Bạn có thể sử dụng Active Directory để lưu trữ an toàn các bản sao lưu khóa khôi phục BitLocker (mật khẩu) từ các máy khách. Sẽ rất thuận tiện nếu bạn có nhiều người dùng sử dụng BitLocker để mã hóa dữ liệu của họ. Bạn có thể định cấu hình Chính sách nhóm trong miền của mình để khi mã hóa bất kỳ ổ đĩa nào bằng BitLocker, máy tính sẽ lưu khóa khôi phục trong tài khoản đối tượng máy tính của nó trong AD (giống như lưu trữ mật khẩu quản trị viên máy tính cục bộ được tạo bằng LAPS).
Để định cấu hình lưu trữ khóa BitLocker trong Active Directory, cơ sở hạ tầng của bạn phải đáp ứng các yêu cầu sau:
- Máy tính khách chạy Windows 10 hoặc Windows 8.1 với các phiên bản Pro và Enterprise;
- Phiên bản giản đồ AD:Windows Server 2012 trở lên;
- Tệp GPO ADMX của bạn phải được cập nhật lên phiên bản mới nhất.
Nội dung:
- Cách định cấu hình chính sách nhóm để lưu trữ khóa khôi phục BitLocker trong AD?
- Cách xem và quản lý các khóa khôi phục BitLocker trong Active Directory?
Cách định cấu hình chính sách nhóm để lưu trữ khóa khôi phục BitLocker trong AD?
Để tự động lưu (sao lưu) các khóa khôi phục BitLocker vào miền Active Directory, bạn cần định cấu hình GPO đặc biệt.
- Mở bảng điều khiển Quản lý Chính sách Nhóm Miền (
gpmc.msc), tạo một GPO mới và liên kết nó với một đơn vị tổ chức với máy tính bạn muốn bật tính năng lưu khóa BitLocker tự động trong AD; - Đi tới Cấu hình máy tính -> Mẫu quản trị -> Thành phần Windows -> Mã hóa ổ đĩa BitLocker ;
- Bật Lưu trữ thông tin khôi phục BitLocker trong Dịch vụ miền Active Directory chính sách với các cài đặt sau: Yêu cầu sao lưu BitLocker vào AD DS và Chọn thông tin khôi phục BitLocker để lưu trữ:Mật khẩu khôi phục và gói khóa;
- Sau đó, chuyển đến Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Mã hóa ổ đĩa BitLocker -> Ổ đĩa hệ điều hành và bật chính sách Chọn cách có thể khôi phục các ổ đĩa hệ điều hành được bảo vệ bởi BitLocker . Lưu ý rằng bạn nên chọn Không bật BitLocker cho đến khi thông tin khôi phục được lưu trữ vào AD DS cho ổ đĩa hệ điều hành . Nếu bạn chọn tùy chọn này, BitLocker sẽ không bắt đầu mã hóa ổ đĩa cho đến khi máy tính lưu khóa khôi phục mới trong AD (nếu bạn là người dùng di động, bạn sẽ phải đợi kết nối tiếp theo với mạng miền);
- Trong trường hợp của chúng tôi, tính năng tự động lưu khóa BitLocker được bật cho ổ đĩa hệ điều hành. Nếu bạn muốn lưu khóa khôi phục BitLocker cho các thiết bị phương tiện bên ngoài hoặc các ổ đĩa khác, hãy định cấu hình chính sách tương tự trong các phần GPO sau: Ổ đĩa dữ liệu cố định và Ổ đĩa dữ liệu có thể tháo rời ;
- Cập nhật cài đặt Chính sách Nhóm trên máy khách:
gpupdate /force - Mã hóa ổ đĩa hệ thống của máy tính chạy Windows 10 Pro của bạn bằng BitLocker ( Bật BitLocker );
- Windows 10 sẽ lưu khóa khôi phục BitLocker cho máy tính trong Active Directory và mã hóa ổ đĩa. Bạn có thể có nhiều mật khẩu khôi phục BitLocker cho một máy tính (ví dụ:cho các thiết bị di động khác nhau).
