Score:0

Bitlocker Recovery Keys ไม่แสดงในชุด Active Directory

ธง za

ฉันเพิ่งถามคำถามเดียวกันที่นี่เมื่อประมาณเดือนที่แล้ว -> คีย์การกู้คืน BitLocker ไม่แสดงใน Active Directory

แต่ตอนนี้สิ่งต่าง ๆ เปลี่ยนไปและฉันยังคงได้รับผลลัพธ์เหมือนเดิม ฉันจะลงรายละเอียดให้มากที่สุดเท่าที่จะทำได้สำหรับโพสต์นี้ ดังนั้นฉันจึงไม่ต้องโพสต์อะไรอีก (หวังว่า)

ตกลง ดังนั้นเราต้องจัดเก็บคีย์เหล่านี้บน AD เพื่อให้เป็นไปตามข้อกำหนดของ DoD และฉันได้เขียน Java เล็กน้อยเพื่อหาจำนวนที่เรามี หลังจากเรียกใช้ Java ของฉัน เรามีคอมพิวเตอร์ 97 จาก 230 เครื่องที่มีคีย์ที่เก็บไว้ใน AD

ฉันสร้างนโยบายกลุ่มสำหรับ bitlocker และตั้งชื่อว่า "GP - Bitlocker"

การตั้งค่าแรกที่ฉันเปลี่ยนอยู่ในไดเร็กทอรีนี้: การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแลระบบ -> ส่วนประกอบของ Windows -> การเข้ารหัส Bitlocker Drive

"จัดเก็บข้อมูลการกู้คืน bitlocker ในบริการโดเมน Active Directory"

"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows 8 / Server 2012)"

"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows 10)"

"เลือกวิธีการเข้ารหัสไดรฟ์และความแรงของการเข้ารหัส (Windows Server 2008, Windows 7)"

นอกจากนี้ ฉันได้เปลี่ยนการตั้งค่าใน ../Operating System Drives (ซึ่ง .. เป็นไดเร็กทอรีก่อนหน้า)

"ต้องการการรับรองความถูกต้องเพิ่มเติมเมื่อเริ่มต้น"

"บังคับใช้ประเภทการเข้ารหัสไดรฟ์บนไดรฟ์ระบบปฏิบัติการ"

"เลือกวิธีการกู้คืนไดรฟ์ระบบปฏิบัติการที่ป้องกันด้วย BitLocker"

สำหรับตำแหน่งที่เชื่อมโยงนโยบายกลุ่ม นโยบายนั้นจะถูกจัดเก็บไว้ในไดเร็กทอรีที่มีนโยบายกลุ่มอื่นๆ ทั้งหมดที่เรามีในโดเมนชื่อ "Group Policy Objects" มีการเชื่อมโยงกับ OU ทั้งหมดที่เราต้องการให้เปิดใช้งาน GP แต่เราถอดออกเนื่องจากใช้งานไม่ได้ และเราต้องการเรียกใช้การทดสอบเฉพาะกับคอมพิวเตอร์จำนวนจำกัดเท่านั้น

ในขณะนี้ "GP - Bitlocker" เชื่อมโยงกับ 2 OU คือ "Test_Environment" และ "ไม่ทราบ" Notknown คือ OU ที่มีคอมพิวเตอร์ของผู้คนจริงๆ บนโดเมนของเราซึ่งมีแผนกที่ไม่ระบุรายละเอียด และ test_environment เป็นเพียงคอมพิวเตอร์ชั่วคราวที่เราใช้เพื่อทดสอบ GP

"ไม่ทราบ" มีคอมพิวเตอร์ 4/16 เครื่องที่มีคีย์ที่เก็บไว้ และ test_enivronment มีคอมพิวเตอร์ 1/4 เครื่องที่มีคีย์ที่เก็บไว้

ขอบเขตของเราสำหรับ GP

ตอนนี้สิ่งที่เรากำลังคิดก็คือเนื่องจากพนักงานของเราหลายคนไม่ได้เชื่อมต่อกับ VPN หรือแม้แต่เข้าสู่ระบบคอมพิวเตอร์อย่างสม่ำเสมอ พวกเขาจึงไม่สามารถรับการอัปเดต GP ได้ เราเป็นบริษัทรับเหมาก่อสร้าง ด้วยเหตุนี้ เราจึงมีคนจำนวนมากที่ทำงานภาคสนามเป็นเวลาหลายเดือนในแต่ละครั้งและไม่ได้ใช้คอมพิวเตอร์ อย่างไรก็ตาม ฉันคิดว่า 97 ควรมากกว่าประมาณ 180 เพื่อให้แม่นยำสำหรับผู้ที่มีคอมพิวเตอร์อยู่ในสนาม หากฉันขาดข้อมูลใด ๆ โปรดแจ้งให้เราทราบและฉันยินดีที่จะเติมในช่องว่าง

