Настраиваем сохранение ключей восстановления BitLocker в Active Directory

Вы можете использовать Active Directory для безопасного хранения резервных копий ключей (паролей) восстановления BitLocker с клиентских компьютеров. Это очень удобно, если в вашей сети множество пользователей, которые используют BitLocker для шифрования данных. Вы можете настроить групповые политики в домене так, чтобы при шифровании любого диска с помощью BitLocker компьютер обязательно сохранял ключ восстановления в учетную запись компьютера в AD (по аналогии с хранением пароля локального администратора компьютера, генерируемого через LAPS ).

Чтобы настроить хранение ключей BitLocker в Active Directory, ваша инфраструктура должна соответствовать следующим требованиям:

• Клиентские компьютеры с Windows 10 или Windows 8.1 с редакциями Pro и Enterprise;
• Версия схемы AD не ниже Windows Server 2012;
• Ваши ADMX файлы групповых политик должны быть обновлены до актуальных версий.

Настраиваем групповую политику для сохранения ключей восстановления BitLocker в AD

Для автоматического сохранения ключей BitLocker в домене вам нужно настроить отдельную групповую политику.

1. Откройте консоль управления доменными GPO ( gpmc.msc ), создайте новую GPO и назначьте ее на OU с компьютерами, для которых вы хотите включить автоматическое сохранение ключей BitLocker в AD;
2. Перейдите в следующий раздел GPO Computer Configuration -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption ;
3. Включите политику Store BitLocker recovery information in Active Directory Domain Services со следующими настройками: Require BitLocker backup to AD DS и Select BitLocker recovery information to store: Recovery passwords and key packages;
4. Затем перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Operating System Drives и включите политику Choose how BitLocker-protected operating system drives can be recovered . Обратите внимание, что желательно включить опцию Do not enable BitLocker until recovery information is stored to AD DS for operating system drives . В этом случае BitLocker не начнет шифрование диска, пока компьютер не сохранит новый ключ восстановления в AD (в случае мобильного пользователя придется ждать очередного подключения к домену);
5. В нашем случае мы включаем автоматическое сохранение ключа BitLocker для системного диска операционной системы. Если вы хотите сохранять ключи восстановления BitLocker для съемных носителей или других дисков, настройте аналогичную политику в разделах GPO: Fixed Data Drives и Removable Data Drives . [/alert]
6. Обновите настройки политик на клиентах : gpupdate /force
7. Зашифруйте системный диск компьютера с Windows 10 Pro с помощью BitLocker ( Turn BitLocker on );
8. Windows 10 сохранит ключ восстановления BitLocker компьютера в Active Directory и зашифрует диск.
   Для одного компьютера может быть несколько паролей восстановления BitLocker (например, для разных съемных носителей).

Если диск компьютера уже зашифрован с помощью BitLocker, вы можете вручную синхронизировать его в AD. Выполните команду:

manage-bde -protectors -get c:

Скопируйте значение поля Numerical Password ID (например, 33F6F1F0-7398-4D63-C80F-7C1643044047).

Выполните следующую команду, чтобы сохранить этот ключ восстановления в учетную запись данного компьютера в AD:

manage-bde -protectors -adbackup C: -id {33F6F1F0-7398-4D63-C80F-7C1643044047}

Должно появится сообщение:

Recovery information was successfully backed up to Active Directory

Просмотр и управления ключами восстановления BitLocker в Active Directory

Чтобы управлять ключами восстановления BitLocker из консоли Active Directory Users and Computers ( ADUC – dsa.msc ), нужно установить специальные инструменты RSAT.

В Windows Server вы можете установить компоненты BitLocker Drive Encryption Administration Utility (содержит BitLocker Drive Encryption Tools и BitLocker Recovery Password Viewer) через Server Manager.

Или можно установить эти компоненты Windows Server с помощью PowerShell :

Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker

Теперь, если открыть свойства любого компьютера в консоли ADUC, вы увидите, что появилась новая вкладка BitLocker Recovery .

Здесь указано, когда создан пароль, Password ID и ключ восстановления BitLocker.

Теперь, если пользователь забыл свой пароль BitLocker, он может сообщить администратору первые 8 символов Recovery Key, которые показываются на экране его компьютера и администратор с помощью функции Action — > Find BitLocker recovery password может найти и сообщить пользователю ключ восстановления компьютера.

По умолчанию, ключи восстановления BitLocker могут просматривать только администраторы домена. В Active Directory вы можете делегировать любой группе пользователей права на просмотр ключа восстановления BitLocker на определенной OU с компьютерами. Для этого нужно делегировать права на просмотр значения атрибута msFVE-RecoveryInformation .

Итак, в этой статье мы показали, как настроить автоматическое резервное копирование ключей восстановления BitLocker в Active Directory и теперь, если пользователь забыл пароль BitLocker, вы сможете получить его и восстановить доступ к данным на устройстве пользователя.