Allekirjoittaneelle esitettiin kysymys, mitä tapahtuu AD:hen tallennetuille Bitlockerin-palautusavaimille, jos konetili jonka alla ko. palautusavaimet sijaitsevat tuhotaan vahingossa / tarkoituksella? Jos konetili palautetaan esim. käyttäen Sysinternalsin ADRestore-työkalua, niin palautuuko myös Bitlockerin-palautusavaimet?
Lyhyt vastaus kysymykseen; Bitlockerin-palautusavaimet saadaan tarvittaessa palautettua, mutta konetilin palautuksen lisäksi ne täytyy palauttaa erikseen.
Alla ohjeet siitä, kuinka palautus tehdään.
Kyseiset palautukset on testattu kahdessa eri testiympäristössä;
Ympäristö 1 - DC-palvelimena toimii WS2003 R2 SP2 ja testityöasemana Windows 7 Enterprise
Ympäristö 2 - DC-palvelimena toimii WS2008 R2 ja testityöasemana Windows 7 Enterprise.
Jos katsomme aluksi adsiedit.msc työkalulla kyseistä konetiliä ja sen alta löytyvää tietoa Bitlockerin palautusavaimista.
Poistetaan aluksi konetili AD:sta tällä kertaa ylläpitäjän toimesta.
Jos katsomme uudelleen adsiedit.msc työkalulla, niin konetili on hävinnyt AD:sta
Seuraavaksi aukaistaan ldp.exe työkalu (Start à ldp.exe), jolla voimme tarkastella poistettuja objekteja. Aluksi määritellään ldp -työkalu näyttämään poistetut objektit. Se voidaan tehdä valitsemalla Options à Controls à Load Prefined: à Return deleted objects. Lopuksi napsauta OK.


Valitaan LDP:ssä Connection à Connect à OK. Valitaan uudestaan Connection à Bind à OK

Lopuksi valitaan työkalussa View à Tree
Valitse BaseDN-kenttään domain ja napsauta OK.
Napsutellaan puu auki ja valitaan CN=Deleted Objects,DC=kurssi,DC=demo,jonka jälkeen päästään tutkimaan poistettuja objekteja.
Tässä tapauksessa poistettuja objekteja löytyy useampia. Aikaleima 2010 -alkuiset objektit ovat Bitlockerin palautusavaimia. Konetilin alla palautusavaimia voi olla useita. Poistetuista objekteista löytyy myös viimeisenä oleva konetili.
Tuplanapsauttamalla haluttua objektia saadaan siitä lisätietoja. Seuraavassa lisätietoja on haettu CLI1-konetilistä. Tässä vaiheessa kiinnostavin tieto on attribuutin "lastKnownParent" arvo.
Konetilin palauttaminen voidaan tehdä ainakin kahdella eri tavalla: joko hyödyntäen Sysinternalsin ADRestore -työkalua WS2003- / WS2008- / WS2008 R2 -ympäristöissä tai WS2008 R2 AD-ympäristöissä hyödyntämällä uusia AD:n hallintaan tarkoitettuja Powershell Cmdletteja.
Sysinternalsin ADRestoren käyttäminen palautuksissa:
Aukaistaan komentokehote ja ajetaan komento muodossa adrestore.exe -r cli1
-r parametrilla työkalu kysyy jokaisen objektin kohdalla palautetaanko se vai ei. Ilman kyseistä parametria työkalu palauttaa jokaisen objektin, joka täsmää hakusanan kanssa.
Tämän jälkeen voidaan palauttaa Bitlockerin palautusavaimet esim. komennolla adrestore.exe -r 2010
Tässä tapauksessa hakusanalla löytyi 4 palautettavaa avainta.
Palautusten tekeminen hyödyntäen ADPowershell Commandletteja.
Avataan Active Directory Module for Windows Powershell
Etsitään poistettu konetili komennolla
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -ldapFilter:"(msDs-lastKnownRDN=CLI1)" -IncludeDeletedObjects
Konetili voidaan palauttaa hyödyntämällä edellistä komentoa ja putkittamalla se Restore-ADObject Cmdletille:
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -ldapFilter:"(msDs-lastKnownRDN=CLI1)" -IncludeDeletedObjects | Restore-ADObject
Konetili näkyy taas AD:ssa
Seuraavaksi voimme etsiä kaikki Bitlockerin palautusavaimet, jotka ovat olleet CLI1-konetilin alla hyödyntäen seuraavaa komentoa:
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -Filter {lastKnownParent -eq 'CN=CLI1,OU=Computers,OU=Kurssi,DC=kurssi,DC=demo'} -IncludeDeletedObjects -Properties * | ft
Powershell palauttaa kaikki kyseisen konetilin alla olleet Bitlockerin palautusavaimet.
