En una red de dominio, puede almacenar las claves de recuperación de BitLocker para unidades cifradas en los Servicios de dominio de Active Directory (AD DS). Esta es una de las mejores funciones de la tecnología BitLocker Drive Encryption para usuarios corporativos.
Una clave de recuperación de BitLocker es una contraseña numérica única de 48 dígitos o una clave de 256 bits en un archivo. Se están generando durante la instalación de BitLocker. Un administrador de dominio (seguridad) puede administrar las claves y contraseñas de recuperación de BitLocker manualmente. Es bastante fácil si la cantidad de computadoras en la red de la empresa no es tan alta. Pero si hay más de 100 escritorios en la red, la tarea se vuelve más complicada.
Configurar Active Directory para almacenar claves de recuperación de BitLocker
Las políticas de grupo (GPO) le permiten configurar el agente de BitLocker en las estaciones de trabajo de los usuarios. Esto le permite hacer una copia de seguridad de las claves de recuperación de BitLocker desde las computadoras locales a los objetos de la computadora relacionados en Active Directory. Cada objeto de recuperación de BitLocker tiene un nombre único y contiene un identificador único global para la contraseña de recuperación. Si el objeto de la computadora en Active Directory almacena varias contraseñas de recuperación, el nombre del objeto de datos contendrá la fecha de creación de la contraseña.
Requisitos de Active Directory para usar BitLocker
La función de almacenamiento de datos de recuperación de BitLocker se basa en la extensión del esquema de Active Directory. Y te trae atributos extra. Debe verificar si su versión de esquema de AD tiene los atributos necesarios para almacenar las claves de recuperación de BitLocker en Active Directory. Para ello, ejecute el siguiente cmdlet desde el módulo AD para Windows PowerShell:
Import-module ActiveDirectory
Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like 'ms-FVE-*'}
Debe haber 5 atributos siguientes:
- paquete de claves ms-FVE;
- ms-FVE-RecoveryGuid;
- ms-FVE-RecoveryInformation;
- ms-FVE-RecoveryPassword;
- ms-FVE-VolumeGuid.
A partir de Windows Server 2008, estos atributos están disponibles de forma predeterminada. La cuestión es que todavía requieren una configuración adicional para su posterior funcionamiento. En la versión de esquema de Windows Server 2012 y posteriores, esta característica funciona "lista para usar". Lo mismo se aplica a las computadoras que ejecutan la versión más reciente de Windows Server 2019.
Veamos cómo configurar Active Directory para almacenar la información de recuperación de BitLocker.
Consejo. En Windows Server 2012/2008 R2, el cliente BitLocker se llama Función Cifrado de unidad BitLocker. Se diferencia de los sistemas operativos de escritorio de Windows, puede instalarlo desde la consola del Administrador del servidor o usando PowerShell:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
Configuración de GPO para guardar la información de recuperación de BitLocker en Active Directory
- Cree un nuevo GPO mediante la consola de administración de directivas de grupo (GPMC.msc). Vincúlelo a la raíz del dominio o unidad organizativa que contiene los equipos para los que desea almacenar la contraseña de recuperación de BitLocker en la base de datos de Active Directory;
- Haga clic derecho en este GPO y seleccione Editar;
- Expanda las secciones de GPO: Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker. Edite la política Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory;
- Habilite esta política y configúrela de la siguiente manera: Requerir copia de seguridad de BitLocker para AD DS: Permitir. Seleccione la información de recuperación de BitLocker para almacenar: Recuperación de contraseñas y paquetes de claves. Puede almacenar la contraseña en AD, o la contraseña y la clave de recuperación juntas;
- Según las unidades que desee cifrar, seleccione una de las secciones que están presentes en Cifrado de unidad BitLocker:
– Unidades de datos fijas;
– Unidades del sistema operativo;
– Unidades de datos extraíbles. - Por ejemplo, desea almacenar claves de recuperación para unidades extraíbles. Vaya a la sección Unidades de datos extraíbles. Encuentre la política Elija cómo las unidades extraíbles protegidas con BitLocker pueden ser recuperado;
- Habilite la política y marque las opciones Guardar la información de recuperación de BitLocker en los Servicios de dominio de Active Directory y No habilitar BitLocker hasta la información de recuperación se almacena en AD DS para unidades de datos extraíbles. La última opción garantiza que el usuario no pueda activar BitLocker si la computadora no está conectada al dominio y la información de recuperación de BitLocker se respalda correctamente en AD DS. Cuando el usuario intente cifrar un nuevo dispositivo USB cuando no está conectado a una red de dominio, el usuario recibirá un mensaje de error;
-
Actualice la configuración de la directiva de grupo en los clientes con el comando:
gpupdate /force
- Active BitLocker en las unidades seleccionadas de su PC. La clave de recuperación de BitLocker y la contraseña de esta PC se copian automáticamente en Active Directory.
