Cambiar la clave de recuperación o el PIN de usuario en Bitlocker
Si con el fin de mejorar la seguridad del equipo en el que hemos activado Bitlocker hemos usado protectores adicionales como un PIN o una llave clave de inicio en un USB (algo que tienes o algo que sabes) es mas que posible que nuestros usuarios puedan olvidarse de ellas obligandonos a facilitarles las claves de recuperación como unica alternativa a desplazar a un tecnico hasta el puesto de trabajo del usuario.
Logicamente es conveniente que en el caso de tener que facilitar la clave de recuperación al usuario, se cambie la misma.
Para ello es posible usar el script de administración manage-bde.wsf que se puede encontrar en C:\Windows\system32.
No es posible cambiar la clave de recuperación directamente pero si es posible borrar la existente y generar una nueva.
Para borrar una clave de recuperación existente se puede usar la siguiente sintaxis:
manage-bde –protectors –delete c: -type RecoveryPassword
Para crear una nueva clave de recuperación usaremos el siguiente comando.
manage-bde –protectors –add c: -rp
Siempre recomiendo a mis clientes usar el AD para guardar las claves de recuperación, si hemos configurado las GPO adecuadamente este proceso de backup de la clave de recuperación en el AD no solo sera transparente para el usuario sino que ademas tendremos la seguridad de que si no se puede contactar con el AD tampoco se realizara la operación.
Obviamente para administrar Bitlocker hay que ser administrador de la maquina lo cual dificulta un poco la operativa de esta operación, la suerte es que el script manage-bde permite ser usado en remoto solucionando este problema.
El mismo procedimiento es el que se debe usar para cambiar el PIN del usuario usando para ello los parámetros relativos a la clave PIN.
Comments
- Anonymous
April 21, 2008
sinplemente no me gusta el anterior