Jak ograniczyć dostęp pracowników do kluczy odzyskiwania Microsoft BitLocker

Wprowadzenie

Szyfrowanie dysków urządzeń przeszło już do mainstreamu i istnieje duża szansa, że Ty lub Twoja firma korzystacie z Microsoft BitLocker. Zazwyczaj kopie kluczy do odszyfrowania dysków przechowywane są w Active Directory i/lub Entra ID - tak na wszelki wypadek. W przypadku tego pierwszego raczej nie masz powodów do niepokoju, ale czy zastanawiałeś/aś się, kto ma dostęp do kluczy w Microsoft Entra? Czy zwykły pracownik może podejrzeć klucz do odszyfrowania swojego komputera bez dodatkowych uprawnień?

Na te i inne pytania odpowiem w poniższym wpisie. Zapraszam do lektury.

TL;DR

Podczas uruchamiania szyfrowania dysków wygenerowałeś/aś bardzo długie klucze, których kopie są przechowywane w Twoim Active Directory, koncie Microsoft i/lub Entra ID. Domyślnie pracownicy mogą je zobaczyć, nie posiadając żadnych dodatkowych uprawnień - wystarczy, że są przypisani do obiektu urządzenia w Entra jako ich właściciel. Artykuł przedstawia sposób na wyłączenie tej możliwości oraz wyjaśnia ryzyka z tym związane.

Panel oczami użytkownika

Masz firmowy komputer zaszyfrowany BitLockerem? Pora na szybki test.

Przejdź do myaccount.microsoft.com, wybierz zakładkę Devices i kliknij na obiekt swojego urządzenia. W moim przypadku jest to komputer o nazwie HEPHAESTUS.

Jeśli urządzenie jest zaszyfrowane, a kopia kluczy przesłana do Microsoft Entra (Azure AD), zobaczysz magiczny przycisk pozwalający na wyświetlenie klucza do odszyfrowania dysku!

Jeśli przycisk View BitLocker Keys nie jest widoczny, to całkiem możliwe, że Twój administrator przeczytał już ten wpis i popsuł całą zabawę, wyłączając tę opcję.

Ryzyka domyślnych ustawień

No dobrze, widzę ten magiczny klucz, ale co z tego? No cóż, to zależy 🙃

Jeśli masz niecne zamiary oraz trochę technicznych i manualnych umiejętności, możesz np. wyciągnąć dysk ze swojego urządzenia, podłączyć go do maszyny z Kali Linuxem i przypadkowo go odszyfrować, aby skopiować niepostrzeżenie swoje ulubione memy z kotkami (zawartość dysku). Możesz także dodać nowe konto lokalnego administratora, bo poprzednie zabrał Ci Twój zły dział IT.

Jak zmienić domyślną konfigurację

Bardzo prosto. Wystarczy zmienić wartość ustawienia AllowedToReadBitlockerKeysForOwnedDevice przez Microsoft Graph (CLI) lub przestawić je w Microsoft Entra admin center (GUI).

Wybór sposobu należy do Ciebie 😉

Microsoft Graph - kliknij, aby wyświetlić

Otwórz Windows PowerShell z zainstalowanym modułem Microsoft.Graph i wykonaj następujące działania:

Połącz się z usługą Microsoft Graph przez polecenie Connect-MgGraph.

1
Connect-MgGraph –NoWelcome -Scopes Policy.ReadWrite.Authorization

Sprawdź obecną wartość ustawienia AllowedToReadBitlockerKeysForOwnedDevice.

1
Get-MgPolicyAuthorizationPolicy | Select-Object -ExpandProperty DefaultUserRolePermissions | Format-List

Zmień wartość ustawienia AllowedToReadBitlockerKeysForOwnedDevice z True na False:

1
2
3
$RolePermissions = @{}
$RolePermissions["AllowedToReadBitlockerKeysForOwnedDevice"] = $False
Update-MgPolicyAuthorizationPolicy -DefaultUserRolePermissions $RolePermissions

Change AllowedToReadBitlockerKeysForOwnedDevice value

Nie otrzymasz żadnego komunikatu potwierdzającego zmianę ustawienia, dlatego warto sprawdzić, czy wartość została faktycznie zmieniona.
1
Get-MgPolicyAuthorizationPolicy | Select-Object -ExpandProperty DefaultUserRolePermissions | Format-List
Gotowe - teraz wystarczy poczekać na przetworzenie zmian przez Microsoft.

Microsoft Entra admin center - kliknij, aby wyświetlić

Przejdź do Microsoft Entra admin center i wykonaj następujące działania:

Przejdź do zakładki Devices > All devices i wybierz opcję Device settings.
Odnajdź ustawienie Restrict users from recovering the BitLocker key(s) for their owned devices i przełącz je z wartości No na Yes.
Gotowe - teraz wystarczy poczekać na przetworzenie zmian przez Microsoft.

Jak sprawdzić, czy nasze zmiany zadziałały?

Przechodzimy ponownie do myaccount.microsoft.com i sprawdzamy, czy przycisk View BitLocker Keys zniknął z panelu.

Przycisk zniknął, czyli działa… a przynajmniej tak chciałem napisać, ale okazuje się, że Microsoft ostatnio coś namieszał i przycisk już nie znika…

Na szczęście to tylko aspekt wizualny, ponieważ po kliknięciu zamiast klucza zobaczymy poniższy błąd.

Dla dodatkowego potwierdzenia sprawdziłem, czy uda mi się odczytać klucz z poziomu ostatnio dodanej opcji w Company Portal.

Tym razem również otrzymaliśmy błąd, ale po raz kolejny z błędnym komunikatem 🤣

Maszyna była zgodna, a po przywróceniu widoczności kluczy w Entra zgodność nie stanowiła problemu… No cóż, Microsoft.

Jestem adminem, czy ja też utracę dostęp?

Tak i nie… Jak zwykle, to zależy.

Jeśli role administracyjne, z których korzystasz, zawierają uprawnienia do wyświetlania kluczy BitLockera, to wciąż będziesz mógł je wyświetlić, zarówno poprzez myaccount.microsoft.com, jak i Microsoft Entra admin center. Oczywiście, jako administrator masz dostęp do kluczy odzyskiwania wszystkich urządzeń, a nie tylko tych, których jesteś właścicielem.

Uprawnienia, które nadają dostęp do kluczy BitLockera to:

1
microsoft.directory/bitlockerKeys/key/read

Posiadają je np. role: Intune Administrator, Security Administrator, czy Security Reader.

Podsumowanie

Dobra robota! Właśnie zwiększyłeś/aś liczbę zapytań do swojego helpdesku o 21,37%! Czego się nie robi, aby zwiększyć bezpieczeństwo, prawda?

W nagrodę za Twoją bohaterską postawę, trzymaj mema:

Nikt nie powiedział, że będzie śmieszny.

Do zobaczenia w kolejnym wpisie!

PS: Wiecie, że Microsoft doda możliwość utworzenia własnych emotikon do Microsoft Teams w czerwcu tego roku? Nie mogę się tego doczekać 🤣

PS2: Więcej memów o Microsoft BitLocker możecie znaleźć tutaj. Swoją drogą, artykuł też jest ciekawy.

Wprowadzenie🔗

TL;DR🔗

Panel oczami użytkownika🔗

Ryzyka domyślnych ustawień🔗

Jak zmienić domyślną konfigurację🔗

Jak sprawdzić, czy nasze zmiany zadziałały?🔗

Jestem adminem, czy ja też utracę dostęp?🔗

Podsumowanie🔗

Dodatkowe materiały🔗