Na tej stronie

Na tej stronie

Jak bezpiecznie przechowywać klucze odzyskiwania BitLocker w usłudze Active Directory

BitLocker to jedna z tych funkcji, które większość użytkowników systemu Windows pomija, dopóki nie jest za późno. Jest on naprawdę potężny – szyfruje dyski i chroni dane – ale zarządzanie kluczami odzyskiwania może być nieco uciążliwe, zwłaszcza w środowisku korporacyjnym. Prawdziwa sztuka polega na przechowywaniu kluczy odzyskiwania w usłudze Active Directory. W ten sposób, jeśli zapomnisz hasła lub zostaniesz zablokowany, możesz odzyskać klucze z usługi Active Directory bez wyrywania sobie włosów z głowy i szukania wydrukowanych dokumentów lub przypadkowo zgubionych dysków USB. To ulga, wiedząc, że wszystko jest scentralizowane i bezpieczne, ale jego konfiguracja może być nieco skomplikowana, jeśli nie znasz zasad grupy ani wiersza poleceń.

Prawidłowe wykonanie tej czynności oznacza mniej gorączkowych telefonów, gdy ktoś zostanie zablokowany lub gdy włączy się flaga dysku. Poza tym, może to być trochę dziwne, ale jeśli zarządzasz flotą urządzeń, automatyzacja przechowywania kluczy odzyskiwania oszczędza mnóstwo kłopotów. Spodziewaj się, że klucze odzyskiwania będą starannie przechowywane w usłudze Active Directory i dostępne za pośrednictwem narzędzi do zarządzania, dzięki czemu będziesz mógł je łatwo odzyskać lub przeprowadzić audyt. Zasadniczo należy skonfigurować zasady grupy, które automatycznie tworzą kopie zapasowe tych kluczy, a następnie ręcznie przenieść istniejące klucze — ponieważ oczywiście system Windows nie robi tego automatycznie w przypadku starych szyfrowań. Oto podsumowanie.

Jak przechowywać i odzyskiwać klucze odzyskiwania BitLocker w usłudze Active Directory

Skonfiguruj zasady grupy w celu automatycznego tworzenia kopii zapasowej kluczy

Na tym etapie większość konfiguracji napotyka na problemy. Należy ustawić zasady grupy, które nakazują systemowi Windows automatyczne zapisywanie informacji odzyskiwania w usłudze Active Directory. Dlaczego? Ponieważ bez tego klucze odzyskiwania pozostają lokalne i nie są dostępne zdalnie. Po prawidłowej konfiguracji, za każdym razem, gdy dysk jest szyfrowany za pomocą BitLockera, jego klucz odzyskiwania jest przesyłany do usługi Active Directory bez zbędnych problemów. Klucz powinien pojawić się na karcie „Odzyskiwanie BitLockera” każdego obiektu komputera w usłudze Active Directory.

Tutaj zaczyna być technicznie, ale jest to proste, jeśli podążysz poniższymi ścieżkami:

  • Otwórz Konsolę zarządzania zasadami grupy (GPMC)
  • Przejdź do Konfiguracja komputera –> Zasady –> Szablony administracyjne –> Składniki systemu Windows –> Szyfrowanie dysków funkcją BitLocker
  • Włącz zasadę „Przechowuj informacje o odzyskiwaniu funkcji BitLocker w usługach domenowych Active Directory”
  • W przypadku dysków z systemem operacyjnym należy także włączyć opcję „Określ, w jaki sposób można odzyskać dyski z systemem operacyjnym chronione funkcją BitLocker” i zaznaczyć obie opcje:
    • Przechowuj informacje o odzyskiwaniu BitLockera dla dysków z systemem operacyjnym w usłudze AD DS
    • Włącz funkcję BitLocker dopiero po zapisaniu informacji o odzyskiwaniu dysku systemu operacyjnego w usłudze AD DS

Na niektórych komputerach może to wymagać ponownego uruchomienia lub nawet odświeżenia zasad ( gpupdate /forcew programie PowerShell).Upewnij się, że zasady zostały zastosowane do odpowiednich jednostek organizacyjnych, a w najgorszym przypadku użyj Konsoli zarządzania zasadami grupy, aby powiązać zasady z odpowiednią jednostką organizacyjną lub domeną. W jednej z konfiguracji, którą przeprowadziłem, zadziałało to po pierwszym odświeżeniu — w innych przypadkach ponowne uruchomienie zdawało się je udoskonalać.

