Innledning
I min forrige artikkel, jeg snakket om hvordan å regulere hvordan BitLocker brukes i din organisasjon gjennom bruk av gruppepolicyinnstillinger. Som jeg antydet mot slutten av denne artikkelen skjønt, en av de store problemene med kryptert media er potensialet for tap av data.
Som du vet, BitLocker kryptert stasjoner er beskyttet av et passord. Problemet er at brukerne er tilbøyelige til å glemme passord, og dermed kunne de ende opp permanent låse seg ut av den krypterte stasjonen. Selv om dataene på stasjonen er fortsatt til stede, fremdeles forekommer tap av data effektivt fordi dataene forblir utilgjengelige for brukeren. Hvis du virkelig stoppe opp og tenke på det, kryptert data som ikke kan dekrypteres er egentlig ikke noe annet enn korrupte data.
Hvis du tenker tilbake til den første artikkelen i denne serien, vil du huske at når du krypterer en drive med BitLocker, viser Windows en melding som ligner på den som er vist i figur A, som forteller deg at i tilfelle at passordet er glemt, kan en gjenopprettingsnøkkel brukes til å få tilgang til stasjonen. Ikke bare Windows automatisk gi deg denne gjenopprettingsnøkkel, tvinger det deg å enten skrive ut gjenopprettingsnøkkel eller lagre det i en fil
Figur A:.
BitLocker beskytter brukerne mot tap av data ved å gi dem en gjenopprettingsnøkkel
å ha en gjenopprettingsnøkkel til å falle tilbake på er en god idé, men i den virkelige verden er det bare ikke praktisk. Hvor mange brukere tror du vil også huske at en gjenopprettingsnøkkel enda eksisterer, langt mindre hvor de satt utskriften? Tapet av en krypteringsnøkkel kan få katastrofale følger i et bedriftsmiljø der data er ofte uerstattelige. Heldigvis trenger du ikke å være avhengig av sluttbrukerne til å holde styr på sine utvinning nøkler. Du kan lagre gjenopprettings nøklene i Active Directory i stedet.
Klargjøre Active Directory
Før vi kan konfigurere BitLocker å lagre recovery nøkler i Active Directory, må vi gjøre litt prep arbeid. Som jeg er sikker på at du allerede vet, ble BitLocker å gå først introdusert med Windows 7 og Windows Server 2008 R2. Som sådan, står det til grunn at hvis du ønsker å støtte BitLocker to Go nøkkel utvinning på Active Directory nivå, så du kommer til å trenge å kjøre noen av Windows Server 2008 R2-koden på domenekontrollere.
Tro det eller ei, trenger du ikke å oppgradere alle domenekontrollere til Windows Server 2008 R2, med mindre du bare vil. I stedet kan du bare bruke en Windows Server 2008 R2 installasjon DVD å utvide Active Directory-skjemaet på domenekontrolleren som fungerer som skjemaet master for Active Directory-skogen.
Før jeg vise deg hvordan du utvide Active Directory-skjemaet, må jeg advare deg om at dette forutsetter at alle dine domenekontrollere kjører Windows 2000 Server SP4 eller nyere. Hvis du har eldre domenekontrollere, så de må oppgraderes før du vil være i stand til å utføre de nødvendige skjema utvidelser.
Du bør også utføre en full system state backup av dine domenekontrollere før utvide Active Directory-skjemaet . Hvis noe skulle gå galt under utvidelsen prosessen, kan det ha en ødeleggende virkning på Active Directory, så det er viktig å ha en god backup som du kan falle tilbake på.
Med det sagt, du kan forlenge Active Directory-skjemaet ved å sette inn Windows Server 2008 R2 installasjon DVD i skjemaet mester. Når du gjør dette, må du åpne et ledetekstvindu ved hjelp av Kjør som Administrator alternativ, og skriv inn følgende kommando (der D: er stasjonen som inneholder installasjonsmediet):
D:
CD \\
CD SUPPORT \\ ADPREP
ADPREP /FORESTPREP
Når ADPrep nyttelaster, vil du bli bedt om å bekrefte at domenekontrollere er alle kjører de riktige versjoner av Windows Server . Bare trykk på C-tasten og trykk på Enter for å starte skjema forlengelse prosess, som vist i figur B. Hele skjemaet forlengelse skal bare ta et par minutter å fullføre.
