Come abilitare BitLocker senza richieste all'utente finale

Ho configurato le impostazioni di BitLocker e TPM in Criteri di gruppo in modo tale che tutte le opzioni siano impostate e le chiavi di ripristino archiviate in Active Directory. Tutte le nostre macchine eseguono Windows 7 con un'immagine aziendale standard e hanno i loro chip TPM abilitati e attivi nel BIOS.

Il mio obiettivo è farlo in modo che tutto ciò che l'utente deve fare è fare clic su Abilita BitLocker e il gioco è fatto. Microsoft fornisce persino esempi di automazione che possono essere distribuiti tramite script. Ma c'è un piccolo singhiozzo nel rendere questo processo fluido.

Nella GUI, quando l'utente abilita BitLocker, deve inizializzare il TPM con una password del proprietario che viene generata automaticamente. Tuttavia, la password di ripristino viene visualizzata per l'utente e viene richiesto di salvarla in un file di testo. Non riesco a sopprimere questa finestra di dialogo e il passaggio non può essere ignorato. Questo è un prompt indesiderato (e non necessario) poiché il backup della chiave viene eseguito correttamente su AD.

Se eseguo lo script della distribuzione, devo fornire la password del proprietario nello script quando inizializzo il TPM e voglio che sia generato casualmente come fa la GUI.

Esiste un modo per rendere una distribuzione BitLocker davvero a sfioramento nel modo desiderato?

Puoi farlo tramite Criteri di gruppo. Se le chiavi / i pacchetti di ripristino sono già stati configurati per il backup su AD, è sufficiente selezionare la casella di controllo "Ometti opzioni di ripristino dalla procedura guidata di configurazione di BitLocker" nella stessa schermata in cui è stato configurato il backup su AD. Questa impostazione è per tipo di unità: OS, fissa e rimovibile. Se stai crittografando più di un semplice disco rigido del sistema operativo, devi impostare i criteri in ciascun nodo in Configurazione computer> Modelli amministrativi> Componenti di Windows> Crittografia unità BitLocker. Ricorda che questa casella di controllo rimuove solo la pagina dalla procedura guidata. Se si desidera inoltre impedire agli utenti di esportare le chiavi di ripristino dopo la crittografia, è necessario disabilitare anche entrambe le opzioni di ripristino.

Inoltre, prestare attenzione alla piattaforma su cui sono supportate queste politiche. Esistono due set di impostazioni dei criteri, uno per Vista / Server2008 e uno per 7 / Server2012 e successivi. Se stai ancora utilizzando Vista, devi utilizzare il criterio "Scegli come gli utenti possono ripristinare le unità protette con BitLocker" e impostare entrambi i metodi su Non consentito, quindi imposta il criterio "Archivia le informazioni di ripristino di BitLocker nei servizi di dominio Active Directory" su Abilitato .

Hai provato a guardare Microsoft BitLocker Administration and Monitoring? È un servizio silenzioso che si esegue in remoto sui computer. Tratto da questa fonte:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Contiene le cose necessarie che desideri, ad esempio, la distribuzione no-touch sul lato degli utenti finali e lo hanno idealmente in una console.

Spero che sia di aiuto!

PS TPM deve essere attivo affinché MBAM funzioni.