministrazione remota del server).

Una volta installato, cerca una scheda denominata BitLocker Recovery su ogni oggetto computer del tuo dominio. Questa scheda mostra le password e gli ID di ripristino. Se hai bisogno di controllare le informazioni di ripristino in blocco o tramite script, puoi anche eseguire query su Active Directory tramite PowerShell, ma questa opzione è riservata alla configurazione più avanzata.

Un piccolo avvertimento: affinché funzioni, sono necessarie le autorizzazioni appropriate in AD, in genere amministratore di dominio o diritti delegati. Altrimenti, le informazioni di ripristino rimangono nascoste, il che è piuttosto ironico, visto che dovrebbero essere accessibili quando necessario.

Tutto sommato, la configurazione richiede un po’ di lavoro iniziale, ma risparmia un sacco di grattacapi in seguito.È un po’ laborioso da eseguire per le unità crittografate esistenti, ma il backup manuale non è terribile, solo noioso se ne avete molte. L’approccio automatico per le nuove crittografie è semplice una volta che le policy sono state implementate.

Speriamo che questo risparmi qualche ora di risoluzione dei problemi quando qualcuno rimane chiuso fuori. Ne vale la pena per la tranquillità.

  • Configurare i criteri di gruppo tramite gpedit.msc o GPMC per caricare automaticamente le chiavi di ripristino
  • Eseguire manualmente il backup delle vecchie chiavi di ripristino con manage-bdei comandi
  • Utilizzare strumenti AD o script shell per recuperare le chiavi in ​​seguito
  • Applicare le policy alle unità organizzative corrette

Incartare

Memorizzare le chiavi di ripristino di BitLocker in AD non è esattamente una passeggiata la prima volta, ma ne vale assolutamente la pena. Significa ripristino di emergenza quando le unità si bloccano o i dipendenti dimenticano le password, il tutto in un unico posto centrale e protetto. Certo, sono necessari alcuni comandi e criteri, ma una volta impostati, è un enorme sollievo dallo stress. Inoltre, Windows non è sempre molto intuitivo con queste cose, quindi il backup manuale è comunque utile se si hanno diverse unità già crittografate. Ha funzionato per me, spero che funzioni anche per te.

Articoli correlati

Visti di recente

Questo articolo è stato utile?