Можно ли остановить компьютеры, которые не зашифрованы с помощью Bitlocker, вход в систему?

AFAIK невозможно автоматически проверить это во время присоединения к домену AD. Однако можно включить Bitlocker с помощью GPO, как только компьютер присоединится к домену. Если на каждом компьютере есть эти настройки и только компьютеры домена могут получить доступ к ресурсам, результат будет таким же.

Сначала вы должны иметь Включение резервного копирования TPM в доменные службы AD Enabled из Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Служба доверенного платформенного модуля.

Затем под Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Шифрование диска Bitlocker вы можете найти все другие связанные настройки:

• Предоставьте уникальные идентификаторы вашей организации: Enabled
• \ Фиксированный диск с данными \
  • Настроить использование паролей для фиксированных дисков с данными: Enabled
  • Выберите способ защиты фиксированных дисков с помощью BitLocker ...: Enabled
• \ Операционная система Диск \
  • Требовать дополнительную аутентификацию при запуске: Enabled; настроить как требуется
  • Настройте минимальную длину ПИН-кода для запуска: Enabled
  • Выберите способ защиты фиксированных дисков с помощью BitLocker ...: Enabled
• \ Съемные диски с данными \
  • Контроль использования BitLocker на съемных дисках: Enabled
  • Настроить использование паролей для съемных дисков с данными: Enabled
  • Выберите способ защиты фиксированных дисков с помощью BitLocker ...: Enabled

Обязательно заполните детали и измените этот пример в соответствии с требованиями вашей среды. Включите этот объект групповой политики для подразделения, на компьютерах которого необходимо принудительно использовать BitLocker. (И, пожалуйста, сначала проверьте свою конфигурацию с помощью небольшого набора тестовых компьютеров. Небольшая ошибка в этих настройках может причинить серьезную боль, поскольку все данные будут зашифрованы.)

Хотя, вероятно, это не совсем то, о чем вы просите, я считаю, что официальный ответ на этот вопрос - MBAM - Microsoft Bitlocker Administration and Monitoring. MBAM поставляется с (среди прочего) набором параметров групповой политики, и некоторые из этих параметров позволяют принуждать Использование Bitlocker на любом устройстве, присоединенном к домену. Но, конечно, это означает, что присоединенное к домену устройство должно сначала присоединиться к домену и пройти аутентификацию перед загрузкой групповой политики, в это время статус Bitlocker устройства неизвестен ... но сценарий запуска или входа в систему не будет отличаться в в этом отношении.

Хороших вариантов не так много. Все, что выполняется в контексте входа пользователя, скорее всего, не будет иметь разрешений на проверку статуса BitLocker. Сценарий запуска компьютера, подобный приведенному ниже, может оказаться полезным:

REM Exclude domain controllers. This command may be repeated to check for "3" to exclude member servers.
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SHUTDOWN /S /F /T 120 /C "Shutting down due to computer does not have BitLocker protection enabled."

Количество времени можно отрегулировать, и после входа в систему администратор может отменить с помощью shutdown /a команда.

Если вы предпочитаете не завершать работу, вы можете использовать команду SETX для установки переменной системной среды в сценарии запуска компьютера, которая может быть проверена при входе пользователя в систему:

SETX BDE 1 /M
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SETX BDE 0 /M

И сценарий входа пользователя в систему:

IF %BDE%==0 logoff.exe