Recuperação do BitLocker | Falhas no GrowdStrike | Sensor Falcon

Recuperação do BitLocker em ambientes Microsoft usando Active Directory e GPOs

Neste artigo, abordaremos como recuperar o BitLocker em ambientes Microsoft após uma falha causada pelo CrowdStrike Falcon.

O BitLocker é uma ferramenta de criptografia de disco nativa do Windows que protege os dados contra acesso não autorizado.

No entanto, em algumas situações, como a relacionada ao Alerta Técnico sobre falhas no Windows causadas pelo Sensor Falcon, pode ser necessário realizar a recuperação do BitLocker.

Vamos explorar o processo de recuperação do BitLocker usando o Active Directory e as Políticas de Grupo (GPOs) da Microsoft.

Forneceremos um passo a passo detalhado sobre como recuperar as chaves de recuperação do BitLocker, desenvolver e implantar um script PowerShell para automatizar o processo de recuperação e monitorar a execução do script.

Além disso, discutiremos opções caso você tenha perdido ou tenha dificuldade em encontrar sua chave de recuperação do BitLocker.

Também apresentaremos exemplos práticos de como verificar o Active Directory e a conta da Microsoft em busca de chaves de recuperação.

Ao final deste artigo, você estará equipado com o conhecimento necessário para recuperar o BitLocker em seu ambiente Microsoft após uma falha do CrowdStrike Falcon, garantindo a segurança e a acessibilidade dos seus dados.

Atendemos presencialmente as cidades de Belo Horizonte e região Metropolitana e atendimento remoto para Rio de Janeiro, São Paulo, Salvador e Brasília.

Atuamos com soluções e serviços de TI personalizados e disponibilizamos profissionais capacitados para atuar in loco.

Para demais localidades, consultar viabilidade através do e-mail comercial@4infra.com.br.

Objetivo: Recuperação do BitLocker em ambientes Microsoft

Aplica-se a:

• Versões compatíveis do sensor Falcon para Windows
• Versões compatíveis do Microsoft Windows
• Active Directory e GPOs da Microsoft

Pode estar relacionado ao Alerta Técnico | Falhas no Windows relacionadas ao Sensor Falcon | 2024-07-19

Procedimento

Recupere as chaves de recuperação do BitLocker

Use o Active Directory para recuperar as chaves de recuperação do BitLocker:

• Abra o snap-in Usuários e Computadores do Active Directory
• Navegue até o objeto do computador
• Clique com o botão direito no objeto do computador e selecione Propriedades
• Vá para a guia Recuperação do BitLocker e visualize a chave de recuperação

Desenvolva um script PowerShell

Crie um script que lide com as seguintes tarefas:

• Inicializar no Modo de Segurança
• Alterar a chave do registro
• Reiniciar no Modo Normal
• Garantir que você tenha a chave de recuperação do BitLocker

Prepare o script PowerShell

- Crie um script PowerShell que execute estas ações:

# Recupere a chave de recuperação do BitLocker
$bitLockerKey = Get-BitLockerVolume | Select-Object -ExpandProperty KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' } | Select-Object -ExpandProperty RecoveryPassword

# Defina a chave do registro
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\<SeuServiço>' -Name '' -Value ''

# Reinicie no Modo de Segurança
bcdedit /set {current} safeboot minimal Restart-Computer -Force

# (No Modo de Segurança)
Altere o arquivo e a chave do registro

# Reinicie de volta para o Modo Normal
bcdedit /deletevalue {current} safeboot Restart-Computer -Force

Implante o script usando a Política de Grupo

Crie uma GPO:

• Abra o Console de Gerenciamento de Política de Grupo (GPMC)
• Clique com o botão direito na Unidade Organizacional (OU) desejada e selecione Criar uma GPO neste domínio e vinculá-la aqui
• Nomeie a GPO e clique em OK

Edite a GPO:

• Clique com o botão direito na GPO recém-criada e selecione Editar
• Navegue até Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Desligamento)
• Clique duas vezes em Inicialização ou Desligamento, dependendo de quando você deseja que o script seja executado
• Clique em Adicionar, navegue até a localização do seu script PowerShell e adicione-o

Aplique a GPO

• Vincule a GPO à OU apropriada que contém as máquinas de destino
• Certifique-se de que a GPO esteja imposta e tenha a filtragem de segurança correta para se aplicar às máquinas pretendidas

Monitore e Valide

• Monitore o processo de implantação através do Visualizador de Eventos nas máquinas de destino
• Valide se as máquinas inicializam corretamente no modo normal após a execução do script

Informações adicionais

• Configurações de conformidade da GPO: Use as configurações da GPO para monitorar e garantir a conformidade do BitLocker
• Windows Admin Center: Use o Windows Admin Center para facilitar o gerenciamento e monitoramento de seus dispositivos
• Backup: Certifique-se de ter backups de dados importantes antes de fazer alterações nos arquivos de registro e do sistema

Exemplo de caso de uso com Active Directory e GPO

Crie uma GPO:

• Abra o Console de Gerenciamento de Política de Grupo (GPMC)
• Clique com o botão direito na OU desejada e selecione Criar uma GPO neste domínio e vinculá-la aqui
• Nomeie a GPO e clique em OK

Edite a GPO:

• Clique com o botão direito na GPO recém-criada e selecione Edit

Conclusão

Neste artigo, exploramos o processo de recuperação do BitLocker em ambientes Microsoft após uma falha causada pelo CrowdStrike Falcon.

Através do uso do Active Directory e das Políticas de Grupo (GPOs) da Microsoft, é possível recuperar as chaves de recuperação do BitLocker e automatizar o processo de recuperação.

Seguindo o passo a passo detalhado, você pode desenvolver e implantar um script PowerShell personalizado para lidar com a inicialização no Modo de Segurança, alteração da chave do registro e reinicialização no Modo Normal.

Além disso, o monitoramento da execução do script através do Visualizador de Eventos garante que o processo de recuperação seja bem-sucedido.

Caso você tenha perdido ou tenha dificuldade em encontrar sua chave de recuperação do BitLocker, apresentamos opções como verificar o Active Directory e a conta da Microsoft em busca de chaves de recuperação armazenadas.

Se você ainda encontrar desafios na recuperação do BitLocker ou precisar de suporte adicional, a 4infra Consultoria em TI está pronta para ajudar.

Como uma empresa especializada em Tecnologia da Informação, a 4infra oferece soluções e serviços personalizados para atender às necessidades específicas da sua organização, com atendimento presencial em Belo Horizonte e região metropolitana, além de suporte remoto para outras localidades.

Ao seguir as etapas e orientações apresentadas neste artigo, você estará equipado com o conhecimento necessário para recuperar o BitLocker em seu ambiente Microsoft após uma falha do CrowdStrike Falcon, garantindo a segurança e a acessibilidade dos seus dados.

Contato e Informações

Conheça a 4Infra!

A 4infra é uma empresa de BH especializada em fornecer soluções e serviços de tecnologia para empresas.

Saiba mais sobre como podemos auxiliá-lo no suporte à sua infraestrutura de TI.

(31) 3195-0580

comercial@4infra.com.br

Acesse nosso site www.4infra.com.br para saber mais sobre nossos serviços.

Estamos Localizados em Belo Horifzonte/MG na Rua Marechal Foch, 41, Pilotis no Bairro Grajaú.

Nosso horário de funcionamento é de segunda a sexta de 08:00hs às 18:00hs

Hashtags;