Store Bitlocker Recovery Keys in Active Directory

Kurumsal kullanıcılar için BitLocker, sürücü şifreleme alternatiflerden olup bedava bir çözümdür. Domain ortamında Bitlocker Recovery Key’lerini Active Directory içerisinde saklayabilirsiniz. Bitlocker Recovery Key 48 basamaklı benzersiz sayısal bir şifre olabildigi gibi, bir dosya içerisinde saklanabilen 256 bit’lik key’dir. Bitlocker’ı aktifleştirdiginiz zaman tercihinize göre bu parola veya key oluşur. Bu derece onemli key’in manuel saklanması veya yonetilmesi bilgisayar sayısı yüksek degil ise son derece kolaydır ancak 100’den fazla pc sayısı var ise bu durum karmaşık hale gelir. 

Group Policy aracılığıyla Bitlocker Recovery Key’i local bilgisayar yerine Active Directory’de saklayabilirsiniz. Her key benzersiz isim ve anahtar ile aktifleştirilen bilgisayar objesinde ki attribute’lerde saklanır. Ilk olarak Domain Controller sunucularınıza, Bitlocker Drive Encryption‘ı kurmalısınız.

Bitlocker bilgilerinin Active Directory içerisinde saklanması için Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption. Edit the policy Store BitLocker Recovery information in Active Directory Domain Services; policy’sini aktifleştirip Require BitLocker backup to AD DS: Enable. Select BitLocker recovery information to store: Recovery passwords and key packages seçmelisiniz.

Aşağıdaki seçenek ile Bitlocker Recovery Key’i Active Directory’ye kaydedilmediği sürece aktifleştirilmemesi sağlanır.

Bitlocker’ı işletim sisteminin yüklü olduğu disk üzerinde aktifleştirmek için ise aşağıdaki gpo ayarının yapılması gerekiyor.

GPO’ların uygunlandıgı herhangi bir computer üzerinde Bitlocker’ı aktifleştirdikten sonra, Active Directory üzerinden Recovery Key’i aratabilirsiniz.