cn flag
องค์กรส่วนใหญ่ใช้รหัสผ่านการกู้คืน การจัดเก็บรหัสผ่านตัวแทนการกู้คืนข้อความธรรมดาเป็นสิ่งต้องห้ามใน FIPS ดังนั้นจึงจำเป็นต้องใช้คีย์การกู้คืน โดยทั่วไป คุณจะใช้คีย์หรือรหัสผ่าน แต่ไม่ใช่ทั้งสองอย่างและไม่ใช่รหัสผ่านอย่างแน่นอน หากเปิดใช้งานโหมด FIPS BitLocker ถูกกำหนดรหัสตายตัวไม่ให้ใช้รหัสผ่านการกู้คืน/ล้มเหลวหากเปิดใช้งานโหมด FIPS
cn flag
คุณพูดถึง DOD มีการกำหนดค่าระบบใดสำหรับ FIPS หรือไม่ ถ้าเป็นเช่นนั้น การตั้งค่าบางอย่างไม่สอดคล้องกับ FIPS และจะใช้งานไม่ได้ นอกจากนี้ คุณต้องเปิดใช้งานการบันทึกดีบักสภาพแวดล้อมของนโยบายกลุ่มบนระบบที่ไม่ทำงานเพื่อยืนยันว่ากำลังประมวลผลนโยบาย และถ้าเปิดใช้งาน BitLocker แล้ว เนื่องจากไม่ได้เลือกช่องนี้เพื่อกำหนดให้ต้องบันทึกข้อมูลการกู้คืนไปยัง AD หากเปิดใช้อยู่และมีบางอย่างใช้งานไม่ได้กับการบันทึกข้อมูลการกู้คืนไปยัง AD จึงต้องบันทึกโดยใช้คำสั่ง Manage-bde หรือ PowerShell
za flag
@GregAskew คุณเห็นช่องที่ไม่ได้ทำเครื่องหมายไว้สำหรับข้อมูลการกู้คืนที่จะบันทึกใน AD ที่ไหน
cn flag
https://i.stack.imgur.com/BiVfs.png ห้ามเปิดใช้ BitLocker จนกว่า...
za flag
@GregAskew ตกลงฉันอ่านเกี่ยวกับสิ่งนั้นในคำอธิบายนโยบายกลุ่ม ดูเหมือนว่าฉันต้องการเปิดใช้งาน เราจะต้องติดต่อกลับไปหาคุณเกี่ยวกับ FIPS และระบบของเราได้รับการกำหนดค่าไว้หรือไม่
joeqwerty avatar
cv flag
กลับไปที่พื้นฐาน `1.` ควรใช้ GPO กับคอมพิวเตอร์ที่เป็นปัญหาหรือไม่? ในการตอบคำถามนั้น ให้รัน Group Policy Modeling ใน GPMC `2.` หากควรใช้ GPO จะมีการนำไปใช้หรือไม่? ในการตอบคำถามนั้น ให้รัน Group Policy Results ใน GPMC `3.` หากควรใช้ GPO และกำลังถูกนำไปใช้ เป็นไปตามเงื่อนไขสำหรับการตั้งค่านโยบายที่จะนำไปใช้หรือไม่
Score:0
ธง au

นิค เมื่อคุณถามคำถามแรก การตั้งค่าของคุณสำหรับรหัสผ่านการกู้คืน (คีย์ 48 หลักที่ปรากฏในวัตถุคอมพิวเตอร์ AD บนแท็บการกู้คืน bitlocker) คือ: "ไม่อนุญาตให้ใช้รหัสผ่านการกู้คืน 48 หลัก"

ตอนนี้คุณเปลี่ยนให้ต้องใช้รหัสผ่านการกู้คืนแล้ว อย่างไรก็ตาม เนื่องจากระบบเหล่านี้ได้รับการเข้ารหัสแล้ว รหัสผ่านเหล่านี้จะไม่ส่งไปที่ AD (เนื่องจากรหัสผ่านจะถูกบันทึกเฉพาะในขณะที่เข้ารหัสเท่านั้น และจะไม่บันทึกในภายหลัง) เว้นแต่คุณจะสร้างด้วยตนเองซึ่งควรทำโดยใช้สคริปต์ที่คุณปรับใช้เป็นงานกำหนดเวลาทันที เช่น รหัสแบตช์สำหรับไดรฟ์ c::

สำหรับ /f "โทเค็น = 1,2" %%a ใน ('manage-bde -protectors -get C: -Type recoverypassword ^| findstr ID') ทำ Manage-bde -protectors -adbackup c: -id %%b
Bernd Schwanenmeister avatar
au flag
...อนิจจา เนื่องจากไม่ได้ถูกสร้างขึ้นมาตั้งแต่แรก (อย่างที่คุณห้ามไว้) คุณจะต้องสร้างมันก่อน: Manage-bde -protectors -add c: -rp

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา