Comment activer BitLocker sans invite à l'utilisateur final

10

J'ai configuré les paramètres BitLocker et TPM dans la stratégie de groupe de sorte que toutes les options soient définies et les clés de récupération stockées dans Active Directory. Toutes nos machines exécutent Windows 7 avec une image d'entreprise standard et ont leurs puces TPM activées et actives dans le BIOS.

Mon objectif est de faire en sorte que tout ce que l'utilisateur doit faire est de cliquer sur Activer BitLocker et c'est parti. Microsoft fournit même des exemples d'automatisation qui peuvent être déployés via un script. Mais il y a un petit hoquet pour en faire un processus fluide.

Dans l'interface graphique, lorsque l'utilisateur active BitLocker, il doit initialiser le module de plateforme sécurisée avec un mot de passe propriétaire qui est généré automatiquement. Cependant, le mot de passe de récupération s'affiche pour l'utilisateur et il est invité à l'enregistrer dans un fichier texte. Je n'arrive pas à supprimer cette boîte de dialogue et l'étape ne peut pas être ignorée. Il s'agit d'une invite indésirable (et inutile) car la clé est correctement sauvegardée dans AD.

Si je crée un script pour le déploiement, je dois fournir le mot de passe du propriétaire dans le script lorsque j'initialise le module de plateforme sécurisée et je souhaite qu'il soit généré de manière aléatoire comme le fait l'interface graphique.

Existe-t-il un moyen de rendre un déploiement BitLocker vraiment sans contact comme je le souhaite?

Wes Sayeed
la source

Réponses:

1

Vous pouvez le faire via la stratégie de groupe. Si vous avez déjà configuré les clés / packages de récupération à sauvegarder sur AD, il vous suffit de cocher la case "Omettre les options de récupération de l'assistant de configuration de BitLocker" sur le même écran que celui où vous avez configuré la sauvegarde sur AD. Ce paramètre est par type de lecteur - OS, fixe et amovible. Si vous chiffrez plus que le lecteur du système d'exploitation, vous devez définir la stratégie dans chaque nœud dans Configuration ordinateur> Modèles d'administration> Composants Windows> Chiffrement de lecteur BitLocker. N'oubliez pas que cette case à cocher supprime uniquement la page de l'assistant. Si vous souhaitez également empêcher vos utilisateurs d'exporter les clés de récupération après le chiffrement, vous devez également désactiver les deux options de récupération.

Faites également attention à la plate-forme sur laquelle ces politiques sont prises en charge. Il existe deux ensembles de paramètres de stratégie ici, un pour Vista / Server2008 et un pour 7 / Server2012 et plus récent. Si vous utilisez toujours Vista, vous devez utiliser la stratégie «Choisir comment les utilisateurs peuvent récupérer les lecteurs protégés par BitLocker» et définir les deux méthodes sur Non autorisé, puis définir la stratégie «Stocker les informations de récupération BitLocker dans les services de domaine Active Directory» sur Activé .

entrez la description de l'image ici

tfrederick74656
la source
0

Avez-vous essayé de consulter l'administration et la surveillance de Microsoft BitLocker? Il s'agit d'un service silencieux que vous exécutez à distance sur les ordinateurs. Prenant de cette source:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Il contient les éléments nécessaires que vous souhaitez, par exemple, un déploiement sans contact du côté des utilisateurs finaux et idéalement dans une seule console.

J'espère que cela t'aides!

PS TPM doit être actif pour que le MBAM fonctionne.

Procuration
la source