Implementação do Windows Active Directory Bitlocker

3

Estou experimentando a implantação do bitlocker via AD no trabalho. Pesquisei em toda a Internet, mas a referência mais útil parece ser:

Servidor 2012 R2, totalmente atualizado. O cliente de teste é o Windows 7 Ultimate 64bit, totalmente atualizado.

Por alguma razão, não está funcionando - Como posso descobrir o que está errado? Eu criei um GPO, vinculei-o a uma OU, juntei-me à máquina win7 no domínio e movi a máquina win7 para a unidade organizacional. Eu esperaria que (talvez incorreto?) Simplesmente iniciasse a criptografia e salvasse a chave de recuperação do bitlocker no AD em algum lugar (não tenho certeza ainda de onde encontrar isso). Mas isso não faz nada.

Verificado na BIOS que o TPM está ativado. Eu tentei '' 'gpupdate / force' '' e reiniciando a máquina win7 ... Mas ainda assim, nada.

  • Computador / Políticas / Modelos de administrador / Sistema / Serviços de TPM
    • (desativado) Ativar o backup do TPM para o AD
  • Computador / Políticas / Modelos de administrador / Componentes do Windows / Criptografia do Bitlocker Drive
    • (Ativado) Armazenar informações de recuperação do bitlocker no AD (Server 2008 e Vista)
  • Computador / Políticas / Modelos de administração / Componentes do Windows / Criptografia de unidade de disco Bitlocker / Unidades de sistema operacional
    • (Habilitado) Aplicar criptografia de unidade nas unidades do sistema operacional

A primeira coisa que noto é que ele diz apenas "2008 e Vista" ... Existem configurações adicionais em algum outro lugar para Win7 e 8?

Puxa, seria muito bom encontrar alguma forma de diagnosticar por que não está funcionando, em vez de adivinhar cegamente ... Além disso, se alguém fez isso com sucesso e documentou o processo?

    
por Edward Ned Harvey 27.02.2014 / 00:13

2 respostas

2

Uma simplificação de gerenciamento de bitlocker em seu ambiente seria considerar uma abordagem multidisciplinar.

Política de grupo

Defina sua política de grupo para fazer backup automaticamente da chave de recuperação para o diretório ativo e para não criptografar o computador, se a chave de recuperação não estiver armazenada no AD. Além disso, se os usuários estiverem criptografando suas próprias máquinas, desative a solicitação de PINs e senhas, a menos que você os use em seu ambiente.

Implantação

Crie um plano para criptografar máquinas que já estão no ambiente, vs. estações de trabalho recém-construídas. Novas estações de trabalho são mais fáceis, como o BitLocker requer que uma partição do sistema exista na estação de trabalho, para armazenar seu bootloader. Dependendo do seu processo de criação de imagens, isso pode ou não existir em suas estações de trabalho atuais e, se não houver uma etapa separada, seria necessário executar para preparar o disco rígido para o bitlocker , mas o comando me escapa no momento. A GUI vai fazer isso automaticamente e requer uma reinicialização antes de continuar, eu tenho que assumir que a linha de comando é da mesma maneira. manage-bde também pode ser usado para fazer backup da recuperação de máquinas que já foram criptografadas, como antes da política de grupo ser implementada, para o diretório ativo. É claro que você também precisa levar em conta a habilitação e a ativação do chip TPM ao falar sobre uma implantação automatizada de bitlockers.

Manutenção / Recuperação de Desastres

Fazer backup de chaves de recuperação para o Active Directory é bom, mas desaparece quando a conta do computador é levada pelo vento. Não é grande coisa se a máquina tiver sido descartada, mas pode ser um grande problema se este for apenas um laptop que ficou fora da rede por um tempo e foi submetido a um script de limpeza do AD. O Powershell pode ser usado para recuperar chaves de backup do diretório ativo, se isso é algo que você quer pensar.

    
por 27.02.2014 / 15:55
0

Como já foi dito, você não pode iniciar a criptografia do bloqueador diretamente no diretório ativo.

É possível usar uma tarefa agendada em seus laptops - que podem ser implantados por meio de preferências de diretiva de grupo - para iniciar o processo de criptografia e passar os parâmetros necessários.

Você ainda deseja as opções de política de grupo para gerenciar centralmente as chaves de recuperação em vigor. Eu corri programas agendados assim antes que eu tivesse a política de chave de recuperação no lugar e me tranquei. Não tem graça. A política de grupo garantirá que o trabalho com script atenda aos mesmos requisitos como iniciar por meio da GUI.

    
por 27.02.2014 / 14:40