エンドユーザーへのプロンプトなしでBitLockerを有効にする方法
すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。
私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。
GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な(そして不要な)プロンプトです。
展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。
BitLockerの展開を希望どおりに完全にゼロタッチにする方法はありますか?
グループポリシーを介してこれを行うことができます。 ADにバックアップするように回復キー/パッケージを既に構成している場合は、ADへのバックアップを構成したのと同じ画面で、[BitLockerセットアップウィザードからの回復オプションを除外する]チェックボックスをオンにするだけです。この設定は、ドライブの種類(OS、固定、リムーバブル)ごとに異なります。 OSドライブだけでなく、暗号化する場合は、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブ暗号化]の各ノードでポリシーを設定する必要があります。このチェックボックスは、ウィザードからページを削除するだけであることに注意してください。さらに、ユーザーが暗号化後に回復キーをエクスポートできないようにする場合は、両方の回復オプションも無効にする必要があります。
また、これらのポリシーがサポートされているプラットフォームにも注意してください。ここには、Vista/Server2008用と7/Server2012以降用の2組のポリシー設定があります。 Vistaを引き続き使用している場合は、「ユーザーがBitLockerで保護されたドライブを回復する方法を選択する」ポリシーを使用し、両方の方法を[許可しない]に設定してから、[Active DirectoryドメインサービスにBitLocker回復情報を保存する]ポリシーを[有効]に設定する必要があります。 。
Microsoft BitLockerの管理と監視を見てみましたか?これは、コンピューター上でリモートで実行する静かなサービスです。このソースから取得:
http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx
これには、エンドユーザー側でのノータッチ展開など、必要なものが含まれており、理想的には1つのコンソールに配置します。
お役に立てれば!
追伸MBAMが機能するには、TPMがアクティブである必要があります。