Nesta página

Nesta página

Como armazenar com segurança as chaves de recuperação do BitLocker no Active Directory

O BitLocker é um daqueles recursos que a maioria dos usuários do Windows ignora até que seja tarde demais. Ele é realmente muito poderoso — criptografa seus discos, mantém seus dados seguros — mas gerenciar as chaves de recuperação pode ser um pouco complicado, especialmente em ambientes corporativos. O segredo é armazenar essas chaves de recuperação no Active Directory. Dessa forma, se você esquecer sua senha ou ficar bloqueado, poderá recuperar as chaves do AD sem precisar se desesperar procurando por comprovantes impressos ou pen drives perdidos acidentalmente.É um alívio saber que tudo está centralizado e seguro, mas a configuração pode ser um pouco confusa se você não estiver familiarizado com políticas de grupo ou com a linha de comando.

Fazer isso corretamente significa menos ligações frenéticas quando alguém fica bloqueado ou quando um alerta de unidade é acionado. Além disso, pode parecer estranho, mas se você gerencia uma frota de dispositivos, automatizar o armazenamento das chaves de recuperação evita muita dor de cabeça. As chaves de recuperação ficarão armazenadas de forma organizada no Active Directory, acessíveis pelas ferramentas de gerenciamento, para que você possa recuperá-las ou auditá-las com facilidade. Basicamente, você deve configurar políticas de grupo que façam backup automático dessas chaves e, em seguida, transferir as chaves existentes manualmente — porque, é claro, o Windows não faz isso automaticamente para criptografias antigas. Então, aqui está o resumo.

Como armazenar e recuperar chaves de recuperação do BitLocker no Active Directory

Configure as políticas de grupo para backup automático de chaves.

É nesta etapa que a maioria das configurações falha. Você precisa definir a política de grupo que instrui o Windows a salvar automaticamente as informações de recuperação no Active Directory (AD).Por quê? Bem, porque sem isso, suas chaves de recuperação permanecem locais e não são acessíveis remotamente. Quando configurado corretamente, sempre que uma unidade é criptografada com o BitLocker, sua chave de recuperação é carregada no AD sem complicações. A chave deverá aparecer na guia “Recuperação do BitLocker” de cada objeto de computador no AD.

É aqui que a coisa fica técnica, mas é simples se você seguir os passos:

  • Abra o Console de Gerenciamento de Política de Grupo (GPMC)
  • Acesse Configuração do Computador –> Políticas –> Modelos Administrativos –> Componentes do Windows –> Criptografia de Unidade BitLocker
  • Ative a política denominada “Armazenar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory”.
  • Para unidades do sistema operacional, habilite também a opção “Determinar como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas” e marque ambas as opções:
    • Armazene informações de recuperação do BitLocker para unidades do sistema operacional no AD DS.
    • Habilite o BitLocker somente depois que as informações de recuperação da unidade do sistema operacional forem armazenadas no AD DS.

Em algumas máquinas, isso pode exigir uma reinicialização ou até mesmo uma atualização da política ( gpupdate /forceno PowerShell).Certifique-se de ter aplicado a política às unidades organizacionais corretas ou, na pior das hipóteses, use o Console de Gerenciamento de Política de Grupo para vincular suas políticas à UO ou domínio correto. Em uma configuração que fiz, funcionou após a primeira atualização; em outras ocasiões, uma reinicialização pareceu resolver o problema.

Salvar chaves de recuperação do BitLocker existentes no Active Directory

Se você já possui unidades criptografadas, não se preocupe — a política acima não faz backup automático dessas chaves antigas. Você precisa obtê-las manualmente com o PowerShell ou o CMD. Não é sofisticado, mas funciona de forma confiável. Os comandos abaixo podem resolver o problema.

Abra uma janela do PowerShell com privilégios elevados (são necessários direitos de administrador).Para consultar o ID de recuperação de uma unidade, execute o seguinte comando:

manage-bde -protectors -get c:

Isso imprime um monte de informações, mas você precisa do “ID da senha numérica” ​​— ele se parece com um UUID, por exemplo, {05296A47-B528-43C9-9E1C-FE6ACBFE2538}. Depois de obtê-lo, faça um backup com:

manage-bde -protectors -adbackup c: -id "{Your-UUID-Here}"

Este comando envia a chave de recuperação para o Active Directory. Se funcionar, você verá uma mensagem de sucesso: “As informações de recuperação foram salvas no Active Directory”.Em algumas máquinas, pode ser necessário executar este comando para cada unidade ou dispositivo, dependendo da configuração. Nem sempre funciona na primeira tentativa, mas geralmente uma nova execução rápida ou uma reinicialização resolve o problema.

Como recuperar chaves de recuperação armazenadas no Active Directory

Depois que as chaves são armazenadas no Active Directory, acessá-las é muito fácil, mas você precisa das ferramentas certas. Normalmente, em um ambiente de domínio, você precisará abrir o snap-in Usuários e Computadores do Active Directory ou, melhor ainda, instalar o Visualizador de Senhas de Recuperação do BitLocker. Essas ferramentas podem ser adicionadas a partir do RSAT (Ferramentas de Administração de Servidor Remoto).

Após a instalação, procure uma guia chamada Recuperação do BitLocker em cada objeto de computador no seu domínio. Ela exibe as senhas e IDs de recuperação. Se precisar verificar informações de recuperação em massa ou por meio de scripts, você também pode consultar o Active Directory via PowerShell, mas isso é para configurações mais avançadas.

Apenas um aviso: para que isso funcione, você precisa das permissões apropriadas no Active Directory, geralmente privilégios de administrador de domínio ou direitos delegados. Caso contrário, as informações de recuperação permanecem ocultas — o que é meio irônico, já que elas deveriam estar acessíveis quando necessário.

Em resumo, configurar isso exige um pouco de trabalho inicial, mas evita muita dor de cabeça depois.É um pouco trabalhoso para unidades já criptografadas, mas o backup manual não é tão ruim — apenas tedioso se você tiver muitos arquivos. A abordagem automática para novas criptografias é simples depois que as políticas estiverem configuradas.

Esperamos que isso economize algumas horas de solução de problemas quando alguém ficar bloqueado. Vale a pena pela tranquilidade.

Resumo

  • Configure as políticas de grupo por meio do gpedit.msc ou do GPMC para fazer o upload automático das chaves de recuperação.
  • Faça backup manual das chaves de recuperação antigas com manage-bdecomandos.
  • Use ferramentas do Active Directory ou scripts de shell para recuperar as chaves posteriormente.
  • Aplicar as políticas às unidades organizacionais corretas.

Resumo

Armazenar suas chaves de recuperação do BitLocker no Active Directory não é exatamente uma tarefa fácil na primeira vez, mas vale totalmente o esforço. Isso significa recuperação de desastres quando os discos rígidos falham ou os funcionários esquecem suas senhas — tudo em um local central e protegido. Claro, alguns comandos e políticas estão envolvidos, mas uma vez configurado, é um grande alívio. Além disso, o Windows nem sempre é muito intuitivo com essas coisas, então o backup manual ainda é útil se você já tiver vários discos rígidos criptografados. Funcionou para mim — espero que funcione para você também.

Artigos Relacionados

Vistos recentemente

Este artigo foi útil?