07.06.2023

BitLocker anahtarları AD'ye (Active Directory) nasıl kaydedilir

Bu eğitim Windows AD'ye BitLocker kurtarma anahtarları eklemenize yardımcı olacaktır.

Hazırlık aşaması

AD'de güvenli BitLocker anahtar depolaması kurmak için platformunuzun aşağıdaki gereksinimleri karşılaması gerekir:

Adım 1: Bir Organizasyonel Birim Oluşturun

Etki alanında şifrelenmiş disk anahtarlarının güvenli depolanmasını etkinleştirmek için bir Grup İlkesi nesnesi yapılandırmanız gerekir.

GPO yönetim panelini açın (grup ilkesi yönetim sistemini arayarak bulabilir veya komutu kullanabilirsiniz:

gpmc.msc

Anahtarları otomatik olarak depolamak istediğiniz bilgisayarların bulunduğu kuruluş biriminde yeni bir grup ilkesi oluşturun (Örneğin, bu OU ClientPC olacaktır).

Adım 2: Bir GPO (Grup İlkesi Nesnesi) oluşturun ve yapılandırın

Ayrı bir Grup ilkesi oluşturun, aşağıdaki örnekte listelenen GPO bölümüne gidin ve "BitLocker kurtarma bilgilerini AD ilkesinde depola" seçeneğini etkinleştirin.

Ardından, "İşletim sistemi Sürücüleri" bölümüne gidin ve "BitLocker korumalı işletim sistemi sürücülerinin nasıl kurtarılabileceğini seçin" ilkesini etkinleştirin.

 

Bu seçenekteki son nokta, bilgisayar anahtarı etki alanına gönderene kadar BitLocker'ın diski şifrelemesini önlemek için kullanılır.

Kurtarma anahtarlarını flash sürücülere kaydetmek istiyorsanız, ilkeyi "Grup İlkesi Nesneleri" altında yapılandırın: "Çıkarılabilir Veri Sürücüleri" ve "Sabit Veri Sürücüleri".

Adım 3: Grup İlkesi Nesnesini Güncelleyin

İstemci bilgisayarlardaki ilke ayarlarını güncelleyin:

gpupdate /force

Adım 4: BitLocker sürücü şifreleme

Sürücünüzü BitLocker ile şifreleyin.

Anahtarınız etki alanında saklanır, sürücü otomatik olarak şifrelenir.

Bilgisayar başına birden fazla BitLocker şifresi kullanılabilir (farklı taşınabilir flash sürücüler için).

Adım 5: Disk zaten şifrelenmişse

Sürücü zaten şifrelenmişse, aşağıdaki komutu kullanın.

manage-bde -protectors -get c:

"c" yerine sürücünüzün harfini belirtin.

"Sayısal Parola "ya ihtiyacımız var (örneğin 6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2).

Anahtarı AD'ye eklemek için komutu çalıştırın.

manage-bde -protectors -adbackup C: -id {6CEF9111-61C2-4A09-84E1-2C0F0AAD60D2}

AD'de BitLocker verilerini yönetme.

BitLocker istemci bilgisayarlarını yönetmek ve yapılandırmak için sunucuya bileşenler yüklemeniz gerekir:

Bileşeni yükledikten sonra sunucuyu yeniden başlatmanız gerekir.

AD kullanıcıları ve bileşenleri için Denetim Masası'na gidin, bilgisayarın özelliklerini açın ve "BitLocker Kurtarma" adlı yeni bir sekme göreceksiniz; bu sekmede şifreleme anahtarımızı görebilirsiniz.

Kullanıcılardan biri oturum açamazsa, yönetici etki alanındaki şifreleme anahtarını bulabilir ve bu anahtarla kullanıcı sorunsuz bir şekilde oturum açabilir.

Kurtarma anahtarı ilk 8 karakter kullanılarak bulunabilir (Örneğimizde 6CEF9111).

Güvenli tarafta olmak için, yalnızca etki alanı yöneticisinin BitLocker anahtarını görme hakları vardır, ancak bu, diğer etki alanı kullanıcılarına haklar atayarak düzeltilebilir.

Sonuç

Bu yayındaki örnekten de görebileceğiniz gibi, şifrelenmiş sürücü anahtarlarını etki alanında saklamak o kadar da zor değildir ve makalemizin yardımcı olduğunu umuyoruz!

Yukarıdaki ayarlara ek olarak, Grup ilkesinde BitLocker'ı kullanırken size yardımcı olacak başka birçok seçenek vardır.