Как хранить ключи BitLocker в Active Directory

AD Windows

В этой статье будет описан процесс добавления ключей восстановления BitLocker в Windows AD.

Подготовительный этап

Для настройки безопасного сохранения ключей BitLocker в AD, ваша платформа должна отвечать данным требованиям:

Операционная система не ниже Win 8.1 Enterprise; Win 10 PRO
На клиентских пк должен присутствовать модуль TPM 2.0
Обновите файлы ADMX

Шаг 1. Создание Organizational Unit

Что бы включить безопасное хранение ключей зашифрованных дисков в домене, требуется настроить Group Policy Object.

Открываем панель управления GPO (Можно найти в поиске системы Group Policy Management), или же воспользоваться командой :

gpmc.msc

Создаем новую групповую политику в том Organizational Unit с компьютерами, для которых требуется автоматическое сохранение ключей (В нашем примере будет OU – ClientPC).

Шаг 2. Создание и настройка GPO (Group Policy Object)

Создаём отдельную групповую политику, переходим в раздел GPO который указан на примере ниже и включите политику "Store BitLocker recovery information in AD".

После этого переходим в раздел Operating System Drives и включаем политику “Choose how BitLocker-protected operating system drives can be recovered”.

Последний пункт в данной опции служит для того что бы BitLocker не зашифровал диск пока персональный компьютер не отправил ключ в домен.

Если требуется сохранять ключи восстановления на флеш накопителях, то настройте политику в разделе Group Policy Objects: “Removable Data Drives” и “Fixed Data Drives”.

Шаг 3. Обновление Group Policy Object

Обновляем настройки политик на компьютерах клиентов:

gpupdate /force

Шаг 4. Шифрование диска BitLocker

Зашифруйте ваш диск используя BitLocker.

Ваш ключ сохранится в домене, диск зашифруется автоматически.

На 1 ПК можно использовано несколько паролей BitLocker (Для разных переносных флеш накопителей).

Шаг 5. Если диск уже зашифрован

Если диск был зашифрован ранее, воспользуйтесь командой ниже.

manage-bde -protectors -get c:

Вместо “c” укажите букву вашего диска.

Нужно значение пункта “Numerical Password” или “Числовой Пароль” (К примеру, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

Выполняем команду для добавления ключа в AD.

manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}

Управление данными BitLocker в AD.

Для управления и настройкой BitLocker клиентских компьютеров требуется установить на сервере компоненты:

После установки компонента требуется перезагрузить сервер.

Заходим в панель управления AD Пользователи и компоненты, открыв свойства пк, вы увидите новую вкладку “BitLocker Recovery”, в этой вкладке мы увидим наш ключ шифрования.

Если кто то из пользователей не сможет авторизоваться, то администратор сможет найти в домене ключ шифрования и используя его сотрудник с легкостью авторизуется.

Найти ключ восстановления можно благодаря первым 8 символам (В нашем случае 6CEF9111).

Для безопасности, права на просмотр ключей BitLocker имеет только Администратор домена, но это можно исправить, выдав права другим пользователям домена.

Итог

Как видите на примере данной публикации, хранить ключи зашифрованных дисков в домене не так и сложно, надеемся, что наша статья помогла вам!
Помимо озвученных настроек, в групповых политик, много других опций которые помогут вам в работе с BitLocker в дальнейшем.