Назад | Перейти на главную страницу

Развертывание Windows Active Directory Bitlocker

Я экспериментирую с развертыванием битлокеров через AD на работе. Погуглили по всему Интернету, но, похоже, наиболее полезной ссылкой является:

Server 2012 R2, полностью обновленный. Тестовый клиент - Windows 7 Ultimate 64bit, полностью обновленный.

Почему-то не работает - Как узнать в чем дело? Я создал GPO, связал его с OU, присоединил машину win7 к домену и переместил машину win7 в OU. Я ожидал, что он (возможно, неправильно?) Просто начнет шифрование и сохранит ключ восстановления битлокера в AD (пока не знаю, где его найти). Но ничего не делает.

Проверено в BIOS, что TPM включен. Я попробовал '' 'gpupdate / force' '' и перезагрузил машину win7 ... Но все равно ничего.

Первое, что я замечаю, это то, что там написано только «2008 и Vista» ... Должны ли быть какие-то дополнительные настройки где-то еще для Win7 и 8?

Гоша, было бы неплохо найти способ диагностика почему это не работает, а не слепо гадать ... Кроме того, если кто-то сделал это успешно и задокументировал процесс?

Оптимизацией управления битлокерами в вашей среде было бы рассмотрение многодисциплинарного подхода.

Групповая политика

Настройте групповую политику на автоматическое резервное копирование ключа восстановления в активный каталог и не шифрование компьютера, если ключ восстановления не хранится в AD. Кроме того, если пользователи будут шифровать свои собственные машины, отключите запрос PIN-кода и паролей, если вы не используете их в своей среде.

Развертывание

Создайте план шифрования машин, которые уже находятся в среде, по сравнению с новыми рабочими станциями. Новые рабочие станции, как правило, проще, поскольку битлокеру требуется, чтобы на рабочей станции существовал системный раздел для хранения его загрузчика. В зависимости от вашего процесса создания образов он может существовать или отсутствовать на ваших текущих рабочих станциях, и, если нет, необходимо будет выполнить отдельный шаг. подготовить жесткий диск для битлокера, но сейчас команда ускользает от меня. Графический интерфейс сделает это автоматически и потребует перезагрузки, прежде чем продолжить, я должен предположить, что командная строка такая же. manage-bde также может использоваться для резервного копирования и восстановления машин, на которых уже был зашифрован, как и до внедрения вашей групповой политики, в активный каталог. Конечно, вы также должны учитывать включение и активацию микросхемы TPM, когда говорите об автоматическом развертывании битлокера.

Техническое обслуживание / аварийное восстановление

Резервное копирование ключей восстановления в Active Directory - это нормально, но оно исчезнет, ​​когда учетная запись компьютера удалена. Ничего страшного, если машина была утилизирована, но могла бы стать серьезной проблемой, если бы это был просто портативный компьютер, который какое-то время был отключен от сети и подвергался сценарию очистки AD. Powershell можно использовать для получения резервных ключей из активного каталога, если вы хотите об этом подумать.

Как уже говорилось, вы не можете запустить шифрование блокировщика непосредственно из активного каталога.

На ноутбуках можно использовать запланированное задание, которое можно развернуть с помощью настроек групповой политики, чтобы запустить процесс шифрования и передать необходимые параметры.

Вам по-прежнему нужны параметры групповой политики для централизованного управления ключами восстановления. Я запускал подобные запланированные операции до того, как у меня была принята политика ключа восстановления, и я заблокировался. Не смешно. Групповая политика гарантирует, что задание со сценарием соответствует тем же требованиям, что и запуск через графический интерфейс.