Forum IT Tranquillo

Buongiorno,

console wapt: 2.3.0.13470
Abilita BitLocker: 10.5.0
Controllo BitLocker: 10.5.0
Computer con 2 HDD: C: (sistema) e D: (dati) (solo l'unità di sistema C: è crittografata)

Ho problemi a recuperare la chiave BitLocker da Active Directory
L'installazione e la crittografia dell'unità C: non presentano problemi
La revisione contabile, da parte sua, commette un errore

Riassumo ciò che mi dice

Codice: Seleziona tutto

OK : C: est chiffré et la protection bitlocker est ON
IMPORTANT : je n'ai pas spécifié de "decrypt_cert_list" .... ( je ne souhaite pas forcement que la cle soit visible dans wapt )
ERROR : D: Data drive n'est pas chiffré par bitlocker
INFO: D: Data drive bitlocker encryptionmethod is :none

Ho l'impressione che non stia tentando di inviare la chiave ad AD
E perché mi dà un errore perché D: non è crittografato?

Devo aver perso qualcosa

Grazie per l'aiuto

Ciao Jens,

di default il pacchetto crittografa solo il disco di sistema. Questo per evitare di crittografare involontariamente un'unità esterna. Se desideri crittografare l'unità D:, dovresti modificare il pacchetto.

Per quanto riguarda il caricamento della password crittografata in Active Directory, credo che sia necessario configurare un oggetto Criteri di gruppo (GPO) o qualcosa di simile. Esiste anche un pacchetto "laps by wapt" che carica la password crittografata su WAPT.

Per tua informazione, con il rilascio odierno di WAPT 2.6, WAPT 2.3 non è più supportato. Potresti pianificare un aggiornamento?

Cordiali saluti,

Denis

Buongiorno,

Per impostazione predefinita, il pacchetto crittografa solo il disco di sistema

È esattamente ciò che desidero, ma il pacchetto audit-bitlocker restituisce un errore per l'unità Data D:

Per quanto riguarda il recupero della password da AD, credo che sia il pacchetto audit-bitlocker a doverlo gestire (LAPS è solo per le password degli account amministratore locale)

Ecco un frammento del pacchetto audit-bitlocker:

Codice: Seleziona tutto

for keyprotector in keyprotector_list:
                keyprotectorid = keyprotector["KeyProtectorId"]
                if keyprotector["KeyProtectorType"] in [1,2,4]:
                    # WAPT.delete_audit_data(
                    #     "enable-bitlocker", f"RecoveryPassword_{keyprotectorid}"
                    # )  # not possible from package, please delete from WAPT Console
                    # print("INFO: Skipping Backup-BitLockerKeyProtector for KeyProtectorType: Tpm")
                    continue

                try:
                    # Backuping RecoveryPassword to the AD
                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')
                except Exception as e:
                    print(e)
                    print(f"WARNING: Failed to backup RecoveryPassword {keyprotectorid} to the AD")
                    audit_status = set_audit_status(audit_status, "WARNING")

Ho anche aggiunto un GPO che dovrebbe inviare la chiave di ripristino ad Active Directory, ma non è cambiato nulla
Non ho la chiave di ripristino visualizzata in Active Directory, né l'avviso "Impossibile eseguire il backup di RecoveryPassword"

GRAZIE

Buongiorno,

Lo script verrà eseguito su tutti i dischi fisici presenti nella macchina.

È possibile modificare o eliminare il seguente codice:

riga 207

Codice: Seleziona tutto

        else:
            print(f"ERROR: {mountpoint} {volumetype} drive is not encrypted with BitLocker")
            audit_status = set_audit_status(audit_status, "ERROR")

Buongiorno,

Ok, ho cambiato i due messaggi di ERRORE in messaggi di AVVISO in modo che il messaggio di errore rosso non venga più visualizzato (grazie)

Ho anche aggiunto un certificato a "decrypt_cert_list" per visualizzare il backup della chiave di ripristino in WAPT (a scopo di test)
nella verifica mi ha detto chiaramente

backup: RecoveryPassword{xxxx-xxx-xxx--xxxxx} sulla console wapt

Tuttavia, non so dove dovrei trovare la chiave di ripristino.

E non mi ha ancora detto nulla riguardo al backup della chiave di ripristino in AD
Per testare, ho lanciato il comando sul mio computer

Backup-BitLockerKeyProtector -MountPoint "{punto di montaggio}" -KeyProtectorId "{keyprotectorid}

Impostando i valori corretti, ovviamente, la chiave è effettivamente apparsa nelle proprietà della macchina in Active Directory

Se qualcuno lo ha già fatto e funziona, sarei interessato

GRAZIE

Buongiorno,

La sceneggiatura non sembra adattarsi

Codice: Seleziona tutto

                    if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):
                        print(f"Backuping: RecoveryPassword {keyprotectorid} to the AD")
                        run_powershell(f'Backup-BitLockerKeyProtector -MountPoint "{mountpoint}" -KeyProtectorId "{keyprotectorid}"')

La chiave Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\NetworkName è completamente vuota sul computer?

Sì, questa chiave è effettivamente vuota

Ho appena eseguito un test assegnando il valore "test" alla chiave 'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName',
e il registro di controllo indica correttamente che la chiave di ripristino viene salvata in Active Directory.

È strano, vero?
O forse sto interpretando male la condizione:
if registry_readstring(HKEY_LOCAL_MACHINE, r'SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History', 'NetworkName', None):

Non sono esattamente un esperto di sviluppo.

Inoltre, non vedo nella console di Wapt dove viene fornita la chiave dopo averla salvata in Wapt.

Se si sostituisce 'NetworkName' con 'MachineDomain', funziona meglio?
La chiave è presente correttamente con il nome di dominio associato?

Ciao

, sì, funziona se lo sostituisco con MachineDomain. La chiave è stata caricata correttamente su AD, grazie.

E per quanto riguarda il backup della chiave in WAPT, sai dove posso trovarlo?

Forum IT Tranquillo

Recupero della chiave di controllo BitLocker

Recupero della chiave di controllo BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker

Re: Recupero della chiave di controllo di BitLocker