• Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

IT Specialist

by Riccardo Corna

  • Home
  • Nuovo? Inizia da qui!
  • Di cosa parlo?
    • Identity and Security
    • Microsoft 365
    • Azure
    • Windows
    • Altro
    • Divagazioni e punti di vista
  • Il Blog
  • Eventi & Community
  • Privacy Policy

Riccardo Corna / Gennaio 26, 2022

Backup manuale recovery key Bitlocker in Active Directory (Powershell)

L’impostazione e la distribuzione di Bitlocker attraverso Active Directory è una configurazione che si trova molto spesso nelle infrastrutture dei clienti: basta impostare le GPO ad-hoc e il gioco è fatto! Mmmmmm… diciamo che la maggior parte delle volte è così ma, talvolta, qualcosa può andare storto, specialmente in uno scenario dove i client sono stati (o sono tuttora) lontani per giorni, settimane, a volte mesi dalla rete aziendale e quindi dai domain controller.

Windows Bitlocker

Partendo dalla premessa che ogni scenario ha le sue peculiarità e sfaccettature e quindi non mi è possibile analizzarle tutte in un articolo di blog, diciamo che, in generale, ogni buona implementazione di Bitlocker tramite GPO di Active Directory prevede almeno queste due impostazioni:

  • il client deve fare automaticamente e autonomamente il backup della recovery key in AD;
  • la cifratura del disco non deve mai e poi mai partire se prima non si è eseguito il backup della chiave.

Hai già verificato le GPO in AD e, sulla carta, tutto torna? Perfetto, ma se per caso qualcosa andasse storto e il client fosse un po’ “pigro” nell’effettuare il backup? Oppure, cosa succede se, per un qualunque motivo, si è attivato il Bitlocker prima di joinare il client a dominio?

Niente paura, è possibile dargli una spintarella via PowerShell tramite alcuni cmdlet che ho raccolto per te direttamente dalla documentazione Microsoft:

$BitLocker = Get-BitLockerVolume -MountPoint $env:SystemDrive
$RecoveryProtector = $BitLocker.KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' }

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID

Ecco la fonte: BitLocker and Active Directory Domain Services (AD DS) FAQ (Windows 10) – Windows security | Microsoft Docs

Nota: il backup della chiave di recovery può essere fatto anche su Azure AD, è sufficiente sostituire l’ultimo comando visto poco sopra con la sua versione cloud:

BackupToAAD-BitLockerKeyProtector-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId $RecoveryProtector.KeyProtectorID

Come usare questi cmdlet?

  • se non hai molti client impattati dal problema, puoi eseguirli in remoto manualmente o in sessione interattiva con l’utente;
  • molto meglio, eventualmente, costruirci attorno uno script con una gestione degli errori ragionata e distribuirlo attraverso un qualunque tool di management.

Vuoi saperne di più su Bitlocker? Come sempre, ecco un po’ di documentazione:

  • BitLocker FAQ (Windows 10) – Windows security | Microsoft Docs

E a te, è mai capitato di avere un Bitlocker pigro? Come hai risolto la situazione? Ti aspetto sui miei social per parlarne insieme!

Il tuo IT Specialist,
Riccardo

Share on Social Media
linkedin twittertelegramwhatsapp email

Archiviato in:Identity and Security, Il Blog Contrassegnato con: Active Directory, Bitlocker

Vuoi tenerti aggiornato su quest’argomento?

Iscriviti alla newsletter e ricevi contenuti esclusivi, direttamente alla tua casella di posta.
Poche mail, uniche e speciali, promesso :)

Riccardo Corna

Sono uno specialista IT certificato su tecnologie Microsoft ed Apple con oltre 15 anni di esperienza sul campo.
Aiuto i clienti a costruire il loro Modern Workplace, disegnando ed implementando soluzioni cloud basate su Microsoft 365 ed Azure, secondo un approccio Zero Trust Security e stando al loro fianco durante le fasi decisionali di design ed implementazione. Scopri di più...

Barra laterale primaria

Seguimi!

  • LinkedIn
  • RSS
  • Twitter
  • Youtube

Ciao! Sono Riccardo…

... e supporto il business della tua azienda aiutandoti a sfruttare al meglio servizi e strumenti informatici.
Scopri di più...

Ricerca

Gli ultimi articoli

  • Il video della sessione al Be Connected Day del 15/6/2022: Microsoft Defender for Endpoint
  • Grandi novità per LAPS in Windows 11
  • Adoption kit per Azure AD Application Proxy
  • Microsoft Authenticator Registration Campaign
  • Impressioni sul Be Connected Day #9 – 15 Giugno 2022

Footer

Seguimi!

  • LinkedIn
  • RSS
  • Twitter
  • Youtube

A proposito di me…

Sono un sistemista certificato su tecnologie Microsoft ed Apple con oltre 15 anni di esperienza sul campo.

Scopri di più…

Copyright © 2022 · Digital Pro on Genesis Framework · WordPress · Accedi

  • Vuoi conoscermi meglio? Parti da qui!
  • Privacy Policy