включение BitLocker в среде Active Directory довольно безболезненно и помогает повысить безопасность устройств конечных пользователей. Я опишу шаги, которые вам нужно предпринять, чтобы включить его, а также получить ключи восстановления, хранящиеся в Active Directory. Я также погружусь в репликацию этой установки в Azure AD / Intune в будущем посте.
Первое, что нужно сделать, это создать новый объект групповой политики (например, Configure-BitLocker) - отредактировать его и перейти к политикам > административным шаблонам >> компонентам Windows >>> шифрованию диска BitLocker. Включите следующие параметры:
- Выберите метод шифрования диска и степень защиты шифра (Windows 10 версии 1511 и более поздних версий)
- Выберите метод шифрования диска и силу шифрования (Server 2012, Win 8.1 и т. д…)
- Выберите, как пользователи могут восстанавливать защищенные BitLocker диски
- Храните информацию о восстановлении BitLocker в доменных службах Active Directory
Затем перейдите в одну папку на дисках операционной системы и включите следующее:
- Выберите способ восстановления системных дисков BitLocker protected operationg
После того, как вы все это настроили, это должно выглядеть примерно так, как показано на рисунке ниже.
еперь направьте объект групповой политики на некоторые машины, и если вы используете 1809 (из того, что я обнаружил до сих пор) или позже, вы заметите, что они запускают процесс BitLocker для автоматического шифрования. Если нет, то вам, возможно, придется проверить и убедиться, что доверенный платформенный модуль включен для устройства (поскольку в данном случае мы не указали шифрование устройств без доверенного платформенного модуля).
Что произойдет, если вы уже включили BitLocker, но теперь хотите сохранить ключи восстановления в Active Directory? С помощью этого набора объектов групповой политики он позволит windows записать ключ восстановления в AD, однако нам нужно использовать утилиту manage-bde, то есть утилиту на основе команд, которая может быть использована для настройки BitLocker
manage-bde -protectors -get c:
for /f "skip=4 tokens=2 delims=:" %%g in ('"manage-bde -protectors -get c:"') do set MyKey=%%g
echo %MyKey%
manage-bde -protectors -adbackup c: -id%MyKey%
|
Я сохранил это как пакетный файл и запустил его на машинах, которые уже были зашифрованы до развертывания объекта групповой политики. После запуска он депонирует ключ в Active Directory.
Последний шаг, который вам нужно будет сделать, чтобы вы действительно могли видеть ключи на вкладке свойства или с помощью функции поиска в Active Directory Users and Computers, убедитесь, что BitLocker RSAT включен в функциях и ролях сервера.
