Armazenando a chave de criptografia do Bitlocker no ADDS - Active Directory - Windows Server 2025 [cai na AZ-801]

byEduardo Popovici -
0


Provavelmente você já se deparou com um cenário complicado envolvendo o BitLocker em algum usuário. Por exemplo: o notebook deixa de reconhecer o TPM e, logo na inicialização, solicita a chave de recuperação. Nesse momento vem o problema — a chave não foi salva em PDF, nem impressa, e o acesso ao equipamento fica bloqueado.

A boa notícia é que esse transtorno pode ser facilmente evitado. Basta configurar o armazenamento automático da chave de recuperação no Active Directory (ADDS). Assim, sempre que precisar, o administrador poderá recuperar a chave de forma rápida e segura, sem depender de ações manuais do usuário.

Para assegurar que a chave de recuperação do BitLocker seja devidamente armazenada no Active Directory, é fundamental configurar as seguintes políticas:

"Choose how BitLocker-protected operating system drives can be recovered" (Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas): Esta política é crucial para definir os métodos de recuperação para as unidades do sistema operacional. 

Ao ativá-la, você pode, entre outras opções, obrigar que as informações de recuperação sejam salvas nos Serviços de Domínio Active Directory (AD DS). 

É importante marcar a opção "Do not enable BitLocker until recovery information is stored in AD DS for operating system drives" para impedir que os usuários habilitem o BitLocker antes que o backup das informações de recuperação no AD DS seja concluído com sucesso.

"Enforce drive encryption type on operating system drives" (Impor tipo de criptografia de unidade em unidades do sistema operacional): Embora essa política não esteja diretamente ligada ao armazenamento da chave de recuperação, ela é um passo essencial no processo de automação e padronização da implementação do BitLocker. 

Ao definir um tipo de criptografia (seja completa ou apenas do espaço utilizado), você garante que o BitLocker seja ativado de forma consistente em todas as máquinas, o que, por sua vez, aciona o processo de salvamento da chave de recuperação conforme definido na política anterior.

Mas vamos ao passo a passo de como realizar essa configuração.

Passo 1: Abrir o Gerenciamento de Política de Grupo

  1. Primeiro, você precisa acessar o console de gerenciamento onde as GPOs são criadas e editadas (dentro do controlador de domínio ou em alguma máquina com o RSAT).
  2. Pressione as teclas Windows + R para abrir a caixa de diálogo "Executar".
  3. Digite gpmc.msc e pressione Enter. Isso abrirá o "Gerenciamento de Política de Grupo".

Passo 2: Criar e Vincular a Nova GPO

É uma boa prática criar uma nova GPO especificamente para as configurações do BitLocker e vinculá-la à Unidade Organizacional (OU) que contém os computadores que você deseja criptografar.

  1. No console de "Gerenciamento de Política de Grupo", navegue pela floresta e domínio até a OU onde os computadores de destino estão localizados.
  2. Clique com o botão direito do mouse na OU desejada e selecione "Criar um GPO neste domínio e fornecer um link para ele aqui...".
  3. Na caixa de diálogo "Nova GPO", dê um nome descritivo para a sua política, como POL_BitLocker_Recuperacao_AD, e clique em OK.

Passo 3: Editar a GPO e Configurar as Políticas do BitLocker

Agora você irá editar a GPO recém-criada para definir as configurações necessárias.

  1. Clique com o botão direito do mouse na GPO que você acabou de criar (POL_BitLocker_Recuperacao_AD) e selecione Editar.
  2. O "Editor de Gerenciamento de Política de Grupo" será aberto. Nele, navegue pelo seguinte caminho na árvore de console:
  3. Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker
  4. Dentro de "Criptografia de Unidade de Disco BitLocker", clique na pasta "Unidades do Sistema Operacional".

Passo 4: Configurar as Políticas Específicas

  1. Na pasta "Unidades do Sistema Operacional", você encontrará as duas políticas mencionadas na pergunta. Configure-as da seguinte forma:
  2. Política 1: Garantir o Backup da Chave de Recuperação
  3. Localize e dê um duplo clique na política: "Escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas".
  4. Na janela de propriedades da política, configure o seguinte:
  5. Selecione Habilitado.

Configuração do Computador  
   → Políticas  
       → Modelos Administrativos  
           → Componentes do Windows  
               → Criptografia de Unidade de Disco BitLocker  
                   → Unidades do Sistema Operacional


Importante: Marque a caixa de seleção "Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas nos Serviços de Domínio Active Directory (AD DS) para unidades do sistema operacional". Isso impede que a criptografia seja ativada antes que a chave de recuperação esteja segura no AD.

Deixe as outras opções de recuperação padrão marcadas (como permitir senha de recuperação de 48 dígitos).

Clique em Aplicar e depois em OK.