Consejo. Si configuró el cifrado de BitLocker en algunas computadoras antes de habilitar la política centralizada de BitLocker en AD, simplemente puede deshabilitar y habilitar BitLocker para las unidades en esa computadora. O bien, puede copiar manualmente la clave de recuperación de BitLocker en Active Directory mediante la herramienta Manage-BDE.
Obtenga el ID de BitLocker actual para el volumen cifrado:
manage-bde -protectors -get e:
Ahora, puede enviar la clave de recuperación de BitLocker al AD especificando una ID obtenida en el paso anterior:
manage-bde -protectors -adbackup e: -id '{DAB438E6-8B5F-4BDA-9273-C1654B49C717E}'
En caso de ejecución exitosa del comando, verá un mensaje:
La información de recuperación se respaldó correctamente en Active Directory.
Nota. Para realizar esta acción, debe iniciar sesión en la estación de trabajo con una cuenta de dominio y tener permisos de administrador local.
Si el comando anterior devolvió el error “ERROR: la política de grupo no permite el almacenamiento de información de recuperación en Active Directory. No se intentó la operación.”, debe verificar y habilitar las siguientes configuraciones de GPO:
- Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Servicios del módulo de plataforma segura: Active la copia de seguridad de TPM en los servicios de dominio de Active Directory;
- Almacene la información de recuperación de BitLocker en el servicio de dominio de Active Directory (véase más arriba);
- Cifrado de unidad BitLocker modo (ver arriba).
Puede usar el siguiente script de PowerShell para obtener automáticamente la clave de recuperación de BitLocker para el volumen del sistema y guardarla en Active Directory:
$BitVolume = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryKey = $BitVolume.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }
Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryKey.KeyProtectorID
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryKey.KeyProtectorID
¿Cómo habilitar BitLocker de forma remota?
Los usuarios pueden habilitar manualmente BitLocker para las unidades de computadora seleccionadas desde la GUI de Windows, usando el cmdlet Enable-BitLocker PowerShell o usando la herramienta cli de manage-bde.exe).
Enable-BitLocker no permite que se ejecute en equipos remotos. Pero puede ejecutarlo mediante la comunicación remota de PowerShell (a través de WinRM) con el cmdlet Invoke-Command.
El siguiente script de PowerShell le solicita el nombre de la computadora remota y la contraseña de BitLocker que se utilizará para cifrar la unidad del sistema:
$Password = Read-Host -Prompt "Enter BitLocker Password" -AsSecureString
$rmtComputer = Read-Host -Prompt "Enter remote computer name or IP address"
Invoke-Command -ComputerName $rmtComputer -ScriptBlock {
Enable-Bitlocker -MountPoint $env:SystemDrive -EncryptionMehod -UsedSpaceOnly -Password $using:Password -PasswordProtector -SkipHardwareTest
}
Si WinRM no está configurado en la computadora remota, puede usar el comando Manage-BDE que incluye funciones remotas integradas. Puede especificar el nombre del equipo remoto para realizar el cifrado de BitLocker con el parámetro -ComputerName.
