Как хранить ключи BitLocker в Active Directory?

Как хранить ключи BitLocker в Active Directory?

https://t.me/admguides

В рамках данного руководства вы узнаете, как легко интегрировать ключи восстановления BitLocker в Windows Active Directory (AD). При выполнении следующих шагов безопасность дисков, защищенных BitLocker, будет обеспечена надежно, поскольку используется механизм централизованного хранилища необходимой информации для восстановления.


Требование к настройке

Для установки BitLocker в AD необходимо проверить все требования в соответствии с этим списком:

  • Наличие модуля Trusted Platform Module (TPM) версии 1.2 или новее. Эта функция входит в стандартные библиотеки большинства современных компьютеров.
  • Встроенное ПО BIOS/UEFI, поддерживающее TPM и включившее его. Убедитесь, что в настройках BIOS/UEFI компьютера включен TPM, чтобы обеспечить бесперебойную работу BitLocker.
  • Включенная функция Secure Boot. Активация Secure Boot обеспечивает дополнительный уровень безопасности и дополняет функцию TPM для усиления защиты данных.


Создадим политику домена

Чтобы обеспечить хранение необходимых ключей в домене, необходимо формирование групповой политики, которая устанавливает правила шифрования диска. Воспользуйтесь возможностями управления GPO, которые служат шлюзом для централизованной защиты ключей восстановления BitLocker. Начнем, откройте панель управления GPO.

Прежде всего создайте объект, который вы хотите использовать в политике, для этого откройте проводник Windows, нажав сочетание клавиш Win + E, затем в поле сверху введите Control Panel\System and Security\Administrative Tools, в этой папке выберите AD User and Computers:

Administrative Tools


В этой утилите создайте новую организационную единицу или объект, к которому вы хотите применить политику шифрования диска, для чего щелкните на имя домена и выберите пункт New и Organizational Unit:

Создание новою организационной единицы


Добавьте компьютеры на вашей машине в OU:

Добавление компьютеров на вашей машине в OU


Найти систему управления групповыми политиками несложно – достаточно выполнить поиск или воспользоваться следующей командой, нажав Win+R:

gpmc.msc


Система управления групповыми политиками


Затем создайте новую групповую политику на организационное подразделение, которое охватывает компьютеры с требованием автоматически хранить ключи. Например, можно применить ее к OU Computer. Однако мы можем применить ее для любых объектов Active Directory: лес, домен, сайты, организационная единица.

Новая групповая политика на организационное подразделение


Щелкните правой кнопкой мыши на объект и выберите соответствующий пункт, как показано на рисунке выше:

Привязка политики


Настроим политику

Начните с создания отдельной групповой политики. Пройдите по пути Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption, выберите этот параметр и измените значение на Enabled.

Включить политику безопасности в AD


Продолжим установку, теперь необходимо перейти в папку чуть ниже списка меню слева и выбрать вторую папку Operating, в которой будет находиться файл с настройками Store, открыв его двойным щелчком мыши, перейдите на панель и выберите Enabled.

Опции групповых политик AD


Установите все галочки, как показано на рисунке выше, в поле опций, затем обязательно установите последнюю галочку, так как из-за этого возможны проблемы восстановления. Если требуется сохранить ключи на съемном устройстве, необходимо выбрать соответствующий файл конфигурации и включить эту функцию.


Обновим политики

Следующим шагом будет обновление политики или правил, которые мы настроили на шаге выше, для этого введите команду в CLI и подождите некоторое время:

gpupdate /force


Обновление политик AD


Управление ключами через AD

Для эффективного управления и настройки BitLocker на клиентских компьютерах необходимо установить необходимые компоненты на сервере. Это позволит контролировать и настраивать параметры BitLocker, обеспечивая оптимальную безопасность и шифрование на клиентских машинах:

Добавление компонента


После успешной установки компонента для завершения настройки необходимо перезагрузить сервер. После запуска сервера перейдите в панель управления для пользователей и компонентов AD. Зайдите в свойства ПК, где теперь вы найдете новую вкладку BitLocker Recovery. На этой вкладке вы получите право просматривать ключ шифрования, что позволит узнать о состоянии шифрования BitLocker и возможностях восстановления ПК.

Если у пользователя возникли проблемы с входом в систему, администратор домена имеет возможность получить ключ шифрования из домена. Воспользовавшись этим ключом, пользователь сможет без проблем войти в систему. Такой процесс восстановления обеспечивает быстрый доступ и сводит к минимуму возможные сбои, связанные с трудностями входа в систему, гарантируя бесперебойную работу пользователей.

Свойства машины


Так же можно восстановить диск из интерфейса с поиском ключа:

Окно восстановления BitLocker


Удобство поиска ключа восстановления обеспечивается использованием начальных 8 символов, как показано в примере: 6CEF9111. Использование такого поисковика позволяет быстро и легко обнаружить полный ключ, что обеспечивает эффективное восстановление в случае возникновения критических событий или проблем:

Поиск ключа


Для обеспечения максимальной безопасности, доступ к ключу BitLocker предоставляется только администратору домена. Тем не менее, при необходимости можно настроить права доступа к ключу BitLocker для других пользователей домена. Такая гибкость обеспечивает контролируемый и управляемый подход к предоставлению прав на извлечение ключа, что позволяет соответствующему персоналу получать доступ к процессу восстановления BitLocker и управлять им по мере необходимости.


BitLocker шифрование диска

Щелкнув диск правой кнопкой мыши на целевой машине, выберите пункт Turn on:

BitLocker шифрование диска


После того как ключ надежно сохранен в домене, BitLocker автоматически запускает процесс шифрования диска. Такой оптимизированный подход обеспечивает надежную защиту данных.

Кроме того, на одном ПК можно использовать несколько паролей BitLocker, каждый из которых связан с разными портативными флеш-накопителями. Эта универсальная функция позволяет удобно и индивидуально шифровать данные на различных устройствах хранения.


Диск уже зашифрован?

Если диск был зашифрован до этого шага, то необходимо узнать его идентификатор и добавить его в системное хранилище:

manage-bde -protectors -get c:


Выполнив эту команду, вы получаете доступ к подробной информации о защитах шифрования BitLocker, связанных с указанным диском. Замените С: буквой, соответствующей конкретному диску. После выполнения команды в командной строке Command Prompt или PowerShell будет отображена необходимая информация, например пароли восстановления, ключи восстановления или TPM-протекторы (в зависимости от метода шифрования, используемого для данного диска).

ID диска для добавления в хранилище


Так же необходимо запомнить идентификатор (например, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

Перейдем к вводу следующей команды:

manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}


Подтверждение бэкапа


С помощью этой команды указанный ключ будет надежно резервироваться в Active Directory, обеспечивая повышенную защиту и восстановление зашифрованного диска.


Вывод

Эта инструкция позволит вам уверенно внедрять BitLocker и управлять им, повышая безопасность данных и обеспечивая оперативное восстановление в среде AD. В результате ваша организация теперь имеет все необходимое для защиты критически важных данных, укрепления стратегий защиты данных и эффективного снижения потенциальных рисков.

Источник

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org