Recuperação do BitLocker | Falhas no GrowdStrike | Sensor Falcon

Recuperação do BitLocker | Falhas no GrowdStrike | Sensor Falcon

Recuperação do BitLocker em ambientes Microsoft usando Active Directory e GPOs

Neste artigo, abordaremos como recuperar o BitLocker em ambientes Microsoft após uma falha causada pelo CrowdStrike Falcon.

O BitLocker é uma ferramenta de criptografia de disco nativa do Windows que protege os dados contra acesso não autorizado.

No entanto, em algumas situações, como a relacionada ao Alerta Técnico sobre falhas no Windows causadas pelo Sensor Falcon, pode ser necessário realizar a recuperação do BitLocker.

Vamos explorar o processo de recuperação do BitLocker usando o Active Directory e as Políticas de Grupo (GPOs) da Microsoft.

Forneceremos um passo a passo detalhado sobre como recuperar as chaves de recuperação do BitLocker, desenvolver e implantar um script PowerShell para automatizar o processo de recuperação e monitorar a execução do script.

Além disso, discutiremos opções caso você tenha perdido ou tenha dificuldade em encontrar sua chave de recuperação do BitLocker.

Também apresentaremos exemplos práticos de como verificar o Active Directory e a conta da Microsoft em busca de chaves de recuperação.

Ao final deste artigo, você estará equipado com o conhecimento necessário para recuperar o BitLocker em seu ambiente Microsoft após uma falha do CrowdStrike Falcon, garantindo a segurança e a acessibilidade dos seus dados.

Somos uma empresa especializada em Tecnologia da Informação.

Atendemos presencialmente as cidades de Belo Horizonte e região Metropolitana e atendimento remoto para Rio de Janeiro, São Paulo, Salvador e Brasília.

Atuamos com soluções e serviços de TI personalizados e disponibilizamos profissionais capacitados para atuar in loco.

Para demais localidades, consultar viabilidade através do e-mail comercial@4infra.com.br.

Objetivo: Recuperação do BitLocker em ambientes Microsoft

Aplica-se a:

Versões compatíveis do sensor Falcon para Windows
Versões compatíveis do Microsoft Windows
Active Directory e GPOs da Microsoft

Pode estar relacionado ao Alerta Técnico | Falhas no Windows relacionadas ao Sensor Falcon | 2024-07-19

Procedimento

Recupere as chaves de recuperação do BitLocker

Use o Active Directory para recuperar as chaves de recuperação do BitLocker:

Abra o snap-in Usuários e Computadores do Active Directory
Navegue até o objeto do computador
Clique com o botão direito no objeto do computador e selecione Propriedades
Vá para a guia Recuperação do BitLocker e visualize a chave de recuperação

Desenvolva um script PowerShell

Crie um script que lide com as seguintes tarefas:

Inicializar no Modo de Segurança
Alterar a chave do registro
Reiniciar no Modo Normal
Garantir que você tenha a chave de recuperação do BitLocker

Prepare o script PowerShell

- Crie um script PowerShell que execute estas ações:

# Recupere a chave de recuperação do BitLocker
$bitLockerKey = Get-BitLockerVolume | Select-Object -ExpandProperty KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' } | Select-Object -ExpandProperty RecoveryPassword

# Defina a chave do registro
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\<SeuServiço>' -Name '' -Value ''

# Reinicie no Modo de Segurança
bcdedit /set {current} safeboot minimal Restart-Computer -Force

# (No Modo de Segurança)
Altere o arquivo e a chave do registro

# Reinicie de volta para o Modo Normal
bcdedit /deletevalue {current} safeboot Restart-Computer -Force

Implante o script usando a Política de Grupo

Crie uma GPO:

Abra o Console de Gerenciamento de Política de Grupo (GPMC)
Clique com o botão direito na Unidade Organizacional (OU) desejada e selecione Criar uma GPO neste domínio e vinculá-la aqui
Nomeie a GPO e clique em OK

Edite a GPO:

Clique com o botão direito na GPO recém-criada e selecione Editar
Navegue até Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Desligamento)
Clique duas vezes em Inicialização ou Desligamento, dependendo de quando você deseja que o script seja executado
Clique em Adicionar, navegue até a localização do seu script PowerShell e adicione-o

