Elimine las contraseñas de recuperación de BitLocker antiguas de Active Directory

Cuando genera una nueva contraseña de recuperación de BitLocker para la computadora, la contraseña de recuperación de BitLocker anterior ya no es válida. Sin embargo, estas contraseñas permanecen en Active Directory. Puedes dejarlos ahí, ya que no duele. Pero para lograr un ambiente limpio, es fantástico eliminarlos. En este artículo, aprenderá cómo eliminar las contraseñas de recuperación de BitLocker antiguas con PowerShell.

ComenzarUsuarios y computadoras de Active Directoryy busque la computadora. Haga doble clic en el objeto de la computadora para abrir las propiedades de la computadora. Haga clic en elRecuperación de BitLockerpestaña.

Esto es lo que se ve si hay más de una contraseña de recuperación de BitLocker presente en el objeto de la computadora.

Si desea exportar las claves de recuperación de BitLocker actuales desde Active Directory para todas las computadoras, lea el artículo Exportar claves de recuperación de BitLocker desde Active Directory con PowerShell.

Eliminar el antiguo script de PowerShell de contraseñas de recuperación de BitLocker

Descargue el script de PowerShell Remove-BitLockerPass.ps1 y colóquelo enC:guionescarpeta.

Asegúrese de que el archivo esté desbloqueado para evitar errores al ejecutar el script. Lea más en el artículo Error sin firma digital al ejecutar el script de PowerShell.

Más información:Exportar claves de recuperación de BitLocker desde Active Directory con PowerShell

Otra opción es copiar y pegar el código siguiente en el Bloc de notas. Dale el nombreQuitar-BitLockerPass.ps1y colóquelo en elC:guionescarpeta.

<#
    .SYNOPSIS
    Remove-BitLockerPass.ps1

    .DESCRIPTION
    Remove old BitLocker Recovery Passwords from Active Directory for all computers.

    .LINK
    www.alitajran.com/remove-old-bitlocker-recovery-passwords/

    .NOTES
    Written by: ALI TAJRAN
    Website:    alitajran.com
    X:          x.com/alitajran
    LinkedIn:   linkedin.com/in/alitajran

    .CHANGELOG
    V1.00, 10/06/2024 - Initial version
#>

# Fetching computers from Active Directory
$Computers = Get-ADComputer -Filter 'ObjectClass -eq "computer"' -Property Name, DistinguishedName, OperatingSystem | Sort-Object Name

foreach ($computer in $Computers) {
    $params = @{
        Filter     = 'objectclass -eq "msFVE-RecoveryInformation"'
        SearchBase = $computer.DistinguishedName
        Properties = 'msFVE-RecoveryPassword', 'whencreated'
    }

    # Get BitLocker recovery information
    $bitlockerInfos = Get-ADObject @params | Sort-Object -Property WhenCreated -Descending

    if ($bitlockerInfos) {
        # Keep only the latest recovery password
        $latestRecoveryInfo = $bitlockerInfos[0]
        Write-Host "BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan

        # Check if there are more than one recovery keys to process
        if ($bitlockerInfos.Count -gt 1) {
            # Remove all but the latest recovery information
            foreach ($info in $bitlockerInfos[1..($bitlockerInfos.Count - 1)]) {
                try {
                    Remove-ADObject -Identity $info.DistinguishedName -Confirm:$false
                    Write-Host "Removed old BitLocker Recovery key for $($computer.Name) created on $($info.whencreated)" -ForegroundColor Green
                }
                catch {
                    Write-Host "Failed to remove old BitLocker Recovery key for $($computer.Name): $_" -ForegroundColor Red
                }
            }
        }
        else {
            Write-Host "Only one BitLocker Recovery key found for $($computer.Name). No action required." -ForegroundColor Cyan
        }
    }
    else {
        Write-Host "No BitLocker Recovery information found for $($computer.Name)" -ForegroundColor Cyan
    }
}

Ejecute PowerShell como administrador y ejecute el script Remove-BitLockerPass.ps1.

C:scripts.Remove-BitLockerPass.ps1

Aparece el siguiente resultado.

No BitLocker Recovery information found for DC01-2022
No BitLocker Recovery information found for DC02-2022
No BitLocker Recovery information found for EX01-2019
No BitLocker Recovery information found for EX02-2019
No BitLocker Recovery information found for EX03-2019
No BitLocker Recovery information found for FS01-2019
BitLocker Recovery information found for WIN10
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:19:12
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:18:45
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 01:15:43
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:59:41
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:56:39
Removed old BitLocker Recovery key for WIN10 created on 10/06/2024 00:51:52
Removed old BitLocker Recovery key for WIN10 created on 09/24/2024 08:41:52
Removed old BitLocker Recovery key for WIN10 created on 07/27/2024 00:36:52

Verificar enUsuarios y computadoras de Active Directoryque solo la última contraseña de recuperación de BitLocker esté presente en el objeto de la computadora y que las más antiguas se eliminen exitosamente.

¡Eso es todo!

Conclusión

Aprendió a eliminar contraseñas de recuperación de BitLocker antiguas con PowerShell. Mantener las contraseñas de recuperación antiguas en Active Directory está bien, ya que no le causan ningún problema. Sin embargo, si desea que todo esté lo más ordenado posible en su entorno, ejecute el script. Esto mantendrá solo la última contraseña de recuperación de BitLocker para cada máquina.

¿Disfrutaste este artículo? También te puede interesar el informe Exportar contraseñas LAPS de Windows. No olvides seguirnos y compartir este artículo.