Cómo recuperar las claves de Bitlocker desde el Directorio Activo
Mientras preparábamos el webcast de Bitlocker tuvimos que montar el entorno de directorio activo que nos permitiría más adelante recuperar las “claves de recuperación” de los discos cifrados. Al hacerlo nos dimos cuentas de que para conseguirlo tuvimos que pasar por varias documentaciones distintas y nos costó un poco encontrar el camino correcto, así que os dejamos aquí el paso a paso de cómo lo hicimos para que lo tengáis más fácil que nosotros.
NOTA: Los servidores de nuestro entorno son Windows Server 2008 R2 y los clientes son Windows7.
1. Lo primero que hicimos fue crearnos una unidad organizativa donde poder añadir las máquinas que queríamos forzar a tener Bitlocker (Este paso nos lo podríamos haber ahorrado creando la política a nivel de dominio para que aplicase a todas las máquinas de nuestra infraestructura).
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/3175.poltica_thumb_173369D9.jpg
2. A continuación creamos la política usando GPMC.
3. La política que necesitamos aplicar para que podamos guardar la clave de recuperación de los discos fijos de nuestra máquina en el directorio activo es:
“Elegir cómo se pueden recuperar unidades fijas protegidas por Bitlocker”
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/3107.bitlcokerpolicy2_thumb_7991690C.png
Está política se encuentra bajo:
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/5658.bitlcokerpolicy1_thumb_142DDF59.png
Configuración de Equipo –> Plantillas Administrativas –> Cifrado de unidad Bitlocker –> Unidades de datos fijas
4. Una vez editada la política nos aseguramos de que se aplica en los clientes (este paso nos lo podemos ahorrar pero entonces tendríamos que esperar a que la política se aplicase sola). Para ello vamos al cliente Windows 7 y lanzamos el siguiente comando:
a. gpupdate /target:computer /force
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/6330.forceGP_thumb_490ABEC9.jpg
b. Con gpresult podemos ver que la política se ha aplicado
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/7725.gpresult_thumb_6413680A.jpg
5. Una vez se ha aplicado la política ya podemos empezar a cifrar el contenido del disco que queremos, es tan sencillo cómo:https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/7824.habilitarBitlocker_thumb_32E4079D.jpg
a. Abrir el explorador de archivos
b. Boton derecho sobre el disco y Activar Bitlocker
6. En este Windows 7 o en cualquier otro de nuestra red, instalamos las herramientas “Remote Server Administration Tools for Windows 7”. Os recomiendo mucho tener estas herramientas a mano ya que lo que permiten es administrar los servidores de nuestra infraestructura de forma remota. Un uso muy común de esto es la administración de Hyper-V Server o de la versión Core de Windows Server 2008 R2 ya que no tienen consolas gráficas.
7. Una vez instaladas las herramientas hay que activarlas, para eso debemos ir a las características de Windows 7 y activarlas.
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/3630.features_thumb_4D807DE9.jpg
Las que necesitamos son: Las de Directorio Activo más las de Bitlocker Viewer
https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/73/87/metablogapi/1563.features2_thumb_765B6D25.png
8. Una vez tenemos las herramientas hay que registrar la siguiente DLL
Regsvr32.exe BdeAducExt.dll
9. Finalmente podemos entrar en la consola de Directorio Activo
a. Al pulsar sobre la máquina con botón derecho propiedades
b. Ir a la pestaña Bitlocker
c. Vemos las claves de recuperación de esta máquina
d. Estas claves de recuperación sólo las veremos siempre y cuando seamos administradores de dominio.
Podemos encontrar inforamción adicional en los siguiente enlaces:
http://technet.microsoft.com/es-es/library/ee449438(WS.10).aspx
http://technet.microsoft.com/es-es/library/dd875531(WS.10).aspx
Herramientas: http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d