1.) 确认所有工作站的 BIOS 中都激活了 TPM。
- 所有这些工作站都使用 Windows 10 Pro,我相信安装操作系统时会自动激活 TPM 芯片,对吗?我在这里读到的https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-orga...
2.) 为 Bitlocker 设置创建 GPO 并将其应用于测试 OU
- 我创建了一个 GPO,设置驱动器加密方法和密码强度(AES 256 位),并让 AD 将恢复密码存储为计算机对象的属性。
3.) 将 GPO 应用到我设置的由三台 Windows 10 测试机器组成的测试 OU。
- 据我目前的理解,GPO 仅包含启用 Bitlocker 后应应用的设置,对吗?它本身不启用 Bitlocker 加密,因此我可以将 Powershell 脚本推送到三台测试机器并启用加密。
4.) 确认测试机器上已启用 Bitlocker,并且密钥已正确存储在 AD 中
5.) 继续以小组形式部署到实时工作站,以便于排除故障。
这是我目前制定的计划。我想知道我是否忽略了什么重大问题?目标是将 Bitlocker 全驱动器加密部署到我们的工作站并将恢复密钥存储在 AD 中。我还打算通过使用远程管理代理推送的 GPO 和 powershell 脚本,尽可能地实现无接触操作。
答案1
有趣的是,没有人回答,就好像现在这里没有人部署 bitlocker 一样。如果仍然重要,我建议设置一个随机 PIN 并记录下来,这样对于自助服务和恢复,您可以使用 PIN 而不是恢复密码。请参阅我关于该主题的文章,其中提供了脚本: https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we-need-MBAM-too.html