Настройка BitLocker для хранения ключей восстановления в Active Directory::Журнал СА 9.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

Принципы проектирования  

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

 Читать далее...

Рынок труда  

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

 Читать далее...

Книжная полка  

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

 Читать далее...

Принципы проектирования  

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10447
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8632
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8737
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5510
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6189
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Настройка BitLocker для хранения ключей восстановления в Active Directory

Архив номеров / 2015 / Выпуск №9 (154) / Настройка BitLocker для хранения ключей восстановления в Active Directory

Рубрика: Администрирование /  FAQ

Настройка BitLocker
для хранения ключей восстановления в Active Directory

Одна из самых известных подсистем защиты Windows BitLocker для восстановления данных после сбоя требует ключ, для хранения которого удобнее использовать AD

Пароль восстановления представляет собой 48- и/или 256-разрядную комбинацию, которая генерируется в ходе установки пакета BitLocker. Когда компьютеров немного, следить за ключами и паролями просто, но если счет идет на сотни, задача сильно усложняется. Групповые политики позволяют сконфигурировать BitLocker так, чтобы хранить в объекте компьютера Active Directory резервные копии ключей и паролей восстановления. Каждый объект восстановления BitLocker имеет уникальное имя и содержит глобальный уникальный идентификатор для пароля восстановления и опционально пакет, содержащий ключ. Если для одного объекта-компьютера в доменных службах Active Directory хранится несколько паролей восстановления, то в имя объекта данных будет включена дата создания пароля. Имя объекта восстановления BitLocker ограничено 64 символами, поэтому изначально следует разрешить 48-разрядный пароль.

Функция хранения восстановительных данных BitLocker базируется на расширении схемы Active Directory, формирующей дополнительные атрибуты. Начиная с Windows Server 2008 расширение установлено по умолчанию, хотя для дальнейшей работы еще требовались донастройки. Оптимальной является схема Windows Server 2012 и выше, в которой все работает «из коробки». Это же касается и следующей версии Windows Server 2016, у которой здесь изменений нет.

Порядок такой. Устанавливаем привычным способом компонент BitLocker. Конфигурируем групповые политики в редакторе Group Policy Management. Для этого переходим в «Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Защита диска BitLocker». Включаем политику «Хранить сведения о восстановлении в доменных службах Active Directory» (см. рис. 1).

Рисунок 1. Настройка политики для сохранения пароля восстановления BitLocker в Active Directory

Рисунок 1. Настройка политики для сохранения пароля восстановления BitLocker в Active Directory

Чтобы сохранять не только пароль, но и ключ, необходимо в доппараметрах выбрать «Пароли восстановления и пакеты ключей». Далее в трех вкладках – «Диски операционной системы», «Несъемные носители» и «Съемные носители» – находим политику «Выбор метода восстановления… носителей, защищенных с помощью BitLocker», включаем ее и проверяем отмечен ли флажок «Сохранить данные восстановления в Active Directory для носителей». На клиентских компьютерах действующие политики можно просмотреть в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.

Ключи и пароли защищенных томов будут скопированы только после применения политики. Включаем BitLocker на выбранных носителях. Ключи и пароли томов, на которых защита BitLocker была сконфигурирована раньше, автоматически копироваться в Active Directory не будут. Это можно сделать вручную, включив и выключив BitLocker, или с помощью утилиты manage-bde. Получаем ID:

> manage-bde -protectors -get c:

Копируем информацию, указав ID:

> manage-bde -protectors -adbackup c: -id '{DFB478E6-8B3F-4DCA-9576-C1905B49C71E}'

Информация о доступных ключах восстановления для каждого компьютера находится во вкладке «Восстановление BitLocker», расположенной в странице свойств учетной записи компьютера в оснастке «Active Directory – пользователи и компьютеры».

В качестве альтернативного компонента можно использовать инструмент BitLocker Active Directory Recovery Password Viewer, входящий в набор средств удаленного администрирования сервера Microsoft Remote Server Administration Tools (RSAT) и предоставляющий также возможность поиска ключей восстановления.

Также доступны сторонние инструменты вроде Cobynsoft’s AD Bitlocker Password Audit (http://www.cobynsoft.com/software/cobynsofts-ad-bitlocker-password-audit), показывающие информацию в удобном виде.

Подготовил Сергей Яремчук


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru