Cheile de recuperare Bitlocker nu se afișează în suita Active Directory

Am pus de curând aceeași întrebare aici cu aproximativ o lună în urmă -> Cheile de recuperare BitLocker nu sunt afișate în Active Directory

Dar lucrurile s-au schimbat acum și obțin în continuare aceleași rezultate. Voi intra cât pot de detaliu pentru această postare, așa că nu trebuie să mai fac postări (sperăm).

Ok, deci trebuie să stocăm aceste chei pe AD pentru a îndeplini cerințele DoD și am scris puțin Java pentru a afla câte avem. După ce am rulat Java, avem 97 din 230 de computere care au o cheie stocată în AD.

Am creat o politică de grup pentru bitlocker și am numit-o „GP - Bitlocker”

Primele setări pe care le-am schimbat sunt în acest director: Configurare computer -> Politici -> Șabloane administrative -> Componente Windows -> Criptare Bitlocker Drive

„Stochează informațiile de recuperare a bitlockerului în serviciul de domeniu Active Directory”

„Alegeți metoda de criptare a unității și puterea de criptare (Windows 8 / Server 2012)”

„Alegeți metoda de criptare a unității și puterea de criptare (Windows 10)”

„Alegeți metoda de criptare a unității și puterea de criptare (Windows Server 2008, Windows 7)”

În plus, am schimbat setările în ../Unitățile sistemului de operare (.. fiind directorul anterior)

„Necesită autentificare suplimentară la pornire”

„Implementați tipul de criptare a unității pe unitățile sistemului de operare”

„Alegeți cum pot fi recuperate unitățile de sistem de operare protejate de BitLocker”

În ceea ce privește locul în care este legată politica de grup, aceasta este stocată într-un director cu toate celelalte politici de grup pe care le avem pe domeniul nostru numit „Obiecte de politică de grup”. Era legat de toate OU-urile pe care doream să avem GP activat, dar l-am scos pentru că nu funcționa și am vrut să rulăm teste doar pe computere limitate.

În acest moment, „GP - Bitlocker” este legat de 2 OU, „Test_Environment” și „Necunoscut”. Nu se cunoaște o unitate organizatorică cu computere ale oamenilor reali pe domeniul nostru cu un departament nespecificat, iar test_environment sunt doar computere temporare pe care le folosim pentru a testa medicii de familie.

„Necunoscut” avea 4/16 computere cu o cheie stocată, iar test_enivronment are 1/4 computere cu o cheie stocată.

Domeniul nostru de aplicare pentru medicul de familie

În prezent, ceea ce ne gândim este că, deoarece mulți dintre angajații noștri nu se conectează în mod constant la VPN și nici măcar nu se conectează la computerele lor, ei nu pot obține actualizarea GP. Suntem o firmă de construcții și, ca atare, avem mulți oameni care lucrează în domeniu luni de zile și nu își folosesc computerele. Cu toate acestea, cred că 97 ar trebui să fie mai mult în jur de 180 sau cam asa ceva pentru a fi exact pentru cei care au computere în domeniu. Dacă îmi lipsește vreo informație, anunțați-mă și voi completa cu plăcere golurile.

Nick, când ai pus prima întrebare, setarea pentru parolele de recuperare (cheia de 48 de cifre care apare în obiectul computerului AD în fila de recuperare a bitlockerului) a fost: „Nu permiteți parola de recuperare din 48 de cifre”

Acum ați schimbat asta pentru a solicita parolele de recuperare. Cu toate acestea, deoarece aceste sisteme sunt deja criptate, aceste parole nu vor ajunge niciodată la AD (deoarece sunt salvate doar în momentul criptării și NU după), cu excepția cazului în care le creați manual.Acest lucru ar trebui făcut utilizând un script pe care îl implementați ca sarcină de planificare imediată, de exemplu codul lot pentru unitățile c::

pentru /f „tokens=1,2” %%a în ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b