How to Configure Bitlocker Recovery Agent

Bitlocker yönetiminin MECM üzerinden nasıl yapılacağını aşağıdaki yazımda anlatmaya çalışmıştım.
https://www.sertactopal.com/configuration-manager-ile-bitlocker-management

Bu yazıda Bitlocker ile şifrelenmiş ve kilitli durumda olan bir disk’i Recovery Key kullanmadan Recovey Agent sertifikası ile nasıl açılacağını anlatmaya çalışacağım.

Bilgisayarınızı açmaya çalıştığınızda sizden Recovery Key istediği senaryoyu düşünün. Elinizdeki anahtarı yazdınız ama bilgisayar açılmadı. IT Support ekibinin verdiği anahtarı denediniz ve o da olmadı. Belki de bu verilerin durduğu veri tabanının başına bir iş geldi ve Recovery Key’e ulaşılamıyor. İşte bu tip senaryolarda kurtarıcı rolünü üslenen bir Recovery Agent eminim işinize yarayacaktır.

Bu iş için gerekli olan sertifikayı oluşturarak işleme başlıyoruz. Ortamımızda bulunan Certification Authority sunucusuna bağlanıyoruz ve Add Roles and Features sihirbazını kullanarak “Bitlocker Drive Encryption” özelliğini CA sunucusu üzerine yüklüyoruz.

Daha sonra Certification Authority Management Consol’u açarak Certificate Template menüsüne sağ tık Manage komutunu veriyoruz.

Key Recovery Agent Template’ini bularak sağ tık Duplicate Template diyoruz.

Daha sonra olması gereken ayarlar aşağıdaki gibi.
Ben sertifikanın geçerlilik süresini 10 sene yaparak bir daha uğraşmamak istiyorum, burada tercih sizin.

 

 

Aşağıdaki kutucuğun işaretli olmadığından emin olunuz.

İşlemler bittiğinde hazırladığımız sertifikayı kullanabilmek için yayınlıyoruz.

İşleme halen Certification Authority sunucumuzun üzerinden devam ediyoruz.

MMC konsolu kullanarak Certificates alanına geliyoruz.

Yeni sertifikayı talep ediyoruz.

 

Aşağıda görüldüğü gibi hazırladığımız template karşımıza geldi.

 

Sertifikayı elde etmiş olduk. Şimdi bunu kullanabilmek için Export etmemiz gerekiyor.

Export sihirbazını 2 kez çalıştıracağız. Çünkü sertifikanın bize hem CER hem de PFX hali gerekiyor.

 

 

 

 

 

 

 

 

 

Export işlemleri bittikten sonra elimizdeki sertifikayı Bitlocker ile şifrelenmiş ya da şifrelenecek olan bilgisayarların alabilmesi için bir GPO ile dağıtmamız gerekiyor.

İster yeni bir GPO ile isterseniz mevcut bir GPO ile ilerleyebilirsiniz. Bu GPO’yu, Computer seviyesinden ayarlar içerdiği için Computer objelerinin olduğu bir OU ya link’lemeyi unutmayınız.

 

 

Aşağıdaki alana gelerek CER uzantılı sertifikamızı gösteriyoruz.

 

Daha sonra mutlaka bir unique identifiers belirlememiz lazım. Buraya kurum adı yazabilirsiniz. Buraya yazdığınız değerin Configuration Manager’dan da gönderdiğimiz değer ile aynı olmasına özen gösteriniz.

Ben bu tip değerleri Türkçe karakter olmadan, küçük harfler ile bitişik bir biçimde bir değer girdiğimde hiç sorun yaşamadım tavsiye ederim.

 

MECM üzerindeki bitlocker ayarınızı kontrol etmeyi unutmayın!

Daha sonra aşağıdaki GPO ayarını Enable ediyoruz. Eğer Operating System Drive dışında Fixed Data Drives ya da Removable Data Drives’lar üzerinden de bitlocker uygulaması yapıyorsanız aynı ayarı o başlıklar altına da girerek yapınız.

En alttaki Do not Enable Bitlocker…. kutucuğu, eğer client DC sunucusuna erişemez ise Bitlocker işlemine başlamasın demektir. O yüzden işaretlemenizi tavsiye ederim.

İşlemler tamam ise bir client üzerinden GPUpdate yaptıktan ve bir kez reboot ettikten sonra kontrollere başlayabiliriz.

Kontrol için kullanacağımız komut: manage-bde -status c:

Aşağıdaki görüntüdeki gibi “Data Recovery Agent (certificate based)” ibaresini gördüyseniz işlem tamam demektir.

 

Kontrol için kullanacağımız bir diğer komut: manage-bde -protectors -get c:

Bu komut sayesinde de sertifikamızın gerçekten bizim gönderdiğimiz sertifika olup olmadığını doğrulayabiliriz.
Burada bakacağımız şey Thumbprint değeri olacaktır.

 

 

Her şey tamam. Sırada olası bir sıkıntı halinde bu sertifikayı kullanarak disk’i erişilebilir hale getirmeyi denemek var.

Aşağıdaki işlemi sorunlu olan HDD’yi söküp kendi bilgisayarınıza ikinci bir HDD olarak bağlayarak da yapabilirsiniz. Sorun “C” sürücüsündeyse zaten böylesi daha kolay.
Ya da sorunun yaşandığı bilgisayarda da yapabilirsiniz.

Disk Locked durumda pin’i unuttuk ve Recovery Key’de elimizde yok ya da işe yaramadı. Yazının başında export ettiğimiz sertifikalardan PFX olanını işlemi yapacağımız bilgisayara yüklüyoruz.

 

 

İmport işlemi tamam. Şimdi CMD’yi run as admin olarak açıyoruz ve aşağıdaki komutu yazarak disk’e erişiyoruz.

manage-bde -unlock d: -certificate -ct 0ea80f351e746dbf3be92e2ca32f5bbab80c5e86

Geçmiş olsun

Şimdi birkaç uyarım olacak.

  • Yazının başında export ettiğimiz PFX sertifikasını çok iyi saklayın, parolası güçlü olsun siz bile unutun . Anlaşılacağı üzere bu sertifika ile ortamdaki tüm bitlocker ile şifrelenmiş disk’lere erişilebilir.
  • Az önce HDD’yi açmak için sertifikayı import ettik. O sertifikayı işiniz bitince o bilgisayardan mutlaka siliniz.
  • CA üzerinden Export etmiştik hatırlarsanız bu sertifikayı. Haliyle orada da duruyor. İyi bir şekilde saklayacağınıza eminseniz oradan da silebilirsiniz.
  • Halihazırda Bitlocker ile şifrelenmiş bir disk’te sonradan Recovery Agent belirlenmesi konusunda Microsoft önce GPO ile RA sertifikasını dağıt sonra Bitlocker yap diyor.
    Ancak benim denemelerimde halen Bitlocker şifrelemesi olan sistemlerde de Recovery Agent geldi, yani sorun yaşamadım. Ama bu yaşamayacağım anlamına gelmez. Bu konuya da dikkat etmekte fayda var.

 

Kaynak:
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-recovery-guide-plan

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker

Bu yazının kalıcı bağlantısı https://www.sertactopal.com/how-to-configure-bitlocker-recovery-agent

Bir yanıt yazın

E-Posta adresiniz yayınlanmayacaktır.