Как хранить ключи BitLocker в Active Directory
В этой статье будет описан процесс добавления ключей восстановления BitLocker в Windows AD.
Подготовительный этап
Для настройки безопасного сохранения ключей BitLocker в AD, ваша платформа должна отвечать данным требованиям:
- Операционная система не ниже Win 8.1 Enterprise; Win 10 PRO
- На клиентских пк должен присутствовать модуль TPM 2.0
- Обновите файлы ADMX
Шаг 1. Создание Organizational Unit
Что бы включить безопасное хранение ключей зашифрованных дисков в домене, требуется настроить Group Policy Object.
Открываем панель управления GPO (Можно найти в поиске системы Group Policy Management), или же воспользоваться командой :
gpmc.msc
Создаем новую групповую политику в том Organizational Unit с компьютерами, для которых требуется автоматическое сохранение ключей (В нашем примере будет OU – ClientPC).
Шаг 2. Создание и настройка GPO (Group Policy Object)
Создаём отдельную групповую политику, переходим в раздел GPO который указан на примере ниже и включите политику "Store BitLocker recovery information in AD".
После этого переходим в раздел Operating System Drives и включаем политику “Choose how BitLocker-protected operating system drives can be recovered”.
Последний пункт в данной опции служит для того что бы BitLocker не зашифровал диск пока персональный компьютер не отправил ключ в домен.
Если требуется сохранять ключи восстановления на флеш накопителях, то настройте политику в разделе Group Policy Objects: “Removable Data Drives” и “Fixed Data Drives”.
Шаг 3. Обновление Group Policy Object
Обновляем настройки политик на компьютерах клиентов:
gpupdate /force
Шаг 4. Шифрование диска BitLocker
Зашифруйте ваш диск используя BitLocker.
Ваш ключ сохранится в домене, диск зашифруется автоматически.
На 1 ПК можно использовано несколько паролей BitLocker (Для разных переносных флеш накопителей).
Шаг 5. Если диск уже зашифрован
Если диск был зашифрован ранее, воспользуйтесь командой ниже.
manage-bde -protectors -get c:
Вместо “c” укажите букву вашего диска.
Нужно значение пункта “Numerical Password” или “Числовой Пароль” (К примеру, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).
Выполняем команду для добавления ключа в AD.
manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}
Управление данными BitLocker в AD.
Для управления и настройкой BitLocker клиентских компьютеров требуется установить на сервере компоненты:
После установки компонента требуется перезагрузить сервер.
Заходим в панель управления AD Пользователи и компоненты, открыв свойства пк, вы увидите новую вкладку “BitLocker Recovery”, в этой вкладке мы увидим наш ключ шифрования.
Если кто то из пользователей не сможет авторизоваться, то администратор сможет найти в домене ключ шифрования и используя его сотрудник с легкостью авторизуется.
Найти ключ восстановления можно благодаря первым 8 символам (В нашем случае 6CEF9111).
Для безопасности, права на просмотр ключей BitLocker имеет только Администратор домена, но это можно исправить, выдав права другим пользователям домена.
Итог
Как видите на примере данной публикации, хранить ключи зашифрованных дисков в домене не так и сложно, надеемся, что наша статья помогла вам!
Помимо озвученных настроек, в групповых политик, много других опций которые помогут вам в работе с BitLocker в дальнейшем.