約1か月前にここで同じ質問をしました -> BitLocker 回復キーが Active Directory に表示されない
しかし、状況は変わり、依然として同じ結果が得られています。この投稿では、これ以上投稿する必要がないように、できるだけ詳しく説明します (できれば)。
さて、DoD の要件を満たすには、これらのキーを AD に保存する必要があります。キーの数を調べるために、Java を少し書きました。Java を実行した結果、230 台のコンピューターのうち 97 台のコンピューターに AD にキーが保存されていることがわかりました。
Bitlockerのグループポリシーを作成し、「GP - Bitlocker」という名前を付けました
最初に変更した設定は、次のディレクトリにあります: コンピューターの構成 -> ポリシー -> 管理用テンプレート -> Windows コンポーネント -> Bitlocker ドライブ暗号化
「BitLocker 回復情報を Active Directory ドメイン サービスに保存する」
「ドライブの暗号化方法と暗号強度を選択する (Windows 8 / Server 2012)」
「ドライブの暗号化方法と暗号強度を選択する (Windows 10)」
「ドライブの暗号化方法と暗号強度を選択する (Windows Server 2008、Windows 7)」
さらに、../Operating System Drives(..は以前のディレクトリ)の設定を変更しました。
「オペレーティング システム ドライブにドライブ暗号化タイプを適用する」
「BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する」
グループ ポリシーがリンクされている場所については、ドメインにある他のすべてのグループ ポリシーとともに、「グループ ポリシー オブジェクト」という名前のディレクトリに保存されています。これは、GP を有効にしたいすべての OU にリンクされていましたが、機能せず、限られたコンピューターでのみテストを実行したいため、リンクを解除しました。
現在、「GP - Bitlocker」は、「Test_Environment」と「Not unknown」の 2 つの OU にリンクされています。Not known は、部門が指定されていないドメイン上の実際のユーザーのコンピューターを含む OU であり、test_environment は GP をテストするために使用する一時的なコンピューターです。
「不明」には、キーが保存されているコンピューターが 16 台中 4 台あり、test_enivronment には、キーが保存されているコンピューターが 4 台中 1 台あります。
現時点では、多くの従業員が VPN に常時接続していないか、コンピューターにログオンしていないため、GP アップデートを取得できないのではないかと考えています。当社は建設会社であるため、現場で数か月間働き、コンピューターを使わない従業員もたくさんいます。ただし、現場でコンピューターを使用している従業員にとって正確な数値は、97 ではなく 180 前後であるべきだと思います。不足している情報があればお知らせください。喜んで補足いたします。
答え1
Nick、最初の質問のとき、回復パスワード(BitLocker 回復タブの AD コンピュータ オブジェクトに表示される 48 桁のキー)の設定は、「48 桁の回復パスワードを許可しない」でした。
これで、回復パスワードを要求するように変更されました。ただし、これらのシステムはすでに暗号化されているため、手動で作成しない限り、これらのパスワードは AD に届くことはありません (パスワードは暗号化の瞬間のみに保存され、その後は保存されないため)。これは、即時スケジュール タスクとして展開するスクリプトを使用して行う必要があります。たとえば、c: ドライブのバッチ コードなどです。
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b