Problemas com o protetor de chave do Bitlocker AD

1

Usamos o protetor de chave do Active Directory do Bitlocker para proteger e desbloquear automaticamente unidades USB, mas estamos vendo falhas aleatórias para desbloquear.

Temos dois grupos do AD que usamos

  • DOMAIN \ BitlockerAdmin (contém administradores do sistema)
  • DOMAIN \ BitlockerPerComputer (contém o usuário que usa o laptop)

Os usuários são todos membros de um grupo de domínio "DOMAIN \ BitlockerPerComputer" e nós executamos o comando:

Enable-BitLocker -MountPoint F: -EncryptionMethod XtsAes256 -UsedSpaceOnly -AdAccountOrGroup "Domain\BitlockerAdmin" –AdAccountOrGroupProtector 
Add-BitLockerKeyProtector -MountPoint $BACKUPVOL -AdAccountOrGroup "DOMAIN\BitlockerPerComputer" –AdAccountOrGroupProtector

O que esperamos que aconteça (o que funciona apenas às vezes)

  • O usuário efetua login e a unidade é desbloqueada ou o Sysadmin efetua login e a unidade é desbloqueada.
  • Se removermos o usuário do grupo AD, a unidade permanecerá sempre bloqueada e o usuário não poderá desbloqueá-la.

O que estamos vendo.

  • Às vezes, percebemos que o usuário faz login e a unidade não é desbloqueada. Podemos esperar dias e fazer várias reinicializações, mas nenhuma mudança de comportamento.
  • Qualquer pessoa no grupo BitlockerAdmin que efetua login sempre desbloqueia bem
  • Se adicionarmos o usuário ao grupo BitlockerAdmin, o logoff e a unidade às vezes serão desbloqueados, ou seja, funciona melhor, mas às vezes não.
  • Mesmo depois de remover o usuário do grupo AD, eles ainda podem desbloquear a unidade

Também tentamos usar os comandos Manage-bde em vez de powershell, mas obtemos os mesmos resultados

Alterar a ordem dos grupos que adiciono primeiro também não faz diferença.

Tentamos pesquisar exatamente como o protetor AD funciona para diagnosticar o problema, mas há poucas informações por aí.

Qualquer indicação para ajudar a diagnosticar o problema recebido com gratidão

    
por Phil 06.11.2017 / 13:12

0 respostas

Tags