news
Serverspace запустил услугу Managed Kubernetes
БС
Борислав Сухарев
10 августа 2022
Обновлено 29 августа 2022

Как хранить ключи BitLocker в Active Directory

AD Windows

В этой статье будет описан процесс добавления ключей восстановления BitLocker в Windows AD.

Подготовительный этап

Для настройки безопасного сохранения ключей BitLocker в AD, ваша платформа должна отвечать данным требованиям:

  • Операционная система не ниже Win 8.1 Enterprise; Win 10 PRO
  • На клиентских пк должен присутствовать модуль TPM 2.0
  • Обновите файлы ADMX

Шаг 1. Создание Organizational Unit

Что бы включить безопасное хранение ключей зашифрованных дисков в домене, требуется настроить Group Policy Object.

Открываем панель управления GPO (Можно найти в поиске системы Group Policy Management), или же воспользоваться командой :

gpmc.msc

Создаем новую групповую политику в том Organizational Unit с компьютерами, для которых требуется автоматическое сохранение ключей (В нашем примере будет OU – ClientPC).

 

1 BitLocker

Шаг 2. Создание и настройка GPO (Group Policy Object)

Создаём отдельную групповую политику, переходим в раздел GPO который указан на примере ниже и включите политику "Store BitLocker recovery information in AD".

2 BitLocker

После этого переходим в раздел Operating System Drives и включаем политику “Choose how BitLocker-protected operating system drives can be recovered”.

3 BitLocker

Последний пункт в данной опции служит для того что бы BitLocker не зашифровал диск пока персональный компьютер не отправил ключ в домен.

    Если требуется сохранять ключи восстановления на флеш накопителях, то настройте политику в разделе Group Policy Objects: “Removable Data Drives” и “Fixed Data Drives”.

    Шаг 3. Обновление Group Policy Object

    Обновляем настройки политик на компьютерах клиентов:

    gpupdate /force

    4 BitLocker

    Шаг 4. Шифрование диска BitLocker

    Зашифруйте ваш диск используя BitLocker.

    5 BitLocker

    Ваш ключ сохранится в домене, диск зашифруется автоматически.

    На 1 ПК можно использовано несколько паролей BitLocker (Для разных переносных флеш накопителей).

    Шаг 5. Если диск уже зашифрован

    Если диск был зашифрован ранее, воспользуйтесь командой ниже.

    manage-bde -protectors -get c:

    Вместо “c” укажите букву вашего диска.

    6 BitLocker

    Нужно значение пункта “Numerical Password” или “Числовой Пароль” (К примеру, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

    Выполняем команду для добавления ключа в AD.

    manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}

    7 BitLocker

    Управление данными BitLocker в AD.

    Для управления и настройкой BitLocker клиентских компьютеров требуется установить на сервере компоненты:

    8 BitLocker

    После установки компонента требуется перезагрузить сервер.

    Заходим в панель управления AD Пользователи и компоненты, открыв свойства пк, вы увидите новую вкладку “BitLocker Recovery”, в этой вкладке мы увидим наш ключ шифрования.

    9 BitLocker

    Если кто то из пользователей не сможет авторизоваться, то администратор сможет найти в домене ключ шифрования и используя его сотрудник с легкостью авторизуется.

    10 BitLocker

    Найти ключ восстановления можно благодаря первым 8 символам (В нашем случае 6CEF9111).

    11 BitLocker

    Для безопасности, права на просмотр ключей BitLocker имеет только Администратор домена, но это можно исправить, выдав права другим пользователям домена.

    Итог

    Как видите на примере данной публикации, хранить ключи зашифрованных дисков в домене не так и сложно, надеемся, что наша статья помогла вам!
    Помимо озвученных настроек, в групповых политик, много других опций которые помогут вам в работе с BitLocker в дальнейшем.

    Оценка:
    4 из 5
    Аverage rating : 4.3
    Оценок: 3
    191028 Санкт-Петербург Литейный пр., д. 26, Лит. А
    +7 (812) 403-06-99
    700 300
    ООО «ИТГЛОБАЛКОМ ЛАБС»
    700 300