Я недавно задал этот же вопрос здесь, около месяца назад -> Ключи восстановления BitLocker не отображаются в Active Directory
Но сейчас все изменилось, и я все еще получаю те же результаты. Я собираюсь вдаваться в подробности, насколько смогу, для этого поста, чтобы мне не пришлось делать больше постов (надеюсь).
Хорошо, нам нужно хранить эти ключи в AD, чтобы соответствовать требованиям DoD, и я написал немного Java, чтобы узнать, сколько у нас есть. После запуска моего Java у нас есть 97 из 230 компьютеров, которые имеют сохраненный ключ в AD.
Я создал групповую политику для BitLocker и назвал ее «GP - BitLocker».
Первые настройки, которые я изменил, находятся в этом каталоге: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Шифрование диска Bitlocker
«Хранить информацию о восстановлении BitLocker в доменной службе Active Directory»
«Выберите метод шифрования диска и стойкость шифра (Windows 8 / Server 2012)»
«Выберите метод шифрования диска и стойкость шифра (Windows 10)»
«Выберите метод шифрования диска и стойкость шифра (Windows Server 2008, Windows 7)»
Кроме того, я изменил настройки в ../Operating System Drives (где .. — предыдущий каталог)
«Требовать дополнительную аутентификацию при запуске»
«Применить тип шифрования диска на дисках операционной системы»
«Выберите способ восстановления дисков операционной системы, защищенных BitLocker»
Что касается того, куда привязана групповая политика, то она хранится в каталоге со всеми остальными моими групповыми политиками, которые есть в нашем домене, под названием «Объекты групповой политики». Она была привязана ко всем OU, в которых мы хотели включить GP, но отключили ее, потому что она не работала, а мы хотели запустить тесты только на ограниченном количестве компьютеров.
На данный момент «GP - Bitlocker» связан с двумя OU: «Test_Environment» и «Not known». Not known — это OU с реальными компьютерами людей в нашем домене с неуказанным отделом, а test_environment — это просто временные компьютеры, которые мы используем для тестирования GP.
«Not Known» имел 4/16 компьютеров с сохраненным ключом, а test_enivronment имел 1/4 компьютеров с сохраненным ключом.
Наши возможности для врачей общей практики
Сейчас мы думаем, что поскольку многие из наших сотрудников не подключаются к VPN постоянно или даже не входят в свои компьютеры, они не могут получить обновление GP. Мы строительная компания, и поэтому у нас много людей, которые месяцами работают на выезде и не пользуются своими компьютерами. Однако я думаю, что 97 должно быть больше около 180 или около того, чтобы быть точным для тех, у кого есть компьютеры на выезде. Если мне не хватает какой-либо информации, пожалуйста, дайте мне знать, и я с радостью заполню пробелы.
решение1
Ник, когда вы задавали свой первый вопрос, ваши настройки для паролей восстановления (48-значный ключ, который отображается в объекте AD компьютера на вкладке восстановления BitLocker) были следующими: «Не разрешать 48-значный пароль восстановления».
Теперь вы изменили это, чтобы потребовать пароли восстановления. Однако, поскольку эти системы уже зашифрованы, эти пароли никогда не попадут в AD (так как они сохраняются только в момент шифрования, а НЕ после), если вы не создадите их вручную. Это должно быть сделано с помощью скрипта, который вы развертываете как немедленную задачу по расписанию, например, пакетный код для дисков c::
for /f "tokens=1,2" %%a in ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') do manage-bde -protectors -adbackup c: -id %%b