É possível parar computadores que não são criptografados pelo Bitlocker?

7

É possível, de alguma forma (script de inicialização?) impedir que qualquer computador não criptografado se conecte ao domínio?

Ambiente: Diretório ativo do Windows, computadores com capacidade para 1000, em sua maioria criptografados com bitlock, cerca de 50/50 na empresa 7 ou 10.

    
por Digital Lightcraft 11.09.2017 / 13:17

3 respostas

9

AFAIK, não é possível verificar automaticamente isso durante a associação ao domínio do AD. No entanto, é possível ativar o Bitlocker usando o GPO assim que o computador ingressar no domínio. Se cada computador tiver essas configurações e nenhum outro que não seja o Domain Computers puder acessar os recursos, o resultado será o mesmo.

Primeiro, você deve ter Ativar o TPM Backup nos Serviços de Domínio do AD Enabled em Configuração do Computador \ Políticas \ Modelos Administrativos \ Sistema \ Serviço Trusted Platform Module .

Em seguida, sob Configuração do Computador \ Políticas \ Modelos Administrativos \ Componentes do Windows \ Criptografia de Unidade de Disco Bitlocker você pode encontrar todas as outras configurações relacionadas:

  • Forneça identificadores exclusivos para sua organização : Enabled
  • \ Unidade de dados fixa \
    • Configure o uso de senhas para unidades de dados fixas : Enabled
    • Escolha como as unidades fixas protegidas pelo BitLocker ... : Enabled
  • \ Unidade do sistema operacional \
    • Exigir autenticação adicional na inicialização : Enabled ; configure conforme necessário
    • Configure o tamanho mínimo do PIN para inicialização : Enabled
    • Escolha como as unidades fixas protegidas pelo BitLocker ... : Enabled
  • \ Unidades de dados removíveis \
    • Controle o uso do BitLocker em unidades removíveis : Enabled
    • Configure o uso de senhas para unidades de dados removíveis : Enabled
    • Escolha como as unidades fixas protegidas pelo BitLocker ... : Enabled

Preencha os detalhes e modifique este exemplo conforme necessário em seu ambiente. Habilite este GPO para a unidade organizacional que faz com que os computadores sejam forçados a usar o BitLocker. (E, por favor, primeiro teste sua configuração com um pequeno conjunto de computadores de teste. Um pequeno erro nessas configurações pode causar problemas reais, pois todos os dados serão criptografados.)

    
por 11.09.2017 / 15:28
6

Embora provavelmente não seja exatamente o que você está pedindo, acredito que a resposta oficial a essa pergunta seja o MBAM - Administração e Monitoramento do Bitlocker da Microsoft. O MBAM vem com (entre outras coisas) várias configurações de Política de Grupo, e algumas dessas configurações permitem que você imponha o uso do Bitlocker em qualquer dispositivo associado ao domínio. Mas é claro que isso significa que o dispositivo ingressado no domínio precisa se unir e autenticar no domínio antes de baixar a Diretiva de Grupo, momento em que o status do Bitlocker do dispositivo é desconhecido ... mas um script de inicialização ou logon não seria diferente em a esse respeito.

    
por 11.09.2017 / 15:08
4

Não há muitas boas opções. Qualquer coisa que seja executada no contexto do logon do usuário provavelmente não teria permissões para verificar o status do BitLocker. Um script de inicialização do computador, como abaixo, pode ser de alguma utilidade:

REM Exclude domain controllers. This command may be repeated to check for "3" to exclude member servers.
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SHUTDOWN /S /F /T 120 /C "Shutting down due to computer does not have BitLocker protection enabled."

A quantidade de tempo pode ser ajustada e, após o logon, é possível que um administrador cancele com o comando shutdown /a .

Se preferir não desligar, você pode usar o comando SETX para definir uma variável de ambiente do sistema em um script de inicialização do computador que pode ser verificado durante o logon do usuário:

SETX BDE 1 /M
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SETX BDE 0 /M

E o script de login do usuário:

IF %BDE%==0 logoff.exe
    
por 11.09.2017 / 16:11