Criptografia de Disco com Bitlocker integrado com o Active Directory

O BitLocker é um recurso de proteção de dados que criptografa unidades em computadores para ajudar a evitar roubo ou exposição de dados.

A criptografia é o processo de transformar uma informação em texto usando um algoritmo (chamado cifra) de modo a impossibilitar a sua leitura, exceto àqueles que possuam uma identificação particular, geralmente referida como chave. O resultado deste processo é uma informação encriptada, também chamada de texto cifrado.

Objetivo deste tutorial é ensiná-lo áa criptografar o disco de suas estações usando a ferramenta da Microsoft chamada Bitlocker, integrada com o Active Directory.

A configuração nas máquinas será automatizada. Portanto, toda máquina que entrar no domínio e estiver na Unidade Organizacional (OU) configurada pela GPO (Diretiva de Grupo) terá o(s) seu(s) disco(s) criptografado(s) e a chave de recuperação será armazenada dentro do Active Directory.

1. Preparando o Servidor

1.1 Usuários e Computadores

Clique no menu Iniciar — Ferramentas Administrativas

 

Clique em Usuário e Computadores do Active Directory

 

Para facilitar a configuração, crie uma estrutura baseada em OUs (Unidades Organizacionais). Por exemplo, na imagem abaixo observe que separamos por setores/departamentos.

Você precisa criar as OUs porque a GPO (Diretiva) será aplicada para a OU e apenas as máquinas que estiverem dentro dessas OUs que receberão a configuração.

*OBS: Caso já tenha máquinas no AD mova as para dentro da OU (Unidade Organizacional) correta, conforme a imagem acima.

 

1.2 Instalando o BitLocker

Clique no menu Iniciar — Gerenciador do Servidor.

 

Selecione Gerenciar — Adicionar funções e recursos.

 

 

Clique em Próximo na tela de boas-vindas.
Clique em Próximo com a seleção padrão Instalação baseada em função ou baseada em recurso.

 

Clique em Próximo com a seleção padrão: Selecionar um servidor no pool de servidor.

 

Clique em Próximo e não marque nada nesta tela.

 

Marque a opção Criptografia de Unidade de Disco BitLocker.

 

Clique em Adicionar Recursos.

 

Vá até a opção Ferramentas de Administração de Funções – Ferramentas de Administração de Recursos – Utilitários de Administração de Criptografia de Unidade do BitLocker.

Caso não esteja marcado, marque as duas opções:
 – Ferramentas de Criptografia de Unidade de Disco BitLocker
 – Visualizador de Senha de Recuperação do BitLocker

Clique em Próximo.

 

Clique em Instalar, aguarde a Instalação e no final reinicie o servidor.

 

1.3 Instalando Serviços de Certificados

Iremos rodar scripts em PowerShell, por isso precisamos que somente se tenha permissão para executar aqueles scripts que queremos. Para isso precisamos instalar o Gerenciados de certificados. Ele irá nos possibilitar gerar certificados digitais e assinar os scripts. Assim somente os scripts assinados terão permissão para execução.

Clique no menu Iniciar — Gerenciador do Servidor.

 

Selecione Gerenciar — Adicionar funções e recursos.

 

Clique em Próximo na tela de boas-vindas.
Clique em Próximo com a seleção padrão Instalação baseada em função ou baseada em recurso.

 

Clique em Próximo com a seleção padrão: Selecionar um servidor no pool de servidor.

 

Marque a opção: Serviços de Certificados do Active Directory e Clique em Próximo.

 

Clique em Adicionar Recursos.

 

Clique em Próximo.

 

Clique em Próximo.

 

Clique em Próximo.

 

Marque a opção: Autoridade de Certificação, e clique em Próximo.

 

Clique em Instalar, aguarde a instalação se concluída.

 

Clique em Gerenciar depois em Configurar os Serviços de Certificado do Active Directory.

Clique em Próximo.

 

Marque a opção: Autoridade de Certificação, e clique em Próximo.

 

Escolha a opção: AC Corporativa e clique em Próximo.

 

Escolha a opção: AC Raiz e clique em Próximo.

 

Escolha a opção: Criar uma nova chave privada e clique em Próximo.

 

Deixe padrão conforme a imagem abaixo e clique em Próximo.

 

Deixe padrão e clique em Próximo.

 

Determina por quanto tempo irá valer o certificado. Padrão é 5 anos.

Clique em Próximo.

