Настройка BitLocker для хранения ключей восстановления в Active Directory::Журнал СА 9.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Контакты
   

  Опросы
1001 и 1 книга  
12.02.2021г.
Просмотров: 10471
Комментарии: 11
Коротко о корпусе. Как выбрать системный блок под конкретные задачи

 Читать далее...

11.02.2021г.
Просмотров: 10905
Комментарии: 13
Василий Севостьянов: «Как безболезненно перейти с одного продукта на другой»

 Читать далее...

20.12.2019г.
Просмотров: 17794
Комментарии: 2
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 16344
Комментарии: 13
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 17140
Комментарии: 7
Анализ вредоносных программ

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Настройка BitLocker для хранения ключей восстановления в Active Directory

Архив номеров / 2015 / Выпуск №9 (154) / Настройка BitLocker для хранения ключей восстановления в Active Directory

Рубрика: Администрирование /  FAQ

Настройка BitLocker
для хранения ключей восстановления в Active Directory

Одна из самых известных подсистем защиты Windows BitLocker для восстановления данных после сбоя требует ключ, для хранения которого удобнее использовать AD

Пароль восстановления представляет собой 48- и/или 256-разрядную комбинацию, которая генерируется в ходе установки пакета BitLocker. Когда компьютеров немного, следить за ключами и паролями просто, но если счет идет на сотни, задача сильно усложняется. Групповые политики позволяют сконфигурировать BitLocker так, чтобы хранить в объекте компьютера Active Directory резервные копии ключей и паролей восстановления. Каждый объект восстановления BitLocker имеет уникальное имя и содержит глобальный уникальный идентификатор для пароля восстановления и опционально пакет, содержащий ключ. Если для одного объекта-компьютера в доменных службах Active Directory хранится несколько паролей восстановления, то в имя объекта данных будет включена дата создания пароля. Имя объекта восстановления BitLocker ограничено 64 символами, поэтому изначально следует разрешить 48-разрядный пароль.

Функция хранения восстановительных данных BitLocker базируется на расширении схемы Active Directory, формирующей дополнительные атрибуты. Начиная с Windows Server 2008 расширение установлено по умолчанию, хотя для дальнейшей работы еще требовались донастройки. Оптимальной является схема Windows Server 2012 и выше, в которой все работает «из коробки». Это же касается и следующей версии Windows Server 2016, у которой здесь изменений нет.

Порядок такой. Устанавливаем привычным способом компонент BitLocker. Конфигурируем групповые политики в редакторе Group Policy Management. Для этого переходим в «Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Защита диска BitLocker». Включаем политику «Хранить сведения о восстановлении в доменных службах Active Directory» (см. рис. 1).

Рисунок 1. Настройка политики для сохранения пароля восстановления BitLocker в Active Directory

Рисунок 1. Настройка политики для сохранения пароля восстановления BitLocker в Active Directory

Чтобы сохранять не только пароль, но и ключ, необходимо в доппараметрах выбрать «Пароли восстановления и пакеты ключей». Далее в трех вкладках – «Диски операционной системы», «Несъемные носители» и «Съемные носители» – находим политику «Выбор метода восстановления… носителей, защищенных с помощью BitLocker», включаем ее и проверяем отмечен ли флажок «Сохранить данные восстановления в Active Directory для носителей». На клиентских компьютерах действующие политики можно просмотреть в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE.

Ключи и пароли защищенных томов будут скопированы только после применения политики. Включаем BitLocker на выбранных носителях. Ключи и пароли томов, на которых защита BitLocker была сконфигурирована раньше, автоматически копироваться в Active Directory не будут. Это можно сделать вручную, включив и выключив BitLocker, или с помощью утилиты manage-bde. Получаем ID:

> manage-bde -protectors -get c:

Копируем информацию, указав ID:

> manage-bde -protectors -adbackup c: -id '{DFB478E6-8B3F-4DCA-9576-C1905B49C71E}'

Информация о доступных ключах восстановления для каждого компьютера находится во вкладке «Восстановление BitLocker», расположенной в странице свойств учетной записи компьютера в оснастке «Active Directory – пользователи и компьютеры».

В качестве альтернативного компонента можно использовать инструмент BitLocker Active Directory Recovery Password Viewer, входящий в набор средств удаленного администрирования сервера Microsoft Remote Server Administration Tools (RSAT) и предоставляющий также возможность поиска ключей восстановления.

Также доступны сторонние инструменты вроде Cobynsoft’s AD Bitlocker Password Audit (http://www.cobynsoft.com/software/cobynsofts-ad-bitlocker-password-audit), показывающие информацию в удобном виде.

Подготовил Сергей Яремчук


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru