Рейтинг:0

Ключи восстановления Bitlocker не отображаются в наборе активных каталогов

флаг za

Я недавно задавал этот же вопрос здесь около месяца назад -> Ключи восстановления BitLocker не отображаются в Active Directory

Но сейчас все изменилось, и я все еще получаю те же результаты. Я собираюсь рассказать об этом как можно подробнее, поэтому мне не нужно делать больше сообщений (надеюсь).

Итак, нам нужно хранить эти ключи в AD, чтобы соответствовать требованиям Министерства обороны, и я написал немного Java, чтобы узнать, сколько у нас их есть. После запуска моей Java у нас есть 97 из 230 компьютеров с сохраненным ключом в AD.

Я создал групповую политику для битлокера и назвал ее «GP — Bitlocker».

Первые настройки, которые я изменил, находятся в этом каталоге: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Шифрование диска Bitlocker

«Хранить информацию о восстановлении битлокатора в службе домена Active Directory»

«Выберите метод шифрования диска и стойкость шифра (Windows 8 / Server 2012)»

«Выберите метод шифрования диска и стойкость шифра (Windows 10)»

«Выберите метод шифрования диска и стойкость шифра (Windows Server 2008, Windows 7)»

Кроме того, я изменил настройки в ../Operating System Drives (.. является предыдущим каталогом)

"Требовать дополнительную аутентификацию при запуске"

«Использовать тип шифрования диска на дисках операционной системы»

«Выберите способ восстановления дисков операционной системы, защищенных BitLocker»

Что касается того, где связана групповая политика, она хранится в каталоге со всеми другими моими групповыми политиками, которые у нас есть в нашем домене под названием «Объекты групповой политики». Он был связан со всеми подразделениями, для которых мы хотели включить GP, но мы отключили его, потому что он не работал, и мы хотели запускать тесты только на ограниченном количестве компьютеров.

На данный момент «GP — Bitlocker» связан с 2 OU, «Test_Environment» и «Неизвестно». Неизвестно — это OU с компьютерами реальных людей в нашем домене с неуказанным отделом, а test_environment — это просто временные компьютеры, которые мы используем для тестирования GP.

«Неизвестно» было 4/16 компьютеров с сохраненным ключом, а test_enivronment имеет 1/4 компьютеров с сохраненным ключом.

Наши возможности для GP

Прямо сейчас мы думаем, что, поскольку многие из наших сотрудников не всегда подключаются к VPN или даже не входят в свои компьютеры, они не могут получить обновление GP. Мы строительная компания, и поэтому у нас есть много людей, которые месяцами работают в полевых условиях и не используют свои компьютеры. Тем не менее, я думаю, что 97 должно быть больше примерно 180 или около того, чтобы быть точным для тех, у кого есть компьютеры в полевых условиях. Если мне не хватает какой-либо информации, пожалуйста, дайте мне знать, и я буду рад восполнить пробелы.

флаг cn
Большинство организаций используют пароли восстановления. Хранение паролей агентов восстановления в виде простого текста запрещено в FIPS, поэтому здесь необходим ключ восстановления. Обычно вы должны использовать ключ или пароль, но не то и другое и уж точно не пароль, если включен режим FIPS. BitLocker жестко запрограммирован так, чтобы не использовать пароль восстановления/сбой, если включен режим FIPS.
флаг cn
Вы упомянули ДОД. Настроена ли какая-либо из систем для FIPS? Если да, то некоторые из этих настроек несовместимы с FIPS и не будут работать. Кроме того, вам необходимо включить ведение журнала отладки среды групповой политики в системах, которые не работают, чтобы подтвердить, что она обрабатывает политику, и если BitLocker уже включен. Поскольку флажок не установлен, чтобы требовать сохранения информации для восстановления в AD, если он включен и что-то не работает с сохранением информации для восстановления в AD, ее необходимо сохранить, выполнив команду manage-bde или PowerShell.
флаг za
@GregAskew Где вы видите неотмеченный флажок для сохранения информации для восстановления в AD?
флаг cn
https://i.stack.imgur.com/BiVfs.png Не включайте BitLocker, пока...
флаг za
@GregAskew Хорошо, я читал об этом в описании групповой политики, похоже, я хотел, чтобы это было включено. Мне придется вернуться к вам по поводу FIPS и того, настроены ли наши системы для этого или нет.
joeqwerty avatar
флаг cv
Вернитесь к основам; `1.` Следует ли применять объект групповой политики к рассматриваемым компьютерам? Чтобы ответить на этот вопрос, запустите моделирование групповой политики в консоли управления групповыми политиками. `2.` Если объект групповой политики должен применяться, применяется ли он? Чтобы ответить на этот вопрос, запустите результаты групповой политики в консоли управления групповыми политиками. `3.` Если объект групповой политики должен быть применен, и он применяется, выполняются ли условия для применения параметров политики?
Рейтинг:0
флаг au

Ник, когда вы задали свой первый вопрос, ваши настройки для паролей восстановления (48-значный ключ, который появляется в ovbject компьютера AD на вкладке восстановления битлокера) были: «Не разрешать 48-значный пароль восстановления»

Теперь вы изменили это, чтобы требовать пароли восстановления. Однако, поскольку эти системы уже зашифрованы, эти пароли никогда не попадут в AD (поскольку они сохраняются только в момент шифрования, а НЕ после), если вы не сделаете их вручную.Это нужно сделать с помощью скрипта, который вы развертываете как задачу с немедленным расписанием, например пакетный код для дисков c::

for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b
Bernd Schwanenmeister avatar
флаг au
...увы, поскольку они изначально не были созданы (как вы это запрещаете), вам придется сначала их создать: manage-bde -protectors -add c: -rp

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.