Comment stocker et gérer les clés de récupération BitLocker dans Active Directory (AD)

BitLocker est intégré Windows Cette fonctionnalité assure le chiffrement complet du disque afin de protéger les données sur les postes de travail et les serveurs. En entreprise, il est essentiel de stocker en toute sécurité les clés de récupération BitLocker pour garantir la récupération des données en cas d'oubli du mot de passe ou de problème matériel.

Ce guide vous explique comment stocker et gérer les clés de récupération BitLocker dans Active Directory (AD). Nous aborderons les prérequis, la configuration des stratégies de groupe, la sauvegarde des clés et la procédure de récupération par les administrateurs en cas de besoin.

Serveurs Cloud à partir de 4 € / moisIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal 100 MbpsEssai

Exigences

Avant de configurer l'intégration de BitLocker avec Active Directory, assurez-vous que les conditions suivantes sont remplies :

1. Un ordinateur avec Version TPM 1.2 ou plus récente
2. TPM activé dans le BIOS/UEFI
3. Démarrage sécurisé activé (si pris en charge)
4. A Windows domaine avec Active Directory
5. Accès administratif à Gestion des politiques de groupe

Création d'une stratégie de groupe pour les clés de récupération BitLocker

Pour garantir que les clés de récupération BitLocker soient automatiquement stockées dans Active Directory, vous devez configurer un objet de stratégie de groupe (GPO) qui s'applique aux ordinateurs du domaine.

Tout d'abord, créez l'objet que vous souhaitez utiliser dans la stratégie, pour cette ouverture Windows Explorer en appuyant sur une combinaison de touches Win + E, ensuite dans le champ ci-dessus entrez Panneau de configuration\Système et sécurité\Outils d'administration dans ce dossier, choisissez AD User and Computers :

Dans cet utilitaire, créez une nouvelle unité d'organisation ou un nouvel objet que vous souhaitez appliquer par politique de chiffrement de disque, pour cela cliquez sur le nom de domaine, choisissez Nouvelle et Unité d'organisation :

Ajoutez un ordinateur sur votre machine à OU :

Localiser le système de gestion des stratégies de groupe est un jeu d'enfant - effectuez simplement une recherche ou utilisez la commande suivante en appuyant sur Win + R:

Ensuite, établissez une nouvelle stratégie de groupe au sein de l'unité organisationnelle désignée qui englobe les ordinateurs sur lesquels vous souhaitez stocker automatiquement les clés. Par exemple, vous pouvez l'appliquer à l'UO « Ordinateur ». Cependant, nous pouvons l'appliquer à n'importe quel objet dans Active Directory : forêt, domaine, sites, UO ou unité organisationnelle, tous ces éléments pouvant être configurés.

Cliquez avec le bouton droit de la souris sur votre objet et choisissez le point d'accord comme dans l'image ci-dessus :

Configurer le GPO pour le domaine

Commencez par établir une stratégie de groupe distincte. Accédez ensuite à la section GPO spécifiée, comme illustré ci-dessous, et activez l'option de stratégie Store BitLocker recovery information in AD. Suivre le chemin Configuration ordinateur -> Stratégies -> Modèles d'administration -> Windows Composants -> Chiffrement de lecteur BitLocker, choisissez ce paramètre et changez la valeur en Les utilisateurs de l’app Smart Spaces avec Google Wallet profitent d’un accès mobile sans contact avec tout lecteur HID® Signo™ compatible NFC..

Continuons l'installation, vous devez maintenant aller dans le dossier juste en dessous de la liste des menus à gauche et sélectionner le deuxième dossier d'exploitation, dans lequel il y aura un fichier avec les paramètres du Store, en l'ouvrant avec un double clic, allez dans le panneau et sélectionnez Activé.

Cochez toutes les cases comme dans l'écran ci-dessus dans le champ des options, puis assurez-vous de cocher la dernière case en raison d'un problème potentiel de récupération. Si vous souhaitez enregistrer les clés sur un périphérique amovible, vous devez choisir le fichier de configuration correspondant et activer cette fonction.

Politique de mise à jour

La prochaine étape consistera à mettre à jour la politique ou les règles que nous configurons à l'étape ci-dessus, pour ce type de commande dans le CLI et attendez un peu:

Gestion des données BitLocker dans AD

Pour gérer et configurer efficacement BitLocker sur les ordinateurs clients, il est impératif d'installer les composants requis sur le serveur. Ce faisant, vous obtenez la possibilité de superviser et d'affiner les paramètres BitLocker, garantissant une sécurité et un chiffrement optimaux pour les ordinateurs clients :

Une fois le composant installé avec succès, un redémarrage du serveur est essentiel pour terminer la configuration. Une fois que le serveur est opérationnel, accédez au Panneau de configuration pour les utilisateurs et les composants AD. Accédez aux propriétés du PC, où vous trouverez maintenant un nouvel onglet intitulé "BitLocker Recovery". Dans cet onglet, vous obtenez le privilège d'afficher la clé de cryptage, fournissant des informations essentielles sur l'état de cryptage BitLocker et les options de récupération pour le PC.

Dans le cas où un utilisateur rencontre des difficultés de connexion, l'administrateur du domaine a la possibilité de récupérer la clé de chiffrement du domaine. ArmGrâce à cette clé, l'utilisateur peut se connecter sans effort et sans aucun obstacle. Ce processus de récupération transparent garantit un accès rapide et minimise les perturbations potentielles causées par les complications de connexion, garantissant une expérience utilisateur fluide.

