Como configurar Active Directory para almacenar información de recuperación de Bitlocker y TPM (Parte I)
Almacenar recovery passwords para un volumen protegido con BitLocker permite a aquellos usuarios autorizados a recuperar el volumen si está protegido por esta tecnología. Esto permite por supuesto que la información encriptada que pertenezca a la empresa siempre pueda ser accedida por al menos alguna persona autorizada.
Almacenar la información de TPM de un equipo es de suma utilidad por ejemplo si se despide a un empleado y se desea acceder al contenido de su disco que se encuentra encriptado con BitLocker.
Para poder almacenar este tipo de información en Active Directory, es necesario que los controladores de dominio sean Windows Server 2003 con SP1 al menos, o Windows Server 2008.
Pre requisitos:
Ademas del anteriormente mencionado con respecto al sistema operativo, se debe extender el schema agregando las extensiones correspondientes para BitLocker. Sin esto, si se habilita BitLocker en en equipo antes de preparar el Schema, no se almacenará ningún tipo de información de recuperación en Active Directory.
La información de recuperación se almacena en un child object del computer object. Esto significa que el computer object es el contenedor del BitLocker Recovery Object. Vale la pena aclarar que puede existir más de un Recovery Object por Computer Object, ya que puede haber más de una contraseña de recuperación asociada con un volumen BitLocker.
El nombre del BitLocker recovery object incorpora un GUID e información de fecha y hora, con una longitud de 63 caracteres:
<Object Creation Date and Time><Recovery GUID>
El common name (cn) para el BitLocker recovery object es ms-FVE-RecoveryInformation. Cada uno de estos objetos contiene los siguientes atributos:
- ms-FVE-RecoveryPassword.
- ms-FVE-RecoveryGuid.
- ms-FVE-VolumeGrid.
- ms-FVE-KeyPackage.
- GUID agregado al global catalog para facilitar búsquedas forest-wide (isMemberOfPartialAttributeSet).
- Un bit para uso confidencial para los atributos GUID (bit 128 de searchFlags).
- Tamaño de cada atributo restringido para minimizar los tiempos de replicación en el caso de un ataque del tipo flood a la base de Active Directory (rangeUpper).
- Descripciones de atributos actualizadas para claridad (adminDescription).
- Un bit adicional definido seteado para almacenar valores cuando se crean copias de objetos (bit 16 de searchFlags).
- Un bit adicional definido para crear índices per-container de atributos GUID (bit 2 de searchFlags).
Almacenamiento de la información de recuperación de TPM en Active Directory
Solo existe una contraseña de recuperación TPM por equipo. Cuando se inicializa TPM o cuando la contraseña es cambiada, se lleva a cabo un backup del hash de la TPM ownership password, como atributo del computer object.
El cn de este atributo es ms-TPM-OwnerInformation.
En la próxima parte veremos concretamente los pasos necesarios para llevar a cabo la configuración de Active Directory para poder utilizar BitLocker y TPM. Además, seguiré adelante con lo que respecta a Authoritative Restore en Active Directory.
Más información:
Configuring Active Directory to Back up Windows BitLocker Drive Encryption and Trusted Platform Module Recovery Information (documento sobre el cual me estoy basando para desarrollar el artículo).
Saludos.
Marcelo.