Hoe u BitLocker-sleutels veilig in Active Directory kunt opslaan

Het verkrijgen van BitLocker-herstelsleutels in Active Directory kan een uitkomst zijn als je meerdere machines beheert die lid zijn van een domein. Het is een beetje vreemd dat Windows die sleutels niet automatisch dumpt, tenzij je wat beleid aanpast, maar eenmaal ingesteld, maakt het herstel een stuk eenvoudiger. Bovendien, als een apparaat tijdens het opstarten een herstelprompt geeft, is het handig om gewoon in AD te springen en de sleutel te pakken in plaats van alles te moeten door elkaar gooien of resetten. Het gaat er dus niet alleen om de boel overzichtelijk te houden, maar ook om die paniekmomenten te voorkomen wanneer een schijf plotseling vastloopt en je naar een herstelscherm staart.

Natuurlijk is het instellen hiervan niet helemaal eenvoudig en kunnen er een paar dingen misgaan, vooral op oudere apparaten of als het groepsbeleid niet is afgestemd. Maar met een beetje speurwerk op de juiste plekken kun je ervoor zorgen dat je herstelsleutels correct worden geback-upt en dat het ophalen ervan heel eenvoudig is wanneer dat nodig is. Hier lees je hoe het werkt, met wat extra details die je later veel hoofdpijn besparen.

Hoe sla ik BitLocker-sleutels op in Active Directory?

Groepsbeleid configureren om sleutels in AD op te slaan

Dit is stap één, want als uw beleid niet van kracht is, worden de sleutels niet geüpload. Dit is vrij cruciaal: zonder het juiste beleid blijven herstelsleutels gewoon op het apparaat staan. Dit is meestal het geval wanneer u BitLocker inschakelt op machines die zijn gekoppeld aan een domein in een beheerde omgeving, of als een apparaat op enig moment herstel nodig heeft.

  1. Open de Group Policy Management Console op uw domeincontroller. Deze vindt u meestal onder Serverbeheer > Extra > Groepsbeleidsbeheer.
  2. Navigeer naar Computerconfiguratie > Beleid > Beheersjablonen > Windows-onderdelen > BitLocker-stationsversleuteling.
  3. Zoek en dubbelklik op Kies uw instelling. Stel deze in op Ingeschakeld.
  4. Activeer Back-upherstelwachtwoorden en sleutelpakketten. Hiermee zorg je ervoor dat de herstelinformatie daadwerkelijk in AD wordt opgeslagen.
  5. Klik op Toepassen en OK.
  6. Om nieuwe beleidsregels direct te pushen, voert u deze uit gpupdate /forcevia een opdrachtprompt met verhoogde rechten of PowerShell op clientcomputers. Dit forceert de beleidsupdate, anders wachten ze mogelijk tot hun volgende vernieuwingscyclus.

Dit is handig, want als u deze optie uitschakelt, blijven de herstelsleutels alleen op de lokale computer staan. Ze zijn nutteloos als de gebruiker zijn wachtwoord vergeet of als de schijf vastloopt.

BitLocker-sleutels verifiëren in Active Directory

Zodra het beleid is ingesteld, is het verstandig om te controleren of de sleutels daadwerkelijk op de juiste plek zijn opgeslagen. Soms lijkt het beleid ingeschakeld, maar is de herstelinformatie nog niet geüpload vanwege timingproblemen of fouten tijdens de encryptie.

  1. Open Active Directory: gebruikers en computers. Mogelijk moet u dit als beheerder of vanaf een server uitvoeren.
  2. Ga in de menubalk naar Beeld > Geavanceerde functies. Hiermee worden extra tabbladen en informatie in objecten weergegeven.
  3. Zoek het computerobject waarin u geïnteresseerd bent. U kunt indien nodig de zoekbalk gebruiken.
  4. Klik er met de rechtermuisknop op en kies Eigenschappen.
  5. Ga naar het tabblad BitLocker Recovery. Als u het niet ziet, werkt het beleid mogelijk niet goed of is het apparaat nog niet versleuteld.
  6. Controleer het herstelwachtwoord en de informatie over het sleutelpakket. Als ze daar staan, is dat goed. Zo niet, dan moet u mogelijk problemen met het beleid of de versleutelingsstatus oplossen.