Dans le cas où un utilisateur rencontre des problèmes de connexion, l'administrateur a la possibilité de récupérer la clé de chiffrement du domaine. Avec cette clé en main, l'utilisateur peut se connecter sans effort et sans rencontrer d'obstacle. Ce processus de récupération transparent garantit un accès rapide et minimise les perturbations potentielles causées par des complications de connexion.

Les clés de récupération peuvent être identifiées à l'aide des 8 premiers caractères de l'identifiant du mot de passe de récupération, ce qui facilite la localisation de la clé appropriée dans Active Directory.

Pour garantir une sécurité maximale, l'accès exclusif à la clé BitLocker est accordé uniquement à l'administrateur du domaine. Néanmoins, si nécessaire, les autorisations peuvent être ajustées pour permettre à d'autres utilisateurs du domaine d'accéder à la clé BitLocker. Cette flexibilité permet une approche contrôlée et bien gérée de l'octroi des droits de récupération des clés, permettant ainsi au personnel approprié d'accéder et de gérer le processus de récupération BitLocker selon les besoins.

Activation du chiffrement BitLocker sur le lecteur

Une fois la clé de récupération sauvegardée dans Active Directory, le chiffrement BitLocker peut être activé en toute sécurité sur le lecteur.

Une fois que votre clé est stockée en toute sécurité dans le domaine, BitLocker lance automatiquement le processus de chiffrement du lecteur. Cette approche simplifiée garantit une protection transparente des données.

De plus, vous avez la possibilité d'utiliser plusieurs mots de passe BitLocker sur un seul PC, chacun associé à différents lecteurs flash portables. Cette fonctionnalité polyvalente permet un cryptage de données pratique et personnalisé pour divers périphériques de stockage.

Le disque est-il crypté ?

Si vous avez chiffré votre disque avant cette étape, vous devez connaître leur ID et les ajouter au stockage système à des fins de récupération :

En exécutant cette commande, vous accédez aux détails complets des protecteurs de chiffrement BitLocker associés au lecteur spécifié. Remplacez "c:" par la lettre correspondant au lecteur spécifique sur lequel vous souhaitez vous renseigner. Lors de l'exécution de la commande dans l'invite de commande ou dans PowerShell, des informations pertinentes telles que les mots de passe de récupération, les clés de récupération ou les protecteurs TPM (selon la méthode de chiffrement utilisée pour ce lecteur) seront affichées.

Dans ce processus, nous devons récupérer un ID (par exemple, 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

Pour continuer, suivez les instructions de configuration et entrez la commande suivante dans l'interface fournie. Cette étape cruciale garantit la progression transparente du processus de configuration, libérant tout le potentiel du chiffrement BitLocker :

Avec cette commande, la clé spécifiée sera sauvegardée en toute sécurité dans Active Directory, garantissant une protection et une récupération améliorées de votre lecteur chiffré.

Résultat

Ce guide explique comment stocker et gérer les clés de récupération BitLocker dans Active Directory à l'aide de la stratégie de groupe. Le stockage centralisé des clés garantit une récupération sécurisée, simplifie l'administration et réduit le risque de perte définitive de données.

Une intégration correcte de BitLocker et d'Active Directory est un élément essentiel des stratégies de protection des données d'entreprise, aidant les organisations à maintenir la sécurité tout en assurant la continuité des opérations.

FAQ - Clés de récupération BitLocker dans Active Directory (AD)

• Q : Quel est l’objectif du stockage des clés de récupération BitLocker dans Active Directory ?
  R : Le stockage des clés de récupération BitLocker dans AD centralise la gestion des clés, garantissant un stockage sécurisé et une récupération facile si les utilisateurs rencontrent des problèmes de connexion ou des clés de chiffrement perdues.
• Q : Qui peut accéder aux clés de récupération BitLocker dans AD ?
  R : Par défaut, seuls les administrateurs de domaine ont accès aux clés de récupération. Des autorisations peuvent être configurées pour accorder l'accès à des utilisateurs ou des groupes spécifiques si nécessaire.
• Q : Comment sauvegarder une clé BitLocker sur Active Directory ?
  R : Utilisez la commande manage-bde -protectors -adbackup avec l’ID de clé du lecteur chiffré pour stocker en toute sécurité la clé de récupération dans AD.
• Q : Quelles sont les exigences pour intégrer BitLocker à AD ?
  R : Vous avez besoin d’un ordinateur compatible TPM (version 1.2 ou supérieure), d’un BIOS/UEFI avec TPM activé, d’un démarrage sécurisé (si pris en charge) et d’une configuration de stratégie de groupe appropriée dans votre domaine.
• Q : Comment puis-je vérifier si un lecteur est chiffré avec BitLocker ?
  A : Utilisez la commande manage-bde -protectors -get : dans l'invite de commandes ou PowerShell pour afficher l'état du chiffrement, les mots de passe de récupération et les protecteurs TPM.
• Q : Plusieurs mots de passe BitLocker peuvent-ils être utilisés sur un seul PC ?
  R : Oui, vous pouvez attribuer plusieurs mots de passe de récupération à un seul PC, y compris ceux associés à différents lecteurs amovibles, pour fournir une gestion flexible du cryptage.
• Q : Où sont stockées les clés de récupération BitLocker dans Active Directory ?
  A : Les clés de récupération sont stockées en tant qu'attributs de l'objet ordinateur dans Active Directory et peuvent être consultées par les administrateurs autorisés.