我正在努力在整个组织中部署 BitLocker,但不知道应该如何实际启用它。我们在 Server2012 上使用现场 AD(今年夏天将迁移到 2022 年,但目前就是这样),我们的 PC 都是 Windows 10。据我所知,如果尚未启用 BitLocker,我应该在登录时运行脚本来启用它。我有这个脚本,它可以自行运行,但我无法让 GPO 工作。以下是我尝试过的方法:
- 启动 powershell 脚本 - 无法运行,因为它以登录用户身份运行
- 计划任务 - 这似乎是可行的方法,但我就是无法让它真正运行脚本。尝试使用域管理员帐户、nt_authority\system 等。它根本无法运行 - 我尝试用只打开记事本的操作替换该操作,但即使这样也无法运行。似乎 SYSTEM 帐户没有网络共享访问权限,所以我尝试添加 GPO 以首先将脚本复制到计算机。仍然没有运气(我更希望情况并非如此)。
我显然遗漏了一些东西,因为我确信其他人已经成功做到了这一点。寻求建议,无论是您是如何成功做到这一点的,我对计划任务 GPO 做错了什么,还是我是否完全没有达到目标,应该做一些完全不同的事情。任何建议都值得赞赏。
答案1
我曾经写过一篇关于Bitlocker脚本部署的文章:https://www.experts-exchange.com/articles/33771/We-have-bitlocker-so-we-need-MBAM-too.html
本质:我建议通过 GPO 部署计划任务“至少适用于 Windows 7”。它看起来如下:
任务名称:BL(随意命名,但请不要忘记在最后一行脚本中更改名称)
触发器:任何用户登录时
正在执行帐户: 系统
行动:
powershell.exe
带有参数\\server\share\BL.ps1
该任务将被设置为“申请一次,不再申请”
该共享对于计算机帐户来说必须是只读的,而对于管理员来说则只能写入。
该脚本将创建一个随机 PIN 码用于预启动身份验证,并将该 PIN 码保存到另一个共享“pins”上的文本文件中,该文件对于域计算机是可写的,但对于它们来说是不可读的,因为能够冒充系统帐户的人员(本地管理员)不能发现其他计算机的 PIN 码。
剧本\\server\share\BL.ps1
如下
$pin=(Get-Random -Minimum 0 -Maximum 999999).ToString('000000')
echo "$pin" | out-file \\server\pins\$env:computername.txt -Append
$SecureString = ConvertTo-SecureString "$pin" -AsPlainText -Force
Add-BitlockerKeyProtector -MountPoint "C:" -Pin $SecureString -TPMandPinProtector
msg * /time:0 Your hard drive is being encrypted. To start your PC, you need your Bitlocker-PIN, which is $pin
manage-bde -on c: -s -used -rp
schtasks /delete /tn BL /f
因此,脚本执行时会出现一个弹出窗口并命名 PIN。