BitLocker Recovery Password Viewer

  • Article

W trakcie szyfrowania dysku przy uzyciu GUI BitLocker Drive Encryption, zauwazyc mozna, ze jednym z miejsc przeznaczonych na klucze jest ActiveDirectory.

Nie daje to wprawdzie zadnej integracji pozwalajacej na automatyczne dzialania, ale pozwala zapisac wszystkie klucze z firmy w jednym, stosunkowo bezpiecznym miejscu.

Choc przy pomocy GUI, zapisanie klucza w AD jest stosunkowo latwe, pewien problem pojawia sie w sytuacji, kiedy trzeba go odczytac. Pojawia sie proste pytanie "jak?"

Twardziele poradza sobie latwo, bo narzedzi do glebokiego grzebania po AD jest niemalo. A dla tych, którzy musza szybko i latwo cos kliknac, zeby przedyktowac awaryjny klucz prezesowi, któremu nie chce sie uruchomic laptop na lotnisku w Dubaju?

Otóz w tym celu powstalo specjalne narzedzie BitLocker Recovery Password Viewer.

Narzedzie to jest rozszerzeniem standardowej przystawki MMC "Active Directory Users and Computers" (dsa.mmc). Po zainstalowaniu, kazdy komputer w AD, we wlasciwosciach ma haslo do BitLockera. Dodatkowo, mozna wyszukiwac hasla we wszystkich domenach w lesie Active Directory.

Wazne jest, aby wiedziec, ze przed zainstalowaniem BitLocker Recovery Password Viewer nalezy dodac komputery z Windows Vista do domeny i przez GUI BitLockera wprowadzic zmiany w AD pozwalajace na przechowywanie hasel.

Samo narzedzie BitLocker Recovery Password Viewer instaluje sie na WindowsXP z narzedziami administracyjnymi lub na Windows2003.
Próba instalacji na Windows Vista konczy sie komunikatem "Not enough storage is available to process this command.", który nalezy rozumiec jako "Ta wersja systemu nie jest obslugiwana".

Zainstalowanie narzedzia wymaga zmian schematu, jednak pózniejsze uzycie - tylko praw do odczytu. Zmiany schematu oczywiscie wprowadzane sa we wszystkich domenach w lesie. GUID BitLocker Recovery Password Viewer to 2FB1B669-59EA-4F64-B728-05309F2C11C8.

Poniewaz zmiany schmatu przeprowadzane sa tylko raz, pierwsza instalacja narzedzia wymaga praw Enterprise Admin, a kolejne tylko lokalnego administratora komputera i uzytkownika w domenie.

Zainstalowany BitLocker Recovery Password Viewer pozwala na dwie operacje:

1. Odczytanie hasla dla konkretnego komputera. W tym celu nalezy znalezc w Active Directory Users and Computers wlasciwy obiekt, kliknac prawym klawiszem myszy, wybrac "wlasciwosci" i na zakladce "BitLocker Recovery" odczytac klucz.

2. Wyszukanie hasla na podstawie identyfikatora . Wspomniany wczesniej pan prezes moze nie wiedziec jak sie nazywa jego komputer (przeciez nie moze go uruchomic) ale jego system, proszac o recovery wyswietla identyfikator klucza. Klikajac prawym przyciskiem myszy na kontenerze domeny, z menu nalezy wybrac "Find BitLocker Recovery Password" i wpisac pierwsze 8 znaków identyfikatora.

Oczywiscie, obie te operacje wymagaja praw administratora domeny lub oddelegowania szczególowych uprawnien.