Backup BitLocker Recovery Key Active Directory Windows Server 2016
Backup BitLocker Recovery Key Active Directory Windows Server 2012 R2

Het is mogelijk om BitLocker op een Windows-client configureren zodat recovery informatie van een geëncrypte partitie wordt geback-upt naar de Active Directory. De recovery informatie welke wordt geback-upt bestaat uit het recovery wachtwoord voor elke partitie die van BitLocker is voorzien, de TPM eigenaarswachtwoord en de informatie welke benodigd is om de geëncrypte informatie op een partitie te herstellen.

AD DS gebruiken voor opslag van BitLocker

Door het backuppen van de recovery wachtwoorden van een BitLocker-beveiligde partitie geeft de systeembeheerder de mogelijkheid om de betreffende partitie te herstellen mocht het nodig zijn. Dit kan zijn wanneer de betreffende gebruiker de pincode is vergeten of wanneer deze om welke reden dan ook niet meer functioneert. Standaard wordt de recovery wachtwoorden niet geback-upt naar de Active Directory. In dit artikel gaan we stap-voor-stap de configuratie langs om de recovery wachtwoorden van een Windows-client te backuppen naar de Active Directory. Het inschakelen van BitLocker op een Windows 10 werkstation staat in een apart artikel beschreven. Deze handleiding geldt voor Windows Server 2012 R2 en Windows Server 2016.

Na dit artikel kan je de recovery wachtwoorden back-uppen naar de Active Directory en deze recovery keys zien vanuit het computer account in de AD DS. Tevens is het mogelijk om naar de recovery keys te zoeken op basis van het Password ID.

Voorbereiding

Maak je gebruik van Windows Server 2008 of Windows Server 2008 R2? Dan moet je nog een Active Directory schema update uitvoeren. Hiervoor verwijs ik je naar een officiële TechNet artikel van Microsoft: https://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx. Bij Windows Server 2012 of later is dat niet nodig. Toch kan het geen kwaad om je Active Directory te controleren. Voer de onderstaande cmdlet uit in Powershell:

Get-ADObject -SearchBase ((GET-ADRootDSE).SchemaNamingContext) -Filter {Name -like “ms-FVE-*”}

Vervolgens moet het dit als output zichtbaar zijn:

Backup BitLocker information to Active Directory Server 2016

Is dit niet het geval, voer dan de onderstaande cmdlet uit om een Active Directory Schema update uit te voeren:

ldifde –i –v –f BitLockerTPMSchemaExtension.ldf –c “DC=mydomain,DC=local” –k –j .

(Die punt hoort daar)

De “DC=mydomain,DC=local” moet je wel even aanpassen naar je eigen situatie.

AD DS configureren voor BitLocker Backup

De BitLocker recovery password wordt opgeslagen als een onderliggend object(child object) op het account van de betreffende computer in de Active Directory. Om dit zichtbaar te maken moet eerst de feature Bitlocker Drive Encryption geïnstalleerd worden.

  1. Open de Server Manager.
  2. Klik op Add Roles and Features.
  3. Kies voor Role-based or feature-based installation en vervolgens op Next.
  4. Klik de betreffende server aan waar de BitLocker informatie op moet worden opgeslagen en kes voor Next.
  5. Bij de Roles Selection hoeft niks gekozen te worden, klik op Next.
  6. Selecteer vervolgens bij Features de Bitlocker Drive Encryption en klik op Next.

Backup BitLocker information to Active Directory Server 2012

  1. Zoals je ziet wordt ook de BitLocker Recovery Password Viewer geïnstalleerd. Dat is vooral belangrijk om de gegevens in de Active Directory zichtbaar te krijgen. Klik op Install om de installatie te starten.
  2. Herstart de server na de installatie.

Backup BitLocker information to AD DS Server 2016

  1. Na de herstart van de server ga naar het Active Directory en klik met de rechtermuisknop het domeinnaam, in dit geval FUTURE.local. Als de installatie is geslaagd, is er in het dropdown menu de optie: ‘Find BitLocker recovery password‘ beschikbaar.

