BitLocker Recovery Keys rất quan trọng để truy cập ổ đĩa được mã hóa khi các phương pháp xác thực tiêu chuẩn không thành công. Lưu trữ các khóa này an toàn và tập trung trong Active Directory (AD) giúp đơn giản hóa việc quản lý và đảm bảo khôi phục nhanh chóng trong trường hợp khẩn cấp. Hướng dẫn này, Tri Thức Software sẽ hướng dẫn bạn cách cấu hình Chính sách nhóm (Group Policy) để tự động lưu khóa khôi phục BitLocker trực tiếp vào Active Directory.
2 Cách lưu BitLocker Recovery Keys trong Active Directory
Cách 1: Sử dụng Group Policy để tự động lưu trữ BitLocker keys trong Active Directory
Bước 1: Mở Group Policy Management Console (GPMC) bằng cách > nhấn Win + R> nhập gpmc.msc > Enter.
Tìm chọn Organizational Unit (OU) nơi lưu trữ các máy tính cần sao lưu khóa BitLocker.
Bước 2: Click phải OU > chọn “Create a GPO in this domain, and Link it here.” Đặt tên cho GPO mới > ví dụ “BitLocker Key Backup Policy.”
Bước 3: Nhấp chuột phải vào GPO mới tạo và chọn “Edit.” > Trên Group Policy Management Editor > Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives.
Bước 4: Tìm và nhấp đúp “Choose how BitLocker-protected operating system drives can be recovered.” > Đặt thành “Enabled.” > Tick chọn > “Save BitLocker recovery information to Active Directory Domain Services (Windows Server 2008 and later).” > Bạn cũng có thể chọn “Do not enable BitLocker until recovery information is stored to AD DS” > đảm bảo quá trình mã hóa sẽ không tiếp tục nếu không sao lưu khóa thành công.
Bước 5: Click “Apply” > “OK” để lưu cài đặt. Lặp lại tương tự với Fixed Data Drives và Removable Data Drives nếu cần.
Bước 6: Đóng Group Policy Management Editor. Để thực thi chính sách ngay lập tức > hãy chạy gpupdate /force.
Bước 7: Để xác minh BitLocker keys được lưu trữ thành công trong Active Directory bằng cách mở Active Directory Users and Computers > Properties > và chọn tab “BitLocker Recovery”. Bạn sẽ thấy các khóa khôi phục được liệt kê ở đó.
Cách 2: Sao lưu thủ công BitLocker keys vào Active Directory
Nếu bạn không muốn sử dụng Group Policy, bạn có thể sao lưu thủ công khóa khôi phục BitLocker vào Active Directory bằng công cụ dòng lệnh manage-bde. Phương pháp này phù hợp với môi trường quy mô nhỏ hoặc sao lưu một lần.
Bước 1: Trên máy tính đã bật BitLocker > mở dấu nhắc lệnh nâng cao bằng cách nhập “cmd” vào menu Bắt đầu, nhấp chuột phải vào Command Prompt > chọn “Run as administrator.”
Bước 2: Nhập lệnh sau để sao lưu khóa khôi phục BitLocker vào Active Directory:
manage-bde -protectors -adbackup C: -id {RecoveryKeyID}
Thay thế C:bằng ký tự ổ đĩa được mã hóa của bạn và thay thế {RecoveryKeyID}bằng ID khóa khôi phục thực tế của bạn, bạn có thể tìm thấy bằng cách chạy lệnh:
manage-bde -protectors -get C:
Bước 3: Sau khi thực hiện lệnh sao lưu, hãy xác nhận khóa khôi phục được lưu trữ thành công bằng cách kiểm tra tab “BitLocker Recovery” của đối tượng máy tính trong Active Directory Users and Computers.
Tổng kết
Nhớ kiểm tra thường xuyên xem khóa khôi phục BitLocker có được lưu trữ đúng cách trong Active Directory hay không để tránh mất dữ liệu và đảm bảo khôi phục liền mạch khi bạn cần nhất. Nếu có bất kỳ thắc mắc gì hãy liên hệ với banquyenphanmem.com hoặc gọi điện thoại số 028.22443013 để được trợ giúp.
