최근 한 달 전쯤에 여기에 같은 질문을 했습니다 -> BitLocker 복구 키가 Active Directory에 표시되지 않음
하지만 이제는 상황이 바뀌었고 여전히 동일한 결과를 얻고 있습니다. 이 게시물에 대해 가능한 한 자세히 설명할 것이므로 더 이상 게시물을 작성할 필요가 없습니다.
좋습니다. DoD 요구 사항을 충족하려면 이러한 키를 AD에 저장해야 하며, 얼마나 많은 키가 있는지 알아보기 위해 Java를 약간 작성했습니다. Java를 실행한 후 AD에 저장된 키가 있는 컴퓨터 230대 중 97대가 있습니다.
Bitlocker에 대한 그룹 정책을 만들고 이름을 "GP - Bitlocker"로 지정했습니다.
내가 변경한 첫 번째 설정은 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> Windows 구성 요소 -> Bitlocker 드라이브 암호화 디렉터리에 있습니다.
"Active Directory 도메인 서비스에 Bitlocker 복구 정보 저장"
"드라이브 암호화 방법 및 암호화 강도 선택(Windows 8/Server 2012)"
"드라이브 암호화 방법 및 암호화 강도 선택(Windows 10)"
"드라이브 암호화 방법 및 암호화 강도 선택(Windows Server 2008, Windows 7)"
또한 ../Operating System Drives(..는 이전 디렉터리임)의 설정을 변경했습니다.
"BitLocker로 보호되는 운영 체제 드라이브를 복구할 수 있는 방법을 선택하세요"
그룹 정책이 연결된 위치는 "그룹 정책 개체"라는 도메인에 있는 다른 모든 그룹 정책과 함께 디렉터리에 저장됩니다. GP를 활성화하기를 원했던 모든 OU에 연결되었지만 작동하지 않고 제한된 컴퓨터에서만 테스트를 실행하기를 원했기 때문에 이를 제거했습니다.
현재 "GP - Bitlocker"는 "Test_Environment" 및 "알 수 없음"이라는 2개의 OU에 연결되어 있습니다. Not Known은 지정되지 않은 부서가 있는 도메인의 실제 사용자 컴퓨터가 있는 OU이며 test_environment는 GP를 테스트하는 데 사용하는 임시 컴퓨터입니다.
"알 수 없음"에는 저장된 키가 있는 4/16개의 컴퓨터가 있고 test_enivronment에는 저장된 키가 있는 1/4개의 컴퓨터가 있습니다.
현재 우리가 생각하는 것은 많은 직원이 지속적으로 VPN에 연결하지 않거나 컴퓨터에 로그인하지 않기 때문에 GP 업데이트를 받을 수 없다는 것입니다. 우리는 건설회사이다 보니 컴퓨터를 사용하지 않고 몇 달 동안 현장에서 일을 하는 사람들이 많습니다. 하지만 현장에서 컴퓨터를 사용하는 분들의 정확한 표현을 위해서는 97이 180 정도가 더 되어야 한다고 생각합니다. 누락된 정보가 있는 경우 알려주시면 기꺼이 채워드리겠습니다.
답변1
Nick, 첫 번째 질문을 하셨을 때 복구 비밀번호 설정(Bitlocker 복구 탭의 AD 컴퓨터 개체에 표시되는 48자리 키)은 "48자리 복구 비밀번호를 허용하지 않음"이었습니다.
이제 복구 비밀번호를 요구하도록 변경했습니다. 그러나 이러한 시스템은 이미 암호화되어 있으므로 이러한 비밀번호는 수동으로 만들지 않는 한 절대 AD에 저장되지 않습니다(암호화 순간에만 저장되고 이후에는 저장되지 않음). 이는 즉각적인 예약 작업으로 배포하는 스크립트(예: c: 드라이브에 대한 배치 코드)를 사용하여 수행해야 합니다.
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b