Rimuovi le vecchie password di ripristino di BitLocker da Active Directory

Quando si genera una nuova password di ripristino BitLocker per il computer, la vecchia password di ripristino BitLocker non è più valida. Tuttavia, queste password rimangono in Active Directory. Puoi tenerli lì perché non fa male. Ma per un ambiente dall’aspetto pulito, è fantastico rimuoverli. In questo articolo imparerai come rimuovere le vecchie password di ripristino di BitLocker con PowerShell.

InizioUtenti e computer di Active Directorye cercare il computer. Fare doppio clic sull'oggetto computer per aprire le proprietà del computer. Fare clic suRipristino di BitLockerscheda.

Questo è ciò che appare se è presente più di una password di ripristino BitLocker sull'oggetto computer.

Se desideri esportare le chiavi di ripristino BitLocker correnti da Active Directory per tutti i computer, leggi l'articolo Esportare le chiavi di ripristino BitLocker da Active Directory con PowerShell.

Rimuovere il vecchio script PowerShell delle password di ripristino di BitLocker

Scarica lo script PowerShell Remove-BitLockerPass.ps1 e inserisciloC: scriptcartella.

Assicurarsi che il file sia sbloccato per evitare errori durante l'esecuzione dello script. Maggiori informazioni nell'articolo Errore senza firma digitale durante l'esecuzione dello script PowerShell.

Un'altra opzione è copiare e incollare il codice seguente nel Blocco note. Dategli il nomeRimuovi-BitLockerPass.ps1e posizionarlo nelC: scriptcartella.

<#
    .SYNOPSIS
    Remove-BitLockerPass.ps1

    .DESCRIPTION
    Remove old BitLocker Recovery Passwords from Active Directory for all computers.

    .LINK
    www.alitajran.com/remove-old-bitlocker-recovery-passwords/

    .NOTES
    Written by: ALI TAJRAN
    Website:    alitajran.com
    X:          x.com/alitajran
    LinkedIn:   linkedin.com/in/alitajran

    .CHANGELOG
    V1.00, 10/06/2024 - Initial version
#>

# Fetching computers from Active Directory
$Computers = Get-ADComputer -Filter 'ObjectClass -eq "computer"' -Property Name, DistinguishedName, OperatingSystem | Sort-Object Name

foreach ($computer in $Computers) {
    $params = @{
        Filter     = 'objectclass -eq "msFVE-RecoveryInformation"'
        SearchBase = $computer.DistinguishedName
        Properties = 'msFVE-RecoveryPassword', 'whencreated'
    }

    # Get BitLocker recovery information
    $bitlockerInfos = Get-ADObject @params | Sort-Object -Property WhenCreated -Descending

    if ($bitlockerInfos) {
        # Keep only the latest recovery password
        $latestRecoveryInfo = $bitlockerInfos[0]
        Write-Host "BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan

        # Check if there are more than one recovery keys to process
        if ($bitlockerInfos.Count -gt 1) {
            # Remove all but the latest recovery information
            foreach ($info in $bitlockerInfos[1..($bitlockerInfos.Count - 1)]) {
                try {
                    Remove-ADObject -Identity $info.DistinguishedName -Confirm:$false
                    Write-Host "Removed old BitLocker Recovery key for $($computer.Name) created on $($info.whencreated)" -ForegroundColor Green
                }
                catch {
                    Write-Host "Failed to remove old BitLocker Recovery key for $($computer.Name): $_" -ForegroundColor Red
                }
            }
        }
        else {
            Write-Host "Only one BitLocker Recovery key found for $($computer.Name). No action required." -ForegroundColor Cyan
        }
    }
    else {
        Write-Host "No BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan
    }
}

Esegui PowerShell come amministratore ed esegui lo script Remove-BitLockerPass.ps1.

C:scripts.Remove-BitLockerPass.ps1

Viene visualizzato l'output riportato di seguito.

No BitLocker Recovery information found for DC01-2022
No BitLocker Recovery information found for DC02-2022
No BitLocker Recovery information found for EX01-2019
No BitLocker Recovery information found for EX02-2019
No BitLocker Recovery information found for EX03-2019
No BitLocker Recovery information found for FS01-2019
BitLocker Recovery information found for WIN10
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:19:12
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:18:45
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:15:43
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:59:41
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:56:39
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:51:52
Removed old BitLocker Recovery key for WIN10 created on 09/24/2024 08:41:52
Removed old BitLocker Recovery key for WIN10 created on 07/27/2024 00:36:52

Verifica dentroUtenti e computer di Active Directoryche sull'oggetto computer sia presente solo la password di ripristino di BitLocker più recente e che quelle meno recenti siano state rimosse con successo.

Questo è tutto!

Conclusione

Hai imparato come rimuovere le vecchie password di ripristino di BitLocker con PowerShell. Mantenere le vecchie password di ripristino in Active Directory va bene, poiché non ti danno alcun problema. Tuttavia, se vuoi che tutto sia il più ordinato possibile nel tuo ambiente, esegui lo script. Ciò manterrà solo la password di ripristino di BitLocker più recente per ogni macchina.

Ti è piaciuto questo articolo? Potrebbe interessarti anche il report Esporta password LAPS di Windows. Non dimenticare di seguirci e condividere questo articolo.

Altre letture:Come bloccare le password comuni (deboli) in Active Directory