none
Active Directory上の古い回復キーを削除する方法 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    初めまして。ご質問させて下さい。

    【現状】

    Windows Server 2012 R2 Standard(64bit)環境にActive Directoryの役割を与えております。

    Active DirectoryではBitLocker Active Directory 回復パスワード ビューアーを使用して、社内のクライアント端末のBitLocker回復キーを一元管理しております。

    暗号化後に暗号化を無効にしてもActive Directory上に、過去の回復キーが残り続けており、有効⇒無効⇒有効…と繰り返すうちに古い回復キーがゴミとして残っている状況です。

    【確認したいこと】

    古い回復キーをActive Directoryから削除する方法をお教え下さい。

    また、クライアント端末側でディスク暗号機能を無効にした際に自動でActive Directoryから該当の回復キーを削除させることは可能でしょうか。

    解決策をご存知の方がいらっしゃいましたら、お知恵をお貸し下さいませ。

    2017年1月24日 1:13
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    BitLockerの回復キー情報は、対象コンピュータオブジェクトの子オブジェクトである"ms-FVE-RecoveryInformation"クラスのオブジェクトとして定義されているそうです。

    https://blogs.technet.microsoft.com/askds/2009/08/18/bitlocker-and-active-directory/

    構造については、したのページを参照なさってください。

    https://technet.microsoft.com/ja-jp/library/cc766015(v=ws.10).aspx

    古い回復キー情報は各"ms-FVE-RecoveryInformation"オブジェクトを確認して(CNをみればいつ作成されたかが事実上わかります)、不要な情報をオブジェクトごと削除すれば、ご希望の結果となりそうですが、「実際に試した」わけではありません。

    したがって、「必ず回復キー情報のバックアップを取得」したうえ、(試すのであれば)試される必要があると思います。できれば完全に試験的なクライアントを用意し、その端末で複数のBilLocker回復キーを作って、うえを試されることをお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年1月24日 2:15
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ローカルに保管されている回復パスワードについては以下様な方法削除できるのですが、ADに保管されている回復パスワードについては、チャブーンさんが記載した内容を参考にして試して頂くしか無さそうです。

     

    BitLocker 回復パスワードの管理方法

    Remove-BitLockerKeyProtector

     

     

    暗号化の有効・無効を繰り返しているとの事ですが、BitLocker は無効だけでなく「中断」も可能です。(OSによっては再起動時に自動的に再開されます)

    事情が分からないので蛇足になるかもしれませんが、もしUEFIアップデート等の作業を行っていらっしゃる様でしたら、この「中断」を試してみてはいかがでしょうか。

     

     

    また以下の様な製品も有りますので参考まで。

     MBAM (Microsoft BitLocker Administration and Monitoring)

     

    AD MBAM 両方に回復パスワードを保存する事ができ、使用した回復パスワードの使いまわしを防止(使用した回復パスワードの自動削除)したり、Webベースの回復パスワードビューワーを利用する事が可能な BitLocker の管理製品です。

    過去に検証した際の記憶なので曖昧なのですが、MBAM で回復パスワードを検索した場合は、MBAMに格納された回復パスワードから、現在有効な回復パスワードのみが表示される動作だったかと思います。


    2017年1月24日 6:25
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    BitLockerの回復キー情報は、対象コンピュータオブジェクトの子オブジェクトである"ms-FVE-RecoveryInformation"クラスのオブジェクトとして定義されているそうです。

    https://blogs.technet.microsoft.com/askds/2009/08/18/bitlocker-and-active-directory/

    構造については、したのページを参照なさってください。

    https://technet.microsoft.com/ja-jp/library/cc766015(v=ws.10).aspx

    古い回復キー情報は各"ms-FVE-RecoveryInformation"オブジェクトを確認して(CNをみればいつ作成されたかが事実上わかります)、不要な情報をオブジェクトごと削除すれば、ご希望の結果となりそうですが、「実際に試した」わけではありません。

    したがって、「必ず回復キー情報のバックアップを取得」したうえ、(試すのであれば)試される必要があると思います。できれば完全に試験的なクライアントを用意し、その端末で複数のBilLocker回復キーを作って、うえを試されることをお奨めします。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年1月24日 2:15
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ローカルに保管されている回復パスワードについては以下様な方法削除できるのですが、ADに保管されている回復パスワードについては、チャブーンさんが記載した内容を参考にして試して頂くしか無さそうです。

     

    BitLocker 回復パスワードの管理方法

    Remove-BitLockerKeyProtector

     

     

    暗号化の有効・無効を繰り返しているとの事ですが、BitLocker は無効だけでなく「中断」も可能です。(OSによっては再起動時に自動的に再開されます)

    事情が分からないので蛇足になるかもしれませんが、もしUEFIアップデート等の作業を行っていらっしゃる様でしたら、この「中断」を試してみてはいかがでしょうか。

     

     

    また以下の様な製品も有りますので参考まで。

     MBAM (Microsoft BitLocker Administration and Monitoring)

     

    AD MBAM 両方に回復パスワードを保存する事ができ、使用した回復パスワードの使いまわしを防止(使用した回復パスワードの自動削除)したり、Webベースの回復パスワードビューワーを利用する事が可能な BitLocker の管理製品です。

    過去に検証した際の記憶なので曖昧なのですが、MBAM で回復パスワードを検索した場合は、MBAMに格納された回復パスワードから、現在有効な回復パスワードのみが表示される動作だったかと思います。


    2017年1月24日 6:25
    |