Son kullanıcıya sorulmadan BitLocker nasıl etkinleştirilir

Grup İlkesi'nde BitLocker ve TPM ayarlarını, tüm seçenekler ayarlanacak ve kurtarma anahtarlarının Active Directory'de depolanacak şekilde yapılandırdım. Tüm makinelerimiz standart bir kurumsal imajla Windows 7 çalıştırıyor ve TPM yongaları BIOS'ta etkin ve aktif.

Amacım, kullanıcının yapması gereken tek şey BitLocker'ı Etkinleştir'i tıklamak ve devam etmek. Microsoft, komut dosyası aracılığıyla dağıtılabilen otomasyon örnekleri bile sağlar. Ancak bunu sorunsuz bir süreç haline getirmek için küçük bir hıçkırık var.

GUI'de, kullanıcı BitLocker'ı etkinleştirdiğinde, TPM'yi otomatik olarak oluşturulan bir sahip şifresiyle başlatmalıdır. Ancak, kurtarma parolası kullanıcıya görüntülenir ve bir metin dosyasına kaydetmesi istenir. Bu iletişim kutusunu gizleyemiyorum ve adım atlanamıyor. Anahtar AD'ye başarıyla yedeklendiğinden bu istenmeyen (ve gereksiz) bir istemdir.

Dağıtım komut dosyası varsa, ben TPM başlattığınızda komut dosyası sahibi parola sağlamalıdır ve ben GUI yaptığı gibi rasgele oluşturulacak istiyorum.

Bir BitLocker dağıtımını istediğim gibi sıfır değere çevirmenin herhangi bir yolu var mı?

Bunu Grup İlkesi aracılığıyla yapabilirsiniz. Kurtarma anahtarlarını / paketlerini AD'ye yedeklenecek şekilde yapılandırdıysanız, tek yapmanız gereken AD yedeklemesini yapılandırdığınız aynı ekranda "BitLocker kurulum sihirbazından kurtarma seçeneklerini atla" onay kutusunu işaretlemektir. Bu ayar, sürücü tipine bağlıdır - İşletim Sistemi, Sabit ve Çıkarılabilir. İşletim sistemi sürücüsünden daha fazlasını şifreliyorsanız, ilkeyi Bilgisayar Yapılandırması> Yönetim Şablonları> Windows Bileşenleri> BitLocker Sürücü Şifrelemesi'nden her düğümde ayarlamanız gerekir. Bu onay kutusunun sayfayı yalnızca sihirbazdan kaldırdığını unutmayın. Ayrıca, kullanıcılarınızın şifreleme sonrasında kurtarma anahtarlarını dışa aktarmalarını önlemek istiyorsanız, her iki kurtarma seçeneğinin de izinsiz kılınması gerekir.

Ayrıca, bu politikaların hangi platformda desteklendiğine dikkat edin. Burada biri Vista / Server2008, diğeri 7 / Server2012 ve daha yeni olmak üzere iki ilke ayarı grubu vardır. Hala Vista kullanıyorsanız "Kullanıcıların BitLocker korumalı sürücüleri nasıl kurtarabileceklerini seçin" politikasını kullanmanız ve her iki yöntemi de İzin Verilmedi olarak ayarlamanız ve ardından "BitLocker kurtarma bilgilerini Active Directory Etki Alanı Hizmetlerinde Sakla" ilkesini Etkin olarak ayarlamanız gerekir .

Microsoft BitLocker Yönetimine ve İzlemeye bakmayı denediniz mi? Bilgisayarlarda uzaktan çalıştırdığınız sessiz bir hizmettir. Bu kaynaktan alarak:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

İstediğiniz gerekli şeyleri içerir; örneğin, son kullanıcılar tarafında dokunmadan dağıtım ve ideal olarak tek bir konsolda bulundurma.

Bu yardımcı olur umarım!

MBAM'ın çalışması için PS TPM'nin etkin olması gerekir.