При хранении клиентской информации восстановления BitLocker в Active Directory отправляется ли она в AD в виде открытого текста или безопасно?

Question

Я знаю, что при принудительном хранении информации восстановления BitLocker в Active Directory (через объект групповой политики) она сохраняется в атрибуте ms-FVE-RecoveryPassword объекта компьютера. У Microsoft также есть отличная информация о том, как использовать Active Directory для резервного копирования информации восстановления шифрования диска BitLocker. Однако неясно, насколько безопасно эта информация передается от зашифрованного клиента на контроллер домена, хранящий эту информацию.

Мой вопрос заключается в том, зашифрован ли этот пароль для восстановления, когда он передается от клиента в Active Directory, или если он отправляется в виде открытого текста. Я предполагаю, что это зашифровано, но ради здравомыслия я хочу проверить это.

Кто-нибудь знает?

Answer 1

Видя, что между AD и вашей учетной записью компьютера уже есть пара PKI, я предполагаю, что она зашифрована с использованием этой подписи. Есть только один способ проверить это, но у меня нет систем с зашифрованным битом, и я не в своей сети, чтобы проверить.