Foro de TI tranquilo

Contáctanos
en https://forum.tranquil.it/

Recuperación de claves de auditoría de BitLocker

https://forum.tranquil.it/viewtopic.php?t=4097

Página 1 de 2

Recuperación de claves de auditoría de BitLocker

Publicado: 19 de noviembre de 2024 - 17:04
por jptw
Buen día,

Consola wapt: 2.3.0.13470
Habilitar BitLocker: 10.5.0
Auditoría de BitLocker: 10.5.0
Computadora con 2 discos duros: C: (sistema) y D: (datos) (solo la unidad del sistema C: está cifrada)

Tengo problemas para recuperar la clave BitLocker de Active Directory
La instalación y el cifrado de la unidad C: no suponen ningún problema
La auditoría, por su parte, comete un error :( Estoy resumiendo lo que me dice

Código: Seleccionar todo

OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none
Tengo la impresión de que no está intentando enviar la clave a AD
¿Y por qué me da error porque D: no está encriptado?

Debo haberme perdido algo

Gracias por su ayuda

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 19 de noviembre de 2024 - 18:04
por dcardon
Hola Jens,

por defecto el paquete solo cifra el disco del sistema. Esto es para evitar el cifrado involuntario de una unidad externa. Si quieres cifrar la unidad D:, tendrías que modificar el paquete.

Respecto a la carga de la contraseña cifrada a Active Directory, creo que hay un objeto de directiva de grupo (GPO) o algo similar que debe configurarse. También existe un paquete llamado "laps by wapt" que carga la contraseña cifrada a WAPT.

Para tu información, con el lanzamiento de WAPT 2.6 hoy, WAPT 2.3 ya no es compatible. ¿Podrías planificar una actualización?

Saludos cordiales,

Denis

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 20 de noviembre de 2024 - 8:32 a. m.
por jptw
Buen día,
De forma predeterminada, el paquete solo cifra el disco del sistema
Eso es exactamente lo que quiero, pero el paquete audit-bitlocker devuelve un error para la unidad Data D:

Con respecto a recuperar la contraseña de AD, creo que es el paquete audit-bitlocker el que debería manejarlo (LAPS es solo para contraseñas de cuentas de administrador local)

Aquí hay un fragmento del paquete audit-bitlocker:

Código: Seleccionar todo

for keyprotector in keyprotector_list:
                keyprotectorid = keyprotector["KeyProtectorId"]
                if keyprotector["KeyProtectorType"] in [1,2,4]:
                    # WAPT.delete_audit_data(
                    #     "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
                    # )  # not possible from package, please delete from WAPT Console
                    # print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
                    continue

                try:
                    # Backuping RecoveryPassword to the AD
                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
                except Exception as e:
                    print(e)
                    print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
                    audit_status = set_audit_status(audit_status, "WARNING")
También agregué un GPO que se supone que envía la clave de recuperación a Active Directory, pero no cambió nada
No tengo la clave de recuperación que aparece en Active Directory, ni la advertencia que dice "Error al realizar la copia de seguridad de RecoveryPassword"

GRACIAS

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 20 de noviembre de 2024 - 14:40
por jlepiquet
Buen día,

El script se ejecutará en todos los discos físicos presentes en la máquina.

Puede modificar o eliminar el siguiente código:

línea 207

Código: Seleccionar todo

        else:
            print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
            audit_status = set_audit_status(audit_status, "ERROR")

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 20 de noviembre de 2024 - 18:40
por jptw
Buen día,

Bien, cambié los dos mensajes de ERROR a mensajes de ADVERTENCIA para que el mensaje de error rojo ya no se muestre (gracias)

También agregué un certificado a "decrypt_cert_list" para ver la copia de seguridad de la clave de recuperación en WAPT (para fines de prueba)
En la auditoría me lo dijo claramente
copia de seguridad: RecoveryPassword{xxxx-xxx-xxx--xxxxx} a la consola wapt
Sin embargo, no sé dónde debería ver la clave de recuperación.

Y todavía no me ha dicho nada sobre hacer un backup de la clave de recuperación en AD
Para probar, lancé el comando en mi computadora
Copia de seguridad-BitLockerKeyProtector -MountPoint "{punto de montaje}" -KeyProtectorId "{id del protector de clave}
Al configurar los valores correctos, por supuesto, la clave efectivamente apareció en las propiedades de la máquina en Active Directory

Si alguien ya lo ha hecho y funciona, me interesaría


GRACIAS

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 21 de noviembre de 2024 - 11:52 a. m.
por jlepiquet
Buen día,

El guión no parece encajar

Código: Seleccionar todo

                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')

¿Está Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName completamente vacío en la máquina?

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 21 de noviembre de 2024 - 12:45 p. m.
por jptw
Sí, esta clave está realmente vacía

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 21 de noviembre de 2024 - 13:10
por jptw
Acabo de realizar una prueba asignando el valor "test" a la clave SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName',
y el registro de auditoría indica correctamente que guarda la clave de recuperación en Active Directory.

Es extraño, ¿no?
O tal vez estoy interpretando mal la condición:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):

No soy precisamente un experto en desarrollo.

Además, no veo en la consola de Wapt dónde proporciona la clave después de guardarla en Wapt.

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 21 de noviembre de 2024 - 14:35
por jlepiquet
Si reemplazas 'NetworkName' por 'MachineDomain', ¿funciona mejor? ¿
Está la clave correctamente presente con el nombre de dominio asociado?

Re: Recuperación de clave de auditoría de BitLocker

Publicado: 21 de noviembre de 2024 - 15:14
por jptw
Hola

, sí, funciona si lo reemplazo por MachineDomain. La clave se carga correctamente en AD, gracias.

Y para la copia de seguridad de la clave en WAPT, ¿sabes dónde encontrarla?
Zona horaria configurada en UTC+02:00
Página 1 de 2

Desarrollado por phpBB® Software para foros © phpBB Limited

Traducción oficial al francés © Qiaeru