Share via


Bitlocker y el Directorio Activo.

El Directorio Activo tiene una importancia tremenda en la implantación de bitlocker en las empresas.

El AD nos permite asegurarnos de que todas las claves de recuperación de las maquinas que tienen bitlocker activado han sido guardadas y que podremos acceder a ellas de forma rápida y segura.

Modificando las GPO conseguiremos que durante el proceso de activación de bitlocker la clave de recuperación sea guardada dentro del objeto de la maquina en el AD.

Para poder guardar esta información debemos extender el esquema del AD (Windows 2003) para ello usaremos un script LDIF que podemos encontrar al igual que todos los recursos que veremos en este articulo en este enlace .

En la siguiente imagen podéis ver la extensión del esquema a través de LDIFDE.

Después de esto, podremos usar el adsiedit o el editor de esquema para ver como se han incluido nuevos atributos.

Para que los usuarios puedan escribir en ese atributo hay que modificar los permisos del AD, esto lo haremos con otro script que también viene incluido en el enlace que os he comentado antes y que podéis ver en la siguiente imagen.

Ahora tendremos que configurar varias GPO.

(Open Computer Configuration, open Administrative Templates, open Windows Components, and then open BitLocker Drive Encryption)

(Open Computer Configuration, open Administrative Templates, open System, and then open Trusted Platform Module Services)

Ahora cada vez que activemos bitlocker en una maquina tendremos su clave de recuperación guardada en el AD.

En caso de que un equipo no pueda arrancar por alguna de las siguientes razones:

-Al usuario se le ha olvidado el PIN (si se ha escogido esa configuración).

-Se ha cambiado de placa madre o se ha cambiado el disco duro de ordenador.

-Al usuario se le ha olvidado o ha perdido el pen drive (si se ha escogido esa configuración)

Entonces el usuario vera una pantalla como la siguiente:

Entonces llamara a soporte y quien le atienda si tiene los permisos adecuados podría mirar la clave de recuperación en el AD y decírsela al usuario para que pueda entrar en su máquina.

Si estamos hablando de una empresa con contrato premier, entonces se podrá instalar la herramienta Bitlocker Recovery Password Viewer, que permite buscar en el AD las claves de recuperación de una forma rápida a través de la consola de usuarios y computadoras del Directorio Activo.

Tenéis mas información sobre esta herramienta en:

https://support.microsoft.com/?kbid=928202