,
Esta guía contiene instrucciones paso a paso sobre cómo forzar a Windows a almacenar automáticamente las claves y contraseñas de recuperación de BitLocker en Active Directory (AD), en cualquier computadora de dominio en la que habilite la protección de BitLocker.
Si desea proteger las computadoras portátiles y de escritorio de su dominio contra el acceso no autorizado, por ejemplo, en caso de robo, una buena práctica es habilitar el cifrado BitLocker en todas esas computadoras, especialmente aquellas que se utilizan fuera de sus instalaciones.
Pero dado que administrar manualmente las claves de recuperación de BitLocker en un entorno empresarial es difícil, en esta guía veremos cómo puede obligar a Windows a realizar una copia de seguridad de las claves de recuperación y contraseñas en AD cuando habilita la protección de BitLocker en una computadora unida a un dominio, y cómo para ver los datos de BitLocker (ID y contraseña) en AD cuando sea necesario. Este proceso garantiza que las claves de recuperación se almacenen de forma segura, lo que las hace fácilmente accesibles para los administradores cuando sea necesario.
Cómo hacer una copia de seguridad automática de las claves y contraseñas de recuperación de BitLocker en Active Directory.
Para guardar automáticamente las claves/contraseñas de recuperación de BitLocker en Active Directory (AD):
Parte 1. Configurar Active Directory para almacenar datos de BitLocker.
Paso 1. Instale las funciones de cifrado de unidad BitLocker.
1. En el servidor de dominio AD, abra Administrador del servidor y haga clic Agregar roles y características.
2. Seleccionar Instalación basada en funciones o funciones y haga clic Próximo.
3. En las opciones de 'Selección de servidor', seleccione su servidor de dominio y haga clic en Próximo.
4. Hacer clic Próximo en Funciones del servidor.
5a. En Características ventana, seleccione el Cifrado de unidad BitLocker y…
5b. …luego seleccione Agregar funciones para instalar todas las funciones necesarias para el cifrado de unidades BitLocker junto con las herramientas de administración.
5c. Hacer clic Próximo nuevamente para continuar.
6. Finalmente haga clic Instalar para instalar las funciones de cifrado de unidad BitLocker.
8. Cuando se complete la instalación de la función, haga clic en Finalizar y Reanudar el servidor.
Paso 2. Cree un nuevo GPO para almacenar claves de BitLocker en AD.
Después de realizar los pasos anteriores, proceda a configurar Active Directory para realizar una copia de seguridad automática de las claves/contraseñas de BitLocker desde las computadoras del dominio a AD, a través de una Política de grupo.
1. Abierto Administrador del servidor y desde el Herramientas menú abrir el Gestión de políticas de grupo.
2. En el Administrador de políticas de grupo, edite la política de dominio predeterminada o cree una nueva Política de grupo para todo el dominio o solo para la unidad organizativa que contiene las computadoras en las que desea almacenar las claves de BitLocker en AD.*
* Nota: En este ejemplo, creamos un nuevo GPO para la unidad organizativa "Estaciones de trabajo" que contiene todas las computadoras del dominio donde está habilitado el cifrado BitLocker.
3. Haga clic derecho y seleccione Cree un GPO en este dominio y vincúlelo aquí...
4. Nombra el nuevo GPO como "Almacenar claves de BitLocker en Active Directory" y haga clic DE ACUERDO.
5. Ahora Editar el GPO creado.
6a. Ir a Configuración de la computadora > Políticas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker.
6b. Ahora abre el Almacene la información de recuperación de BitLocker en los servicios de dominio de Active Directory política.
6c. Establezca la política en Activadodeja las opciones predeterminadas Requerir copia de seguridad de BitLocker en AD DS & Recuperación de contraseñas y paquetes de claves seleccionado y haga clic Aplicar > DE ACUERDO.
7a. Luego, ve a Configuración de la computadora > Políticas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker > Unidades del sistema operativo.
7b. Abrir la politica Elija cómo se pueden recuperar las unidades del sistema protegidas con BitLocker.
7c. Permitir la política y luego controlar la opción No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo para evitar que los usuarios habiliten BitLocker a menos que la computadora esté conectada al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Cuando termine, haga clic en DE ACUERDO.
8. Cierre todas las ventanas de Administración de políticas de grupo.
9. Finalmente, abre Símbolo del sistema como administrador y dé el siguiente comando para aplicar la nueva política tanto en el servidor como en las estaciones de trabajo (o reiniciar las estaciones de trabajo):
Paso 3. Active BitLocker en las estaciones de trabajo.
Si aún no ha habilitado BitLocker en las computadoras cliente, haga lo siguiente:*
* Nota: Si ya ha habilitado BitLocker en los clientes, siga los pasos de esta guía para realizar una copia de seguridad manual de las claves de recuperación y contraseñas en AD: Cómo almacenar manualmente las claves de BitLocker en Active Directory (AD).
1. Inicie sesión en las máquinas cliente con un usuario que tenga derechos de administrador local en la máquina.
2. Navegar a Panel de control y abierto Cifrado de unidad BitLocker.
3. Hacer clic Activar BitLocker junto a DO: unidad (también conocida como "unidad OS") y siga las instrucciones que aparecen en pantalla para cifrarla.
4. Ahora aparecerá un mensaje indicándole si está listo para cifrar la unidad. En este punto, controlar el Ejecute la verificación del sistema BitLocker cuadro y haga clic Continuar para garantizar que la máquina pueda leer los datos de recuperación antes de cifrar la unidad. Luego, haga clic Reanudar ahora.
5. Después de reiniciar, Windows comenzará a cifrar la unidad y la clave y la contraseña de recuperación de BitLocker se almacenarán automáticamente en AD.
6. Finalmente, proceda a verificar que la clave de recuperación y la contraseña estén almacenadas en el objeto de la computadora en AD siguiendo las instrucciones a continuación.
Parte 2. Ver claves y contraseñas de recuperación de BitLocker en AD (Active Directory).
Después de aplicar los pasos anteriores, podrá recuperar las claves de BitLocker almacenadas en AD, utilizando una de las siguientes formas:
A. Uso de las propiedades de la computadora en Active Directory.
1. Abierto Usuarios y computadoras de Active Directory.
2. Haga clic derecho en el objeto de la computadora en el que desea ver la clave de recuperación almacenada y elija Propiedades.
3. Luego seleccione el Recuperación de BitLocker pestaña para ver el ID de recuperación y el Contraseña de recuperación en el campo 'Detalles'.
B. Usando la opción 'Buscar contraseña de BitLocker'.
Si conoce el ID de recuperación (identificador):
1. Abierto Usuarios y computadoras de Active Directory.
2. Haga clic derecho en el nombre de dominio y seleccione Busque la contraseña de BitLocker.
3. Escriba los primeros ocho (8) caracteres del ID de recuperación de la computadora en la que desea ver la clave de recuperación de BitLocker y haga clic en Buscar.
¡Eso es todo! Déjame saber si esta guía te ha ayudado dejando tu comentario sobre tu experiencia. Por favor, dale me gusta y comparte esta guía para ayudar a otros.
Si este artículo fue útil para usted, considere apoyarnos haciendo una donación. Incluso 1 dólar puede marcar una gran diferencia para nosotros en nuestro esfuerzo por continuar ayudando a otros mientras mantenemos este sitio gratuito: