Criptografar dados de recuperação pela rede

  • Artigo

Aplica-se a: Gerenciador de Configurações (branch atual)

Quando você cria uma política de gerenciamento do BitLocker, Configuration Manager implanta o serviço de recuperação em um ponto de gerenciamento. Na página Gerenciamento de Clientes da política de gerenciamento do BitLocker, ao configurar os Serviços de Gerenciamento do BitLocker, o cliente faz backup das principais informações de recuperação para o banco de dados do site. Essas informações incluem chaves de recuperação do BitLocker, pacotes de recuperação e hashes de senha do TPM. Quando os usuários são bloqueados do dispositivo protegido, você pode usar essas informações para ajudá-los a recuperar o acesso ao dispositivo.

Dada a natureza confidencial dessas informações, você precisa protegê-la.

Importante

A partir da versão 2103, a implementação do serviço de recuperação foi alterada. Ele não está mais usando componentes herdados do MBAM, mas ainda é conceitualmente conhecido como o serviço de recuperação. Todos os clientes da versão 2103 usam o componente do mecanismo de processamento de mensagens do ponto de gerenciamento como serviço de recuperação. Eles escrow suas chaves de recuperação sobre o canal de notificação do cliente seguro. Com essa alteração, você pode habilitar o site Configuration Manager para HTTP aprimorado. Essa configuração não afeta a funcionalidade do gerenciamento do BitLocker no Configuration Manager.

Quando o site e os clientes estão executando Configuration Manager versão 2103 ou posterior, os clientes enviam suas chaves de recuperação para o ponto de gerenciamento pelo canal de notificação segura do cliente. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação habilitado para HTTPS no ponto de gerenciamento para registrar suas chaves.

Requisitos de certificado HTTPS

Observação

Esses requisitos só se aplicam se o site for versão 2010 ou anterior ou se você implantar políticas de gerenciamento do BitLocker em dispositivos com Configuration Manager versão do cliente 2010 ou anterior.

Configuration Manager requer uma conexão segura entre o cliente e o serviço de recuperação para criptografar os dados em trânsito em toda a rede. Use uma das seguintes opções:

Observação

Se seu site tiver mais de um ponto de gerenciamento, habilite HTTPS em todos os pontos de gerenciamento no site com os quais um cliente gerenciado pelo BitLocker poderia se comunicar potencialmente. Se o ponto de gerenciamento HTTPS não estiver disponível, o cliente poderá fazer failover em um ponto de gerenciamento HTTP e, em seguida, não conseguir escrow sua chave de recuperação.

Essa recomendação se aplica a ambas as opções: habilitar o ponto de gerenciamento para HTTPS ou habilitar o site do IIS que hospeda o serviço de recuperação no ponto de gerenciamento.

Configurar o ponto de gerenciamento para HTTPS

Em versões anteriores do Configuration Manager branch atual, para integrar o serviço de recuperação do BitLocker, você precisou habilitar https um ponto de gerenciamento. A conexão HTTPS é necessária para criptografar as chaves de recuperação em toda a rede desde o Configuration Manager cliente até o ponto de gerenciamento. Configurar o ponto de gerenciamento e todos os clientes para HTTPS pode ser um desafio para muitos clientes.

Habilitar HTTPS no site do IIS

O requisito HTTPS agora é para o site do IIS que hospeda o serviço de recuperação, não toda a função de ponto de gerenciamento. Essa configuração relaxa os requisitos de certificado e ainda criptografa as chaves de recuperação em trânsito.

A propriedade Conexões do cliente do ponto de gerenciamento pode ser HTTP ou HTTPS. Se o ponto de gerenciamento estiver configurado para HTTP, para dar suporte ao serviço de recuperação do BitLocker:

  1. Adquira um certificado de autenticação de servidor. Associar o certificado ao site do IIS no ponto de gerenciamento que hospeda o serviço de recuperação do BitLocker.

  2. Configure clientes para confiar no certificado de autenticação do servidor. Há dois métodos para realizar essa confiança:

    • Use um certificado de um provedor de certificados público e globalmente confiável. Os clientes Windows incluem CAs (autoridades de certificado raiz confiáveis) desses provedores. Usando um certificado de autenticação de servidor emitido por um desses provedores, seus clientes devem confiar automaticamente nele.

    • Use um certificado emitido por uma AC da PKI (infraestrutura de chave pública) da sua organização. A maioria das implementações PKI adiciona os CAs raiz confiáveis aos clientes Windows. Por exemplo, usando os Serviços de Certificado do Active Directory com a política de grupo. Se você emitir o certificado de autenticação do servidor de uma AC em que seus clientes não confiam automaticamente, adicione o certificado raiz confiável da AC aos clientes.

Dica

Os únicos clientes que precisam se comunicar com o serviço de recuperação são os clientes que você planeja direcionar com uma política de gerenciamento do BitLocker e inclui uma regra de Gerenciamento de Cliente .

Solucionar problemas da conexão

No cliente, use o BitLockerManagementHandler.log para solucionar problemas dessa conexão. Para conectividade com o serviço de recuperação, o log mostra a URL que o cliente está usando. Localize uma entrada no log com base na versão do Configuration Manager:

  • Na versão 2103 e posterior, a entrada começa com Recovery keys escrowed to MP
  • Na versão 2010 e anterior, a entrada começa com Checking for Recovery Service at

Próximas etapas

Criptografar dados de recuperação no banco de dados é um pré-requisito opcional antes de implantar a política pela primeira vez.

Implantar cliente de gerenciamento do BitLocker