如何在不提示最终用户的情况下启用BitLocker


10

我已经在组策略中配置了BitLocker和TPM设置,以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7,并在BIOS中启用并激活了它们的TPM芯片。

我的目标是做到这一点,以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是,要使此过程顺利进行,有一个小的障碍。

在GUI中,当用户启用BitLocker时,必须使用自动生成的所有者密码初始化TPM。但是,将向用户显示恢复密码,并提示他们将其保存到文本文件。我似乎无法隐藏此对话框,因此无法跳过该步骤。由于密钥已成功备份到AD,因此这是不需要的(也是不必要的)提示。

如果对部署进行脚本编写,则在初始化TPM时必须在脚本中提供所有者密码,并且希望以GUI的方式随机生成它。

有什么方法可以使BitLocker部署真正实现我想要的零接触?

Answers:


1

您可以通过组策略执行此操作。如果您已经配置了恢复密钥/程序包要备份到AD,那么您要做的就是在配置备份到AD的同一屏幕上选中“从BitLocker安装向导中忽略恢复选项”复选框。此设置是针对每个驱动器类型的-OS,固定和可移动。如果要加密的不仅仅是OS驱动器,则需要在“计算机配置”>“管理模板”>“ Windows组件”>“ BitLocker驱动器加密”中的每个节点中设置策略。请记住,此复选框只会从向导中删除页面。如果您还希望阻止用户在加密后导出恢复密钥,则也必须同时禁用这两个恢复选项。

另外,请注意支持这些策略的平台。这里有两套策略设置,一套用于Vista / Server2008,一套用于7 / Server2012及更高版本。如果您仍在使用Vista,则需要使用“选择用户如何恢复受BitLocker保护的驱动器”策略,并将这两种方法都设置为“不允许”,然后将“在Active Directory域服务中存储BitLocker恢复信息”策略设置为“启用” 。

在此处输入图片说明


0

您是否尝试过查看Microsoft BitLocker管理和监视?您可以在计算机上远程运行这一项安静的服务。从此来源获取:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

它包含您希望的必要内容,例如,在最终用户侧进行非接触式部署,并且理想情况下将其放在一个控制台中。

希望这可以帮助!

PS TPM必须处于活动状态才能使MBAM工作。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.