Jos konetilin alla on vain yksi avain voidaan se palauttaa seuraavalla komennolla:
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -Filter {lastKnownParent -eq 'CN=CLI1,OU=Computers,OU=Kurssi,DC=kurssi,DC=demo'} -IncludeDeletedObjects | Restore-ADObject
Jos konetilin alla on useampi palautusavain voi olla helpompi tapa palauttaa kaikki avaimet tässä vaiheessa. Se voidaan tehdä seuraavien komentojen avulla:
$restore = Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -Filter {lastKnownParent -eq
'CN=CLI1,OU=Computers,OU=Kurssi,DC=kurssi,DC=demo'} -IncludeDeletedObjects -Properties *
ForEach-Object {$restore} | Restore-ADObject
Jos halutaan palauttaa pelkästään tietty Bitlockerin palautusavain, niin Powershell -komentoa täytyy muokata, jotta vain tietty avain palautetaan. Esimerkiksi oheisella komennolla listataan vain palautusavaimesta DistinguishedName ja Name, jolloin seuraavassa komennossa annettava hakuparametri on helpompi kopioida ja määritellä yksilölliseksi:
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -Filter {lastKnownParent -eq 'CN=CLI1,OU=Computers,OU=Kurssi,DC=kurssi,DC=demo'} -IncludeDeletedObjects | ft DistinguishedName,Name
Tämän jälkeen voidaan ajaa komento vaikka seuraavassa muodossa, jolloin AD:hen palautuu vain yksi Bitlocker palautusavain.
Get-ADObject -SearchBase "CN=Deleted Objects,DC=kurssi,DC=demo" -Filter {lastKnownParent -eq 'CN=CLI1,OU=Computers,OU=Kurssi,DC=kurssi,DC=demo'} -IncludeDeletedObjects | where {$_.Name -like '2010-01-26T22:39:49+02:00*'} | Restore-ADObject
Microsoftin blogi-artikkelista löytyy näppärä Powershell-scripti, jolla voi etsiä AD:sta tuhottuja tietoja.
http://blogs.msdn.com/adpowershell/archive/2009/06/01/inspecting-deleted-objects-before-restore.aspx
Molempien työkalujen tapauksessa jos nyt katsomme adsiedit.msc työkalulla CLI1-konetiliä, niin kaikki palautusavaimet ovat palautuneet konetilin alle.
Bitlockerin palautusavaimien haku onnistuu helpoiten käyttämällä BitLocker Recovery Password Viewer -työkalua. WS2008 R2 -palvelimilla kyseinen työkalu löytyy suoraan käyttöjärjestelmään lisättävien ominaisuuksien listalta (Servermanager à Add Feature). Työkalu voidaan asentaa myös Windows 7 työasemaan. Tällöin koneelle tarvitsee ladata ja asentaa Remote Server Administration Tools -hallintatyökalut. Tämän lisäksi työkalu tarvitsee vielä erikseen aktivoida korotetuilla oikeuksilla komentokehotteessa komennolla "regsvr32.exe BdeAducExt.dll".
Asennustoimenpiteiden jälkeen työkalu integroituu Active Directory Users and Computers hallintakonsoliin. Napsauttamalla hiiren kakkosnäppäimellä domainin päällä löytyy valikosta uusi kohta "Find Bitlocker Recovery Password". Työkaluun syötetään ensimmäiset kahdeksan merkkiä Recovery ID:stä, jolloin työkalu palauttaa kyseistä ID:tä vastaavan palautusavaimen. Huomattavasi helpompi tapa etsiä palautusavaimia, kuin käyttää adsiedit.msc tai ldp.exe työkaluja.
Lopuksi jos etsimme AD:ssa aikaisemmin artikkelissa palautettuja Bitlockerin palautusavaimia, niin sieltähän ne löytyvät J