Go to Qiita Advent Calendar Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@saida

BitLockerの回復キーをActiveDirectoryで管理する

Posted at

BitLockerの回復キーをADで一元管理する方法です。
情報が少なかったので確認しながらまとめてみました。

環境

Windows Server2022
Windows11 25H2
他環境でも問題ないと思われる。

ゴール

最終的にはADユーザーとコンピューターにてBitLocker回復キーを閲覧や検索ができるようにする
image.png
image.png

手順

AD環境の整備(機能追加とポリシー)

回復キーを表示させる機能の追加とポリシーでAD保存できるようにする。

1. BitLocker回復パスワードビューアーの追加

サーバーマネージャー > 管理 > 役割と機能の追加
機能の追加画面にてリモート サーバ管理ツール > 機能管理ツール > BitLocker ドライブ暗号化管理ユーティリティの各種
にチェックを入れてインストール
image.png

※インストール時は再起動不要
※最低限 BitLocker 回復パスワードビューアー さえあればよい
※BitLockerドライブ暗号化機能ではないことに注意。こちらを選ぶと再起動が必要

2. グループポリシーの設定

コンピューターの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント >Bitlocker ドライブ暗号化 > オペレーティングシステムのドライブ > 「BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する」
を有効にする

「AD DSにオペレーティングシステムドライブのBitLocker回復情報を保存する」にチェックが入れておく
オフライン環境等でBitLockerを有効にされないように「AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない」にチェックを入れてもよい。
image.png

OSドライブ以外も対象であれば同様に
コンピューターの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント >Bitlocker ドライブ暗号化 > 固定データドライブ のポリシーにも同様の設定をしておく

端末側の設定

ポリシー反映以降であればBitLocker有効時に自動でADに回復キーが保存される。

手動でADに回復キーを送信する方法

既にBitLockerが有効な状態でポリシーを適用してもADに保存されない。
その場合は管理者権限を用いた本手順で送信できる。idの箇所はgetした際に表示される数字パスワード項目のIDを入れる。

1 IDや回復キーを取得(別ドライブならドライブレターを変えてコマンド実行すること)

manage-bde -protectors -get C:

2 以下で回復キーを送信

manage-bde -protectors -adbackup C: -id {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

powershellでスクリプト化したら以下になる。

$bitlockerInfo = (Get-BitLockerVolume -MountPoint C:).KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }
$bitlockerInfo | ForEach-Object {
    manage-bde.exe -protectors -adbackup C: -id $_.KeyProtectorId
}

batが好きなら以下で対応できる

For /F "tokens=2" %%A IN ('manage-bde -protectors -get C: -type recoverypassword ^| findstr "ID"') do set ID=%%A
manage-bde -protectors -adbackup C: -ID %ID%

Q&A

Q1. AD DSにオペレーティングシステムドライブの回復情報が格納されるまでBitLockerを有効にしない場合、既存のBitLocker暗号化端末は一時的に無効になるのか
A1. そんなことはない
ユーザーが BitLocker を有効にできないようにします。[公式サイト]の記載どおり有効を押した際にエラーとなるだけ。

Q2. コンピューターの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント >Bitlocker ドライブ暗号化 > Active Directory ドメインサービスにBitLocker回復情報を保存する
を有効にしなくてよいのか
A2. Windows Server2008とWindows Vista用の設定なので不要

参考

BitLocker回復パスワードビューアーについて
https://learn.microsoft.com/ja-jp/windows/security/operating-system-security/data-protection/bitlocker/recovery-process

BitLockerのポリシーについて
https://learn.microsoft.com/ja-jp/windows/security/operating-system-security/data-protection/bitlocker/configure?tabs=os#bitlocker-policy-settings

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?