Wprowadzenie
Szyfrowanie dysków urządzeń przeszło już do mainstreamu i istnieje duża szansa, że Ty lub Twoja firma korzystacie z Microsoft BitLocker. Zazwyczaj kopie kluczy do odszyfrowania dysków przechowywane są w Active Directory i/lub Entra ID - tak na wszelki wypadek. W przypadku tego pierwszego raczej nie masz powodów do niepokoju, ale czy zastanawiałeś/aś się, kto ma dostęp do kluczy w Microsoft Entra? Czy zwykły pracownik może podejrzeć klucz do odszyfrowania swojego komputera bez dodatkowych uprawnień?
Na te i inne pytania odpowiem w poniższym wpisie. Zapraszam do lektury.
TL;DR
Podczas uruchamiania szyfrowania dysków wygenerowałeś/aś bardzo długie klucze, których kopie są przechowywane w Twoim Active Directory, koncie Microsoft i/lub Entra ID. Domyślnie pracownicy mogą je zobaczyć, nie posiadając żadnych dodatkowych uprawnień - wystarczy, że są przypisani do obiektu urządzenia w Entra jako ich właściciel. Artykuł przedstawia sposób na wyłączenie tej możliwości oraz wyjaśnia ryzyka z tym związane.
Panel oczami użytkownika
Masz firmowy komputer zaszyfrowany BitLockerem? Pora na szybki test.
Przejdź do myaccount.microsoft.com, wybierz zakładkę Devices i kliknij na obiekt swojego urządzenia. W moim przypadku jest to komputer o nazwie HEPHAESTUS.
Jeśli urządzenie jest zaszyfrowane, a kopia kluczy przesłana do Microsoft Entra (Azure AD), zobaczysz magiczny przycisk pozwalający na wyświetlenie klucza do odszyfrowania dysku!
Jeśli przycisk View BitLocker Keys nie jest widoczny, to całkiem możliwe, że Twój administrator przeczytał już ten wpis i popsuł całą zabawę, wyłączając tę opcję.
Ryzyka domyślnych ustawień
No dobrze, widzę ten magiczny klucz, ale co z tego? No cóż, to zależy 🙃
Jeśli masz niecne zamiary oraz trochę technicznych i manualnych umiejętności, możesz np. wyciągnąć dysk ze swojego urządzenia, podłączyć go do maszyny z Kali Linuxem i przypadkowo go odszyfrować, aby skopiować niepostrzeżenie swoje ulubione memy z kotkami (zawartość dysku). Możesz także dodać nowe konto lokalnego administratora, bo poprzednie zabrał Ci Twój zły dział IT.
Jak zmienić domyślną konfigurację
Bardzo prosto. Wystarczy zmienić wartość ustawienia AllowedToReadBitlockerKeysForOwnedDevice
przez Microsoft Graph (CLI) lub przestawić je w Microsoft Entra admin center (GUI).
Wybór sposobu należy do Ciebie 😉
Otwórz Windows PowerShell z zainstalowanym modułem Microsoft.Graph i wykonaj następujące działania:Microsoft Graph - kliknij, aby wyświetlić
1
Connect-MgGraph –NoWelcome -Scopes Policy.ReadWrite.Authorization
AllowedToReadBitlockerKeysForOwnedDevice
.1
Get-MgPolicyAuthorizationPolicy | Select-Object -ExpandProperty DefaultUserRolePermissions | Format-List
AllowedToReadBitlockerKeysForOwnedDevice
z True na False:1
2
3
$RolePermissions = @{}
$RolePermissions["AllowedToReadBitlockerKeysForOwnedDevice"] = $False
Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions $RolePermissions
1
Get-MgPolicyAuthorizationPolicy | Select-Object -ExpandProperty DefaultUserRolePermissions | Format-List
Przejdź do Microsoft Entra admin center i wykonaj następujące działania:Microsoft Entra admin center - kliknij, aby wyświetlić
Jak sprawdzić, czy nasze zmiany zadziałały?
Przechodzimy ponownie do myaccount.microsoft.com i sprawdzamy, czy przycisk View BitLocker Keys zniknął z panelu.
Przycisk zniknął, czyli działa… a przynajmniej tak chciałem napisać, ale okazuje się, że Microsoft ostatnio coś namieszał i przycisk już nie znika…
Na szczęście to tylko aspekt wizualny, ponieważ po kliknięciu zamiast klucza zobaczymy poniższy błąd.
Dla dodatkowego potwierdzenia sprawdziłem, czy uda mi się odczytać klucz z poziomu ostatnio dodanej opcji w Company Portal.
Tym razem również otrzymaliśmy błąd, ale po raz kolejny z błędnym komunikatem 🤣
Maszyna była zgodna, a po przywróceniu widoczności kluczy w Entra zgodność nie stanowiła problemu… No cóż, Microsoft.
Jestem adminem, czy ja też utracę dostęp?
Tak i nie… Jak zwykle, to zależy.
Jeśli role administracyjne, z których korzystasz, zawierają uprawnienia do wyświetlania kluczy BitLockera, to wciąż będziesz mógł je wyświetlić, zarówno poprzez myaccount.microsoft.com, jak i Microsoft Entra admin center. Oczywiście, jako administrator masz dostęp do kluczy odzyskiwania wszystkich urządzeń, a nie tylko tych, których jesteś właścicielem.
Uprawnienia, które nadają dostęp do kluczy BitLockera to:
|
|
Posiadają je np. role: Intune Administrator, Security Administrator, czy Security Reader.
Podsumowanie
Dobra robota! Właśnie zwiększyłeś/aś liczbę zapytań do swojego helpdesku o 21,37%! Czego się nie robi, aby zwiększyć bezpieczeństwo, prawda?
W nagrodę za Twoją bohaterską postawę, trzymaj mema:
Nikt nie powiedział, że będzie śmieszny.
Do zobaczenia w kolejnym wpisie!
PS: Wiecie, że Microsoft doda możliwość utworzenia własnych emotikon do Microsoft Teams w czerwcu tego roku? Nie mogę się tego doczekać 🤣
PS2: Więcej memów o Microsoft BitLocker możecie znaleźć tutaj. Swoją drogą, artykuł też jest ciekawy.