Cách bật BitLocker mà không cần nhắc nhở cho người dùng cuối

Tôi đã định cấu hình cài đặt BitLocker và TPM trong Chính sách nhóm sao cho tất cả các tùy chọn được đặt và các khóa khôi phục được lưu trữ trong Active Directory. Tất cả các máy của chúng tôi đang chạy Windows 7 với hình ảnh công ty tiêu chuẩn và có chip TPM được kích hoạt và hoạt động trong BIOS.

Mục tiêu của tôi là làm cho nó sao cho tất cả người dùng phải làm là nhấp vào Bật BitLocker và biến nó đi. Microsoft thậm chí còn cung cấp các mẫu tự động hóa có thể được triển khai thông qua tập lệnh. Nhưng có một trục trặc nhỏ để làm cho điều này trở thành một quá trình trơn tru.

Trong GUI, khi người dùng kích hoạt BitLocker, nó phải khởi tạo TPM bằng mật khẩu chủ sở hữu được tạo tự động. Tuy nhiên, mật khẩu khôi phục được hiển thị cho người dùng và họ được nhắc lưu mật khẩu vào tệp văn bản. Tôi dường như không thể chặn hộp thoại này và bước không thể bỏ qua. Đây là lời nhắc không mong muốn (và không cần thiết) vì khóa được sao lưu thành công AD.

Nếu tôi kịch bản triển khai, tôi phải cung cấp mật khẩu chủ sở hữu trong tập lệnh khi tôi khởi tạo TPM và tôi muốn nó được tạo ngẫu nhiên theo cách mà GUI thực hiện.

Có cách nào để thực hiện triển khai BitLocker thực sự không chạm vào cách tôi muốn không?

Bạn có thể làm điều này thông qua Chính sách nhóm. Nếu bạn đã cấu hình các khóa / gói khôi phục được sao lưu vào AD, thì tất cả những gì bạn cần làm là kiểm tra hộp kiểm "Bỏ qua tùy chọn khôi phục từ trình hướng dẫn thiết lập BitLocker" trên cùng màn hình nơi bạn đã cấu hình sao lưu vào AD. Cài đặt này là cho mỗi loại ổ đĩa - Hệ điều hành, Đã sửa và Có thể tháo rời. Nếu bạn đang mã hóa nhiều hơn chỉ ổ đĩa OS, bạn cần đặt chính sách cho từng nút trong Cấu hình máy tính> Mẫu quản trị> Cấu phần Windows> Mã hóa ổ đĩa BitLocker. Hãy nhớ rằng hộp kiểm này chỉ xóa trang khỏi trình hướng dẫn. Nếu bạn cũng muốn ngăn người dùng của mình xuất mã khóa khôi phục sau mã hóa, bạn cũng phải cho phép cả hai tùy chọn khôi phục.

Ngoài ra, hãy chú ý đến những nền tảng mà các chính sách này được hỗ trợ. Có hai bộ cài đặt chính sách ở đây, một cho Vista / Server2008 và một cho 7 / Server2012 và mới hơn. Nếu bạn vẫn đang sử dụng Vista, bạn cần sử dụng chính sách "Chọn cách người dùng có thể khôi phục các ổ đĩa được bảo vệ bởi BitLocker" và đặt cả hai phương thức thành Không được phép, sau đó đặt chính sách "Lưu trữ thông tin phục hồi BitLocker trong Dịch vụ miền Active Directory" thành Đã bật .

Bạn đã thử nhìn vào Quản trị và Giám sát Microsoft BitLocker chưa? Đó là một dịch vụ yên tĩnh mà bạn chạy từ xa trên máy tính. Lấy từ nguồn này:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Nó chứa những thứ cần thiết mà bạn muốn, ví dụ, triển khai không chạm vào phía người dùng cuối và có lý tưởng trong một bảng điều khiển.

Hi vọng điêu nay co ich!

PS TPM cần phải hoạt động để MBAM hoạt động.