Aplicável a
- Windows 10
Que tipo de informação é armazenada no AD DS?
| Informações armazenadas | Descrição |
|---|---|
| Hash da senha do proprietário do TPM | A partir Windows 10, o hash de senha não é armazenado no AD DS por padrão. O hash de senha só poderá ser armazenado se o TPM for de propriedade e a propriedade tiver sido tomada usando componentes de Windows 8.1 ou anteriores, como o Assistente de Instalação do BitLocker ou o snap-in do TPM. |
| Senha de recuperação do BitLocker | A senha de recuperação permite desbloquear e acessar a unidade após um incidente de recuperação. Os administradores de domínio podem exibir a senha de recuperação do BitLocker usando o Visualizador de Senhas de Recuperação do BitLocker. Para obter mais informações sobre essa ferramenta, consulte BitLocker: Use BitLocker Recovery Password Viewer. |
| Pacote de chaves do BitLocker | O pacote chave ajuda a reparar danos no disco rígido que, de outra forma, impediriam a recuperação padrão. Usar o pacote chave para recuperação requer a Ferramenta de Reparo do BitLocker, Repair-bde. |
E se o BitLocker for habilitado em um computador antes do computador ingressar no domínio?
Se o BitLocker estiver habilitado em uma unidade antes que a Política de Grupo tenha sido aplicada para impor um backup, as informações de recuperação não serão automaticamente respaldadas para o ADDS quando o computador ingressar no domínio ou quando a Política de Grupo for aplicada subsequentemente. No entanto, você pode usar as configurações Escolher como as unidades de sistema operacional protegidas pelo BitLocker podem ser recuperadas, Escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas e Escolher como as unidades removíveis protegidas pelo BitLocker podem ser recuperadas para exigir que o computador esteja conectado a um domínio antes que o BitLocker possa ser habilitado para ajudar a garantir que as informações de recuperação para unidades protegidas pelo BitLocker em sua organização sejam respaldadas para o ADDS.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
A interface de Instrumentação de Gerenciamento do Windows (WMI) do BitLocker permite que os administradores escrevam um script para fazer backup ou sincronizar as informações de recuperação existentes do cliente on-line; no entanto, o BitLocker não gerencia automaticamente esse processo. A manage-bde ferramenta de linha de comando também pode ser usada para fazer o back-up manual das informações de recuperação para o ADDS. Por exemplo, para fazer o back up de $env:SystemDrive todas as informações de recuperação para o a ADDS, você usaria o seguinte script de comando de um prompt de comando elevado:
$BitLocker = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }
Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID
BackupToAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID
Importante
A junção de um computador ao domínio deve ser a primeira etapa para novos computadores dentro de uma organização. Depois que os computadores são ingressados em um domínio, o armazenamento da chave de recuperação do BitLocker para o ADDS é automático (quando habilitado na Política de Grupo).
Existe uma entrada de log de eventos registrada no computador cliente para indicar o êxito ou a falha do backup do Active Directory?
Sim, uma entrada de log de eventos que indica o êxito ou a falha de um backup do Active Directory é registrada no computador cliente. No entanto, mesmo que uma entrada de log de eventos diga "Sucesso", as informações podem ter sido removidas subsequentemente do ADDS, ou o BitLocker poderia ter sido reconfigurado de forma que as informações do Active Directory não possam mais desbloquear a unidade (por exemplo, removendo o protetor de chave de senha de recuperação). Além disso, também é possível que a entrada de log possa ter sido falsificada.
Por fim, determinar se existe um backup legítimo em ADDS exige consultar ADDS com credenciais de administrador de domínio usando a ferramenta visualizador de senhas do BitLocker.
Se eu alterar a senha de recuperação do BitLocker no meu computador e armazenar a nova senha em ADDS, o ADDS substituirá a senha antiga?
Não. Por design, entradas de senha de recuperação do BitLocker não são excluídas de ADDS; portanto, você pode ver várias senhas para cada unidade. Para identificar a senha mais recente, verifique a data no objeto.
O que acontecerá se o backup falhar inicialmente? O BitLocker repetirá?
Se o backup falhar inicialmente, como quando um controlador de domínio estiver inacessível no momento em que o assistente de instalação do BitLocker for executado, o BitLocker não tentará novamente fazer backup das informações de recuperação para o ADDS.
Quando um administrador seleciona a caixa de seleção Exigir backup do BitLocker para ADICIONAções das informações de recuperação do BitLocker da Loja no Active Directory Domain Service (Windows 2008 e Windows Vista) ou a caixa de seleção Equivalente Não habilitar o BitLocker até que as informações de recuperação são armazenadas no AD DS | para ( unidades de dados do sistema operacional | dados removíveis) **em qualquer uma das unidades **Escolha como as unidades de sistema operacional protegidas pelo BitLocker podem ser recuperadas, Escolha como unidades de dados fixas protegidas pelo BitLocker podem ser recuperadas e Escolha como as unidades de dados removíveis protegidas pelo BitLocker podem ser recuperadas configurações de política, os usuários não poderão habilitar o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker para a ADDS seja bem-sucedido. Com essas configurações definidas caso o backup falhe, o BitLocker não pode ser habilitado, garantindo que os administradores sejam capazes de recuperar unidades protegidas pelo BitLocker na organização.
Para obter mais informações, consulte Configurações de Política de Grupo do BitLocker.
Quando um administrador limpa essas caixas de seleção, o administrador está permitindo que uma unidade seja protegida pelo BitLocker sem ter as informações de recuperação com êxito em ADDS; no entanto, o BitLocker não repetirá automaticamente o backup se falhar. Em vez disso, os administradores podem criar um script de backup, conforme descrito anteriormente em E se o BitLocker estiver habilitado em um computador antes de o computador ingressar no domínio? para capturar as informações após a restauração da conectividade.