Como ativar o BitLocker sem prompts para o usuário final

10

Eu configurei as configurações do BitLocker e do TPM na Diretiva de Grupo, de modo que todas as opções sejam definidas e as chaves de recuperação armazenadas no Active Directory. Todas as nossas máquinas estão executando o Windows 7 com uma imagem corporativa padrão e têm seus chips TPM ativados e ativos no BIOS.

Meu objetivo é fazer com que tudo que o usuário precise fazer é clicar em Ativar o BitLocker e ir embora. A Microsoft até fornece amostras de automação que podem ser implantadas via script. Mas há um pequeno soluço para tornar isso um processo tranquilo.

Na GUI, quando o usuário habilita o BitLocker, ele deve inicializar o TPM com uma senha de proprietário, que é gerada automaticamente. No entanto, a senha de recuperação é exibida para o usuário e ele é solicitado a salvá-la em um arquivo de texto. Não consigo suprimir este diálogo e o passo não pode ser ignorado. Este é um aviso indesejado (e desnecessário) enquanto a chave é copiada para o AD com sucesso.

Se eu fizer o script da implantação, devo fornecer a senha do proprietário no script quando inicializar o TPM e quiser que ele seja gerado aleatoriamente da maneira que a GUI faz.

Existe alguma maneira de fazer com que uma implantação do BitLocker realmente toque zero do jeito que eu quero?

    
por Wes Sayeed 02.09.2014 / 22:55

2 respostas

1

Você pode fazer isso por meio da Política de Grupo. Se você já tiver configurado as chaves / pacotes de recuperação para backup no AD, tudo o que você precisa fazer é marcar a caixa de seleção "Omitir opções de recuperação do assistente de instalação do BitLocker" na mesma tela em que você configurou o backup no AD. Essa configuração é por tipo de unidade - SO, Fixo e Removível. Se você estiver criptografando mais do que apenas a unidade do sistema operacional, precisará definir a política em cada nó em Configuração do computador > Modelos Administrativos > Componentes do Windows > Criptografia de unidade bitlocker. Lembre-se de que esta caixa de seleção remove apenas a página do assistente. Se você também quiser impedir que seus usuários exportem as chaves de recuperação após a criptografia, também terá que desabilitar as duas opções de recuperação.

Além disso, preste atenção em qual plataforma essas políticas são compatíveis. Há dois conjuntos de configurações de política aqui, um para o Vista / Server2008 e um para o 7 / Server2012 e mais recente. Se você ainda estiver usando o Vista, será necessário usar a política "Escolher como os usuários podem recuperar unidades protegidas pelo BitLocker" e definir os dois métodos como Não permitido. Em seguida, defina a política "Armazenar informações de recuperação do BitLocker nos Serviços de Domínio Active Directory" como Ativada. .

    
por 26.09.2014 / 05:38
0

Já tentou ver a Administração e Monitorização do Microsoft BitLocker? É um serviço silencioso que você executa remotamente nos computadores. Tomando desta fonte:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Ele contém as coisas necessárias que você deseja, por exemplo, implantação sem toque no lado do usuário final e o ideal em um console.

Espero que isso ajude!

P.S. O TPM precisa estar ativo para que o MBAM funcione.

    
por 16.09.2014 / 11:17