Como habilitar o BitLocker sem prompts para o usuário final

Eu defini as configurações de BitLocker e TPM na Diretiva de Grupo para que todas as opções sejam definidas e as chaves de recuperação armazenadas no Active Directory. Todas as nossas máquinas estão executando o Windows 7 com uma imagem corporativa padrão e têm seus chips TPM ativados e ativos no BIOS.

Meu objetivo é fazer com que tudo o que o usuário precise fazer seja clicar em Habilitar BitLocker e pronto. A Microsoft ainda fornece exemplos de automação que podem ser implantados via script. Mas há um pequeno soluço para tornar esse processo suave.

Na GUI, quando o usuário habilita o BitLocker, ele deve inicializar o TPM com uma senha de proprietário que é gerada automaticamente. No entanto, a senha de recuperação é exibida para o usuário e eles são solicitados a salvá-la em um arquivo de texto. Não consigo suprimir essa caixa de diálogo e a etapa não pode ser pulada. Este é um prompt indesejado (e desnecessário), pois o backup da chave é feito no AD com êxito.

Se eu criar um script para a implantação, devo fornecer a senha do proprietário no script quando inicializar o TPM e desejar que ele seja gerado aleatoriamente da maneira que a GUI.

Existe alguma maneira de tornar uma implantação do BitLocker realmente zero-touch da maneira que eu quero?

Você pode fazer isso via Diretiva de Grupo. Se você já configurou as chaves / pacotes de recuperação para o backup no AD, basta marcar a caixa de seleção "Omitir opções de recuperação do assistente de instalação do BitLocker" na mesma tela em que você configurou o backup no AD. Essa configuração é por tipo de unidade - SO, Fixo e Removível. Se você estiver criptografando mais do que apenas a unidade do SO, precisará definir a política em cada nó em Configuração do Computador> Modelos Administrativos> Componentes do Windows> Criptografia de Unidade de Disco BitLocker. Lembre-se de que esta caixa de seleção remove apenas a página do assistente. Além disso, se você deseja impedir que seus usuários exportem as chaves de recuperação pós-criptografia, também é necessário desabilitar as duas opções de recuperação.

Além disso, preste atenção em qual plataforma essas políticas são suportadas. Existem dois conjuntos de configurações de diretiva aqui, um para o Vista / Server2008 e outro para o 7 / Server2012 e mais recente. Se você ainda estiver usando o Vista, precisará usar a política "Escolha como os usuários podem recuperar unidades protegidas pelo BitLocker" e defina os dois métodos como Não permitido, e defina a política "Armazenar informações de recuperação do BitLocker nos Serviços de Domínio Active Directory" como Habilitada .

Você já tentou examinar a Administração e o Monitoramento do Microsoft BitLocker? É um serviço silencioso que você executa remotamente nos computadores. Tomando desta fonte:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Ele contém as coisas necessárias que você deseja, por exemplo, implantação sem toque no lado do usuário final e, idealmente, em um console.

Espero que isto ajude!

O PS TPM precisa estar ativo para que o MBAM funcione.