BitLocker Recovery Key’i Active Directory ortamında saklama


BitLocker PIN’inizi unutursanız veya anahtarı kaybederseniz ne olur? Windows Server 2016’da self-recovery ve recovery password çözümlerini kullanarak BitLocker kurtarma işlemini uygulayabiliriz.

Bu yazıda, BitLocker şifrenizi kurtarmanın birkaç farklı yöntemine değineceğiz.

BitLocker drive encryption (BDE) ile bir sisteme erişmek, temel olarak recovery key’e sahip olmayı gerektirir. Recovery key, BitLocker yapılandırılırken oluşturulur ve grup policy ayarlarına bağlı olarak manuel veya otomatik olarak Active Directory’ye kaydedilebilir.

Manuel BitLocker Recovery

Manuel kurtarma işlemi, BitLocker’ı yalnızca kendiniz veya çok küçük bir ortamda kullanıyorsanız tercih edilmelidir. Bu yöntem bir hayli kolay bir işlemdir. BitLocker kurulduğunda size 48 haneli bir kurtarma anahtarı verilir. Bu kurtarma anahtarını güvenli bir yere kaydedebilir veya başka bir şekilde saklayabilirsiniz. BitLocker recovery yapmanız gerekirse, BitLocker boot ekranında ‘esc’ tuşuna basmanız ve kurtarma anahtarını girmeniz yeterlidir.

Kurtarma anahtarına erişimi olan herkesin BitLocker ile şifrelenmiş diskin şifresini çözebileceğini unutmamalısınız. Bu nedenle çevrimdışı olarak güvenli bir şekilde saklanması çok önemlidir. Aynı şekilde, kurtarma parolası kaybolursa ve diskin şifresini çözmek için başka bir yönteminiz yoksa veriler erişilmez olacaktır.

Active Directory BitLocker Recovery

BitLocker anahtarını manuel olarak güvenli bir konuma kaydetmek yerine, otomatik olarak bir Active Directory Domain Controller üzerinde depolanmasını sağlayabiliriz. Bu, BitLocker recovery işlemini merkezileştirmemize olanak tanır. Bu yöntemi kullanmak için, BitLocker’ı yapılandırmadan önce grup policy aracılığıyla etkinleştirilmesi gerekir.

Grup policy konsolunda ilgili policy’i düzenleyerek işe başlayabilirsiniz. Düzenlemeniz gereken policy’nin yolu aşağıda belirtilmiştir.

Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption → Store BitLocker recovery information in Active Directory Domain Services

Bu policy, BitLocker’ı yapılandırmak istediğiniz tüm makinelere uygulanmalıdır. Yalnızca Windows Server 2008 veya önceki sürümleri için geçerli olduğunu unutmayın.

Etkinleştirildikten sonra, varsayılan olarak seçilen “Require BitLocker backup to AD DS” seçeneğini görebilirsiniz.

Windows Server 2012 ve daha yeni sürümler için, ilgili policy ayarlarındaki Operating System Drives klasörünün altında bulunan “Choose how BitLocker protected operating system drives can be recovered” seçeneğini etkinleştiriyoruz. Fixed Data Drives veya Removable Data Drives için de benzer seçenekler bulunuyor. Varsayılan olarak “Save BitLocker recovery information to AD DS for operating system drives” seçeneği seçerseniz, “Do not enable BitLocker until recovery information is stored to AD DS for operating system drives” seçeneğini etkinleştirmelisiniz. Bu, BitLocker’ın yalnızca AD’de depolanan kurtarma anahtarının kesinlikle bir kopyasına sahip olduğumuzda açılmasını sağlar.

Kurtarma anahtarlarını, computer objelerinin properties tabına tıklayıp, BitLocker Recovery sekmesine altından görüntüleyebilirsiniz.

Ayrıca Active Directory’de aşağıda gösterildiği gibi bir etki alanını sağ tıklayıp “Find BitLocker recovery Password” seçeneğini üzerinden bir BitLocker kurtarma parolası arayabiliriz.

Burada görebildiğimiz gibi, kurtarma parolası Active Directory üzerinde depolanabilir ve BitLocker kurtarma işlemini merkezileştirebilmemizi sağlar.

PowerShell ile Yedek BitLocker Parolası

Kurtarma anahtarlarını Active Directory’de depolamak için bazı PowerShell cmdlet’leri de vardır. Belirtilen sürücü için kurtarma parolasını görüntülemek için aşağıda gösterildiği gibi ‘manage-bde’ komutunu kullanabiliriz. Bunu yapmak için diskin kilidinin açılması gerektiğini unutmayın. Yani önce şifresini çözmenizi gerekir.

Kurtarma anahtarlarının Active Directory’de depolamak için gereken grup ilkesini yapılandırmadan önce BitLocker’ı etkinleştirdiyseniz eğer PowerShell kullanarak bir BitLocker kurtarma anahtarını Active Directory’de depolayabiliriz. Bunun için ‘adbackup’ flag’ını ve ardından sürücü adı ve ID belirtmelisiniz.

Self Serve Recovery

Microsoft BitLocker Administration and Monitoring (MBAM), Microsoft müşterileri tarafından kullanılabilir. Bu, büyük kuruluşlara yönelik bir çözümdür. BitLocker kurtarma anahtarlarına merkezi olarak yönetmek için kullanılır. Çünkü BitLocker kurtarma anahtarlarına self service erişim sağlar ve kullanıcının diskinin şifresini çözememesi durumunda kurtarma anahtarını güvenli bir şekilde almasına izin verir. Bu seçenek, bir kullanıcı gerektiğinde kendi kurtarma anahtarını bulabileceği için yönetimsel yükü azaltmada yardımcı olur. Bu, Windows’ta self-recovery özelliğini kullanarak BitLocker kurtarma işlemini uygulamak için mevcut en iyi seçenektir.

Active Directory ile self-recovery ve recovery password alma çözümlerini kullanarak BitLocker recovery işlemini nasıl uygulayacağınızı gösteren birkaç farklı yöntemi açıklamaya çalıştım. BitLocker’ı yapılandırırken ister çevrimdışı bir yere ister Active Directory’ye güvenli bir şekilde manuel olarak kaydedilmiş olsun Recovery key olmadan verilerinize erişemeyebilirsiniz

KAYNAKACTIVE DIRECTORY