Een BitLocker-sleutel uit AD herstellen

Dit is de belangrijkste reden om sleutels in AD op te slaan: als een apparaat om een ​​herstelsleutel vraagt, is het gewoon makkelijker om deze direct op te halen. Want eerlijk gezegd is het zoeken naar een herstelsleutel op het apparaat van de gebruiker of in e-mails verre van ideaal.

  1. Open Active Directory: gebruikers en computers.
  2. Zoek naar het apparaat dat de fout veroorzaakt. U kunt dit doen op naam of door te bladeren door de OU.
  3. Klik met de rechtermuisknop en selecteer Eigenschappen.
  4. Ga naar het tabblad BitLocker Recovery.(Als u dit niet ziet, controleer dan of het beleid correct is toegepast en het apparaat is versleuteld.)
  5. Zoek en selecteer de relevante herstelvermelding. Meestal is er een tijdstempel of beschrijving die u helpt de juiste te kiezen.
  6. Kopieer de 48-cijferige herstelsleutel en voer deze in op de getroffen pc bij de herstelprompt.

Dwing bestaande apparaten om sleutels te uploaden

Dit kan vervelend zijn als je BitLocker al een tijdje geleden hebt ingesteld en de herstelgegevens nooit in AD hebt gekregen. Het proces is min of meer handmatig, maar de moeite waard als je er zeker van wilt zijn dat al je versleutelde apparaten correct zijn.

  1. Open een opdrachtprompt met verhoogde bevoegdheid of een PowerShell-venster op de clientcomputer.
  2. Typ: manage-bde -protectors -get C:. Zorg ervoor dat C: de gecodeerde stationsletter is.
  3. Zoek de Key Protector-ID in de uitvoer.
  4. Ga terug naar PowerShell of CMD en voer het volgende uit: manage-bde -protectors -adbackup C: -id {ProtectorID}. Vervang {ProtectorID}door wat je eerder hebt gevonden.
  5. Controleer vervolgens in Active Directory of de belangrijkste informatie wordt weergegeven. Soms duurt het een paar minuten of moet de pagina worden vernieuwd.

Dit is een beetje een kwestie van geluk, afhankelijk van je omgeving, maar in één configuratie mislukte het de eerste keer, maar na een herstart werkte het weer. Windows moet het soms moeilijker maken dan nodig is, ach ja.

Controleer opgeslagen sleutels met PowerShell

Wilt u een uitgebreider overzicht? PowerShell kan alle herstelobjecten in AD controleren, wat handig is, vooral wanneer u met meerdere machines werkt.

  1. Voer PowerShell uit als beheerder: klik met de rechtermuisknop op het pictogram en kies Uitvoeren als beheerder.
  2. Voer de opdracht uit: Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -Properties msFVE-RecoveryPassword.
  3. Bekijk de uitvoer; alle opgeslagen herstelgegevens zouden erin moeten staan. Als er gegevens ontbreken of verouderd zijn, weet u waar u zich op moet richten.

Veelgestelde vragen

Heeft BitLocker Active Directory nodig om sleutels op te slaan?

Niet per se. BitLocker werkt met lokale opslag, maar als u centrale controle en eenvoudiger herstel wilt, is AD een goede keuze – vooral voor zakelijke omgevingen.

Kan ik TPM-eigenaarsgegevens ook in AD opslaan?

Ja, je kunt beleid instellen zodat TPM-eigenaarsgegevens samen met je BitLocker-herstelsleutels worden opgeslagen. Ga hiervoor naar de groepsbeleidsinstellingen voor TPM en BitLocker.

Heb je hiervoor Windows Server nodig?

Ja, Active Directory Domain Services moet draaien op Windows Server of een compatibele omgeving. Geen AD, geen centrale opslag van herstelsleutels.

Kan Azure AD on-premises AD voor BitLocker vervangen?

Zeker. Azure AD kan herstelsleutels opslaan voor Azure-gekoppelde Windows-apparaten, dus je hebt niet eens een lokaal domein nodig – het is een soort cloudbeheer.

Deze hele opzet helpt om die herstelsleutels onder controle te houden, maakt het leven van IT eenvoudiger en bespaart een hoop gedoe wanneer schijven onbruikbaar worden. Stel gewoon beleid in, controleer de opslag en je bent klaar. Tenminste, dat is de theorie.

Hoe u de FileCoAuth.exe-toepassingsfout op Windows kunt oplossen
Hoe u de Microsoft Store kunt repareren die vastloopt op Snel Werken