Szyfrowanie dysków twardych to podstawowy element bezpieczeństwa jaki musimy wdrożyć w strukturze IT. W środowiskach Windows pomaga w tym technologia BitLocker która jest z nami od dawna. Pozwala ona na efektywne i bezpieczne szyfrowanie dysków. Ale w jaki sposób wdrożyć szyfrowanie komputerów w Active Directory? Jak uruchomić szyfrowanie dysków dla komputerów wpiętych do domeny? Jak przechowywać klucze odzyskiwania w domenie? W jaki sposób efektywnie zarządzać szyfrowaniem w Active Directory? Jak wdrożyć szyfrowanie dysków z użyciem GPO?
Chcemy szyfrować dyski komputerów wpiętych do domeny z użyciem BitLocker’a. Za proces szyfrowania ma odpowiadać polityka GPO, tak aby maksymalnie zautomatyzować zadanie. Klucze odzyskiwania mają być dostępne w Active Directory dla administratora.
Zaczynamy od przygotowania polityki GPO, w tym celu otwieramy przystawkę Group Policy Management (win+r i wpisujemy):
gpmc.msc
przechodzimy do Group Policy Object i z tego poziomu tworzymy nową politykę:
nadajemy nazwe naszej polityce: gpo_bitlocker
a po jej utworzeniu zabieramy się do edycji:
Ustawienia dotyczące BitLocker’a znajdują się w konfiguracji komputera przechodzimy do drzewa:
Computer Configuration --> Policies --> Administrative Templates --> Windows Components --> BitLocker Drive Encryption
Nasza polityka będzie miała za zadanie przechowywać informacje umożliwiające odszyfrowanie dysku w usłudze Active directory, zaczynam więc od tych ustawień:
Store BitLocker recovery information in Active Directory Domain Services
zaznaczamy check: Require BitLocker backup to AD DS
oraz wskazujemy opcje: Select BitLocker recovery information to store: Recovery passwords and key packages
Następnie edytujemy ustawienia dla dotyczące identyfikacji (unikalnego identyfikatora) na, wprowadzając dowolna nazwę (zazwyczaj wprowadzam nazwę domeny): Provide the unique identifiers for your organization
w gałęzi Bitlocker Drive Encryption mamy teraz skonfigurowane takie właściwości:
Przechodzimy do kolejnej gałęzi Operating System Drives
tutaj edytujemy opcje dotyczącą możliwości odzyskiwania dysków z systemem operacyjnym: Choose how BitLocker-protected operating system drives can be recovered
takie same ustawienia edytujemy w gałęzi dotyczącej pozostałych dysków a mianowicie Fixed Data Drives
Zmieniliśmy ustawienia polityki GPO, czas ją zaaplikować.
Przypiszemy ją do grupy security, najpierw tworzymy więc grupę o nazwie: group_bitlocker
i dodajemy ją do naszego GPO:
następnie całą politykę linkujemy pod określone OU (lub opcjonalnie do drzewa domeny):
Wracamy do naszej grupy i testowo przypisujemy jednego z członków, w naszym przypadku będzie to komputer o nazwie: COMP01
Przechodzimy na komputer, następnie aplikujemy polityki z użyciem polecenia gpupdate /force
sprawdzamy czy nasza polityka zaaplikowała się poprawnie używając polecenia gpresult /r
Polityka się poprawnie zaaplikowała – sprawdźmy jak wygląda status naszego szyfrowania, klikamy prawym przyciskiem myszy na dysku i wskazujemy Zarządzaj funkcją BitLocker
stosowny komunikat informuje nas żę dysk już jest zaszyfrowany – zatem działa. Kolejny sprawdzony sposób
No dobrze ale gdzie znajdziemy klucze odzyskiwania – w końcu proces szyfrowania odbył się całkowicie automatycznie. Zgodnie z ustaleniami nasza polityka ma przechowywać klucze w usłudze Active Directory. Aby móc je odczytać wymagana jest funkcja Bitlocker Drive Encryption. Nie jest ona domyślnie instalowana z rolą Active Directory, należy dodać ją samodzielnie np używając serwer menadżera. Dodajemy Role i Funkcje:
na zakładce z funkcjami dodatkowymi wybieramy BitLocker Drive Encryption:
Funkcja wymaga restartu, po jego wykonaniu otrzymamy informacje:
Poszukajmy naszego komputera COMP01 z poziomu przystawki użytkownicy i komputery domeny, następnie otwórzmy obiekt i sprawdźmy nowo dodaną zakładkę BitLocker Recovery i tutaj klucz wraz ze szczegółami jest widoczny:
W razie problemów będziemy mogli odszyfrować dysk.
Jeżeli mój wpis Ci się spodobał, pomógł w pracy? Chcesz mnie wspierać? Postaw kawę! To dzięki waszemu wsparciu nie ma reklam! Poniżej kod QR do płatności który jest jednocześnie linkiem do PayPal.