 

Escolha os locais do banco de dados e clique em Próximo.

 

Clique em Configurar e aguarde.

 

Agora de a configuração foi realizada clique em Fechar.

1.4 Preparando a pasta do Script

Com as GPO’s criadas, agora precisamos criar o script que irá ativar o BitLocker automaticamente quando a máquina ingressar no domínio e fizer o seu primeiro acesso como administrador.

Primeiro é preciso definir uma pasta onde ficará o script e dar as devidas permissões de acesso a ela.

Abra o Windows Explorer – Clique com o botão direito do mouse em Disco Local (C:) – Novo — Pasta

 

Digite o nome BitLocker.

 

Clique com o botão direito na pasta criada e depois em Propriedades.

 

Clique em Segurança depois em Editar.

 

Clique em Adicionar.

 

Digite Computadores e clique em Verificar nomes.

 

Digite “;” depois digite Usuários e clique em Verificar Nomes. Depois clique em OK.

 

Permita Modificar e clique em OK.

 

Clique em Compartilhamento depois em Compartilhamento Avançado

 

Clique em Compartilhar a pasta depois em Permissões.

 

Marque o grupo Todos e clique em Remover.

 

Clique em Adicionar.

 

Digite Computadores e clique em Verificar nomes.

 

Digite ; depois digite Usuários e clique em Verificar Nomes. Depois clique em OK.

 

Clique em OK.

 

Clique em OK nas duas janelas a seguir.

 

1.5 Gerando o Certificado

Para que possamos rodar nossos scripts de maneira segura vamos assiná-los digitalmente. Siga os passos abaixo:

Clique no menu Iniciar – Ferramentas Administrativas do Windows – Certification Authority

 

 

Expanda o menu nome do servidor – Modelos de Certificado – Novo – Modelo de Certificado a Ser Emitido

 

Clique em Assinatura do Código

 

Pressione win + r para abrir o Executar.

Digite certmgr.msc e clique em Ok.

 

Expanda o menu Pessoal e depois clique na pasta Certificados.
Note que já existe um certificado criado. Este pode ser usado para Recuperação de Arquivos.

 

Clique com o botão direito do mouse no espaço em branco da direita – Todas as tarefas – Solicitar novo certificado.

 

Clique em – Avançar.

 

Clique em – Avançar.

 

Escolha a opção: Assinatura do Código depois clique em Registrar.

 

Após finalizar a instalação clique em Concluir.

 

Agora temos o certificado que irá assinar os nossos Scripts.

 

Vamos exportá-lo para uma pasta onde também iremos guardar nosso scritp.

Clique com o botão direto sobre o certificado e escolha a opção Todas as tarefas  — Exportar…

 

Clique em – Avançar.

 

Clique em Avançar.

 

Clique em Avançar.

 

 

Clique em Avançar.

 

 

Clique em Procurar.

 

 

Digite o caminho de onde será salvo seu certificado e clique em Salvar

 

Clique em Avançar

 

Clique em Concluir.

 

Clique em OK.

 

1.6 Bloqueando a execução de scripts não assinados

Por padrão todos os scripts podem ser executados, uma vez que será perguntado se você deseja alterar a política de execução de scripts. Mas isso não é recomendado.

Para melhor proteger o nosso ambiente, permitiremos a execução somente scripts que sejam assinados com o certificado que criamos anteriormente.

Clique no menu Iniciar – Ferramentas Administrativas.

 

Clique em Gerenciamento de Política de Grupo.

 

Expanda os menus até chegar na OU (Unidade Organizacional) que vai aplicar a GPO e clique nela.
No nosso caso iremos aplicar a GPO para todas as estações dentro da OU MATRIZ.

 

Clique com o botão direito do mouse e selecione Criar um GPO neste domínio e fornecer um link para ele aqui…

 

Defina o nome para sua GPO.

 

Clique com o botão direito do mouse na GPO depois em Editar.

 

Expanda os menus Configuração do Computador – Políticas – Modelos Administrativos – Componentes do Windows – Windows PowerShell

 

Clique duas vezes em Habilitar Execução de Scripts.

 

Clique em Habilitado – em Política de execução escolha: Permitir apenas scripts assinados – depois clique em OK.

 

1.7 Habilitando BitLocker para máquinas sem o chip TPM

Não será em todas as estações que encontraremos o Chip TPM usando para ativação do BitLocker, então iremos habilitar algumas políticas que nos permitirá ativar o BitLocker mesmo sem o Chip TPM.

