В своей предыдущей статье я объяснял, что в Windows Server 2008 R2 предлагается возможность хранить ключи BitLocker для съемных носителей в базе данных Active Directory. Поскольку я уже показывал вам, как включать необходимые настройки групповой политики, позволяющих хранить ключи BitLocker в Active Directory, я хочу завершить цикл, показав вам, как работает процесс восстановления ключей.
Для наших целей представим, что кто-нибудь из больших шишек в вашей организации поместил единственную копию некоторых критически важных файлов на флэшке, зашифрованной с помощью BitLocker, а теперь забыл пароль к устройству. Что вам делать?
Первый шаг в процессе восстановления – вставить устройство, зашифрованное BitLocker, в компьютер с Windows 7. После этого показывается диалоговое окно (см. Рисунок A), и вам предлагается ввести пароль для разблокирования устройства. Поскольку пароль забыт, нужно провести процедуру восстановления ключа.
Рисунок A: Windows предлагает вам ввести пароль для получения доступа к зашифрованному устройству
Если вы посмотрите на рисунок выше, вы увидите, что там есть ссылка I Forgot My Password. Нажатие на эту ссылку приводит к появлению экрана, показанного на Рисунке B.
Рисунок B: Windows предлагает варианты для восстановления утерянного пароля
Если вы посмотрите на изображение выше, то увидите, что нам тут предлагается ввести ключ для восстановления. И хотя мы в дальнейшем будем работать с этой опцией, сейчас мы еще не готовы ею воспользоваться. Посмотрев внимательнее, вы обнаружите строку текста: Your Recovery Key Can Be Identified By(Ваш ключ для восстановления идентифицируется по): 1A8BBF9A. Шестнадцатеричное число в конце строки текста уникально для флэш-накопителя, и может использоваться для идентификации его в процессе восстановления. Поэтому вам следует записать это число, поскольку оно вам позднее понадобится.
Определение уникального номера устройства – только первый шаг в процессе восстановления. Теперь нам нужно получить настоящий ключ для восстановления из Active Directory. Только тут есть одна маленькая загвоздка. Хотя ключ для восстановления устройства хранится в Active Directory, у нас должен быть способ его извлечения. Ни один из администраторских интерфейсов, установленных в данный момент на сервере, не предлагает такую возможность..
Установка BitLocker Recovery Password Viewer
Перед тем, как вы сможете получать ключ для восстановления BitLocker из Active Directory, вам понадобится установить утилиту под названием BitLocker Recovery Password Viewer. И хотя нет ничего особенно сложного в ее установке, опция для включения ее спрятана глубоко внутри Server Manager. Должен признать: хотя я знал о существовании этой утилиты, мне пришлось просмотреть некоторые инструкции на тему, как ее включить, потому что мне не удалось найти ее в Server Manager.
Для установки BitLocker Recovery Password Viewer откройте Server Manager и выберите контейнер Features. Затем щелкните на ссылку Add Features, что заставит Windows открыть мастер Add Features Wizard. Мастер Add Features Wizard содержит множество опций, связанных с различными функциями, которые вы можете устанавливать. Есть и опция для BitLocker, но нам нужна не она. Прокрутите вниз списка функций, пока не доберетесь до опции Remote Server Administration Tools. Раскройте ее, а затем найдите опцию под названием Feature Administration Tools. Раскройте Feature Administration Tools и теперь выбирайте BitLocker Drive Encryption Administration Utilities. Проверьте наличие отметок под этой опцией, как показано на Рисунке C, после чего щелкните Next.
Рисунок C: Вам нужно включить BitLocker Drive Encryption Administration Utilities
Теперь щелкайте на кнопку Next, и вы увидите экран, на котором вам показывают список тех функций, которые будут устанавливаться, а также предупреждение о том, что может потребоваться перезагрузка после завершения процесса установки. Щелкните на кнопку Install, и то, что вам нужно, будет установлено.
Когда процесс установки завершится, Windows покажет экран Installation Results, как показано на Рисунке D. Как видите, Windows сообщает о том, какие компоненты были установлены, но не делает перезагрузку. Я не уверен, нужна ли перезагрузка на самом деле, но хочу сказать вам, что после установки BitLocker Recovery Password Viewer я потратил несколько часов, пытаясь восстанавливать ключи BitLocker. У меня ничего не получалось, пока мне это дело не надоело, и я не перезагрузил сервер, и только после этого восстановление заработало как следует.
Рисунок D: Хотя Windows Server не производит перезагрузку, вам все равно может понадобиться перезагружать сервер
Процесс восстановления ключа
Сейчас, после установки различных административных инструментов, вы можете двигаться дальше в процессе восстановления ключей. Стоит отметить, что Windows не предоставляет вам отдельного интерфейса для восстановления ключей. Вместо этого восстановление ключей осуществляется через консоль Active Directory Users and Computers.
Чтобы восстановить ключ BitLocker, откройте консоль Active Directory Users and Computers, сделайте щелчок правой кнопкой мыши на списке для вашего домена. В выпадающем меню будет опция Find BitLocker Recovery Password, как показано на Рисунке E.
Рисунок E: Восстановление ключа осуществляется с помощью консоли Active Directory Users and Computers
Когда вы выберете опцию BitLocker Recovery Password, вы попадете на страницу диалогового окна Find BitLocker Recovery Password, показанного на Рисунке F. Помните восьмизначное шестнадцатеричное число, уникально определяющего зашифрованное число? Вот тут и надо вводить этот номер. После этого щелкните на кнопку Search, и сервер получит пароль для восстановления устройства. Если вы посмотрите на нижнюю часть диалогового окна, вы увидите, что пароль для восстановления – это не тот пароль, который вводил пользоваться для шифрования устройства, а представляет собой 48-значную строку цифр.
Увеличить
Рисунок F: Ключ для восстановления отображается в нижней части диалогового окна
Получив ключ для восстановлен, вернитесь к ПК, куда был вставлен флеш-накопитель, и введите ключ для восстановления в нужную строку, как показано на Рисунке G.
Рисунок G: Введите ключ для восстановления BitLocker в предоставленную строку
Когда вы введете ключ для восстановления, вы увидите экран, аналогичный показанному на Рисунке H, сообщающий о том, что вам выдан временный доступ к устройству. Другими словами, устройство продолжает оставаться зашифрованным, и забытый пароль еще в силе. И если вы высунете и заново вставите устройство в текущий момент, вам придется пройти весь процесс восстановления по новой (если только пользователь вдруг не вспомнит свой пароль).
Рисунок H: Ввод ключа для восстановления обеспечивает временный доступ к зашифрованному устройству
Чтобы избежать необходимости вводить 48-значный ключ для восстановления при каждом подключении устройства, щелкните по ссылке Manage BitLocker. При этом вы получите диалоговое окно, показанное на Рисунке I, которое позволяет вам изменить пароль, используемый для получения доступа к накопителю.
Увеличить
Рисунок I: Получив доступ к зашифрованному устройству, установите новый пароль для него
Заключение
В этом цикле статей я рассказывал о том, что BitLocker предлагает вам легкий способ защиты данных, хранящихся на съемных носителях. Если вы хотите воспользоваться BitLocker, вам следует реализовать восстановление ключей на базе Active Directory, чтобы избежать потери данных из-за забытых паролей.