احمد جهلولی
متخصص سرویس های مایکروسافت

آموزش ساخت DRA یا Data Recovery Agent برای بیت لاکر ویندوز

پیش نیاز این آموزش ADCS وآموزش قبلی من درباره EFS می باشد. مطالعه کردن این نکته هم خالی از لطف نیست.اگردو مورد بالای را به خوبی بخوانید و درک کنید نیازی به مقدمه و توضیح نیست. فقط بدانید این روش همانند روش EFS DRA کاربری در ساختار معرفی می کند که در مواقعی که کاربر پسورد و Recovery Key درایوی که بوسیله BitLocker رمزگذاری کرده را فراموش کند وارد عمل می شود و آن درایو را بوسیله BitLocker DRA Certificateی که بر روی آن اعمال شده Unlock می کند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • نکته: این روش مانند EFS DRA نیازمند یک زیر ساخت کلید عمومی یا PKI در ساختار می باشد.
  • نکته: هر کاربر قبل از رمزگذاری کردن درایو خود بوسیله BitLocker باید سرتنیفیکت تمپلت User یا Basic EFS بر روی آن اعمال شده باشد.

برای ایجاد BitLocker Data Recovery Agent اولین مرحله نصب کامپوننت زیر بر روی CA Server و سرور DC میباشد:

وب سایت توسینسو

قدم بعدی تنظیم کردن Key Recovery Agent template می باشد:

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

قدم بعدی اعمال کردن این Certificate Template بر روی کاربری که وظیفه ریکاوری کردن BitLocker ها را داشته باشد. چون این کارر مجوز Auto-Enrollment بر روی این تمپلت دارد با رفرش کردن پالاسی این Certificate اد می شود. پس با آن User به کامپیوتری Login می کنیم و دستور gpupdate /Force را اجرا می کنیم. قدم بعدی اضافه کردن این کاربر در Group Policy زیر می باشد.

مسیر زیر را دنبال کنید:

Computer Configuration — > Policies — > Windows Settings — > Security Settings — > Public Key Policies — > Right click BitLocker Drive Encryption –> Add Data Recovery Agent
وب سایت توسینسو
وب سایت توسینسو

قدم بعدی فعال کردن Policy زیر میباشد:

Computer Configuration — > Administrative Templates — > Windows Components — > BitLocker Drive Encryption
وب سایت توسینسو

بصورت کامل توضیح داده شده که این Policy چی هست. کلا برای BitLocker DRA بکار می رود و در مواقعی که درایوی را بوسیله BitLocker DRA ریکاوری کنید مورد استفاده قرار می گیرد. کارمون تموم شد. بریم یک تستی بزنیم. برای اینکار من درایو زیر را رمزگذاری می کنم.

وب سایت توسینسو

الان بر روی این کلاینت دستور زیر را اجرا می کنم تا از صحت اعمال شدن BitLocker DRA بر روی این درایو مطمئن شوم.

manage-bde -status f:
وب سایت توسینسو

همانطور که می دانید قبل از ایجاد BitLocker DRA کاربر می تواند بوسیله پسوردی که در ویزارد BitLocker تعیین می کند و همچنین Recovery Key که برای کاربر ایجاد می شود این درایو را Unlock کند ولی بعد از ایجاد BitLocker DRA علاوه بر پارامترهای بالا می توانید از Certificate Thumbprint و همچنین از فایل BitLocker DRA Certificate این درایو را Unlock کند. شما فرض کنید کاربر پسورد و Recovery Key این درایو را گم کرده یا از بین رفته و BitLocker DRA موظف است این درایو را برای این کاربر Unlock کند. برای اینکار کاربری که BitLocker DRA Certificate بر روی آن اعمال شده را عضو گروه Local Administrator آن کامپیوتر می کنیم و با این کاربر به سیستم Login می کنیم.

  • نکته مهم: اگر درایوی قبل از ایجاد BitLocker DRA رمزگذاری شده باشد تنظیمات BitLocker DRA بر روی آن اعمال نمی شود و نمی توان آن را بوسیله BitLocker DRA ریکاوری کرد.

بعد از Login کردن به سیستم:

وب سایت توسینسو

دستور زیر را وارد می کنیم:

manage-bde -protectors -get f:
وب سایت توسینسو

Certificate Thumbprint را بدست آوردم، الان توسط دستور زیر این درایو را Unlock می کنیم:

manage-bde -unlock f: -cert –ct “Certificate Thumbprint”
وب سایت توسینسو
وب سایت توسینسو

شاید برای شما جای سوال باشه که هر کاربری که مجوز مدیریتی بر روی این سیستم داشته باشد می تواند Certificate Thumbprint استخراج کند و این درایو را Unlock کنید؟ در جواب این سوال باید عرض کنم درسته که هر Adminی می تواند Certificate Thumbprint را استخراج کند ولی نمی تواند این درایو را Unlock کند چون BitLocker DRA Certificate برروی هر ادمین یا کاربری اعمال نشده و در نتیجه هر کسی نمی تواند این درایو را Unlock کند به جز کاربری که BitLocker DRA Certificate بر روی آن اعمال شده باشد.

وب سایت توسینسو

 

امید است همه Admin های عزیز از تمام قابلیتهای جدید محصولات مایکروسافت حداکثر استفاده را بکنند.

نویسنده: احمد جهلولی


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات