Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

Archiwizacja kluczy BitLockera w Active Directory

Data publikacji: 26-03-2015 Autor: Jacek Światowiak
Rys. 2. Opcje BitLockera dla...
Rys. 3. Opcje BitLockera dla...
Rys_4b.jpg Rys. 4a, 4b....
Rys. 5. Opcje klucza polisy...
Rys. 6. Opcje klucza polisy...
Rys. 7. Klasa...
Rys. 8a, 8b. Zakładka...
Rys. 9. Manualne wymuszenie...
Rys. 10a, 10b. Miejsce...
Rys. 11. Efekt działania...

W artykule poruszamy kwestie zarządzania BitLockerem oraz modułem TPM z poziomu usługi Active Directory w aspekcie archiwizacji kluczy i haseł w katalogu AD.

Mechanizm szyfrowania dysków twardych BitLocker znany jest już od czasów Windows Vista. Pozwala on na szyfrowanie w locie partycji z danymi użytkowników oraz partycji systemowych/rozruchowych. Procedura aktywacji jest dość prosta i nie będzie omawiana w niniejszym artykule (pisaliśmy na ten temat szczegółowo w numerze 10/2012 „IT Professional”). W przypadku ochrony partycji systemowej lub rozruchowej w momencie startu wymagane jest podanie klucza startowego z nośnika USB lub klawiatury. Jeżeli komputer wyposażony jest w moduł TPM, klucz startowy do BitLockera może pochodzić bezpośrednio z tego modułu, nie jest wtedy wymagane podawanie klucza z klawiatury w momencie startu. Przykłady konfiguracji pracy BitLockera prezentuje rys. 1.

 

W przypadku gdy zapomnimy klucza startowego (Startup Key) lub klucz ten uległby uszkodzeniu/zagubieniu (np. w wyniku utraty napędu pendrive), do zaszyfrowanej partycji można uzyskać dostęp, korzystając z klucza odzyskiwania (Recovery Key).

Przykładowy klucz odzyskiwania ma postać: 323462–137856–366233–264767–326568–134503–171260–099095

 

BitLockera można włączyć samodzielnie, klikając prawym przyciskiem myszy na określonym dysku, woluminie bądź partycji. W zależności od tego, czy jest to dysk zawierający elementy systemu operacyjnego, dostępne będą różne opcje konfiguracyjne. Na rys. 2 zaprezentowano opcje BitLockera dla partycji/woluminów systemowych/rozruchowych (na przykładzie Windows 8.1 PL).

 

W przypadku partycji systemowej/uruchomieniowej (wykorzystującej moduł TPM) możemy utworzyć kopię zapasową klucza odzyskiwania i zapisać ją w pliku lub wydrukować. Na rys. 3 przedstawiono opcje BitLockera dla partycji/woluminów innych niż systemowe lub rozruchowe. Opcje Bit­Lockera dla dysków wymiennych (removable)/pamięci flash są identyczne jak dla zwykłych dysków twardych.

 

W przypadku innych partycji/woluminów możemy zmienić hasło dostępowe do zaszyfrowanej partycji, a także utworzyć kopię zapasową klucza odzyskiwania w pliku bezpośrednio na USB lub wydrukować. Dostęp do partycji/woluminów innych niż systemowe/rozruchowe możliwy jest również na podstawie certyfikatu, np. przechowywanego na karcie inteligentnej.

> Zarządzanie BitLockerem oraz modułem TPM w środowisku domenowym

W środowisku korporacyjnym manualne zarządzanie kluczami odzyskiwania dla BitLockera oraz konfiguracją samego BitLockera i modułu TPM jest niewygodne. Możemy zautomatyzować proces konfiguracji z wykorzystaniem polis domenowych, zaś same klucze odzyskiwania BitLockera oraz hasło właściciela modułu TPM przechowywać jako atrybuty obiektu konta komputera w środowisku domenowym.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"