Назад | Перейти на главную страницу

В моем плане развертывания Bitlocker чего-нибудь не хватает?

1.) Убедитесь, что TPM активирован в BIOS всех рабочих станций.

- Все эти рабочие станции используют Windows 10 Pro, которая, я считаю, автоматически активирует микросхему TPM при установке ОС, верно? Я прочитал это здесь https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-orga...

2.) Создайте GPO для настроек Bitlocker и примените его к тестовой OU.

- Я создал GPO, который устанавливает метод шифрования диска и стойкость шифра (AES 256 бит) и заставляет AD хранить пароль восстановления как атрибут объекта Computer.

3.) Примените GPO к моей тестовой организационной единице, состоящей из трех тестовых машин Windows 10, которые я настроил.

- Насколько я понимаю, объект групповой политики содержит только те параметры, которые должны применяться после включения Bitlocker, верно? Он не включает шифрование Bitlocker, поэтому я могу отправить сценарий Powershell на три тестовых машины и включить шифрование.

4.) Убедитесь, что Bitlocker был включен на тестовых машинах и что ключи правильно хранятся в AD.

5.) Продолжайте развертывание на рабочих станциях небольшими группами, чтобы упростить устранение неполадок.

Это план, который я составил до сих пор. Мне интересно знать, не упускаю ли я что-нибудь важное? Цель состоит в том, чтобы развернуть шифрование полного диска Bitlocker на наших рабочих станциях и сохранить ключи восстановления в AD. Я также намерен сделать это максимально бесшумным, используя объекты групповой политики и сценарии PowerShell, отправленные агентом удаленного управления.

Интересно, что никто сейчас не отвечает, будто здесь никто не разворачивает битлокеры. Если это все еще имеет значение, я советую установить случайный PIN-код и записать его, чтобы для самообслуживания и восстановления вы могли использовать PIN-коды, а не пароли восстановления. Смотрите мою статью по теме, которая предлагает скрипты: https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we-need-MBAM-too.html