Як увімкнути BitLocker без запитів для кінцевого користувача

Я налаштував параметри BitLocker і TPM у груповій політиці таким чином, що всі параметри встановлені та ключі відновлення, що зберігаються в Active Directory. Всі наші машини мають операційну систему Windows 7 зі стандартним корпоративним зображенням і мають свої мікросхеми TPM увімкненими та активними в BIOS.

Моя мета - зробити так, щоб все, що потрібно зробити, це натиснути кнопку "Увімкнути BitLocker" і відійти. Microsoft навіть надає зразки автоматизації, які можна розгорнути за допомогою скрипту. Але є одна невелика гикавка, щоб зробити це плавним процесом.

У графічному інтерфейсі, коли користувач вмикає BitLocker, він повинен ініціалізувати TPM з паролем власника, який генерується автоматично. Однак пароль для відновлення відображається користувачеві, і їм буде запропоновано зберегти його в текстовому файлі. Я не можу придушити цей діалог і крок не можна пропустити. Це небажане (і непотрібне) підказку, оскільки ключ є резервним копією в AD.

Якщо я сценарію розгортання, я повинен надати пароль власника в скрипті, коли я ініціалізую TPM, і я хочу, щоб він був генерований випадковим чином, як це робить GUI.

Чи є спосіб зробити розгортання BitLocker справді нульовим дотиком так, як я хочу?

Це можна зробити за допомогою групової політики. Якщо ви вже налаштували ключі / пакети відновлення для резервного копіювання в AD, то все, що вам потрібно зробити, це встановити прапорець "Опустити параметри відновлення з майстра налаштування BitLocker" на тому самому екрані, де ви налаштували резервне копіювання в AD. Цей параметр залежить від типу накопичувача - ОС, Фіксований та Знімний. Якщо ви шифруєте більше, ніж просто дисковод ОС, вам потрібно встановити політику для кожного вузла в Конфігурація комп’ютера> Адміністративні шаблони> Компоненти Windows> Шифрування накопичувача BitLocker. Пам'ятайте, що цей прапорець видаляє сторінку лише з майстра. Якщо ви хочете додатково не допустити, щоб ваші користувачі експортували ключі відновлення після шифрування, вам доведеться також заборонити обидва варіанти відновлення.

Також зверніть увагу на те, на якій платформі підтримуються ці політики. Тут є два набори параметрів політики, один для Vista / Server2008 і один для 7 / Server2012 і новіших. Якщо ви все ще використовуєте Vista, вам потрібно скористатися політикою "Вибрати, як користувачі можуть відновлювати диски, захищені BitLocker", і встановити обидва способи "Не дозволено", а потім встановити "Зберігати інформацію про відновлення BitLocker в доменних службах Active Directory" на Увімкнено .

Ви спробували подивитися на адміністрування та моніторинг Microsoft BitLocker? Це тиха послуга, яку ви дистанційно запускаєте на комп’ютерах. Беручи з цього джерела:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Він містить необхідні речі, які ви бажаєте, наприклад, розгортання без дотику на стороні кінцевих користувачів, і ідеально розміщуйте його в одній консолі.

Сподіваюся, це допомагає!

PS TPM повинен бути активним, щоб MBAM працював.