Ви можете використовувати Active Directory для безпечного зберігання резервних копій ключів (паролів) відновлення BitLocker з клієнтських комп’ютерів. Це дуже зручно, якщо у вашій мережі безліч користувачів, які використовують BitLocker для шифрування даних. Ви можете налаштувати групові політики в домені так, щоб при шифруванні будь-якого диска за допомогою BitLocker комп’ютер обов’язково зберігав ключ відновлення в обліковий запис комп’ютера в AD (за аналогією зі зберіганням пароля локального адміністратора комп’ютера, що генерується через LAPS).

Щоб налаштувати зберігання ключів BitLocker в Active Directory, ваша інфраструктура повинна відповідати наступним вимогам:

  • Клієнтські комп’ютери з Windows 10 або Windows 8.1 з редакціями Pro і Enterprise;
  • Версія схеми AD не нижче Windows Server 2012;
  • Ваші ADMX файли групових політик повинні бути оновлені до актуальних версій.
  • Налаштовуємо групову політику для збереження ключів відновлення BitLocker в AD
  • Перегляд і керування ключами відновлення BitLocker в Active Directory

Налаштовуємо групову політику для збереження ключів відновлення BitLocker в AD

Як автоматично зберігати ключів BitLocker в домені вам потрібно налаштувати окрему групову політику.

  1. Відкрийте консоль управління доменними GPO (gpmc.msc), створіть нову GPO і призначте її на OU з комп’ютерами, для яких ви хочете ввімкнути автоматичне збереження ключів BitLocker в AD;
  2. Перейдіть в наступний розділ GPO Конфігурація комп’ютера -> Адміністративні шаблони -> Компоненти Windows -> Шифрування диска BitLocker;
  3. Увімкніть політику Зберігайте інформацію про відновлення BitLocker у доменних службах Active Directory з наступними налаштуваннями: Вимагати резервного копіювання BitLocker в AD DS і Виберіть інформацію відновлення BitLocker для зберігання: Паролі відновлення та пакети ключів; GPO, роздільна зберігати ключі відновлення bitlocker в Active Directory Domain Services
  4. Потім перейдіть в розділ Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Operating System Drives і включіть політику Виберіть, як можна відновити захищені від BitLocker диски операційної системи. Зверніть увагу, що бажано включити опцію Не вмикайте BitLocker, поки інформація про відновлення не буде збережена в AD DS для дисків операційної системи. В цьому випадку BitLocker не почне шифрування диска, поки комп’ютер не збереже новий ключ відновлення в AD (в разі мобільного користувача доведеться чекати чергового підключення до домену);
  5. У нашому випадку ми включаємо автоматичне збереження ключа BitLocker для системного диска операційної системи. Якщо ви хочете зберігати ключі відновлення BitLocker для знімних носіїв або інших дисків, налаштуйте аналогічну політику в розділах GPO: Фіксовані накопичувачі даних і Знімні накопичувачі даних. [/alert] політика для автоматичного збереження ключа шифрування bitlocker в ad
  6. Оновлення налаштування політик на клієнтах: gpupdate /force
  7. Зашифруйте системний диск комп’ютера з Windows 10 Pro за допомогою BitLocker (Увімкніть BitLocker); windows 10 зашифрувати диск за допомогою BitLocker
  8. Windows 10 збереже ключ відновлення BitLocker комп’ютера в Active Directory і зашифрує диск.

    Для одного комп’ютера може бути кілька паролів відновлення BitLocker (наприклад, для різних знімних носіїв).

Якщо диск комп’ютера вже зашифровано за допомогою BitLocker, ви можете вручну синхронізувати його в AD. Виконайте команду:

manage-bde -protectors -get c:

Скопіюйте значення поля Ідентифікатор числового пароля (Наприклад, 33F6F1F0-7398-4D63-C80F-7C1643044047).

Виконайте наступну команду, щоб зберегти цей ключ відновлення в обліковий запис на вашому комп’ютері в AD:

manage-bde -protectors -adbackup C: -id {33F6F1F0-7398-4D63-C80F-7C1643044047}

Має з’явитися повідомлення:

Інформацію про відновлення було успішно створено в Active Directory

Або можна відправити в AD ключ відновлення BitLocker системного диска за допомогою PowerShell:

BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId

Перегляд і керування ключами відновлення BitLocker в Active Directory

Щоб керувати ключами відновлення BitLocker з консолі Active Directory Users and Computers (ADUC – dsa.msc), потрібно встановити спеціальні інструменти RSAT.

У Windows Server ви можете встановити компоненти Утиліта адміністрування шифрування диска BitLocker (містить Інструменти шифрування диска BitLocker та Переглядач паролів відновлення BitLocker) через менеджер серверів.

установка Служба адміністрування шифрування диска BitLocker в Windows Server

Або можна встановити ці компоненти Windows Server за допомогою PowerShell:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

powershell установка компонентів управлінняі bitlocker в домені (RSAT-Feature-Tools-BitLocker)

У Windows 10 потрібно встановити RSAT-Feature-Tools-BitLocker зі складу RSAT.

Тепер, якщо відкрити властивості будь-якого комп’ютера в консолі ADUC, ви побачите, що з’явилася нова вкладка Відновлення BitLocker.

Тут вказано, коли створений пароль, Password ID і ключ відновлення BitLocker.

вкладка bitlocker recovery в консолі active directory

Тепер, якщо користувач забув свій пароль BitLocker, він може повідомити адміністратору перші 8 символів Recovery Key, які показуються на екрані його комп’ютера і адміністратор за допомогою функції Дія –> Знайдіть пароль відновлення BitLocker може знайти і повідомити користувачеві ключ відновлення комп’ютера.

bitlocker - ідентифікатор ключа відновлення

пошук ключа відновлення BitLocker в Active Directory

За замовчуванням, ключі відновлення BitLocker доступний лише адміністратору домену. У Active Directory ви можете делегувати будь-якій групі користувачів права на перегляд ключа відновлення BitLocker на певній OU з комп’ютерами. Для цього потрібно делегувати права на перегляд значення атрибута msFVE-відновлення інформації.

Отже, в цій статті ми показали, як налаштувати автоматичне резервне копіювання ключів відновлення BitLocker в Active Directory і тепер, якщо користувач забув пароль BitLocker, ви зможете отримати його і відновити доступ до даних на пристрої користувача.

У разі пошкодження області жорсткого диска з системною інформацією BitLocker ви можете спробувати розшифрувати дані відповідно до статті.

Leave a Reply

Your email address will not be published. Required fields are marked *