Cara mengaktifkan BitLocker tanpa petunjuk kepada pengguna akhir

Saya telah mengonfigurasi pengaturan BitLocker dan TPM dalam Kebijakan Grup sehingga semua opsi diatur dan kunci pemulihan disimpan di Direktori Aktif. Semua mesin kami menjalankan Windows 7 dengan citra perusahaan standar dan chip TPM mereka diaktifkan dan aktif di BIOS.

Tujuan saya adalah membuatnya sehingga yang harus dilakukan oleh pengguna adalah mengklik Aktifkan BitLocker dan lanjutkan. Microsoft bahkan menyediakan sampel otomatisasi yang dapat digunakan melalui skrip. Tetapi ada satu halangan kecil untuk membuat proses ini menjadi lancar.

Di GUI, ketika pengguna mengaktifkan BitLocker, ia harus menginisialisasi TPM dengan kata sandi pemilik yang dihasilkan secara otomatis. Namun, kata sandi pemulihan ditampilkan kepada pengguna dan mereka diminta untuk menyimpannya ke file teks. Saya sepertinya tidak bisa menekan dialog ini dan langkahnya tidak dapat dilewati. Ini adalah prompt yang tidak diinginkan (dan tidak perlu) karena kunci berhasil dicadangkan ke AD.

Jika saya skrip penyebaran, saya harus memberikan kata sandi pemilik dalam skrip ketika saya menginisialisasi TPM dan saya ingin itu dihasilkan secara acak seperti yang dilakukan GUI.

Apakah ada cara untuk membuat penyebaran BitLocker benar-benar nol-sentuh seperti yang saya inginkan?

Anda dapat melakukan ini melalui Kebijakan Grup. Jika Anda telah mengonfigurasi kunci / paket pemulihan untuk dicadangkan ke AD, maka yang perlu Anda lakukan adalah mencentang "Hapus opsi pemulihan dari wizard pengaturan BitLocker" di layar yang sama tempat Anda mengonfigurasi cadangan ke AD. Pengaturan ini adalah per jenis drive - OS, Fixed, dan Removable. Jika Anda mengenkripsi lebih dari sekadar drive OS, Anda perlu menetapkan kebijakan di setiap node di Konfigurasi Komputer> Template Administratif> Komponen Windows> Enkripsi BitLocker Drive. Ingatlah bahwa kotak centang ini hanya menghapus halaman dari panduan. Jika Anda juga ingin mencegah pengguna mengekspor kunci pemulihan pasca enkripsi, Anda harus menonaktifkan juga opsi pemulihan.

Juga, perhatikan platform apa yang didukung kebijakan ini. Ada dua set pengaturan kebijakan di sini, satu untuk Vista / Server2008 dan satu untuk 7 / Server2012 dan yang lebih baru. Jika Anda masih menggunakan Vista, Anda harus menggunakan kebijakan "Pilih bagaimana pengguna dapat memulihkan drive yang dilindungi BitLocker" dan mengatur kedua metode menjadi Tidak Diizinkan, kemudian mengatur kebijakan "Simpan informasi pemulihan BitLocker di Layanan Domain Direktori Aktif" ke Diaktifkan. .

Sudahkah Anda mencoba melihat Administrasi dan Pemantauan Microsoft BitLocker? Ini adalah layanan sepi yang Anda jalankan dari jarak jauh di komputer. Mengambil dari sumber ini:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Ini berisi hal-hal penting yang Anda inginkan, misalnya, penyebaran tanpa sentuhan di sisi pengguna akhir dan memilikinya secara ideal di satu konsol.

Semoga ini membantu!

PS TPM harus aktif agar MBAM berfungsi.