Utilice el siguiente comando para cifrar el dispositivo remoto que ejecuta Windows 10:
Manage-BDE -On C: -RecoveryPassword -EncryptionMethod xts_aes256 -SkipHardwareTest -ComputerName lon-wks-c211
Ahora puede comprobar el estado de BitLocker en el dispositivo remoto:
Manage-BDE -status -computername lon-wks-c211 C:
¿Cómo encontrar claves de recuperación de BitLocker en Active Directory?
Puede encontrar las claves de recuperación disponibles para cada computadora en la nueva pestaña "Recuperación de BitLocker". Se encuentra en las propiedades de la cuenta de equipo en el complemento Usuarios y equipos de Active Directory.
Si falta la pestaña de recuperación de BitLocker, habilítela con PowerShell:
Install-WindowsFeature RSAT-Feature-Tools-BitLocker-BdeAducExt
Puede ver la siguiente información en esta pestaña:
- Recuperación Llave — puede dar esta clave al usuario para descifrar la unidad Bitlocker en caso de que falle el sistema operativo o si un usuario olvida la contraseña de Bitlocker;
- Nombre de la computadora y fecha en que se agregaron los datos de recuperación de Bitlocker a AD;
- ID de contraseña — el usuario debe proporcionarle los primeros 4 u 8 caracteres del PasswordID.
También puede usar el complemento especial para buscar y mostrar las claves de recuperación de BitLocker en AD: Visor de contraseñas de recuperación de BitLocker. es una parte de la Herramientas de administración remota del servidor (RSAT).
Después de la instalación de Lector de contraseñas de recuperación de BitLocker herramienta, puede buscar claves de recuperación directamente desde la consola ADUC. Seleccione la raíz del dominio y haga clic en el Acción > Encuentra la contraseña de recuperación de BitLocker.
Puede recuperar la clave de recuperación de BitLocker de AD para una computadora específica usando PowerShell. El siguiente script de PoSh puede enumerar la información de recuperación de BitLocker para la computadora del dominio denominada 'lon-wks-c211':
$ADComputer="lon-wks-c211"
$DN = Get-ADComputer $ADComputer | Select-Object -ExpandProperty DistinguishedName
$ADobj = get-adobject -Filter {objectclass -eq 'msFVE-RecoveryInformation'} -SearchBase $DN -Properties 'msFVE-RecoveryPassword' | Select-Object Name,msFVE-RecoveryPassword
[Ordered]@{
Computer = $ADComputer
RecoveryPassword = $ADobj.'msFVE-RecoveryPassword'
Date = Get-Date -Date ($ADobj.Name ).Split('{')[0]
BitlocerKeyID = (($ADobj.Name ).Split('{')[1]).TrimEnd('}')
}
O use la siguiente línea:
Get-ADComputer 'lon-wks-c211'| Get-ADObject -properties * | Select-Object distinguishedname, msFVE-REcoveryPassword, whencreated
Delegación de permisos para ver claves de recuperación de BitLocker en AD
Puede delegar los permisos para ver información sobre las claves de recuperación de BitLocker en AD a un determinado grupo de usuarios. Por ejemplo, administradores de seguridad.
Creamos un nuevo grupo de seguridad en AD-BitLocker Viewers.
Haga clic con el botón derecho en la unidad organizativa que contiene los objetos de la computadora con las claves de recuperación de BitLocker. Seleccione Control delegado.
Agregue el grupo Lectores de BitLocker.
En el siguiente paso del asistente, seleccione Crear una tarea personalizada para delegar.
Luego seleccione la opción Solo los siguientes objetos en la carpeta. Compruebe los objetos MSFVE-RecoveryInformation.
otorgar el Control total permisos
Ahora todos los usuarios agregados al grupo Visores de BitLocker pueden ver la pestaña Recuperación con información de recuperación de BitLocker.
Recomendado para ti
