Ми встановили збереження ключів відновлення BitLocker в Active Directory

Ви можете використовувати Active Directory для безпечного зберігання резервних копій клавіш (паролів) відновлення BitLocker з клієнтських комп'ютерів. Це дуже зручно, якщо у вашій мережі є багато користувачів, які використовують BitLocker для шифрування даних. Ви можете налаштувати групову політику в домені, щоб при шифруванні будь -якого диска за допомогою Bitlocker комп'ютер обов'язково зберігає ключ запису комп'ютера в AD (за аналогією із зберіганням пароля локального адміністратора комп'ютера, генерованого через круги).

Щоб налаштувати зберігання клавіш BitLocker в Active Directory, ваша інфраструктура повинна відповідати наступним вимогам:

• Клієнтські комп’ютери з Windows 10 або Windows 8.1 з редакторами Pro та Enterprise;
• Версія схеми AD не нижча, ніж Windows Server 2012;
• Ваші файли політики групи ADMX повинні бути оновлені до поточних версій.

Зміст:

• Ми створили групову політику для збереження ключів відновлення BitLocker в AD
• Ключі відновлення Bitlocker до Active Directory

Ми створили групову політику для збереження ключів відновлення BitLocker в AD

Щоб автоматично зберегти клавіші BitLocker у домені, потрібно налаштувати окрему групову політику.

1. Відкрийте консоль управління доменом GPO (GPMC.MSC), створіть новий GPO та призначити його OU за допомогою комп’ютерів, для яких ви хочете включити автоматичне збереження клавіш BitLocker для AD;
2. Перейдіть до наступного розділу GPO Конфігурація комп'ютера -> Адміністраційні шаблони -> Компоненти Windows -> Шифрування накопичувача BitLocker;
3. Увімкніть політику Зберігайте інформацію про відновлення BitLocker в службах домену Active Directory За допомогою наступних налаштувань: Потрібна резервна копія BitLocker для оголошення DS та виберіть інформацію про відновлення BitLocker для зберігання: паролі відновлення та пакети ключів;
4. Потім перейдіть до конфігурації комп'ютера -> Політика -> Адміністраційні шаблони -> Компоненти Windows -> Шифрування накопичувача BitLocker -> Дисем операційної системи та включіть політику Виберіть, як можна відновити накопичувачі операційної системи Bitlocker. Зверніть увагу, що бажано включити опцію Не ввімкніть BitLocker, поки інформація про відновлення не зберігається для накопичувачів операційної системи AD DS. У цьому випадку Bitlocker не почне шифрувати диск, поки комп'ютер не збереже новий ключ відновлення в AD (у випадку мобільного користувача вам доведеться чекати наступного з'єднання до домену);
5. У нашому випадку ми вмикаємо автоматичне збереження ключа BitLocker для системного диска операційної системи. Якщо ви хочете зберегти клавіші відновлення BitLocker для знімних носіїв або інших дисків, налаштуйте подібну політику в розділах GPO: Фіксовані накопичувачі даних і Знімні накопичувачі даних. [/Попередження]
6. Оновіть налаштування політики щодо клієнтів: Gpupdate /force
7. Виділіть комп'ютерну систему за допомогою Windows 10 Pro за допомогою BitLocker (Увімкніть BitLocker);
8. Windows 10 збереже ключ відновлення BitLocker в Active Directory та шифрування. Для одного комп'ютера може бути кілька паролів відновлення BitLocker (наприклад, для різних знімних носіїв).

Якщо розбита комп'ютера вже зашифрована за допомогою BitLocker, ви можете вручну синхронізувати його в AD. Дотримуйтесь команди:

Керуйте -bde -protectors -get c:

Скопіюйте значення поля Числовий ідентифікатор пароля (Наприклад, 33F6F1F0-7398-4D63-C80F-7C1643044047).

Дотримуйтесь наступної команди, щоб зберегти цей ключ запису в обліковому записі цього комп'ютера в AD:

Управління-BDE -Protectors -Adbackup C: -ID 33F6F1F0-7398-4D63-C80F-7C1643044047

Повідомлення повинно з’явитися:

Інформація про відновлення була успішно підкріплена до Active Directory

Або ви можете надіслати системні диски BitLocker до ключа відновлення PowerShell до AD:

Backuptoaad -bitlockerkeyprotector -mountpoint $ env: systemdrive -keyprotector ((get -bitlockervolum -mountpoint $ env: systemdrive).KeyProtector | Що $ _.KeyProtectortype -eq "recoveryPassword").KeyProtectorid

Переглянути та контроль відновлення BitLocker в Active Directory

Для управління клавішами відновлення BitLocker від консолі користувачів Active Directory та комп'ютерів (ADUC - DSA.MSC), вам потрібно встановити спеціальні інструменти RSAT.

У Windows Server ви можете встановити компоненти Утиліта адміністрації шифрування Bitlocker (Містить інструменти шифрування накопичувача BitLocker та переглядач пароля відновлення BitLocker через менеджер сервера.

Або ви можете встановити ці компоненти сервера Windows за допомогою PowerShell:

Встановлення-WindowsFeature RSAT-Feature-Bitlocker-Bdeaducex, RSAT-Feature-inuls-cremoteadomitool, rsat-feature-roods-bitlocker

У Windows 10 потрібно встановити RSAT-Feature-roods-bitlocker від RSAT.

Тепер, якщо ви відкриєте властивості будь -якого комп'ютера на консолі ADUC, ви побачите, що з’явилася нова вкладка Відновлення BitLocker.

Тут вказано, коли були створені пароль, ідентифікатор пароля та ключ відновлення BitLocker.

Тепер, якщо користувач забув свій пароль BitLocker, він може повідомити адміністратора про перші 8 ключів відновлення символів, які відображаються на екрані його комп'ютера та адміністратора за допомогою функції Дія -> Знайдіть пароль відновлення BitLocker Можна знайти та повідомити користувачеві ключ відновлення комп'ютера.

За замовчуванням клавіші відновлення Bitlocker можуть переглядати лише адміністратори домену. В Active Directory ви можете делегувати будь -яку групу користувачів, щоб переглянути ключ відновлення BitLocker на конкретному ОУ за допомогою комп'ютерів. Для цього вам потрібно делегувати права на перегляд значення атрибута MSFve-RecoveryInformation.

Отже, у цій статті ми показали, як налаштувати автоматичну резервну копію клавіш відновлення BitLocker до Active Directory, і тепер, якщо користувач забуло пароль BitLocker, ви можете отримати його та відновити доступ до даних на пристрої користувача.

У разі пошкодження області жорсткого диска з інформацією про систему BitLocker ви можете спробувати розшифрувати дані відповідно до статті.