Como administrador del sistema, es posible que le resulte difícil realizar un seguimiento de las claves de recuperación de BitLocker para todos los equipos de la red de la empresa, especialmente cuando el número de equipos es superior a 100. En este tutorial, le mostraremos cómo configurar la política de grupo en automáticamente Haga una copia de seguridad de la información de recuperación de BitLocker en Active Directory, de modo que pueda administrar de forma centralizada las claves / contraseñas de recuperación en un solo lugar.
Cómo configurar GPO para guardar automáticamente la clave de recuperación de BitLocker en AD
- Haga clic en el icono de búsqueda en la barra de tareas y escriba “política de grupo“. Luego puede hacer clic en Administración de Políticas de Grupo para lanzarlo.
- Ahora, en el panel izquierdo de Administración de políticas de grupo, haga clic con el botón derecho en su dominio de AD y seleccione “Cree un GPO en este dominio y vincúlelo aquí …”Del menú.
- En el cuadro de diálogo Nuevo GPO, asigne un nombre al GPO y haga clic en Okay.
- Haga clic con el botón derecho en el GPO recién creado en el panel izquierdo y seleccione Editar.
- Buscar
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryptiony luego haga doble clic en la política “Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory“.
- Establezca la política en Habilitado. Asegúrate que “Requerir copia de seguridad de BitLocker en AD DS”Está marcada y seleccione almacenar tanto las contraseñas de recuperación como los paquetes de claves.
- A continuación, expanda Cifrado de unidad BitLocker en el panel izquierdo. Verá tres nodos: Unidades de datos fijas, Unidades del sistema operativo, Unidades de datos extraíbles. Simplemente seleccione Unidades de datos fijas y haga doble clic en la política “Elija cómo se pueden recuperar las unidades fijas protegidas con BitLocker“.
- Ponlo en Habilitado. Marque las opciones “Guardar información de recuperación de BitLocker en AD DS para unidades fijas” y luego haga clic en Aceptar.
- Vaya al nodo “Unidades del sistema operativo” y active la política similar “Elija cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker“. Luego, vaya al nodo “Unidades de datos extraíbles” y habilite la política “Elija cómo se pueden recuperar las unidades extraíbles protegidas con BitLocker“.
- Cuando cualquier PC cliente recupera los cambios de política, la información de recuperación de BitLocker se respaldará de forma automática y silenciosa en AD DS cuando BitLocker esté activado para unidades fijas, unidades de sistema operativo o unidades extraíbles.
Copia de seguridad manual de la contraseña de BitLocker en AD con PowerShell
Si ha habilitado BitLocker antes de configurar la política de GPO anterior, puede usar los cmdlets de PowerShell para cargar manualmente la clave de recuperación de BitLocker en Active Directory. Sigue estos pasos:
- Cuando su unidad protegida por BitLocker esté desbloqueada, escriba este comando:
manage-bde -protectors -get D:
Lo que debe tener en cuenta es la ID de contraseña numérica.
- A continuación, escriba el siguiente comando para hacer una copia de seguridad de su contraseña de recuperación de BitLocker en Active Directory. Recuerde que debe utilizar el ID de contraseña numérico obtenido en el paso anterior.
manage-bde -protectors -adbackup D: -id {CAF6FEF0-7C98-4D6A-B80F-7BE63C033047}
- Cuando se complete, recibirá el mensaje “Se realizó una copia de seguridad de la información de recuperación en Active Directory.“