Find BitLocker recovery password Windows Server 2016

Met deze optie is het mogelijk om op basis van het Password ID van een BitLocker beveiligde partitie het recovery password op te zoeken.

Active Directory voorbereiden voor BitLocker

In het Active Directory moeten de juiste rechten aanwezig zijn om de gegevens van BitLocker te kunnen schrijven naar het computeraccount van de betreffende computer die is voorzien van BitLocker encryptie.

  1. Klik met de rechtermuisknop op de OU waar de werkstations in staan die gebruik maken van BitLocker.
  2. Kies voor Delegate Control…

BitLocker Active Directory Delegate Control Windows Server 2012 R2

3. Klik op Next.

BitLocker Active Directory Delegate Control Windows Server 2016

4. Kies voor Add.. typ bij Enter the object names to select het woord SELF in en kies voor OK. Klik vervolgens op Next.

BitLocker Active Directory recovery information Delegate Control Windows Server 2016

5. Kies voor Create a costum task to delegate en klik op Next.

BitLocker Active Directory Delegation of Control Wizard

6. Selecteer Only the following objects in the folder en kies zorg dat Computer objects staat aangevinkt en klik op Next.

BitLocker Active Directory Windows Server 2016

  1. Bij de Permissions selecteer Property-specific en zorg dat Write msTPM-OwnerInformation staat aangevinkt en kies voor Next.

BitLocker Active Directory Windows Server 2012 R2

  1. Klik op Finish.

BitLocker backup Active Directory Windows Server 2012 R2

De rechten in de Active Directory zijn nu juist ingesteld. Nu moet het beleid worden geconfigureerd voor de werkstations.

Configureer de Group Policy voor BitLocker

Open de Group Policy Management en navigeer naar de betreffende GPO die van toepassing is op de computer(s) waar BitLocker op staat/wordt ingeschakeld. In dit geval is er een aparte GPO ‘BitLocker’ aangemaakt op de OU waar de computers lid van zijn.

Backup BitLocker information to AD DS Server 2016 Group Policy

Configureer vervolgens de GPO met de onderstaande settings:

  1. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption]
    Store BitLocker recovery information in Active Directory Domain Services –> Enabled
  2. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption]
    Choose how users can recover BitLocker-protected drives –> Enabled
    Require recovery password (default)
    Require recovery key (default)
  3. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption]
    Provide the unique indentifiers for your organization. Voer hier twee keer een unieke naam in. Ik heb hier gewoon twee keer de naam van de  betreffende organisatie ingevoerd.
  4. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operting System Drives]
    Choose how BitLocker-protected operating system drives can be recovered
    Allow recovery agent –> Aanvinken
    Allow 48-digit recovery password
    Allow 256-bit recovery key
    omit recovery options from the BitLocker setup wizard –> aanvinken
    Store recovery passwords and key packages
    Do not enable BitLocker until recovery information is stored to AD DS for operating system drives. –> Aanvinken
  5. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operting System Drives]
    Configure minimum PIN length for startup
    Minimum characters –> 7 (minimaal)
  6. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operting System Drives]
    Require additional authentication at startup –> Enabled
    Allow BitLocker without compatible TPM –> aanvinken
    Allow TPM
    Allow startup PIN with TPM
    Allow startup key with TPM
    Allow startup key and PIN with TPM
    ** Set alles op ‘require’ als je apparaten TPM ondersteunen **
  7. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives] Choose how BitLocker-protected fixed drives can be recovered –> Enabled
    Allow 48-digit recovery password
    Allow 256-bit recovery key
    Omit recovery options from the BitLocker setup wizard –> aanvinken
    Backup recovery passwords and key packages
    Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives –> aanvinken
  8. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives]
    Configure use of passwords for fixed data drives –> Enabled
    Require password for fixed data drive –> aanvinken
    Minimum Password length for fixed data drive –> minimaal 12
  9. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives]
    Choose how BitLocker-protected removable drives can be recovered –> Enabled
    Allow data recovery agent –> aanvinken
    Allow 48-digit recovery password
    Allow 256-bit recovery key
    Omit recovery options from the BitLocker setup wizard –> aanvinken
    Save BitLocker recovery information to AD DS for removable data drives
    Backup recovery passwords and key packages
    Do not enable BitLocker until recovery information is stored to AD DS for removable data drives –> Mag je uitgevinkt laten.
  10. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives]
    Configure use of passwords for removable data drives –Enabled
    Require password for removable data drive –> aanvinken
    Allow password complexity
    Minimun password length for removable data drive –> minimaal 12
  11. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives] Control use of BitLocker on removable drives –> Enabled
    Allow users to apply BitLocker protection on removable drives –> aanvinken
    Allow users to suspend and decrypt BitLocker protection on removable drives –> aanvinken
  12. [Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives] Deny write access to removable data drives not protected by BitLocker –> Enabled
    Do not allow write access to devices configured in another organization –> naar eigen inzicht instellen

