Налаштовуємо збереження ключів відновлення BitLocker в Active Directory

Ви можете використовувати Active Directory для безпечного зберігання резервних копій ключів (паролів) відновлення BitLocker з клієнтських комп’ютерів. Це дуже зручно, якщо у вашій мережі безліч користувачів, які використовують BitLocker для шифрування даних. Ви можете налаштувати групові політики в домені так, щоб при шифруванні будь-якого диска за допомогою BitLocker комп’ютер обов’язково зберігав ключ відновлення в обліковий запис комп’ютера в AD (за аналогією зі зберіганням пароля локального адміністратора комп’ютера, що генерується через LAPS).

Щоб налаштувати зберігання ключів BitLocker в Active Directory, ваша інфраструктура повинна відповідати наступним вимогам:

• Клієнтські комп’ютери з Windows 10 або Windows 8.1 з редакціями Pro і Enterprise;
• Версія схеми AD не нижче Windows Server 2012;
• Ваші ADMX файли групових політик повинні бути оновлені до актуальних версій.

Налаштовуємо групову політику для збереження ключів відновлення BitLocker в AD

Як автоматично зберігати ключів BitLocker в домені вам потрібно налаштувати окрему групову політику.

1. Відкрийте консоль управління доменними GPO (gpmc.msc), створіть нову GPO і призначте її на OU з комп’ютерами, для яких ви хочете ввімкнути автоматичне збереження ключів BitLocker в AD;
2. Перейдіть в наступний розділ GPO Конфігурація комп’ютера -> Адміністративні шаблони -> Компоненти Windows -> Шифрування диска BitLocker;
3. Увімкніть політику Зберігайте інформацію про відновлення BitLocker у доменних службах Active Directory з наступними налаштуваннями: Вимагати резервного копіювання BitLocker в AD DS і Виберіть інформацію відновлення BitLocker для зберігання: Паролі відновлення та пакети ключів;
4. Потім перейдіть в розділ Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Operating System Drives і включіть політику Виберіть, як можна відновити захищені від BitLocker диски операційної системи. Зверніть увагу, що бажано включити опцію Не вмикайте BitLocker, поки інформація про відновлення не буде збережена в AD DS для дисків операційної системи. В цьому випадку BitLocker не почне шифрування диска, поки комп’ютер не збереже новий ключ відновлення в AD (в разі мобільного користувача доведеться чекати чергового підключення до домену);
5. У нашому випадку ми включаємо автоматичне збереження ключа BitLocker для системного диска операційної системи. Якщо ви хочете зберігати ключі відновлення BitLocker для знімних носіїв або інших дисків, налаштуйте аналогічну політику в розділах GPO: Фіксовані накопичувачі даних і Знімні накопичувачі даних. [/alert]
6. Оновлення налаштування політик на клієнтах: gpupdate /force
7. Зашифруйте системний диск комп’ютера з Windows 10 Pro за допомогою BitLocker (Увімкніть BitLocker);
8. Windows 10 збереже ключ відновлення BitLocker комп’ютера в Active Directory і зашифрує диск.

   Для одного комп’ютера може бути кілька паролів відновлення BitLocker (наприклад, для різних знімних носіїв).

Якщо диск комп’ютера вже зашифровано за допомогою BitLocker, ви можете вручну синхронізувати його в AD. Виконайте команду:

manage-bde -protectors -get c:

Скопіюйте значення поля Ідентифікатор числового пароля (Наприклад, 33F6F1F0-7398-4D63-C80F-7C1643044047).

Виконайте наступну команду, щоб зберегти цей ключ відновлення в обліковий запис на вашому комп’ютері в AD:

manage-bde -protectors -adbackup C: -id {33F6F1F0-7398-4D63-C80F-7C1643044047}

Має з’явитися повідомлення:

Інформацію про відновлення було успішно створено в Active Directory

Перегляд і керування ключами відновлення BitLocker в Active Directory

Щоб керувати ключами відновлення BitLocker з консолі Active Directory Users and Computers (ADUC – dsa.msc), потрібно встановити спеціальні інструменти RSAT.

У Windows Server ви можете встановити компоненти Утиліта адміністрування шифрування диска BitLocker (містить Інструменти шифрування диска BitLocker та Переглядач паролів відновлення BitLocker) через менеджер серверів.

Або можна встановити ці компоненти Windows Server за допомогою PowerShell:

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

Тепер, якщо відкрити властивості будь-якого комп’ютера в консолі ADUC, ви побачите, що з’явилася нова вкладка Відновлення BitLocker.

Тут вказано, коли створений пароль, Password ID і ключ відновлення BitLocker.

Тепер, якщо користувач забув свій пароль BitLocker, він може повідомити адміністратору перші 8 символів Recovery Key, які показуються на екрані його комп’ютера і адміністратор за допомогою функції Дія –> Знайдіть пароль відновлення BitLocker може знайти і повідомити користувачеві ключ відновлення комп’ютера.

За замовчуванням, ключі відновлення BitLocker доступний лише адміністратору домену. У Active Directory ви можете делегувати будь-якій групі користувачів права на перегляд ключа відновлення BitLocker на певній OU з комп’ютерами. Для цього потрібно делегувати права на перегляд значення атрибута msFVE-відновлення інформації.

Отже, в цій статті ми показали, як налаштувати автоматичне резервне копіювання ключів відновлення BitLocker в Active Directory і тепер, якщо користувач забув пароль BitLocker, ви зможете отримати його і відновити доступ до даних на пристрої користувача.