jueves, 15 de marzo de 2018

Almacena las claves de Bitlocker en Directorio Activo

Estamos a las puertas de la aplicación de la nueva ley GDPR en Europa para la protección de datos, y esto toca de lleno a los sistemas de las empresas, y esto incluye especialmente los equipos y portátiles de los empleados.
Una forma económica y efectiva de encriptar los discos es la utilización de Bitlocker, un sistema incluido en los sistemas Windows desde Vista hasta Windows 10, pasando por los servidores.
Revisando tanto webs como el Technet de Microsoft buscando información sobre la utilización de Directorio Activo como sistema de almacenamiento de las claves de Bitlocker, siempre me encuentro la información fragmentada, de forma que voy a unificar en este post las distintas directivas que debemos aplicar para conseguir este objetivo.

Otro equipo protegido...  :)

Lo primero de todo, Ejecutamos un mmc.exe y en "agregar o quitar complemento" agregamos la directiva de grupo que aplica a nuestros equipos en el bosque o dominio, o bien directamente el editor de administración de directivas de grupo, y ahí buscamos la directiva que aplica.


Dentro de la directiva, vamos a Configuracion de equipo-->Directivas-->Plantillas administrativas-->Componentes de Windows-->Cifrado de unidad Bitlocker.


Aqui, habilitamos la primera directiva, "almacenar informacion de recuperacion de Bitlocker en los Servicios de Dominio de Active Directory". La directiva es muy simple, no tiene más que una opción, que es la cantidad de informacion que almacenará AD de Bitlocker. Por defecto, es almacenar"contraseñas de recuperacion y paquetes de claves", o sea, todo


Despues vamos a la carpeta "Unidades de sistema operativo". Dentro, de todas las directivas disponibles, es vital "Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por Bitlocker", que habilitamos.


Aquí tenemos multiples opciones de configuracion, pero es importante la última casilla, No habilitar Bitlocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo".

Salimos de la carpeta de Unidades de sistema Operativo y nos vamos a "Unidades de datos fijas". Aqui no añado pantalla, porque las opciones son practicamente las mismas que en la directiva anterior, que aplicaba a unidades donde se encuentre instalado el sistema operativo, con la diferencia que esta es la directiva aplicada a unidades fijas del equipo. Esto es, discos instalados que no sean extraibles, pero que tampoco tengan instalado en esos el sistema operativo. Por ejemplo, el segundo disco de algunos equipos.

La tercera carpeta, Unidades de datos extraibles, ya te haces una idea de lo que trae. Llegados a este punto, y habiendo realizado las pruebas de funcionamiento de las anteriores directivas, seguro que te las apañas para ponerla en funcionamiento (o no) conforme a tus necesidades. Personalmente, prefiero no aplicarla y utilizar para ello Unidades Kingston Datatraveller 2000 o similares.



No hay comentarios:

Publicar un comentario

¡Gracias por colaborar en este blog con tus comentarios! :)