Voer daarna de commando gpupdate /force uit op de Domain Controller.

Windows Server 2016 Group Policy gpupdate force

Configureer BitLocker in Windows 10

De configuratie van Bitlocker in Windows 10 wordt uitgelegd in dit artikel: Configureer BitLocker in Windows 10.

Nadat BitLocker is ingeschakeld in Windows 10, kan de recovery password weggeschreven worden naar de Active Directory. Dit kan middels de onderstaande stappen:

  1. Open op de clïent de Command Prompt (Met Administrator rechten).
  2. Voer vervolgens de onderstaande commando in:
manage-bde.exe -protectors -get c:

Windows 10 BitLocker backup to Active Directory

Nu wordt de Numerical Password zichtbaar, deze moeten we bij de volgende stap gaan gebruiken om daadwerkelijk de Recovery gegevens weg te schrijven naar de AD DS.

  1. Voer vervolgens de onderstaande commando in en voer bij de parameter ‘-id’ de Numerical Password in die bij de vorige stap is opgehaald.
manage-bde.exe -protectors -adbackup c: -id {NumericalPassword}

BitLocker backup Recovery information Active Directory Server 2016

Vervolgens wordt de Recovery Informatie weggeschreven naar het computer account in de Active Directory, door met de rechtermuisknop op het computeraccount te klikken en te kiezen voor Properties. Ga vervolgens naar het tabblad Bitlocker Recovery.

BitLocker wachtwoord in Active Directory Server 2016

De gegevens zijn succesvol weggeschreven naar de Active Directory.

Conclusie

In Windows Server 2012 R2 en Windows Server 2016 is het redelijk eenvoudig middels Group Policy een veilige BitLocker beveiligingsbeleid te hanteren binnen een organisatie. Door de Recovery informatie centraal op te slaan in de Active Directory is het bijhouden van deze gegevens in grote Excel-bestanden overbodig geworden. Wanneer het beleid via de Group Policy juist is geconfigureerd,volgens dit artikel, worden de gegevens bij het inschakelen van BitLocker op een werkstation waar de policy op actief is, dus ook lid is van het domein, automatisch geback-upt naar de Active Directory.

Heb je wat aan dit artikel gehad of heb je vragen, laat gerust een reactie achter.

 

https://i2.wp.com/windowstechblog.nl/wp-content/uploads/2017/02/Windows-Server-2016-Backup-BitLocker-information-to-AD-DS.png?fit=300%2C200&ssl=1https://i2.wp.com/windowstechblog.nl/wp-content/uploads/2017/02/Windows-Server-2016-Backup-BitLocker-information-to-AD-DS.png?resize=150%2C150&ssl=1Martien van DijkWindows Server 2012Windows Server 2016BitLocker,Windows 10,Windows Server 2012 R2,Windows Server 2016Backup BitLocker Recovery Key Active Directory Windows Server 2016 Backup BitLocker Recovery Key Active Directory Windows Server 2012 R2 Het is mogelijk om BitLocker op een Windows-client configureren zodat recovery informatie van een geëncrypte partitie wordt geback-upt naar de Active Directory. De recovery informatie welke wordt geback-upt bestaat uit het recovery wachtwoord...it's all about Microsoft