¿Es posible detener las computadoras que no están encriptadas con Bitlocker?

7

¿Es posible de alguna manera (script de inicio?) Detener cualquier computadora no encriptada para poder conectarse al dominio?

Entorno: directorio activo de Windows, computadoras 1000-ish, en su mayoría encriptadoras de bitlocker, aproximadamente 50/50 en win 7 o 10 Enterprise.

bitlocker login-script Lightcraft digital
fuente
¿Evitar que la computadora inicie sesión o evitar que los usuarios inicien sesión en las computadoras?
Greg Askew
Realmente, probablemente el mejor a nivel de computadora.
Digital Lightcraft
44
En general, no existe una solución al problema "¿es este hardware no confiable el que ejecuta este software confiable?", Que es lo que parece que está pidiendo. Si fuera posible, revolucionaría varios campos; Por ejemplo, la votación por Internet sería trivial y los juegos de computadora ya no tendrían tramposos.
Daniel Wagner
@DanielWagner En la práctica seguridad de TI, a menudo no estás buscando una forma 100% a prueba de usuarios malintencionados para hacer algo, solo una que detendrá a una "persona normal". Entonces, si había una manera de hacer esto, y un usuario tenía que modificar Windows para evitarlo, eso es mucho mejor que nada.
immibis

Respuestas:

9

AFAIK no es posible verificar esto automáticamente durante la unión al dominio AD. Sin embargo, es posible habilitar Bitlocker usando GPO tan pronto como la computadora se haya unido al dominio. Si cada computadora tiene esta configuración y nada más que las Computadoras de dominio pueden acceder a los recursos, el resultado será el mismo.

Primero, debe activar Activar copia de seguridad de TPM en los Servicios de dominio de AD Enabled desde Configuración del equipo \ Políticas \ Plantillas administrativas \ Sistema \ Servicio de módulo de plataforma confiable .

Luego, en Configuración del equipo \ Políticas \ Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad Bitlocker puede encontrar todas las otras configuraciones relacionadas:

  • Proporcione identificadores únicos para su organización :Enabled
  • \ Unidad de datos fijos \
    • Configure el uso de contraseñas para unidades de datos fijas :Enabled
    • Elija cómo las unidades fijas protegidas con BitLocker ... :Enabled
  • \ Unidad del sistema operativo \
    • Requerir autenticación adicional en el arranque : Enabled; configurar según sea necesario
    • Configure la longitud mínima del PIN para el inicio :Enabled
    • Elija cómo las unidades fijas protegidas con BitLocker ... :Enabled
  • \ Unidades de datos extraíbles \
    • Controle el uso de BitLocker en unidades extraíbles :Enabled
    • Configure el uso de contraseñas para unidades de datos extraíbles :Enabled
    • Elija cómo las unidades fijas protegidas con BitLocker ... :Enabled

Asegúrese de completar los detalles y modificar este ejemplo según sea necesario en su entorno. Habilite este GPO para la unidad organizativa que obligue a las computadoras a usar BitLocker. (Y primero pruebe su configuración con un pequeño conjunto de computadoras de prueba. Un pequeño error en estas configuraciones puede causar un verdadero dolor ya que todos los datos se cifrarán).

Esa Jokinen
fuente
44
La copia de seguridad de TPM no debe usarse. De hecho, ya no es una política válida que comience con Windows 10 1607 / Windows Server 2016. Esto se debe a que probablemente nunca podría usarse cuando sea necesario, sino que podría usarse en un ataque fuera de línea para recuperar la clave de inicio. Más información: blogs.technet.microsoft.com/dubaisec/2017/02/28/…
Greg Askew
Parece que el OP podría hacer esto para todos los miembros en el dominio, es decir, el Domain Usersgrupo, luego tener un grupo secundario, por ejemplo Compliant Domain Users, que los usuarios pueden unirse una vez que se actualiza su GP de modo que tengan requisitos previos como BitLocker establecido. ¿Sería viable un esquema como ese?
Nat
IIRC esto es algo a lo que apunta Measured Boot, pero no estoy seguro de que esté disponible al iniciar sesión.
Ginnungagap
6

Si bien probablemente no sea exactamente lo que está pidiendo, creo que la respuesta oficial a esta pregunta es MBAM: Microsoft Bitlocker Administration and Monitoring. MBAM incluye (entre otras cosas) un conjunto de configuraciones de directiva de grupo, y algunas de esas configuraciones le permiten imponer el uso de Bitlocker en cualquier dispositivo unido a un dominio. Pero, por supuesto, esto significa que el dispositivo unido al dominio tiene que unirse y autenticarse en el dominio primero antes de descargar la Política de grupo, en cuyo momento se desconoce el estado de Bitlocker del dispositivo ... pero un script de inicio o inicio de sesión no sería diferente en a ese respecto.

Ryan Ries
fuente
4

No hay muchas buenas opciones. Cualquier cosa que se ejecute en el contexto del inicio de sesión del usuario probablemente no tendría permisos para verificar el estado de BitLocker. Un script de inicio de computadora como el siguiente puede ser útil: 

REM Exclude domain controllers. This command may be repeated to check for "3" to exclude member servers.
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SHUTDOWN /S /F /T 120 /C "Shutting down due to computer does not have BitLocker protection enabled."

Se puede ajustar la cantidad de tiempo y, después de iniciar sesión, es posible que un administrador cancele con el shutdown /acomando.

Si prefiere no cerrar, puede usar el comando SETX para establecer una variable de entorno del sistema en un script de inicio de la computadora que podría verificarse durante el inicio de sesión del usuario: 

SETX BDE 1 /M
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SETX BDE 0 /M

Y el script de inicio de sesión del usuario:

IF %BDE%==0 logoff.exe
Greg Askew
fuente