Ich habe vor kurzem vor etwa einem Monat hier dieselbe Frage gestellt -> BitLocker-Wiederherstellungsschlüssel werden nicht im Active Directory angezeigt
Aber die Dinge haben sich inzwischen geändert und ich erhalte immer noch die gleichen Ergebnisse. Ich werde in diesem Beitrag so detailliert wie möglich vorgehen, damit ich (hoffentlich) keine weiteren Beiträge verfassen muss.
Ok, wir müssen diese Schlüssel also in AD speichern, um die Anforderungen des US-Verteidigungsministeriums zu erfüllen, und ich habe ein bisschen Java geschrieben, um herauszufinden, wie viele wir haben. Nachdem ich mein Java ausgeführt habe, haben 97 von 230 Computern einen gespeicherten Schlüssel in AD.
Ich habe eine Gruppenrichtlinie für Bitlocker erstellt und sie "GP - Bitlocker" genannt.
Die ersten Einstellungen, die ich geändert habe, befinden sich in diesem Verzeichnis: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerkverschlüsselung
„Bitlocker-Wiederherstellungsinformationen im Active Directory-Domänendienst speichern“
„Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen (Windows 8 / Server 2012)“
„Laufwerkverschlüsselungsmethode und Verschlüsselungsstärke auswählen (Windows 10)“
Zusätzlich habe ich die Einstellungen in ../Betriebssystemlaufwerke geändert (wobei .. das vorherige Verzeichnis ist).
„Beim Start zusätzliche Authentifizierung erforderlich“
„Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen“
„Wählen Sie, wie durch BitLocker geschützte Betriebssystemlaufwerke wiederhergestellt werden können“
Was die Verknüpfung der Gruppenrichtlinie betrifft, so ist sie in einem Verzeichnis mit all meinen anderen Gruppenrichtlinien gespeichert, die wir in unserer Domäne haben und das den Namen „Gruppenrichtlinienobjekte“ trägt. Sie war mit allen Organisationseinheiten verknüpft, bei denen wir die Gruppenrichtlinie aktivieren wollten, wir haben sie jedoch entfernt, weil sie nicht funktionierte und wir Tests nur auf einer begrenzten Anzahl von Computern durchführen wollten.
Im Moment ist „GP - Bitlocker“ mit 2 OUs verknüpft, „Testumgebung“ und „Unbekannt“. „Unbekannt“ ist eine OU mit Computern echter Leute in unserer Domäne mit einer nicht angegebenen Abteilung und „Testumgebung“ sind nur temporäre Computer, die wir zum Testen von GPs verwenden.
„Nicht bekannt“ hatte 4/16 Computer mit einem gespeicherten Schlüssel und die Testumgebung hat 1/4 Computer mit einem gespeicherten Schlüssel.
Unser Angebot für den Hausarzt
Momentan gehen wir davon aus, dass viele unserer Mitarbeiter das GP-Update nicht erhalten können, weil sie sich nicht regelmäßig mit dem VPN verbinden oder sich nicht einmal an ihren Computern anmelden. Wir sind ein Bauunternehmen und haben daher viele Leute, die monatelang im Außendienst arbeiten und ihre Computer nicht benutzen. Ich denke jedoch, dass 97 eher bei etwa 180 liegen sollte, um für diejenigen, die Computer im Außendienst haben, genau zu sein. Wenn mir Informationen fehlen, lassen Sie es mich bitte wissen und ich werde die Lücken gerne füllen.
Antwort1
Nick, als Sie Ihre erste Frage gestellt haben, lauteten Ihre Einstellungen für Wiederherstellungskennwörter (der 48-stellige Schlüssel, der im AD-Computerobjekt auf der Registerkarte „Bitlocker-Wiederherstellung“ angezeigt wird): „48-stellige Wiederherstellungskennwörter nicht zulassen“
Jetzt haben Sie das geändert, um die Wiederherstellungskennwörter anzufordern. Da diese Systeme jedoch bereits verschlüsselt sind, gelangen diese Kennwörter niemals ins AD (da sie nur im Moment der Verschlüsselung und NICHT danach gespeichert werden), es sei denn, Sie erstellen sie manuell. Dies sollte mithilfe eines Skripts erfolgen, das Sie als sofort geplante Aufgabe bereitstellen, z. B. Batchcode für Laufwerke C::
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b