Как включить BitLocker без подсказок для конечного пользователя

Я настроил параметры BitLocker и TPM в групповой политике таким образом, чтобы были установлены все параметры и ключи восстановления сохранены в Active Directory. Все наши машины работают под управлением Windows 7 со стандартным корпоративным образом, и их чипы TPM включены и активны в BIOS.

Моя цель - сделать так, чтобы все, что нужно было сделать пользователю, это нажать «Включить BitLocker», и все прошло. Microsoft даже предоставляет образцы автоматизации, которые могут быть развернуты с помощью сценария. Но есть один маленький сбой, чтобы сделать этот процесс гладким.

В графическом интерфейсе, когда пользователь включает BitLocker, он должен инициализировать TPM с помощью пароля владельца, который генерируется автоматически. Тем не менее, пароль восстановления отображается для пользователей, и им предлагается сохранить его в текстовом файле. Я не могу подавить это диалоговое окно, и этот шаг нельзя пропустить. Это нежелательное (и ненужное) приглашение, поскольку ключ успешно скопирован в AD.

Если я создаю сценарий развертывания, я должен указать пароль владельца в сценарии при инициализации модуля TPM, и я хочу, чтобы он генерировался случайным образом, как это делает графический интерфейс.

Есть ли способ сделать развертывание BitLocker по-настоящему без прикосновений так, как я этого хочу?

Вы можете сделать это с помощью групповой политики. Если вы уже настроили ключи / пакеты восстановления для резервного копирования в AD, все, что вам нужно сделать, это установить флажок «Пропустить параметры восстановления из мастера установки BitLocker» на том же экране, где вы настроили резервное копирование в AD. Этот параметр зависит от типа диска - ОС, фиксированный и съемный. Если вы шифруете не только диск ОС, вам необходимо установить политику для каждого узла в разделе «Конфигурация компьютера»> «Административные шаблоны»> «Компоненты Windows»> «Шифрование диска BitLocker». Помните, что этот флажок только удаляет страницу из мастера. Если вы также хотите запретить своим пользователям экспортировать ключи восстановления после шифрования, вы должны отключить оба варианта восстановления.

Также обратите внимание на то, на какой платформе поддерживаются эти политики. Здесь есть два набора параметров политики: один для Vista / Server2008 и один для 7 / Server2012 и новее. Если вы все еще используете Vista, вам нужно использовать политику «Выберите, как пользователи могут восстанавливать диски, защищенные с помощью BitLocker» и установить для обоих методов значение «Не разрешено», а затем установить для политики «Сохранить информацию о восстановлении BitLocker в доменных службах Active Directory» значение «Включено». ,

Вы пытались взглянуть на администрирование и мониторинг Microsoft BitLocker? Это тихий сервис, который вы запускаете удаленно на компьютерах. Принимая из этого источника:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Он содержит необходимые вещи, которые вы хотите, например, развертывание без касания на стороне конечного пользователя, и в идеале - в одной консоли.

Надеюсь это поможет!

PS TPM должен быть активным, чтобы MBAM работал.