Clique no menu Iniciar – Ferramentas Administrativas.

 

Clique em Gerenciamento de Política de Grupo.

 

Expanda os menus até chegar na OU (Unidade Organizacional) que vai aplicar a GPO e clique nela.
No nosso caso iremos aplicar a GPO para todas as estações dentro da OU MATRIZ.

 

Como já criamos uma GPO relacionada ao BitLocker, iremos utilizar ela mesma para aplicar as demais políticas.

Clique com o botão direito do mouse: Editar

 

Expanda os menus: Configuração do Computador – Políticas – Modelos Administrativos – Criptografia de Unidade de Disco BitLocker.

 

Clique no menu Criptografia de Unidade de Disco BitLocker, depois clique em Armazenar as informações de recuperação do BitLocker no Serviços de Domínio do Active Directory (Windows).

 

Clique em Habilitado – escolha a opção:  Senhas de recuperação e pacotes de chaves depois clique em OK.

 

Clique em Unidades do Sistema Operacional – Permitir desbloqueio de rede na inicialização

 

Clique em habilitado – clique em OK.

 

Clique em:  Aplicar tipo de criptografia de dados a unidades do sistema operacional.

 

Clique em:  Aplicar tipo de criptografia de dados a unidades do sistema operacional.

 

Clique em:  Aplicar tipo de criptografia de dados a unidades do sistema operacional.

 

Clique em: Habilitado – escolha a opção Criptografia Completa – clique em OK.

 

Clique em Escolher como as unidades do sistema operacional protegidas por BitLocker podem ser recuperadas.

 

Clique em Habilitado – deixe as opções padrão habilitadas – clique em OK

 

Clique em Habilitado – depois em Não habilitar o BitLocker até que as informações… – clique em OK.

 

Clique na pasta Modelos Administrativos — Windows PowerShell – Habilitar Execução de Scripts.

 

 

Clique em Habilitado.

Em Política de execução: Permitir apenas Scripts assinados.

Clique em OK.

 

Minimize Criptografia de Unidade de Disco BitLocker – Componentes do Windows – Modelos Administrativos

 

Expanda os menus Configurações do Windows – Configurações de Segurança – Políticas de chave pública – clique em Fornecedores Confiáveis.

 

Clique com o botão direito do mouse no espaço em branco e escolha Importar…

 

Clique em Avançar

 

Clique em Procurar…

 

No campo Nome: digite o caminho onde se encontra o certificado que foi criado anteriormente C:\BitLocker\PowerShell.cer depois clique em OK.

 

Clique em Avançar.

 

Clique em Avançar.

 

Clique em Concluir.

 

Clique em OK.

 

Agora o certificado já está na política e irá autenticar as máquinas do domínio.

 

 

1.8 Criando Script Para Ativar o BitLocker na hora do logon

Agora com a pasta criada e devidamente permitida o acesso, iremos criar o script.

Abra o bloco de notas ou o seu editor preferido e digite o código abaixo.

if (manage-bde -status -protectionaserrorlevel){

Write-Host "BitLocker não está ativado neste computador" - ForegroundColor Yellow

manage-bde -protectors -add c: -RecoveryPassword

$Password = ConvertTo-SecureString "BitTeste@2023#" -AsPlainText -Force

Add-BitLockerKeyProtector -MountPoint "C:" -PasswordProtector -Password $Password

manage-bde -on C: -SkipHardwareTest

[reflection.assembly]::loadwithpartialname('System.Windows.Forms')

[reflection.assembly]::loadwithpartialname('System.Drawing')

$notify = new-object system.windows.forms.notifyicon

$notify.icon = [System.Drawing.SystemIcons]::Information

$notify.visible = $true

$notify.showballoontip(10,'ATENÇÃO','Criptografia de dados BitLocker iniciada',[system.windows.forms.tooltipicon]::None)

Start-Sleep -s 5

}

else {

Write-Host "BitLocker está ativado neste computador" - ForegroundColor Yellow

Start-Sleep -s 5

}

Salve o arquivo com nome de BLocker.ps1 no caminho C:\BitLocker

IMPORTANTE!

Observe no script o parâmetro ConvertTo-SecureString. Ele contém a senha da criptografia do disco de todas as máquinas. Altere essa senha para uma senha forte de sua preferência.

