Как включить BitLocker без подсказок конечному пользователю
Я настроил параметры BitLocker и TPM в групповой политике таким образом, что все параметры установлены, а ключи восстановления хранятся в Active Directory. Все наши машины работают под управлением Windows 7 со стандартным корпоративным образом, а их микросхемы TPM включены и активны в BIOS.
Моя цель - сделать так, чтобы все, что нужно было сделать пользователю, - это нажать Включить BitLocker, и все готово. Microsoft даже предоставляет образцы автоматизации, которые можно развернуть с помощью сценария. Но есть одна небольшая проблема, чтобы сделать этот процесс плавным.
В графическом интерфейсе, когда пользователь включает BitLocker, он должен инициализировать TPM с паролем владельца, который создается автоматически. Однако пользователю отображается пароль восстановления, и ему предлагается сохранить его в текстовый файл. Кажется, я не могу подавить этот диалог, и шаг нельзя пропустить. Это нежелательный (и ненужный) запрос, так как ключ успешно скопирован в AD.
Если я создаю сценарий развертывания, я должен указать пароль владельца в сценарии при инициализации TPM, и я хочу, чтобы он генерировался случайным образом, как это делает графический интерфейс.
Есть ли способ сделать развертывание BitLocker по-настоящему беспроблемным, как я хочу?
Вы можете сделать это через групповую политику. Если вы уже настроили ключи / пакеты восстановления для резервного копирования в AD, все, что вам нужно сделать, это установить флажок «Пропустить параметры восстановления из мастера установки BitLocker» на том же экране, где вы настроили резервное копирование в AD. Этот параметр зависит от типа диска - ОС, фиксированный и съемный. Если вы шифруете не только диск ОС, вам необходимо установить политику в каждом узле в Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker. Помните, что этот флажок удаляет только страницу из мастера. Если вы дополнительно хотите запретить пользователям экспортировать ключи восстановления после шифрования, вам также необходимо запретить оба варианта восстановления.
Также обратите внимание на то, на какой платформе поддерживаются эти политики. Здесь есть два набора настроек политики: один для Vista / Server2008 и один для 7 / Server2012 и новее. Если вы все еще используете Vista, вам необходимо использовать политику «Выберите, как пользователи могут восстанавливать диски, защищенные BitLocker» и установить для обоих методов значение «Не разрешено», а затем установить для политики «Хранить информацию для восстановления BitLocker в доменных службах Active Directory» значение «Включено». .
Вы пробовали посмотреть на Microsoft BitLocker Administration and Monitoring? Это тихая служба, которую вы запускаете удаленно на компьютерах. Взяв из этого источника:
http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx
Он содержит все необходимое, например, развертывание без касания на стороне конечных пользователей и, в идеале, в одной консоли.
Надеюсь это поможет!
P.S. TPM должен быть активен для работы MBAM.