Nowe systemy, nowe możliwości, nowe problemy.
Wraz z Vistą pojawiła się w systemie możliwość szyfrowania dysków z użyciem BitLocker. Szyfrowanie jak to szyfrowanie – wymaga klucza, a klucze jak to klucze, potrafią się zgubić, może zajśc potrzeba awaryjnego odblokowania dostępu itp. Dlatego w ramach BitLockera mamy mechanizmy Recovery Key. W przypadku, gdy konieczne jest odblokowanie dostępu do szyfrowanego dysku, do którego z jakiegoś powodu dostać się nie możemy, gdy posiadamy rzeczony klucz odzyskiwania możemy go podać i uzyskać dostęp do danych. Problem jest z tym jeden – jak zarządzać tymi właśnie kluczami odzyskiwania??
W przypadku organizacji, w której wdrożone zostało Active Directory możliwe jest skonfigurowanie systemu tak, aby przy uruchomieniu BitLocker zachował klucz w ramach katalogu Active Directory. Rzecz przydatna, aczkolwiek ma jedną wadę z punktu widzenia administratora a tym bardziej użytkownika – sposób dostępu do tych informacji.
Domyślnie nie ma w systemie żadnego narzędzia, które to umożliwia w sposób przyjazny dla użytkownika (zakładam, że linia poleceń czy też narzędzia LDAP nie są takowymi). Informacje te przechowywane są w ramach obiektu ms-FVE-RecoveryInformation, a sam klucz dokładniej w atrybucie ms-FVE-RecoveryPassword.
Jeżeli ktoś zajrzał w powyższy link do opisu tego atrybuty zauważył może informację dotyczącą wartości searchFlags dla tego atrybutu:
(…) Search-Flags: 0×00000088 (…)
Oznacza to, że atrybut ten oznaczony jest jako confidential attribute i nie wszyscy użytkownicy będą mieli do niego dostęp. A to może trochę skomplikować scenariusze typu helpdesk i czy samodzielna obsługa użytkownika w chwili, gdy dostęp do tych danych jest wymagany.
Pewnym rozwiązaniem jest BitLocker Password Recovery Viewer, dostępny jako dodatkowy komponent narzędzi zarządzających Windows Server. Udostępnia on jednak dostęp do danych, aktualnie przechowywanych w AD i z założenia jest narzędziem dla administratorów. A co gdy potrzebny jest samodzielny dostęp do tych danych użytkownika lub helpdesk lub gdy odszyfrować trzeba dysk, dla którego te informacje w AD już nie są dostępne …
… ufff, dobrneliśmy
Microsoft IT, jak każda tego typu organizacja posiada własne narzędzia, przeznacozne też dla użytkowników wewnętrznie. Jednym z nich jest narzędzie, którego celem jest zachowanie danych dotyczących klucza odzyskiwania BitLocker z Active Directory i udostępniające mechanizm samodzielnej obsługi w zakresie ich odzyskiwania dla użytkowników. O jego zaletach przekonał się jeden z kolegów, który musiał skorzystać z opcji odzyskania klucza będąc na wysuniętej placówce w kraju wschodnim – dzięki helpdesk i aplikacji dla nich dostępnej zajęło to kilka minut.
Dobra wiadomość jest taka, że zespół MS IT udostępnił właśnie to narzędzie w ramach projektu o nazwie Key Recovery Tool for Bitlocker na Codeplex. Jego krótki opis przedstawia jasno cel narzędzia:
(…) Key Recovery Tool for Bitlocker® harvests the Bitlocker Recovery information in a single database for long term storage. Its web interface allows end users to view their keys with built-in logging and notification. (…)
Jeżeli więc wdrożyliście BitLocker w swojej organizacji lub planujecie to zrobić może warto się nim zainteresować.
Oczywiście nie rozwiązuje to wszystkich problemów i nie jest rozwiązaniem idealnym (OTP przy boot OS z elementem klucza do OTP podawanym przez helpdesk byłoby pewnie lepszym), ale i tak dobrze że się ukazało.
P.S. Tak już całkiem przy okazji mała przypominajka. Jeżeli byłeś na MTS, a już jeżeli byłeś na którejś z moich sesji poświęć kilka minut i wypełnij ankietę po konferencji i sesji. Linki bezpośrednio do ankiet dotyczących moich sesji (Wymagane logowanie LiveID):
Twój głos się tutaj liczy 
.