Figur B :
Active Directory-skjemaet må utvides før BitLocker nøkler kan lagres i Active Directory
Konfigurere gruppepolicyer
Bare strekker Active Directory-skjemaet alene tvinger ikke BitLocker å lagre recovery nøkler i Active Directory. For som vi nødt til å konfigurere noen innstillinger for gruppepolicy.
Begynn prosessen ved å laste group policy som gjelder for arbeidsstasjoner i Group Policy Management Editor. Nå navigere gjennom konsolltreet til Computer Configuration | politikk | Administrative maler: Politikk Definisjoner | Windows-komponenter | BitLocker Drive Encryption | Flyttbare datastasjoner. Som du kanskje husker, snakket jeg om de fleste av de individuelle policyinnstillinger i den forrige artikkelen.
På dette punktet, bør du aktivere nekte skrivetilgang til flyttbare stasjoner ikke er beskyttet av BitLocker-innstillingen, som vist i figur C . Egentlig er dette ikke et absolutt krav, men det gir deg en måte å tvinge brukerne til å kryptere sine USB-minnepinner. Hvis du kommer til å tvinge brukerne til å bruke BitLocker-kryptering, så du kan også være lurt å velge Ikke tillat skrivetilgang til enheter som er konfigurert i en annen organisasjon. Igjen, dette er ikke et krav, men det hjelper å forbedre sikkerheten
Figur C:.
Hvis du vil tvinge BitLocker-kryptering for flyttbare stasjoner, må du aktivere Nekt skrivetilgang til flyttbare stasjoner ikke er beskyttet av BitLocker innstillings
det neste trinnet i prosessen er å aktivere Velg hvordan BitLocker flyttbare stasjoner kan utvinnes setting. Hvis du ser på figur D, kan du se dialogboksen som vises når du dobbeltklikker på den nekte skrivetilgang til flyttbare stasjoner som ikke er beskyttet av BitLocker-innstillingen. Som du kan se i figuren, er det en rekke avmerkingsbokser som kan velges når denne gruppen policyinnstillingen er aktivert
Figur D:.
Det er tre alternativer som må du aktivere
Hvis målet ditt er å lagre en kopi av hver gjenopprettingsnøkkelen i Active Directory, så det er tre av disse alternativene som du må aktivere. Først må du merke av for Tillat Data Recovery Agent alternativet. Dette alternativet bør velges som standard, men siden dette alternativet er det som gjør hele nøkkelen gjenopprett mulig, er det viktig å kontrollere at alternativet er aktivert.
Deretter må du velge Lagre BitLocker Recovery Informasjon til AD DS for flyttbare data Drives
. Som du har sikkert allerede funnet ut, er dette alternativet som faktisk lagrer BitLocker utvinning nøklene til Active Directory.
Til slutt, bør du velge Ikke Aktiver BitLocker Inntil Recovery er informasjon som lagres AD DS For flyttbare datadisker
alternativet. Dette tvinger Windows til å bekrefte at oppgangen har blitt skrevet til Active Directory før BitLocker er lov til å kryptere harddisken. På den måten trenger du ikke å bekymre deg for strømbrudd tørke ut gjenopprettingsnøkkelen halvveis gjennom krypteringsprosessen.
Selv om det ikke er et krav, noen administratorer liker også å aktivere Utelate Recovery alternativet fra BitLocker Setup Wizard alternativet. Dette forhindrer brukere fra å lagre eller skrive ut sine egne kopier av gjenopprettingsnøkkelen.
Konklusjon
I denne artikkelen har jeg vist deg hvordan du konfigurerer Active Directory til å lagre BitLocker-gjenopprettings taster for flyttbare stasjoner . I del 4, vil jeg vise deg hvordan gjenopprettingsprosessen fungerer.