So aktivieren Sie BitLocker ohne Aufforderung an den Endbenutzer

Ich habe die BitLocker- und TPM-Einstellungen in den Gruppenrichtlinien so konfiguriert, dass alle Optionen festgelegt und die Wiederherstellungsschlüssel in Active Directory gespeichert sind. Auf allen unseren Computern wird Windows 7 mit einem Standard-Unternehmensimage ausgeführt und die TPM-Chips sind im BIOS aktiviert und aktiv.

Mein Ziel ist es, es so zu gestalten, dass der Benutzer nur auf BitLocker aktivieren klicken muss und los geht's. Microsoft bietet sogar Automatisierungsbeispiele an, die per Skript bereitgestellt werden können. Aber es gibt einen kleinen Schluckauf, um diesen Prozess reibungslos zu gestalten.

Wenn der Benutzer in der GUI BitLocker aktiviert, muss er das TPM mit einem Besitzerkennwort initialisieren, das automatisch generiert wird. Das Wiederherstellungskennwort wird dem Benutzer jedoch angezeigt und er wird aufgefordert, es in einer Textdatei zu speichern. Ich kann diesen Dialog scheinbar nicht unterdrücken und der Schritt kann nicht übersprungen werden. Dies ist eine unerwünschte (und unnötige) Eingabeaufforderung, da der Schlüssel erfolgreich in AD gesichert wurde.

Wenn ich die Bereitstellung per Skript setze, muss ich das Besitzerkennwort im Skript angeben, wenn ich das TPM initialisiere, und ich möchte, dass es wie die GUI zufällig generiert wird.

Gibt es eine Möglichkeit, eine BitLocker-Bereitstellung so zu gestalten, wie ich es möchte?

Sie können dies über Gruppenrichtlinien tun. Wenn Sie die Wiederherstellungsschlüssel / -pakete bereits für die Sicherung in AD konfiguriert haben, müssen Sie nur das Kontrollkästchen "Wiederherstellungsoptionen vom BitLocker-Setup-Assistenten auslassen" auf demselben Bildschirm aktivieren, auf dem Sie die Sicherung in AD konfiguriert haben. Diese Einstellung gilt für jeden Laufwerkstyp - Betriebssystem, Fest und Wechsel. Wenn Sie mehr als nur das Betriebssystemlaufwerk verschlüsseln, müssen Sie die Richtlinie in jedem Knoten unter Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> BitLocker-Laufwerkverschlüsselung festlegen. Denken Sie daran, dass dieses Kontrollkästchen nur die Seite aus dem Assistenten entfernt. Wenn Sie außerdem verhindern möchten, dass Ihre Benutzer die Wiederherstellungsschlüssel nach der Verschlüsselung exportieren, müssen Sie auch beide Wiederherstellungsoptionen deaktivieren.

Achten Sie auch darauf, auf welcher Plattform diese Richtlinien unterstützt werden. Hier gibt es zwei Richtlinieneinstellungen, eine für Vista / Server2008 und eine für 7 / Server2012 und höher. Wenn Sie weiterhin Vista verwenden, müssen Sie die Richtlinie "Auswählen, wie Benutzer BitLocker-geschützte Laufwerke wiederherstellen können" verwenden und beide Methoden auf "Nicht zulässig" und anschließend die Richtlinie "BitLocker-Wiederherstellungsinformationen in Active Directory-Domänendiensten speichern" auf "Aktiviert" setzen .

Haben Sie versucht, sich die Microsoft BitLocker-Verwaltung und -Überwachung anzusehen? Es ist ein leiser Dienst, den Sie remote auf den Computern ausführen. Entnommen aus dieser Quelle:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Es enthält die notwendigen Dinge, die Sie wünschen, zum Beispiel eine berührungslose Bereitstellung auf der Endbenutzerseite, und hat sie idealerweise in einer Konsole.

Hoffe das hilft!

PS TPM muss aktiv sein, damit das MBAM funktioniert.