業務の中で、クライアント端末のBitlocker回復キーをADで一括管理するという
作業をしたので、忘備録として残しておこうと思います。
~はじめに~
ADで管理する際は、TPM (Trusted Platform Module)が必要になります。
TPMはコンピューターのマザーボードに組み込まれており、暗号化キーの生成と保存ができます。この生成されたキーをADで参照できるようにするという内容です。
1.ADで管理機能の追加
サーバーマネージャーにて、以下の機能を追加することによりAD上でクライアント端末の
回復キーが参照できるようになります。
Active Directory ユーザーとコンピューターで任意のコンピューターを右クリックし、[プロパティ]
を参照すると「Bitlocker 回復」というタブが追加されます。
※ADを2台以上で冗長化しているような場合は、それぞれのAD上で管理機能の追加をします。
2.グループポリシーを設定
1では参照する機能を追加しただけなので、次にGPO(グループポリシー)を設定します。
内容としては、①ADへ回復キーを保存する設定、②有効化のタイミング、③クライアント
端末のログイン時に認証を要求するか、です。ここが重要になります。
①GPOの作成とOUへの割り当て
サーバーマネージャーの「ツール」から 「グループポリシーの管理」を選択します。
「グループポリシーオブジェクト」を右クリックして「新規」をクリックし、任意の名前でGPOを
作成します。そして、Bitlockerを有効化したい端末が所属しているOUにGPOを割り当てます。
②ADへ回復キーを保存する設定
作成したGPOを右クリックし、編集をクリックします。
コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化
にある「Active Directory ドメイン サービスに Bitlocker 回復情報を保存する」という項目を有効にします。
※「AD DSへのBitlockerバックアップが必要」の項目に追加で☑をつけます。
②有効化のタイミング設定
コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化
→オペレーティングシステムのドライブにある「Bitlockerで保護されているオペレーティングシステムドライブ
の回復方法を選択する」という項目を有効にします。
※「オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない」
の項目に追加で☑をつけます。
③クライアント端末ログイン時の認証要求
コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→BitLockerドライブ暗号化
→オペレーティングシステムのドライブ→「スタートアップ時に追加の承認を要求する」という項目を
有効にします。
※「互換性のあるTPMが装備されていないBitlockerを許可する(USBフラッシュドライブでパスワードまたは
スタートアップキーが必要)」の項目に追加で☑をつけます。
※以下の設定に変更します。
TPMを要求する
TPMでスタートアップPINを許可しない
TPMでスタートアップキーを許可しない
TPMでスタートアップキーとPINを許可しない
3.Bitlockerの有効化
2までの設定ができたら、Bitlockerの有効化に移ります。
この際注意しなければいけないことがあります。それは、
GPOを任意のOUに割り当ててからBitlockerを有効化する
ということです。そうでないとクライアント端末でBitlockerを有効化しても回復キーはADに保存されません。
1の手順で実施しているとは思いますが、有効化前に念の為もう一度確認しておいたほうがいいですね。
しっかり割り当てができていると、Bitlockerを有効化後にADで以下のように確認できるはずです。
(セキュリティ上パスワードIDや回復パスワードは編集で隠しています。)
ADで回復キーを管理すれば、わざわざ個人個人で管理せずに済むので便利ですね。
万が一の時もリスクは減らせそうです。
また何かの知識が増えたら忘備録として残そうと思います。
Comments