1.) Убедитесь, что TPM активирован в BIOS всех рабочих станций.
- Все эти рабочие станции используют Windows 10 Pro, которая, я считаю, автоматически активирует микросхему TPM при установке ОС, верно? Я прочитал это здесь https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-orga...
2.) Создайте GPO для настроек Bitlocker и примените его к тестовой OU.
- Я создал GPO, который устанавливает метод шифрования диска и стойкость шифра (AES 256 бит) и заставляет AD хранить пароль восстановления как атрибут объекта Computer.
3.) Примените GPO к моей тестовой организационной единице, состоящей из трех тестовых машин Windows 10, которые я настроил.
- Насколько я понимаю, объект групповой политики содержит только те параметры, которые должны применяться после включения Bitlocker, верно? Он не включает шифрование Bitlocker, поэтому я могу отправить сценарий Powershell на три тестовых машины и включить шифрование.
4.) Убедитесь, что Bitlocker был включен на тестовых машинах и что ключи правильно хранятся в AD.
5.) Продолжайте развертывание на рабочих станциях небольшими группами, чтобы упростить устранение неполадок.
Это план, который я составил до сих пор. Мне интересно знать, не упускаю ли я что-нибудь важное? Цель состоит в том, чтобы развернуть шифрование полного диска Bitlocker на наших рабочих станциях и сохранить ключи восстановления в AD. Я также намерен сделать это максимально бесшумным, используя объекты групповой политики и сценарии PowerShell, отправленные агентом удаленного управления.
Интересно, что никто сейчас не отвечает, будто здесь никто не разворачивает битлокеры. Если это все еще имеет значение, я советую установить случайный PIN-код и записать его, чтобы для самообслуживания и восстановления вы могли использовать PIN-коды, а не пароли восстановления. Смотрите мою статью по теме, которая предлагает скрипты: https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we-need-MBAM-too.html