 

1.9 GPO para ativar o BitLocker na reinicialização

Assim como fizemos anteriormente, iremos usar mais uma vez a GPO Habilitar BitLocker e dar mais uma função para ela, que será executa o script que ativa o BitLocker ao Inicializar o sistema. Toda vez que a estação iniciar o sistema operacional ela irá rodar o nosso Script. Nele verificamos o status do BitLocker; se estiver OFF será ativado, mas casa esteja ON inicia normalmente ser realizar a criptografia dos dados pois eles já estão criptografados.

Abra o Gerenciamento de política de Grupo

Clique no menu Iniciar — Ferramentas Administrativas

 

Clique em Gerenciamento de Política de Grupo.

 

Clique com o botão direito do mouse: Editar

 

Expanda os menus Configuração do Computador – Políticas, clique em Script (Inicialização/Encerramento) depois clique duas vezes em Inicialização

 

Clique em Scripts do PowerShell depois clique em Mostrar Arquivos…

 

Irá abrir um Windows Explorer direto na pasta da GPO que que estamos aplicando a tarefa. Clique em Machine na barra de endereço.

\\LABTESTE.LOCAL\SysVol\LABTESTE.LOCAL\Policies\{6E2F3AA8-9DAE-4BED-9DF6-CBA259C9761D}\Machine\BLocker.ps1

 

Vá até o caminho C:\BitLocker\ e copie o arquivo Blocker.ps1 e cole na pasta da GPO.

 

Clique na barra de endereço com o botão direito do mouse e clique em Copiar

 

Clique em Adicionar…

 

No Campo Nome do Script clique com o botão direito do mouse e escolha Colar depois clique no botão Procurar…

 

 

Clique duas vezes no Script Blocker.ps1.

 

Clique em OK.

 

No campo Para este GPO, executar os scripts nesta ordem: escolha Executar primeiro scripts do Windows PowerShell depois clique em OK.

 

Feche o Editor de Gerenciamento de Política de Grupo

 

1.10 Assinando Digitalmente o Script

Para que o Script seja executado na máquina cliente é necessário assinar digitalmente o arquivo, caso contrário a política irá impedir. De forma a garantir a segurança dos dados da empresa.

Clique em Iniciar – Windows PowerShell.

 

Com o PowerShell aberto digite o comando cd e o caminho onde está o arquivo que precisamos assinar. No nosso caso ficará assim

cd c:\Windows\SysVol\sysvol\LABTESTE.LOCAL\Policies\”{6E2F3AA8-9DAE-4BED-9DF6-CBA259C9761D}”\Machine\

Pressione Enter

 

Digite o comando abaixo para poder assinar o script

Set-AuthenticodeSignature .\BLocker.ps1 @(Get-ChildItem cert:\CurrentUser\My -codesign)[0]

Pressione Enter

 

Pronto o seu arquivo foi assinado digitalmente, e agora pode ser executado no nosso ambiente.

 

2 Preparando a estação (Cliente)

Com nosso servidor já preparado para aplicar o BitLocker de forma automática nas estações; devemos preparar as estações para receber essa ativação.
Para isso é preciso que as máquinas façam parte do domínio ao qual foram configuradas as políticas.
Caso ainda não faça parte do domínio você deve ingressá-las. \

IMPORTANTE!

Para que a máquina possa receber as GPO’s que aplicam o BitLocker, ela precisar estar dentro da OU que criamos no nosso AD. Em nosso exemplo,  no mínimo dentro da OU (Unidade Organizacional) MATRIZ.

 

Agora vá até a máquina do usuário e faça logon com uma conta de administrador do domínio ou uma conta do domínio que seja administrador local da máquina.

Após alguns minutos o BitLocker será ativado automaticamente.

 

Retorne até o servidor e verifique se a chave de recuperação do BitLocker está gravada na máquina que acabamos de autenticar. (DSK-FIN-001)

 

Clique com o botão direito do mouse na máquina e escolha Propriedades.

 

Clique em Recuperação do BitLocker depois em Detalhes: visualize a senha de recuperação.

Essa chave será usada para recuperação do disco da máquina caso você perca a senha definida no script.

3 Mais informações

Para mais informações consulte a documentação oficial da Microsoft:

• https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies
• https://learn.microsoft.com/pt-br/windows-server/administration/windows-commands/manage-bde-status
• https://learn.microsoft.com/en-us/answers/questions/419428/enable-bitlocker-in-task-sequence-do-not-wait-for?orderby=newest

 

Este artigo foi lido 1368 vezes!