Cenário: Todas as estações de trabalho portáteis (Laptops) terão Criptografia de Disco usando o BitLocker para evitar o risco de perda ou roubo. Por se tratar de tecnologia de criptografia de alta confiabilidade, sem vulnerabilidades conhecidas, será necessário que não exista possibilidades de haver perda da chave de recuperação. A chave de recuperação das estações de trabalho serão salvas no Active Directory sempre que forem criadas ou alteradas.
Está é uma configuração para Disco de Sistema e o mesmo pode ser realizado também para dispositivos removíveis (Pendrives, HD Externo ou outras Unidades de Disco).
Configurando requisitos de complexidade de senha para o usuário.
1) No Iniciar do Windows Server digite gerenciamento e clique no Gerenciamento de Políticas de grupo. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.
2) Navegue até a Unidade Organizacional onde se encontram todos os computadores que você deseja aplicar essa política. Clique com o botão direito sobre ela e selecione "Criar um GPO neste domínio e fornecer um link para ele aqui...".
3) Digite o nome da sua nova GPO e clique em OK.
4) Nessa nova GPO selecionada clique com o botão direito e selecione Editar.
5) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Modelos Administrativos:.../Componentes do Windows/Criptografia de Unidade de Disco BitLocker/Unidade do Sistema Operacional". Dê um duplo clique em Exigir autenticação adicional na inicialização.
6) Nesta nova janela selecione Habilitado. Verifique se as opções padrões estão marcadas e clique em OK.
7) Dê um duplo clique em Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas.
8) Nesta nova janela selecione Habilitado e marque a opção Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional. Clique em OK.
9) Feche o Editor de Gerenciamento de Política de Grupo. Antes de iniciarmos as configurações no Cliente01, execute o comando gpupdate /force no Prompt do Cliente01. Abaixo é exibido a política aplicada.
10) No Cliente01 abra o Painel de Controle e selecione Criptografia de Unidade de Disco BitLocker.
11) Em Criptografia de Unidade de Disco BitLocker selecione Ligar BitLocker.
12) Em Escolher como desbloquear a unidade da inicialização selecione Inserir senha.
13) Digite a senha que os usuários desta estação de trabalho (Cliente01) digitarão antes de logar na estação de trabalho Cliente01. Clique em Avançar.
14) Em Como deseja fazer o backup da chave de recuperação selecione Salvar em uma unidade USB.
15) Crie uma pasta com o nome da estação de trabalho no seu Pendrive e salve seu arquivo de recuperação dentro.
16) Em Como deseja fazer o backup da chave de recuperação clique em Avançar.
17) Em Você está pronto para criptografar essa unidade marque a opção Executar verificação do sistema BitLocker e clique em Continuar.
18) Após a configuração do BitLocker é necessário Reiniciar.
19) Após reiniciar é exigido a senha criada no "passo 13". Insira a senha e pressione Enter.
20) Clique no ícone Criptografia localizado nos botões da barra de tarefas para exibir o status da criptografia. Este processo é realizado apenas uma vez.
21) Após o término clique em Fechar.
22) No Controlador de domínio (AD) é necessário instalar um Recurso para visualizar a chave de recuperação do BitLocker da estação de trabalho Cliente01. No Gerenciador do Servidor do Controlador de Domínio, clique em Gerenciar e selecione Adicionar Funções e Recursos. Avance até Recursos e selecione Criptografia de Unidade de Disco BitLocker. Clique em Adicionar Recursos para adição dos recursos associados. Avance até Confirmação.
23) Em Confirmação marque a opção Reiniciar cada servidor de destino automaticamente se necessário e clique em Instalar.
24) Após a reinicialização abra o Usuários e Computadores do Active Directory. Clique em Exibir e selecione Recursos Avançados.
25) Selecione a Unidade Organizacional onde a política de grupo foi ativada e também onde se encontra o computador configurado para utilizar BitLocker Cliente01. Clique com o botão direito e selecione Propriedades.
26) Na Propriedades de Cliente01 selecione a aba Recuperação do BitLocker para visualizar a Senha de Recuperação. Esta senha é utilizada quando o usuário esquece a senha e não tem o pendrive com o senha de recuperação ou não a salvou em outro local.
27) Quando o usuário precisar da chave de recuperação. Pressione ESC para recuperação do BitLocker.
28) O Administrador informará ao usuário a Senha de Recuperação obtida no "passo 26".
Conclusão: Após a Recuperação do BitLocker é necessário que o usuário altere a senha do BitLocker. Neste momento é criada uma nova Chave de Recuperação e a mesma é salva novamente no Active Directory.
Se o usuário não tiver a Senha do BitLocker ou a Chave de Recuperação ou se a mesma não tiver sido configurada para ser salva no AD, não haverá meios de acessar o conteúdo deste HD que possui o Sistema Operacional, nem mesmo em outro PC ou HD Doctor.
Esse artigo foi submetido por
Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
Nenhum comentário:
Postar um comentário