Cómo almacenar y administrar claves de recuperación de BitLocker en Active Directory (AD)

BitLocker es un sistema integrado Windows Función que proporciona cifrado completo de disco para proteger los datos en estaciones de trabajo y servidores. En entornos empresariales, es fundamental almacenar de forma segura las claves de recuperación de BitLocker para garantizar la recuperación de datos si los usuarios olvidan sus contraseñas o experimentan problemas de hardware.

En esta guía, aprenderá a almacenar y administrar las claves de recuperación de BitLocker en Active Directory (AD). Abordaremos los requisitos, la configuración de la directiva de grupo, la copia de seguridad de las claves y cómo los administradores pueden recuperar las claves de recuperación cuando sea necesario.

Servidores Cloud desde 4€/mesIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal de 100 Mbpstry

Requisitos

Antes de configurar la integración de BitLocker con Active Directory, asegúrese de que se cumplan los siguientes requisitos:

1. una computadora con Versión 1.2 o más reciente de TPM
2. TPM habilitado en BIOS/UEFI
3. Arranque seguro habilitado (si es compatible)
4. A Windows dominio con Active Directory
5. Acceso administrativo a Administración de Políticas de Grupo

Creación de una directiva de grupo para las claves de recuperación de BitLocker

Para garantizar que las claves de recuperación de BitLocker se almacenen automáticamente en Active Directory, debe configurar un objeto de política de grupo (GPO) que se aplique a los equipos del dominio.

En primer lugar, cree el objeto que desea usar en la política, para eso abra Windows Explorador presionando combinación de teclas Win + E, a continuación en el campo de arriba ingrese Panel de control\Sistema y seguridad\Herramientas administrativas en esa carpeta elija AD User and Computers:

En esa utilidad creamos nueva unidad organizativa u objeto al que queremos aplicar la política de cifrado de disco, para ello hacemos clic en el nombre del dominio elegimos Nuevo y Unidad organizativa:

Agregue una computadora en su máquina a OU:

Localizar el sistema de administración de directivas de grupo es muy sencillo: simplemente realice una búsqueda o utilice el siguiente comando presionando Win + R:

A continuación, establezca una nueva política de grupo dentro de la unidad organizativa designada que abarque los equipos en los que desea almacenar claves automáticamente. Por ejemplo, puede aplicarla a la unidad organizativa "Equipo". Sin embargo, podemos aplicarla a cualquier objeto en Active Directory: bosque, dominio, sitios, unidad organizativa o unidad organizativa; todo eso se puede configurar.

Haga clic derecho sobre el objeto y elija el punto correspondiente como se muestra en la imagen de arriba:

Configurar GPO para dominio

Comience por establecer una política de grupo distinta. Luego navegue a la sección de GPO especificada como se ilustra a continuación y proceda a activar la opción Almacenar la información de recuperación de BitLocker en la política de AD. seguir camino Configuración del equipo -> Políticas -> Plantillas administrativas -> Windows Componentes -> Cifrado de unidad BitLocker, elija ese parámetro y cambie el valor a Los usuarios de la app Smart Spaces con Google Wallet disfrutan de acceso móvil sin contacto con cualquier lector HID® Signo™ con NFC..

Continuemos con la instalación, ahora debemos ir a la carpeta que está justo debajo de la lista del menú a la izquierda y seleccionar la segunda carpeta Operativa, en la cual estará el archivo con las configuraciones de la Tienda, abriéndola con doble clic, ir al panel y seleccionar Habilitado.

Marque todas las casillas como en la pantalla de arriba en el campo de opciones y luego asegúrese de marcar la última casilla debido a un posible problema de recuperación. Si desea guardar las claves en un dispositivo extraíble, debe elegir el archivo de configuración de acuerdo y Habilitar esa función.

Política de actualización

El siguiente paso será actualizar la política o las reglas que configuramos en el paso anterior, para ese tipo de comando en el CLI y espera un tiempo:

Administrar datos de BitLocker en AD

Para administrar y configurar BitLocker de manera eficaz en los equipos cliente, es imprescindible instalar los componentes necesarios en el servidor. De esta manera, obtendrá la capacidad de supervisar y ajustar la configuración de BitLocker, lo que garantiza una seguridad y un cifrado óptimos para los equipos cliente:

Después de instalar correctamente el componente, es esencial reiniciar el servidor para completar la configuración. Una vez que el servidor esté en funcionamiento, vaya al Panel de control para usuarios y componentes de AD. Accede a las propiedades de la PC, donde ahora encontrarás una nueva pestaña llamada "Recuperación de BitLocker". Dentro de esta pestaña, obtiene el privilegio de ver la clave de cifrado, lo que proporciona información esencial sobre el estado de cifrado de BitLocker y las opciones de recuperación para la PC.

En el caso de que un usuario tenga dificultades para iniciar sesión, el administrador del dominio posee la capacidad de recuperar la clave de cifrado del dominio. Armed con esta clave, el usuario puede iniciar sesión sin esfuerzo y sin ningún impedimento. Este proceso de recuperación sin problemas garantiza un acceso rápido y minimiza las posibles interrupciones causadas por complicaciones de inicio de sesión, lo que garantiza una experiencia de usuario fluida.

