Share via

Einrichten von MDT für BitLocker

  • Artikel

In diesem Thema erfahren Sie, wie Sie Ihre Umgebung für BitLocker – die in Windows 10 Enterprise und Windows 10 Pro integrierte Datenträgervolume-Verschlüsselung – mit MDT konfigurieren können. BitLocker verfügt unter Windows 10 über zwei Anforderungen im Zusammenhang mit der Betriebssystembereitstellung:

  • Eine Schutzvorrichtung, die entweder auf dem Trusted Platform Module-Chip (TPM) oder als Kennwort gespeichert wird. Im Prinzip können Sie auch einen USB-Stick zum Speichern der Schutzvorrichtung verwenden. Dies ist jedoch keine praktische Lösung, da dieser verloren gehen oder gestohlen werden kann. Daher wird stattdessen ein TPM-Chip und/oder ein Kennwort empfohlen.

  • Mehrere Partitionen auf der Festplatte

Um Ihre Umgebung für BitLocker zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie Active Directory für BitLocker.

  2. Laden Sie die verschiedenen BitLocker-Skripts und -Tools herunter.

  3. Konfigurieren Sie die Tasksequenz für die Betriebssystembereitstellung für BitLocker.

  4. Konfigurieren Sie die Regeln („CustomSettings.ini“) für BitLocker.

Hinweis  

Obwohl es sich nicht um eine BitLocker-Anforderung handelt, sollte BitLocker so konfiguriert werden, dass der Wiederherstellungsschlüssel und die TPM-Besitzerdaten in Active Directory gespeichert werden. Weitere Informationen zu diesen Features finden Sie unter Backing Up BitLocker and TPM Recovery Information to AD DS (in englischer Sprache). Wenn Sie auf Microsoft BitLocker Administration and Monitoring (MBAM) (Teil des Microsoft Desktop Optimization Packs, MDOP) zugreifen können, verfügen Sie über zusätzliche Verwaltungsfeatures für BitLocker.

 

Im Rahmen dieses Themas verwenden wir den Domänencontroller DC01, Mitglied der Domäne „contoso.com“ der fiktiven Contoso Corporation. Weitere Informationen zur Einrichtung für dieses Thema finden Sie unter Bereitstellen von Windows 10 mit dem Microsoft Deployment Toolkit.

Konfigurieren von Active Directory für BitLocker

Damit BitLocker den Wiederherstellungsschlüssel und die TPM-Daten in Active Directory speichert, müssen Sie in Active Directory eine Gruppenrichtlinie erstellen. Für diesen Abschnitt führen wir Windows Server 2012 R2 aus, daher müssen Sie das Schema nicht erweitern. Sie müssen jedoch die entsprechenden Berechtigungen in Active Directory festlegen.

Hinweis  

Abhängig von der Active Directory-Schemaversion müssen Sie möglicherweise das Schema aktualisieren, bevor Sie BitLocker-Daten in Active Directory speichern können.

 

Unter Windows Server 2012 R2 (sowie Windows Server 2008 R2 und Windows Server 2012) verfügen Sie über Zugriff auf die Funktionen der Verwaltungshilfsprogramme für die BitLocker-Laufwerkverschlüsselung, die Ihnen bei der Verwaltung von BitLocker helfen. Beim Installieren der Features ist der BitLocker-Wiederherstellungskennwort-Viewer für Active Directory enthalten. Zudem werden die Active Directory-Benutzer und -Computer um die BitLocker-Wiederherstellungsdaten erweitert.

Abbildung 2

Abbildung 2 Die BitLocker-Wiederherstellungsdaten für ein Computerobjekt der Domäne „contoso.com“

Hinzufügen der Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung

Die Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung werden über Server-Manager (oder Windows PowerShell) als Funktionen hinzugefügt:

  1. Melden Sie sich auf DC01 als CONTOSO\Administrator an, und klicken Sie im Server-Manager auf Add roles and features.

  2. Klicken Sie auf der Seite Before you begin auf Next.

  3. Wählen Sie auf der Seite Select installation type die Option Role-based or feature-based installation aus, und klicken Sie auf Next.

