我正在工作中尝试通过 AD 部署 bitlocker。我已经在互联网上搜索过,但最有用的参考似乎是:
Server 2012 R2,已完全更新。测试客户端是 Windows 7 Ultimate 64 位,已完全更新。
由于某种原因,它无法正常工作 - 我如何找出问题所在?我创建了一个 GPO,将其链接到一个 OU,将 win7 计算机加入域,并将 win7 计算机移入 OU。我希望它(可能不正确?)只是开始加密,并将 bitlocker 恢复密钥保存到 AD 的某个地方(尚不确定在哪里可以找到它)。但它什么也没做。
在 BIOS 中检查 TPM 是否已启用。我尝试了 '''gpupdate /force''' 并重新启动了 win7 机器... 但仍然没有任何反应。
- 计算机 / 策略 / 管理模板 / 系统 / TPM 服务
- (已禁用)打开 TPM 备份到 AD
- 计算机 / 策略 / 管理模板 / Windows 组件 / Bitlocker 驱动器加密
- (已启用)将 Bitlocker 恢复信息存储在 AD 中(Server 2008 和 Vista)
- 计算机 / 策略 / 管理模板 / Windows 组件 / Bitlocker 驱动器加密 / 操作系统驱动器
- (已启用)在操作系统驱动器上强制执行驱动器加密
我注意到的第一件事是它只说“2008 和 Vista”...是否应该在其他地方为 Win7 和 8 进行一些额外的设置?
天哪,如果能找到办法诊断为什么它不起作用,而不是盲目猜测...此外,是否有人成功做到了这一点并记录了这个过程?
答案1
在您的环境中管理 BitLocker 的简化方法是考虑采用多学科方法。
组策略
设置您的组策略以自动将恢复密钥备份到 Active Directory,并且如果恢复密钥未存储在 AD 中则不加密计算机。此外,如果用户要加密自己的机器,请禁用输入 PIN 和密码的提示,除非您在环境中使用它们。
部署
为环境中已有的机器(而不是新建的工作站)制定加密计划。新工作站通常更容易,因为 BitLocker 要求工作站上有一个系统分区,用于存储其引导加载程序。根据您的映像过程,这可能存在于您当前的工作站上,也可能不存在,如果不存在,则必须运行单独的步骤为 bitlocker 准备硬盘,但命令暂时忘了。GUI 将自动执行此操作,并要求重新启动才能继续,我不得不假设命令行也是这样。manage-bde也可用于备份具有已经加密,就像在实施组策略之前一样,到活动目录。当然,在谈论自动 BitLocker 部署时,您还必须考虑 TPM 芯片的启用和激活。
维护/灾难恢复
将恢复密钥备份到 Active Directory 是可以的,但是当计算机帐户被删除时,密钥就消失了。如果机器已被处理掉,那没什么大不了的,但如果这只是一台暂时断网的笔记本电脑,并且受到 AD 清理脚本的影响,那么这可能是一个大问题。如果您想要考虑这一点,可以使用 Powershell 从 Active Directory 中检索备份密钥。
答案2
正如前面所述,您实际上无法直接从活动目录中启动阻止程序加密。
您可以使用笔记本电脑上的计划任务(可以通过组策略首选项进行部署)来启动加密过程并传递所需的参数。
您仍然需要组策略选项来集中管理已部署的恢复密钥。在部署恢复密钥策略之前,我运行过类似的计划任务,结果把自己锁在了外面。这可不好玩。组策略将确保脚本作业满足与通过 GUI 启动相同的要求。