En caso de que un usuario encuentre problemas de inicio de sesión, el administrador tiene la capacidad de recuperar la clave de cifrado del dominio. Con esta llave en la mano, el usuario puede iniciar sesión sin esfuerzo y sin ningún obstáculo. Este proceso de recuperación sin interrupciones garantiza un acceso rápido y minimiza las posibles interrupciones causadas por complicaciones de inicio de sesión.

Las claves de recuperación se pueden identificar utilizando los primeros 8 caracteres del ID de la contraseña de recuperación, lo que facilita la localización de la clave correcta en Active Directory.

Para garantizar la máxima seguridad, el acceso exclusivo a la clave de BitLocker se otorga únicamente al administrador del dominio. Sin embargo, si es necesario, los permisos se pueden ajustar para proporcionar a otros usuarios del dominio acceso a la clave de BitLocker. Esta flexibilidad permite un enfoque controlado y bien administrado para otorgar derechos de recuperación de claves, lo que permite que el personal adecuado acceda y administre el proceso de recuperación de BitLocker según sea necesario.

Habilitar el cifrado BitLocker en la unidad

Una vez que se realiza una copia de seguridad de la clave de recuperación en Active Directory, se puede habilitar de forma segura el cifrado de BitLocker en la unidad.

Una vez que su clave se almacena de forma segura en el dominio, BitLocker inicia automáticamente el proceso de cifrado de la unidad. Este enfoque simplificado garantiza una protección de datos perfecta.

Además, tiene la flexibilidad de utilizar varias contraseñas de BitLocker en una sola PC, cada una asociada con diferentes unidades flash portátiles. Esta característica versátil permite un cifrado de datos conveniente y personalizado para varios dispositivos de almacenamiento.

¿El disco está encriptado?

Si encriptó su disco antes de ese paso, entonces necesita conocer su ID y agregarlo al almacenamiento del sistema para fines de recuperación:

Al ejecutar este comando, obtiene acceso a los detalles completos de los protectores de cifrado de BitLocker asociados con la unidad especificada. Reemplace "c:" con la letra correspondiente a la unidad específica sobre la que desea consultar. Al ejecutar el comando en el Símbolo del sistema o en PowerShell, se mostrará la información pertinente, como contraseñas de recuperación, claves de recuperación o protectores TPM (según el método de cifrado empleado para esa unidad).

En ese proceso necesitamos recuperar una ID (por ejemplo, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

Para continuar, siga las instrucciones de configuración y proceda a ingresar el siguiente comando en la interfaz provista. Este paso fundamental garantiza la progresión perfecta del proceso de configuración, desbloqueando todo el potencial del cifrado de BitLocker:

Con este comando, se realizará una copia de seguridad de la clave especificada en Active Directory, lo que garantiza una mejor protección y recuperación de su unidad cifrada.

Resultado

En esta guía, mostramos cómo almacenar y administrar las claves de recuperación de BitLocker en Active Directory mediante la directiva de grupo. El almacenamiento centralizado de claves garantiza una recuperación segura, simplifica la administración y reduce el riesgo de pérdida permanente de datos.

La integración adecuada de BitLocker y AD es un componente fundamental de las estrategias de protección de datos empresariales, que ayuda a las organizaciones a mantener la seguridad y al mismo tiempo garantizar la continuidad operativa.

Preguntas frecuentes sobre las claves de recuperación de BitLocker en Active Directory (AD)

• P: ¿Cuál es el propósito de almacenar claves de recuperación de BitLocker en Active Directory?
  R: Almacenar las claves de recuperación de BitLocker en AD centraliza la administración de claves, lo que garantiza un almacenamiento seguro y una fácil recuperación si los usuarios encuentran problemas de inicio de sesión o pierden claves de cifrado.
• P: ¿Quién puede acceder a las claves de recuperación de BitLocker en AD?
  R: De forma predeterminada, solo los administradores de dominio tienen acceso a las claves de recuperación. Se pueden configurar permisos para otorgar acceso a usuarios o grupos específicos si es necesario.
• P: ¿Cómo puedo realizar una copia de seguridad de una clave de BitLocker en Active Directory?
  R: Utilice el comando manage-bde -protectors -adbackup con el ID de clave de la unidad cifrada para almacenar de forma segura la clave de recuperación en AD.
• P: ¿Cuáles son los requisitos para integrar BitLocker con AD?
  R: Necesita una computadora con TPM habilitado (versión 1.2 o superior), BIOS/UEFI con TPM habilitado, Arranque seguro (si es compatible) y una configuración de política de grupo adecuada en su dominio.
• P: ¿Cómo puedo comprobar si una unidad está cifrada con BitLocker?
  A: Utilice el comando manage-bde -protectors -get :en el símbolo del sistema o PowerShell para ver el estado del cifrado, las contraseñas de recuperación y los protectores TPM.
• P: ¿Se pueden utilizar varias contraseñas de BitLocker en una sola PC?
  R: Sí, puede asignar múltiples contraseñas de recuperación a una sola PC, incluidas aquellas asociadas a diferentes unidades extraíbles, para proporcionar una gestión de cifrado flexible.
• P: ¿Dónde se almacenan las claves de recuperación de BitLocker en Active Directory?
  R: Las claves de recuperación se almacenan como atributos del objeto de computadora en Active Directory y los administradores autorizados pueden verlas.