Exporter les clés de récupération BitLocker depuis Active Directory avec PowerShell

Il y a une panne informatique et nous devons mettre tous les systèmes en mode sans échec et ajuster certaines valeurs. Cependant, il demande un mot de passe BitLocker. Malheureusement, nous ne l'avons pas, nous avons donc besoin des clés de récupération BitLocker pour accéder au système. Dans cet article, vous apprendrez comment exporter les clés de récupération BitLocker d'Active Directory avec PowerShell vers un fichier CSV.

Récupération BitLocker sous Windows

Lors du démarrage du système, il demande le mot de passe BitLocker pour déverrouiller le lecteur. Nous n'avons pas cette information. Alors cliquons surÉchappour la récupération BitLocker.

Il demande la clé de récupération BitLocker.

Pour obtenir la clé de récupération BitLocker, vous pouvez rechercher l'ordinateur dans Active Directory, ouvrir les propriétés de l'ordinateur et extraire les informations.

Vous pouvez également rechercher dans Active Directory leID de clé de récupération Bitlockerpour extraire le mot de passe de récupération BitLocker.

Remplissez l'ID du mot de passe et récupérez le mot de passe de récupération BitLocker.

Que faire si vous avez besoin d'un rapport de toutes les clés de récupération BitLocker pour accélérer le processus ? Examinons cela à l'étape suivante.

Le script PowerShell Export-BitLockerKeys.ps1 exportera toutes les clés de récupération BitLocker de l'ordinateur d'Active Directory vers un fichier CSV et vous fournira un rapport avec les informations ci-dessous :

1. Nom de l'ordinateur
2. Mot de passe de récupération
3. ID de récupération
4. Date
5. Temps
6. Nom distinctif
7. Système opérateur

Téléchargez le script PowerShell Export-BitLockerKeys.ps1 et placez-le dansC:scriptsdossier.

Assurez-vous que le fichier est débloqué pour éviter les erreurs lors de l'exécution du script. Pour en savoir plus, consultez l'article Erreur non signée numériquement lors de l'exécution du script PowerShell.

Une autre option consiste à copier et coller le code ci-dessous dans le Bloc-notes. Donnez-lui le nom Export-BitLockerKeys.ps1 et placez-le dans leC:scriptsdossier.

Lecture suggérée :Créer en masse des utilisateurs Active Directory avec CSV

<#
    .SYNOPSIS
    Export-BitLockerKeys.ps1

    .DESCRIPTION
    Export BitLocker Recovery Keys from Active Directory for all computers or computers in a specific OU to CSV file.

    .LINK
    www.alitajran.com/export-bitlocker-recovery-keys-active-directory-powershell/

    .NOTES
    Written by: ALI TAJRAN
    Website:    alitajran.com
    X:          x.com/alitajran
    LinkedIn:   linkedin.com/in/alitajran

    .CHANGELOG
    V1.00, 09/25/2024 - Initial version
#>

param(
    # Full path for the CSV report (must be provided)
    [Parameter(Mandatory = $true)]
    [string]$OutputPath,

    # Organizational Unit to search for computers (it will search for all computers if not provided)
    [string]$OU = ""
)

# Get the current user's identity
$currentIdentity = [Security.Principal.WindowsIdentity]::GetCurrent()
# Create a principal object from the identity to check roles
$principal = [Security.Principal.WindowsPrincipal]::new($currentIdentity)

# Check if the current user is an administrator
if (-not $principal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
    Write-Host "Only Administrators can read BitLocker Recovery Keys." -ForegroundColor Red
    exit
}

# Determine the search base for computers
if ($OU -ne "") {
    $Computers = Get-ADComputer -Filter 'ObjectClass -eq "computer"' -Property Name, DistinguishedName, OperatingSystem -SearchBase $OU | Sort-Object Name
}
else {
    $Computers = Get-ADComputer -Filter 'ObjectClass -eq "computer"' -Property Name, DistinguishedName, OperatingSystem | Sort-Object Name
}

# Initialize report list
$report = [System.Collections.Generic.List[Object]]::new()

foreach ($computer in $Computers) {
    $params = @{
        Filter     = "objectclass -eq 'msFVE-RecoveryInformation'"
        SearchBase = $computer.DistinguishedName
        Properties = 'msFVE-RecoveryPassword', 'whencreated'
    }

    $bitlockerInfo = Get-ADObject @params | Sort-Object -Property WhenCreated -Descending | Select-Object -First 1

    if ($bitlockerInfo) {
        $ReportLine = [PSCustomObject][ordered]@{
            ComputerName      = $computer.Name
            RecoveryPassword  = $bitlockerInfo.'msFVE-RecoveryPassword'
            RecoveryID        = $bitlockerInfo.Name.Substring(26, 36)
            Date              = $bitlockerInfo.Name.Substring(0, 10)
            Time              = $bitlockerInfo.Name.Substring(11, 8)
            DistinguishedName = $Computer.DistinguishedName
            OperatingSystem   = $Computer.OperatingSystem
        }
        $report.Add($ReportLine)
    }
    else {
        $ReportLine = [PSCustomObject][ordered]@{
            ComputerName      = $computer.Name
            RecoveryPassword  = "No BitLocker information found"
            RecoveryID        = "N/A"
            Date              = "N/A"
            Time              = "N/A"
            DistinguishedName = $Computer.DistinguishedName
            OperatingSystem   = $Computer.OperatingSystem
        }
        $report.Add($ReportLine)
    }
}

# Export the list to CSV
try {
    $report | Export-Csv -Path $OutputPath -NoTypeInformation -Encoding utf8
    Write-Host "Report successfully exported to: $OutputPath" -ForegroundColor Green
}
catch {
    Write-Host "Error exporting report to CSV: $_" -ForegroundColor Red -ErrorAction SilentlyContinue
}

Voilà à quoi ça ressemble.

Exécuter le script PowerShell Export-BitLockerKeys

Exportez les clés de récupération BitLocker de tous les ordinateurs dans Active Directory.

C:scripts.Export-BitlockerKeys.ps1 -OutputPath "C:tempAllComputers.csv"

Exportez les clés de récupération BitLocker de tous les ordinateurs au sein d’une unité d’organisation (unité organisationnelle) spécifique dans Active Directory.

C:scripts.Export-BitlockerKeys.ps1 -OutputPath "C:tempComputersOU.csv" -OU "OU=WIN10,OU=Computers,OU=Company,DC=exoip,DC=local"

Ouvrez le fichier CSV dans le cheminC:tempavec votre application préférée. Par exemple, avec Microsoft Excel.

C'est ça!

Conclusion

Vous avez appris à exporter les clés de récupération BitLocker d'Active Directory avec PowerShell vers un fichier CSV. Passer par Active Directory et récupérer les clés de récupération BitLocker est l'approche recommandée. De cette façon, tout reste en AD et aucune exportation n’est effectuée. Cependant, si vous avez besoin d'obtenir une liste de tous les mots de passe de récupération BitLocker et que vous êtes sûr de réinitialiser le mot de passe de récupération après vous être connecté avec succès, c'est le meilleur moyen.

Avez-vous apprécié cet article ? Vous aimerez peut-être également Comment créer un rapport d’évaluation de la sécurité Active Directory. N'oubliez pas de nous suivre et de partager cet article.