我已经在组策略中配置了BitLocker和TPM设置,以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7,并在BIOS中启用并激活了它们的TPM芯片。
我的目标是做到这一点,以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是,要使此过程顺利进行,有一个小的障碍。
在GUI中,当用户启用BitLocker时,必须使用自动生成的所有者密码初始化TPM。但是,将向用户显示恢复密码,并提示他们将其保存到文本文件。我似乎无法隐藏此对话框,因此无法跳过该步骤。由于密钥已成功备份到AD,因此这是不需要的(也是不必要的)提示。
如果对部署进行脚本编写,则在初始化TPM时必须在脚本中提供所有者密码,并且希望以GUI的方式随机生成它。
有什么方法可以使BitLocker部署真正实现我想要的零接触?
Answers:
您可以通过组策略执行此操作。如果您已经配置了恢复密钥/程序包要备份到AD,那么您要做的就是在配置备份到AD的同一屏幕上选中“从BitLocker安装向导中忽略恢复选项”复选框。此设置是针对每个驱动器类型的-OS,固定和可移动。如果要加密的不仅仅是OS驱动器,则需要在“计算机配置”>“管理模板”>“ Windows组件”>“ BitLocker驱动器加密”中的每个节点中设置策略。请记住,此复选框只会从向导中删除页面。如果您还希望阻止用户在加密后导出恢复密钥,则也必须同时禁用这两个恢复选项。
另外,请注意支持这些策略的平台。这里有两套策略设置,一套用于Vista / Server2008,一套用于7 / Server2012及更高版本。如果您仍在使用Vista,则需要使用“选择用户如何恢复受BitLocker保护的驱动器”策略,并将这两种方法都设置为“不允许”,然后将“在Active Directory域服务中存储BitLocker恢复信息”策略设置为“启用” 。
