Como impedir os Administradores locais de desactivar o Bitlocker

É prática comum em muitas organizações adicionar os utilizadores ao grupo dos Administradores locais das máquinas por forma a facilitar por exemplo a instalação de aplicações. Por defeito, os Administradores locais podem desactivar ou suspender o Bitlocker.

Se pretendermos manter os utilizadores como membros dos Administradores locais e, ao mesmo tempo garantir que o Bitlocker não possa ser desactivado, deveremos implementar as seguintes alterações:

  1. Configurar uma GPO para remover o ícone do Bitlocker a partir do Painel de Controle.
  2. Configurar o Applocker (Application Control Policies) para bloquear o executável manage-bde.exe.

Passo 1: Remover o icone do Bitlocker Icon no Control Panel

1. Criar uma nova política de grupo

2. Editar a nova política de grupo e navegar até User Configuration => Administrative Templates => Control Panel

4. Clicar em ‘Hide Specified Control Panel items’ e definir ‘Enable this policy’:

5. Clicar em Show “List of disallowed Control Panel Items”:

 6. Adicionar o Canonical Name para o Bitlocker: Microsoft.BitLockerDriveEncryption:

O seguinte link contém todos os Canonical Names dos itens do Painel de controlo:

https://msdn.microsoft.com/en-us/library/ee330741(v=VS.85).aspx

7. Depois de criar e editar a política de grupo é necessário efectuar um update das politicas de grupo na máquina cliente: gpupdate /force.

8. Com estes procedimentos conseguimos remover o Bitlocker do painel de controle.

Passo 2: Impedir a execução do manage-bde através do Applocker

1. Para usar o Application Locker temos de garantir que o serviço Application Identity está em execução na máquina cliente.

2. Abrir a consola de Serviços e iniciar o Application Identity:

Nota: pode ser usada uma GPO para configurar o arranque automático do serviço Application Identity.

3. Abrir o secpol.msc (local security policy)

4. Dar duplo click em Application Control Policies e depois em AppLocker

5. Right click em Executable rules.

6. Criar uma nova regra para bloquear o acesso de todos os utilizadores ao manage-bde.exe:

 8. Efectuar o Enforce nas propriedades do AppLocker:

 

9. Na maquina cliente executar: gpupdate /force

10. Agora, ao tentarmos executar o manage-bde.exe a partir da linha de comando vamos ter um acesso negado e uma informação a dizer que estas definições estão controladas por GPO.

AL