วิธีเปิดใช้งาน BitLocker โดยไม่แจ้งให้ผู้ใช้ปลายทางทราบ


10

ฉันได้กำหนดการตั้งค่า BitLocker และ TPM ในนโยบายกลุ่มเพื่อให้มีการตั้งค่าตัวเลือกทั้งหมดและคีย์กู้คืนที่เก็บไว้ใน Active Directory เครื่องทั้งหมดของเราใช้ Windows 7 พร้อมภาพลักษณ์มาตรฐานและเปิดใช้งานชิป TPM และใช้งานใน BIOS

เป้าหมายของฉันคือการทำให้ผู้ใช้ทั้งหมดต้องคลิกเปิดใช้งาน BitLocker และไปได้เลย Microsoft ยังให้ตัวอย่างอัตโนมัติที่สามารถปรับใช้ผ่านสคริปต์ แต่มีอาการสะอึกเล็ก ๆ ที่ทำให้กระบวนการนี้ราบรื่น

ใน GUI เมื่อผู้ใช้เปิดใช้งาน BitLocker ผู้ใช้จะต้องเริ่มต้น TPM ด้วยรหัสผ่านของเจ้าของที่สร้างขึ้นโดยอัตโนมัติ อย่างไรก็ตามรหัสผ่านการกู้คืนจะแสดงให้ผู้ใช้และพวกเขาจะได้รับแจ้งให้บันทึกลงในไฟล์ข้อความ ฉันไม่สามารถระงับกล่องโต้ตอบนี้และไม่สามารถข้ามขั้นตอนได้ นี่คือพรอมต์ที่ไม่ต้องการ (และไม่จำเป็น) เนื่องจากคีย์สำรองไปยัง AD เรียบร้อยแล้ว

ถ้าฉันสคริปต์การปรับใช้ฉันต้องระบุรหัสผ่านเจ้าของในสคริปต์เมื่อฉันเริ่มต้น TPM และฉันต้องการให้มันถูกสร้างแบบสุ่มในแบบที่ GUI ทำ

มีวิธีใดที่จะทำให้การปรับใช้ BitLocker เป็นศูนย์อย่างแท้จริงแตะที่ฉันต้องการหรือไม่?

คำตอบ:


1

คุณสามารถทำได้ผ่านนโยบายกลุ่ม หากคุณได้กำหนดค่าคีย์การกู้คืน / แพ็กเกจที่จะสำรองไปยัง AD แล้วสิ่งที่คุณต้องทำคือทำเครื่องหมายในช่องทำเครื่องหมาย "ตัวเลือกการกู้คืนจากตัวช่วยสร้างการตั้งค่า BitLocker" บนหน้าจอเดียวกับที่คุณกำหนดค่าการสำรองข้อมูล การตั้งค่านี้เป็นประเภทของไดรฟ์ - ระบบปฏิบัติการคงที่และถอดออกได้ หากคุณเข้ารหัสมากกว่าไดรฟ์ระบบปฏิบัติการคุณต้องกำหนดนโยบายในแต่ละโหนดในการกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแล> ส่วนประกอบ Windows> การเข้ารหัสไดรฟ์ด้วย BitLocker โปรดจำไว้ว่าช่องทำเครื่องหมายนี้จะลบหน้าจากตัวช่วยสร้างเท่านั้น หากคุณต้องการป้องกันไม่ให้ผู้ใช้ส่งออกคีย์การกู้คืนการโพสต์การเข้ารหัสคุณต้องยกเลิกการอนุญาตตัวเลือกการกู้คืนทั้งสองด้วย

นอกจากนี้ให้ความสนใจกับแพลตฟอร์มที่สนับสนุนนโยบายเหล่านี้ มีการตั้งค่านโยบายสองชุดที่นี่หนึ่งชุดสำหรับ Vista / Server2008 และหนึ่งชุดสำหรับ 7 / Server2012 และใหม่กว่า หากคุณยังใช้ Vista อยู่คุณต้องใช้นโยบาย "เลือกวิธีที่ผู้ใช้สามารถกู้คืนไดรฟ์ที่ป้องกันด้วย BitLocker" และตั้งค่าทั้งสองวิธีเป็นไม่อนุญาตจากนั้นตั้งค่านโยบาย "เก็บข้อมูลการกู้คืน BitLocker ใน Active Directory Domain Services" เป็น Enabled .

ป้อนคำอธิบายรูปภาพที่นี่


0

คุณได้ลองดูที่ Microsoft BitLocker Administration and Monitoring แล้วหรือยัง? เป็นบริการที่เงียบสงบที่คุณเรียกใช้จากระยะไกลบนคอมพิวเตอร์ นำมาจากแหล่งนี้:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

มันมีสิ่งที่จำเป็นที่คุณต้องการตัวอย่างเช่นการปรับใช้แบบไม่สัมผัสในด้านผู้ใช้และมีมันในคอนโซลเดียว

หวังว่านี่จะช่วยได้!

PS TPM จำเป็นต้องเปิดใช้งานเพื่อให้ MBAM ทำงานได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.