Recientemente hice esta misma pregunta aquí hace aproximadamente un mes -> Las claves de recuperación de BitLocker no se muestran en Active Directory
Pero las cosas han cambiado ahora y sigo obteniendo los mismos resultados. Voy a entrar en detalles lo más que pueda en esta publicación para no tener que hacer más publicaciones (con suerte).
Bien, entonces necesitamos almacenar estas claves en AD para cumplir con los requisitos del Departamento de Defensa y escribí un poco de Java para saber cuántas tenemos. Después de ejecutar Java, tenemos 97 de 230 computadoras que tienen una clave almacenada en AD.
Creé una política de grupo para Bitlocker y la llamé "GP - Bitlocker".
Las primeras configuraciones que cambié están en este directorio: Configuración de la computadora -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Cifrado de unidad Bitlocker
"Almacenar información de recuperación de Bitlocker en el servicio de dominio del directorio activo"
"Elija el método de cifrado de la unidad y la intensidad del cifrado (Windows 8/Server 2012)"
"Elija el método de cifrado de la unidad y la intensidad del cifrado (Windows 10)"
Además, he cambiado la configuración en ../Operating System Drives (siendo .. el directorio anterior)
"Requerir autenticación adicional al inicio"
"Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo"
"Elija cómo se pueden recuperar las unidades del sistema operativo protegidas con BitLocker"
En cuanto a dónde está vinculada la política de grupo, se almacena en un directorio con todas mis otras políticas de grupo que tenemos en nuestro dominio llamado "Objetos de política de grupo". Estaba vinculado a todas las unidades organizativas en las que queríamos tener habilitado el GP, pero lo quitamos porque no funcionaba y solo queríamos ejecutar pruebas en computadoras limitadas.
Por el momento, "GP - Bitlocker" está vinculado a 2 unidades organizativas, "Test_Environment" y "No conocido". No se conoce una unidad organizativa con computadoras de personas reales en nuestro dominio con un departamento no especificado y test_environment son solo computadoras temporales que usamos para probar los médicos de cabecera.
"No conocido" tenía 4/16 computadoras con una clave almacenada y test_enivronment tiene 1/4 de computadoras con una clave almacenada.
Nuestro alcance para el médico de cabecera
En este momento, lo que estamos pensando es que, dado que muchos de nuestros empleados no se conectan constantemente a la VPN o ni siquiera inician sesión en sus computadoras, no pueden obtener la actualización de GP. Somos una empresa constructora y como tal, tenemos mucha gente que trabaja en el campo durante meses seguidos y no usa sus computadoras. Sin embargo, creo que 97 debería ser más o menos 180 para ser exactos para aquellos que tienen computadoras en el campo. Si me falta alguna información, hágamelo saber y estaré encantado de completar los espacios.
Respuesta1
Nick, cuando hiciste tu primera pregunta, tu configuración para las contraseñas de recuperación (la clave de 48 dígitos que aparece en el objeto de la computadora AD en la pestaña de recuperación de Bitlocker) fue: "No permitir contraseña de recuperación de 48 dígitos".
Ahora cambió eso para requerir las contraseñas de recuperación. Sin embargo, como estos sistemas ya están cifrados, estas contraseñas nunca llegarán a AD (ya que se guardan sólo en el momento del cifrado y NO después), a menos que las cree manualmente. Esto debe hacerse utilizando un script que implemente como tarea de programación inmediata, por ejemplo, código por lotes para unidades c::
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b