Nếu đĩa máy tính đã được mã hóa bằng BitLocker, bạn có thể đồng bộ hóa theo cách thủ công trong AD. Chạy lệnh:
manage-bde -protectors -get c:
Sao chép ID mật khẩu số giá trị (ví dụ:22A6A1F0-1234-2D21-AF2B-7123211335047 ).
Chạy lệnh bên dưới để lưu khóa khôi phục vào tài khoản AD của máy tính hiện tại:
manage-bde -protectors -adbackup C: -id {22A6A1F0-1234-2D21-AF2B-7123211335047}
Bạn sẽ thấy thông báo này:
Recovery information was successfully backed up to Active DirectoryHoặc bạn có thể sao lưu khóa khôi phục BitLocker cho ổ đĩa hệ thống của mình vào Active Directory bằng PowerShell:
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId ((Get-BitLockerVolume -MountPoint $env:SystemDrive ).KeyProtector | where {$_.KeyProtectorType -eq "RecoveryPassword" }).KeyProtectorId
Làm cách nào để xem và quản lý khóa khôi phục BitLocker trong Active Directory?
Để quản lý khóa khôi phục BitLocker từ phần đính vào Máy tính và Người dùng Active Directory (ADUC, dsa.msc ), bạn phải cài đặt Công cụ quản trị máy chủ từ xa (RSAT).
Trong Windows Server, bạn có thể cài đặt Tiện ích quản trị mã hóa ổ đĩa BitLocker tính năng sử dụng Trình quản lý máy chủ (nó chứa Công cụ mã hóa ổ đĩa BitLocker và Trình xem mật khẩu khôi phục BitLocker).
Hoặc bạn có thể cài đặt các tính năng Windows Server này bằng PowerShell:
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt, RSAT-Feature-Tools-BitLocker-RemoteAdminTool, RSAT-Feature-Tools-BitLocker
Bây giờ, nếu bạn mở thuộc tính của bất kỳ máy tính nào trong bảng điều khiển ADUC, bạn sẽ thấy Khôi phục BitLocker mới tab.
Tại đây, bạn có thể xem thời điểm tạo mật khẩu, lấy ID mật khẩu và khóa khôi phục BitLocker.
Sau đó, nếu người dùng quên mật khẩu BitLocker của mình, anh ta có thể nói 8 ký hiệu đầu tiên của khóa khôi phục hiển thị trên màn hình máy tính cho quản trị viên và quản trị viên có thể tìm thấy khóa khôi phục của máy tính trong ADUC bằng cách sử dụng Hành động - > Tìm mật khẩu khôi phục BitLocker và nói với người dùng. Mật khẩu khôi phục (48 chữ số) sẽ giúp mở khóa ổ đĩa được bảo vệ bởi Bitlocker.
Theo mặc định, chỉ quản trị viên miền mới có thể xem các khóa khôi phục BitLocker. Trong Active Directory, bạn có thể ủy quyền quyền xem các khóa khôi phục BitLocker trong một đơn vị tổ chức cụ thể cho bất kỳ nhóm người dùng nào. Để làm điều đó, hãy ủy quyền quyền xem msFVE-RecoveryInformation giá trị thuộc tính.
Vì vậy, trong bài viết này, chúng tôi đã hướng dẫn cách cấu hình sao lưu tự động các khóa khôi phục BitLocker trong Active Directory. Nếu người dùng quên mật khẩu BitLocker, bạn có thể lấy mật khẩu đó và khôi phục quyền truy cập vào dữ liệu trên thiết bị của người dùng.
Nếu vùng thông tin hệ thống BitLocker của ổ cứng bị hỏng, bạn có thể thử giải mã dữ liệu theo bài viết này.