15
OCT
2019

Active Directory – Stocker des clés de récupération BitLocker

comment : 0

Introduction

Dans cet article, nous allons étudier comment stocker des clés BitLocker dans un Active Directory ainsi que les viusaliser, les gérer et les récupérer.

Cette manipulation va permettre de récupérer directement depuis l’Active Directory le nom de l’ordinateur, la date d’ajout de la clé de récupération ainsi que l’ID du mot de passe avec sa clé de récupération.

Cela aidera le travail des ITs et permettra une centralisation des informations relatives aux clés BitLocker.

Pour le bon déroulement de la procédure :

  • Le niveau fonctionnel de la forêt Active Directory doit être a minima en « Windows Server 2008 R2 »
  • Vous devez être administrateur du domaine (si vous effectuez cette modification sur un Contrôleur de Domaine) ou Administrateur Local (si installé sur un serveur tiers)
  • Vous devez être capable de créer et affecter une GPO

 

Installation des outils de visualisation

L’installation des fonctionnalités suivantes ne requiert pas de redémarrage du serveur.

Ce sont ces fonctionnalités qui vont permettre de visualiser les différentes clés Bitlocker stockés dans l’Active Directory. Pour cela, sur votre serveur d’administration, lancez le Server Manager.

Dans l’assistant d’ajout des nouveaux rôles et nouvelles fonctionnalités, vous allez pouvoir ajouter les fonctionnalités suivantes :

  • Remote Server Administration Tools > Feature Administration Tools > BitLocker Drive
    Encryption Tools
  • Remote Server Administration Tools > Feature Administration Tools > BitLocker Recovery
    Password Viewer


Ou vous pouvez utiliser PowerShell afin de lancer l’installation. Pour cela, exécutez PowerShell en tant qu’administrateur et utilisez la commande suivante :
Install-WindowsFeature -Name « RSAT-Feature-Tools-BitLocker », « RSAT-Feature-Tools-BitLocker-RemoteAdminTool », « RSAT-Feature-Tools-BitLocker-BdeAducExt »

 

Utiliser les outils de visualisation

Une fois l’installation terminée, lancez la console « Active Directory Users and Computers »

Ouvrez un ordinateur et vous pouvez remarquer la nouvelle présence d’un onglet « BitLocker Recovery » :

Dans cet onglet, nous retrouverons :

  • Le nom de l’ordinateur
  • La date de la création de la clé
  • L’ID du mot de passe
  • Et les mots de passe de récupération

 

Egalement, vous retrouverez ici toutes les clés BitLocker actuelles et anciennes : si vous effectuez un nouveau chiffrement sur le disque, vous allez retrouver les anciennes clés BitLocker dans cet onglet.

 

Création de la GPO

Nous allons créer une GPO dédiée à l’utilisation de BitLocker.

Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Choose how BitLocker-protected operating system drives can be recovered

Editez les paramètres suivants :

  • Allow Data Recovery Agent sur Enabled
  • Save BitLocker Recovery informations to AD DS sur Enabled
  • Do not enable BitLocker until recovery information is stored in AD DS sur Enabled

Ces paramètres vont permettre l’utilisation d’agents de récupération ainsi que forcer la sauvegarde dans l’Active Directory de la clé de récupération.

Mais plus important : BitLocker ne peut pas s’activer si la clé n’est pas sauvegardée, cela permet d’ajouter une étape de sécurité afin d’éviter une situation où le service IT n’a pas la clé de récupération.

Pour finir, la GPO doit être liée à l’OU contenant vos postes de travail.

 

Conclusion

Dans ce billet, nous avons vu comment stocker, gérer et récupérer les clés Bitlocker d’un parc informatique dans notre Active Directory.
En complément la prochaine étape consisterait à exporter ces clés vers Azure pour bénéficier d’une solution de stockage externe sécurisé.

Active Directory – Stocker des clés de récupération BitLocker
0 votes, 0.00 avg. rating (0% score)
A propos de l'auteur

Laisser un commentaire

*