Zapisz istniejące klucze odzyskiwania BitLocker w usłudze Active Directory

Jeśli masz już zaszyfrowane dyski, nie martw się – powyższa polityka nie tworzy automatycznie kopii zapasowych starych kluczy. Musisz je ręcznie skopiować za pomocą programu PowerShell lub polecenia CMD. Nie jest to skomplikowane, ale działa niezawodnie. Poniższe polecenia mogą załatwić sprawę.

Otwórz okno programu PowerShell z podwyższonymi uprawnieniami (wymagane uprawnienia administratora).Aby sprawdzić identyfikator odzyskiwania dysku, uruchom:

manage-bde -protectors -get c:

To drukuje mnóstwo informacji, ale potrzebujesz „ID hasła numerycznego” — wygląda jak UUID, np.{05296A47-B528-43C9-9E1C-FE6ACBFE2538}. Gdy już to zrobisz, utwórz kopię zapasową:

manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"

To polecenie przesyła klucz odzyskiwania do usługi Active Directory. Jeśli zadziała, pojawi się komunikat o powodzeniu: „Informacje o odzyskiwaniu zostały zapisane w usłudze Active Directory”.Na niektórych komputerach może być konieczne uruchomienie tego polecenia dla każdego dysku lub urządzenia, w zależności od konfiguracji. Nie zawsze działa to za pierwszym razem, ale zazwyczaj szybkie ponowne uruchomienie lub restart załatwia sprawę.

Jak odzyskać zapisane klucze odzyskiwania z usługi Active Directory

Po zapisaniu kluczy w usłudze Active Directory dostęp do nich jest banalnie prosty, ale potrzebne są odpowiednie narzędzia. Zazwyczaj w środowisku domenowym należy otworzyć przystawkę Użytkownicy i komputery usługi Active Directory lub, jeszcze lepiej, zainstalować program BitLocker Recovery Password Viewer. Narzędzie to można dodać z poziomu RSAT (Narzędzia administracji zdalnej serwera).

Po zainstalowaniu poszukaj zakładki o nazwie Odzyskiwanie BitLockera na każdym obiekcie komputera w swojej domenie. Wyświetla ona hasła i identyfikatory odzyskiwania. Jeśli potrzebujesz sprawdzić informacje o odzyskiwaniu zbiorczo lub za pomocą skryptu, możesz również uzyskać dostęp do usługi Active Directory za pomocą programu PowerShell, ale to bardziej zaawansowana konfiguracja.

Tylko mała podpowiedź: aby to zadziałało, potrzebujesz odpowiednich uprawnień w usłudze Active Directory, zazwyczaj administratora domeny lub uprawnień delegowanych. W przeciwnym razie informacje o odzyskiwaniu danych pozostaną ukryte — co jest dość ironiczne, ponieważ powinny być dostępne w razie potrzeby.

Podsumowując, konfiguracja wymaga trochę początkowej konfiguracji, ale oszczędza mnóstwo kłopotów później. Jest to trochę uciążliwe w przypadku istniejących zaszyfrowanych dysków, ale ręczne tworzenie kopii zapasowych nie jest straszne — po prostu żmudne, jeśli masz ich dużo. Automatyczne podejście do nowych szyfrowań jest proste po wprowadzeniu zasad.

Mam nadzieję, że to skróci czas rozwiązywania problemów, gdy ktoś się zablokuje. Warto to zrobić dla spokoju ducha.

Streszczenie

  • Skonfiguruj zasady grupy za pomocą gpedit.msc lub GPMC, aby automatycznie przesyłać klucze odzyskiwania
  • Ręczne tworzenie kopii zapasowych starych kluczy odzyskiwania za pomocą manage-bdepoleceń
  • Użyj narzędzi AD lub skryptów powłoki, aby później pobrać klucze
  • Zastosuj zasady do właściwych jednostek organizacyjnych

Podsumowanie

Przechowywanie kluczy odzyskiwania BitLockera w usłudze Active Directory nie jest łatwe za pierwszym razem, ale zdecydowanie warto. Oznacza to odzyskiwanie danych po awarii, gdy dyski ulegną awarii lub pracownicy zapomną hasła – wszystko w jednym, centralnym, chronionym miejscu. Oczywiście, wymaga to kilku poleceń i reguł, ale po skonfigurowaniu to ogromna ulga. Poza tym system Windows nie zawsze jest w tym względzie intuicyjny, więc ręczne tworzenie kopii zapasowych nadal się przydaje, jeśli masz już zaszyfrowanych kilka dysków. U mnie to zadziałało – mam nadzieję, że u Ciebie też zadziała.

Powiązane artykuły

Ostatnio przeglądane

Czy ten artykuł był pomocny?