我已在组策略中配置了 BitLocker 和 TPM 设置,以便设置所有选项并将恢复密钥存储在 Active Directory 中。我们所有的机器都运行带有标准企业映像的 Windows 7,并在 BIOS 中启用并激活了 TPM 芯片。
我的目标是让用户只需单击“启用 BitLocker”即可。Microsoft 甚至提供了可以通过脚本部署的自动化示例。但是有一个小问题会影响整个过程的顺利进行。
在 GUI 中,当用户启用 BitLocker 时,它必须使用自动生成的所有者密码初始化 TPM。但是,恢复密码会显示给用户,并提示他们将其保存到文本文件中。我似乎无法隐藏此对话框,也无法跳过此步骤。这是一个不需要的(也是不必要的)提示,因为密钥已成功备份到 AD。
如果我编写部署脚本,则必须在初始化 TPM 时在脚本中提供所有者密码,并且我希望它像 GUI 一样随机生成。
有什么方法可以让 BitLocker 部署按照我想要的方式真正实现零接触?
答案1
您可以通过组策略执行此操作。如果您已经配置了要备份到 AD 的恢复密钥/包,那么您需要做的就是在配置备份到 AD 的同一屏幕上选中“从 BitLocker 设置向导中忽略恢复选项”复选框。此设置针对每个驱动器类型 - OS、固定和可移动。如果您加密的不仅仅是 OS 驱动器,则需要在计算机配置 > 管理模板 > Windows 组件 > BitLocker 驱动器加密中的每个节点中设置策略。请记住,此复选框只会从向导中删除页面。如果您还想阻止用户在加密后导出恢复密钥,您还必须禁用这两个恢复选项。
另外,请注意这些策略支持什么平台。这里有两组策略设置,一组用于 Vista/Server2008,一组用于 7/Server2012 及更新版本。如果您仍在使用 Vista,则需要使用“选择用户如何恢复受 BitLocker 保护的驱动器”策略并将两种方法都设置为不允许,然后将“将 BitLocker 恢复信息存储在 Active Directory 域服务中”策略设置为已启用。
答案2
您是否尝试过查看 Microsoft BitLocker 管理和监控?这是一项在计算机上远程运行的安静服务。摘自以下来源:
http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx
它包含您所希望的必要的东西,例如,在最终用户端进行无接触部署,理想情况下在一个控制台中进行。
希望这可以帮助!
PS TPM 需要处于活动状态才能使 MBAM 正常工作。