Política 2: Padronizar o Tipo de Criptografia

Agora, localize e dê um duplo clique na política: "Impor tipo de criptografia de unidade em unidades do sistema operacional".

  1. Na janela de propriedades, configure o seguinte:
  2. Selecione Habilitado.
  3. No menu suspenso "Selecionar o tipo de criptografia de unidade", escolha o método desejado (por exemplo, "Criptografia completa" ou "Criptografia de espaço usado somente").
  4. Clique em Aplicar e depois em OK.


E se você não encontrar a política?

A ausência da política "Impor tipo de criptografia de unidade em unidades do sistema operacional" no seu servidor é uma situação comum e geralmente ocorre por uma das duas razões.

A política que você procura está presente, mas com um nome ligeiramente diferente, que era usado em versões mais antigas do Windows Server.

Mas, a política que você deve configurar é a primeira da sua lista:

"Aplicar tipo de criptografia de dados a unidades do sistema operacional"

Esta é a política equivalente à "Impor tipo de criptografia..." em versões mais antigas dos modelos administrativos (arquivos .admx). Ao habilitá-la, você terá as mesmas opções para escolher o tipo de criptografia (completa ou apenas do espaço utilizado).

Passo 5: Crie um filtro WMI

Para não correr o risco de entregar essa GPO para qualquer sistema operacional, incluindo Servidores Windows, recomendo sempre a criação de um filtro WMI, que será atrelado à GPO.

O filtro WMI é basicamente uma Query SQL (simplificando bem a explicação). O cód que eu utilizei foi:

SELECT * FROM Win32_OperatingSystem WHERE (Caption LIKE "Microsoft Windows 10%" OR Caption LIKE "Microsoft Windows 11%") AND ProductType="1"

Explicação da Consulta:

  1. SELECT * FROM Win32_OperatingSystem: Esta parte da consulta seleciona todas as propriedades da classe WMI Win32_OperatingSystem, que contém informações sobre o sistema operacional instalado.
  2. WHERE (Caption LIKE "Microsoft Windows 10%" OR Caption LIKE "Microsoft Windows 11%"): Esta é a condição principal.
  3. Caption é uma propriedade que contém o nome do sistema operacional (ex: "Microsoft Windows 11 Pro").
  4. O operador LIKE com o caractere curinga % garante que qualquer edição do Windows 10 (Pro, Enterprise, etc.) ou do Windows 11 seja correspondida.
  5. O OR permite que a consulta retorne verdadeiro se o SO for Windows 10 ou Windows 11.
  6. AND ProductType="1": Esta é a parte mais importante para excluir os servidores.
  7. A propriedade ProductType identifica se a instalação do Windows é uma estação de trabalho (cliente) ou um servidor.
  8. ProductType="1" corresponde a um sistema operacional cliente (estação de trabalho).
  9. ProductType="2" corresponde a um controlador de domínio.
  10. ProductType="3" corresponde a um servidor que não é um controlador de domínio.
  11. Ao adicionar AND ProductType="1", você garante que a GPO seja aplicada somente a máquinas que sejam Windows 10 ou 11 E que sejam estações de trabalho, excluindo efetivamente todos os Windows Servers.

Depois que o filtro estiver criado, adicione à GPO. Essa adição é feita na aba Escopo, em filtros WMI. 


Agora sim você pode vincular essa GPO ao seu domínio ou à sua Unidade Organizacional. Aqui vinculei diretamente ao domínio, mas lembre-se que realizei esta atividade em um laboratório de estudos e não a um ambiente produtivo. Sempre teste as configurações em um ambiente de homologação antes de colocar em produção.

Passo 6: Atualizar a Política nos Computadores Clientes

Após salvar as configurações da GPO, a política será aplicada aos computadores na OU vinculada durante o próximo ciclo de atualização de política de grupo. Para forçar a aplicação imediata em um computador cliente para fins de teste:

  • Faça login no computador cliente.
  • Abra o Prompt de Comando como administrador.
  • Execute o comando: gpupdate /force

Depois de seguir este caminho completo, os computadores na OU designada serão configurados para fazer backup automático de suas chaves de recuperação do BitLocker no Active Directory antes de iniciar a criptografia do disco.

Dica do Faiçal (um colega que manja muito):

Na GPO eu defino que a máquina tem que usar o TPM para guardar as chaves. Só que a Microsoft colocou também o provedor Microsoft Pluton Cryptographic Provider, que funciona parecido.

Se o Windows tentar subir primeiro o provedor Microsoft Pluton em vez do TPM, a GPO vai falhar porque vai ficar no loop e no log vai aparecer erro ao carregar o provedor Microsoft Pluton Cryptographic Provider. 

Isso acontece mesmo que a máquina nem tenha esse recurso(hardware), porque o componente já vem instalado no Windows 11.





Tags:

Postar um comentário

Comente sem faltar com respeito - ;-)

Postagem Anterior Próxima Postagem