Recentemente fiz esta mesma pergunta aqui há cerca de um mês -> Chaves de recuperação do BitLocker não exibidas no Active Directory
Mas as coisas mudaram agora e ainda estou obtendo os mesmos resultados. Vou entrar em detalhes o máximo que puder neste post para não ter que fazer mais posts (espero).
Ok, precisamos armazenar essas chaves no AD para atender aos requisitos do DoD e escrevi um pouco de Java para descobrir quantas temos. Depois de executar meu Java, temos 97 dos 230 computadores que possuem uma chave armazenada no AD.
Criei uma política de grupo para o bitlocker e a chamei de "GP - Bitlocker"
As primeiras configurações que alterei estão neste diretório: Configuração do Computador -> Políticas -> Modelos Administrativos -> Componentes do Windows -> Criptografia de unidade Bitlocker
"Armazenar informações de recuperação do bitlocker no serviço de domínio do Active Directory"
"Escolha o método de criptografia de unidade e a força da criptografia (Windows 8/Server 2012)"
"Escolha o método de criptografia de unidade e a força da criptografia (Windows 10)"
Além disso, alterei as configurações em ../Operating System Drives (o .. sendo o diretório anterior)
"Exigir autenticação adicional na inicialização"
"Aplicar o tipo de criptografia de unidade nas unidades do sistema operacional"
"Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas"
Quanto ao local onde a política de grupo está vinculada, ela é armazenada em um diretório com todas as minhas outras políticas de grupo que temos em nosso domínio chamado “Objetos de Política de Grupo”. Ele estava vinculado a todas as UOs que queríamos ter o GP habilitado, mas o retiramos porque não estava funcionando e queríamos executar testes apenas em computadores limitados.
No momento, "GP - Bitlocker" está vinculado a 2 UOs, "Test_Environment" e "Notknown". Não se conhece uma UO com computadores de pessoas reais em nosso domínio com um departamento não especificado e test_environment são apenas computadores temporários que usamos para testar GPs.
"Not Known" tinha 4/16 computadores com uma chave armazenada e test_enivronment tinha 1/4 computadores com uma chave armazenada.
No momento, o que estamos pensando é que, como muitos de nossos funcionários não se conectam consistentemente à VPN ou mesmo não fazem login em seus computadores, eles não conseguem obter a atualização do GP. Somos uma empresa de construção e como tal temos muitas pessoas que trabalham no terreno durante meses seguidos e não utilizam o computador. No entanto, acho que 97 deveria ser mais ou menos 180 para ser preciso para aqueles que possuem computadores em campo. Se estiver faltando alguma informação, por favor me avise e terei prazer em preencher as lacunas.
Responder1
Nick, quando você fez sua primeira pergunta, sua configuração para senhas de recuperação (a chave de 48 dígitos que aparece no objeto do computador AD na guia de recuperação do bitlocker) era: "Não permitir senha de recuperação de 48 dígitos"
Agora você mudou isso para exigir as senhas de recuperação. Porém, como esses sistemas já estão criptografados, essas senhas nunca chegarão ao AD (pois são salvas apenas no momento da criptografia e NÃO depois), a menos que você as crie manualmente. Isso deve ser feito usando um script que você implanta como tarefa de agendamento imediato, por exemplo, código em lote para unidades c::
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b