Aplique a GPO

Vincule a GPO à OU apropriada que contém as máquinas de destino
Certifique-se de que a GPO esteja imposta e tenha a filtragem de segurança correta para se aplicar às máquinas pretendidas

Monitore e Valide

Monitore o processo de implantação através do Visualizador de Eventos nas máquinas de destino
Valide se as máquinas inicializam corretamente no modo normal após a execução do script

Informações adicionais

Configurações de conformidade da GPO: Use as configurações da GPO para monitorar e garantir a conformidade do BitLocker
Windows Admin Center: Use o Windows Admin Center para facilitar o gerenciamento e monitoramento de seus dispositivos
Backup: Certifique-se de ter backups de dados importantes antes de fazer alterações nos arquivos de registro e do sistema

Exemplo de caso de uso com Active Directory e GPO

Crie uma GPO:

Abra o Console de Gerenciamento de Política de Grupo (GPMC)
Clique com o botão direito na OU desejada e selecione Criar uma GPO neste domínio e vinculá-la aqui
Nomeie a GPO e clique em OK

Edite a GPO:

Clique com o botão direito na GPO recém-criada e selecione Edit

Conclusão

Neste artigo, exploramos o processo de recuperação do BitLocker em ambientes Microsoft após uma falha causada pelo CrowdStrike Falcon.

Através do uso do Active Directory e das Políticas de Grupo (GPOs) da Microsoft, é possível recuperar as chaves de recuperação do BitLocker e automatizar o processo de recuperação.

Seguindo o passo a passo detalhado, você pode desenvolver e implantar um script PowerShell personalizado para lidar com a inicialização no Modo de Segurança, alteração da chave do registro e reinicialização no Modo Normal.

Além disso, o monitoramento da execução do script através do Visualizador de Eventos garante que o processo de recuperação seja bem-sucedido.

Caso você tenha perdido ou tenha dificuldade em encontrar sua chave de recuperação do BitLocker, apresentamos opções como verificar o Active Directory e a conta da Microsoft em busca de chaves de recuperação armazenadas.

Se você ainda encontrar desafios na recuperação do BitLocker ou precisar de suporte adicional, a 4infra Consultoria em TI está pronta para ajudar.

Como uma empresa especializada em Tecnologia da Informação, a 4infra oferece soluções e serviços personalizados para atender às necessidades específicas da sua organização, com atendimento presencial em Belo Horizonte e região metropolitana, além de suporte remoto para outras localidades.

Ao seguir as etapas e orientações apresentadas neste artigo, você estará equipado com o conhecimento necessário para recuperar o BitLocker em seu ambiente Microsoft após uma falha do CrowdStrike Falcon, garantindo a segurança e a acessibilidade dos seus dados.

Contato e Informações

Conheça a 4Infra!

A 4infra é uma empresa de BH especializada em fornecer soluções e serviços de tecnologia para empresas.

Saiba mais sobre como podemos auxiliá-lo no suporte à sua infraestrutura de TI.

(31) 3195-0580

comercial@4infra.com.br

Acesse nosso site www.4infra.com.br para saber mais sobre nossos serviços.

Estamos Localizados em Belo Horifzonte/MG na Rua Marechal Foch, 41, Pilotis no Bairro Grajaú.

Nosso horário de funcionamento é de segunda a sexta de 08:00hs às 18:00hs

Hashtags;

#CrowdStrikeFalcon #CrowdStrikeWindows #ApagaoGlobal #CrowdStrike

leandro

Leandro está no mercado de TI desde 1997, onde já atuou em grandes empresas em Belo Horizonte, São Paulo, Brasília. Conhece do inicio ao fim tudo que envolve infraestrutura de TI, especialista em soluções Microsoft 365, Fortinet, Acronis e Redes Wireless, mas ao longo do tempo foi se aperfeiçoando e passou a cuidar da parte Administrativa, Marketing e Financeira na 4infra e como um bom Atleticano sempre está presente nos jogos do GALO.
19 de julho de 2024
Segurança da Informação