Jak włączyć funkcję BitLocker bez monitowania użytkownika końcowego

Skonfigurowałem ustawienia funkcji BitLocker i TPM w zasadach grupy, tak aby wszystkie opcje były ustawione, a klucze odzyskiwania były przechowywane w usłudze Active Directory. Wszystkie nasze maszyny mają system Windows 7 ze standardowym wizerunkiem korporacyjnym, a ich układy TPM są włączone i aktywne w systemie BIOS.

Moim celem jest, aby wszystko, co użytkownik musi zrobić, to kliknąć Włącz funkcję BitLocker i gotowe. Microsoft zapewnia nawet próbki automatyzacji, które można wdrożyć za pomocą skryptu. Ale jest jeden mały czkawka, aby uczynić ten płynny proces.

W GUI, gdy użytkownik włącza funkcję BitLocker, musi zainicjować moduł TPM przy użyciu hasła właściciela, które jest generowane automatycznie. Jednak hasło odzyskiwania jest wyświetlane użytkownikowi i jest on monitowany o zapisanie go w pliku tekstowym. Nie mogę ukryć tego okna dialogowego i nie można pominąć tego kroku. Jest to niechciany (i niepotrzebny) monit, ponieważ kopia zapasowa klucza została pomyślnie utworzona w AD.

Jeśli skryptuję wdrożenie, muszę podać hasło właściciela w skrypcie podczas inicjowania modułu TPM i chcę, aby było ono generowane losowo, tak jak robi to GUI.

Czy istnieje sposób, aby wdrożenie funkcji BitLocker było naprawdę zerowe, tak jak tego chcę?

Możesz to zrobić za pomocą zasad grupy. Jeśli skonfigurowałeś już klucze / pakiety odzyskiwania do tworzenia kopii zapasowych w AD, wszystko, co musisz zrobić, to zaznaczyć pole wyboru „Pomiń opcje odzyskiwania z Kreatora konfiguracji funkcji BitLocker” na tym samym ekranie, na którym skonfigurowano tworzenie kopii zapasowych w AD. To ustawienie jest zależne od typu napędu - system operacyjny, stały i wymienny. Jeśli szyfrujesz więcej niż tylko dysk systemu operacyjnego, musisz ustawić zasady w każdym węźle w Konfiguracja komputera> Szablony administracyjne> Składniki systemu Windows> Szyfrowanie dysków funkcją BitLocker. Pamiętaj, że to pole wyboru usuwa tylko stronę z kreatora. Jeśli dodatkowo chcesz uniemożliwić użytkownikom eksportowanie kluczy odzyskiwania po szyfrowaniu, musisz wyłączyć obie opcje odzyskiwania.

Zwróć także uwagę na platformę obsługiwaną przez te zasady. Istnieją tutaj dwa zestawy ustawień zasad, jeden dla Vista / Server2008 i jeden dla 7 / Server2012 i nowszych. Jeśli nadal korzystasz z systemu Vista, musisz użyć zasady „Wybierz sposób odzyskiwania dysków chronionych przez funkcję BitLocker” i ustaw obie metody na Niedozwolone, a następnie ustaw zasadę „Przechowuj informacje dotyczące odzyskiwania funkcji BitLocker w usługach domenowych w usłudze Active Directory” na Włączone .

Czy próbowałeś już spojrzeć na administrację i monitorowanie Microsoft BitLocker? Jest to cicha usługa uruchamiana zdalnie na komputerach. Biorąc z tego źródła:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Zawiera niezbędne rzeczy, które chcesz, na przykład wdrożenie bezdotykowe po stronie użytkowników końcowych i najlepiej, jeśli jest to możliwe w jednej konsoli.

Mam nadzieję że to pomoże!

PS TPM musi być aktywny, aby MBAM działał.