  4. Wählen Sie auf der Seite Select destination server den Eintrag DC01.contoso.com aus, und klicken Sie auf Next.

  5. Klicken Sie auf der Seite Select server roles auf Next.

  6. Erweitern Sie auf der Seite Select features die Optionen Remote Server Administration Tools und Feature Administration Tools, wählen Sie die folgenden Features aus, und klicken Sie dann auf Next:

    1. Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung

    2. Tools zur BitLocker-Laufwerkverschlüsselung

    3. BitLocker-Wiederherstellungskennwort-Viewer

  7. Klicken Sie auf der Seite Confirm installation selections auf Install und anschließend auf Close.

Abbildung 3

Abbildung 3 Auswählen der Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung

Erstellen der BitLocker-Gruppenrichtlinie

Mit diesen Schritten aktivieren Sie die Sicherung der BitLocker- und TPM-Wiederherstellungsdaten in Active Directory. Zudem aktivieren Sie die Richtlinie für TPM-Überprüfungsprofil.

  1. Klicken Sie auf DC01 in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf die Organisationseinheit (OE) Contoso, und wählen Sie Create a GPO in this domain, and Link it here aus.

  2. Weisen Sie der neuen Gruppenrichtlinie den Namen BitLocker Policy zu.

  3. Erweitern Sie die OE Contoso, klicken Sie mit der rechten Maustaste auf die BitLocker Policy, und wählen Sie Edit aus. Konfigurieren Sie die folgenden Richtlinieneinstellungen:

    Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

    1. Aktivieren Sie die Richtlinie Choose how BitLocker-protected operating system drives can be recovered, und konfigurieren Sie die folgenden Einstellungen:

      1. Allow data recovery agent (Standard)

      2. Save BitLocker recovery information to Active Directory Domain Services (Standard)

      3. Do not enable BitLocker until recovery information is stored in AD DS for operating system drives

    2. Aktivieren Sie die Richtlinie Configure TPM platform validation profile for BIOS-based firmware configurations.

    3. Aktivieren Sie die Richtlinie Configure TPM platform validation profile for native UEFI firmware configurations.

      Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/System/Trusted Platform Module-Dienste

    4. Aktivieren Sie die Richtlinie Turn on TPM backup to Active Directory Domain Services.

Hinweis  

Wenn Sie nach dem Verschlüsseln eines Computers dauerhaft den Fehler „Windows BitLocker Drive Encryption Information. The system boot information has changed since BitLocker was enabled. You must supply a BitLocker recovery password to start this system.“ erhalten, müssen Sie möglicherweise auch die verschiedenen Gruppenrichtlinien für „Configure TPM platform validation profile“ ändern. Ob dies erforderlich ist oder nicht, hängt von der verwendeten Hardware ab.

 

Festlegen von Berechtigungen für BitLocker in Active Directory

Zusätzlich zu den bereits erstellten Gruppenrichtlinien müssen Sie in Active Directory Berechtigungen konfigurieren, um die TPM-Wiederherstellungsinformationen speichern zu können. In den folgenden Schritten wird davon ausgegangen, dass auf DC01 das Skript Add-TPMSelfWriteACE.vbs von Microsoft heruntergeladen und unter „C:\Setup\Scripts“ gespeichert wurde.

  1. Starten Sie auf DC01 eine (als Administrator ausgeführte) PowerShell-Eingabeaufforderung mit erhöhten Rechten.

  2. Konfigurieren Sie die Berechtigungen, indem Sie den folgenden Befehl ausführen:

    cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs

Abbildung 4

Abbildung 4 Ausführen des Skripts „TPMSelfWriteACE.vbs“ auf DC01

Hinzufügen von BIOS-Konfigurationstools von Dell, HP und Lenovo

Wenn Sie das Aktivieren des TPM-Chips als Teil der Bereitstellung automatisieren möchten, müssen Sie die Anbietertools herunterladen und diese den Tasksequenzen entweder direkt oder in einem Skriptwrapper hinzufügen.

Hinzufügen von Dell-Tools

Die Dell-Tools sind über das Dell Client Configuration Toolkit (CCTK) verfügbar. Die ausführbare Datei von Dell heißt „cctk.exe“. Nachfolgend finden Sie einen Beispielbefehl für das Aktivieren von TPM und das Einrichten eines BIOS-Kennworts mit dem Tool „cctk.exe“:

cctk.exe --tpm=on --valsetuppwd=Password1234

Hinzufügen von HP-Tools

Die HP-Tools sind Bestandteil des HP System Software Managers. Die ausführbare Datei von HP heißt „BiosConfigUtility.exe“. Dieses Dienstprogramm verwendet für die BIOS-Einstellungen eine Konfigurationsdatei. Nachfolgend finden Sie einen Beispielbefehl für das Aktivieren von TPM und das Einrichten eines BIOS-Kennworts mit dem Tool „BiosConfigUtility.exe“:

BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234

Und ein Beispielinhalt der Datei „TPMEnable.REPSET“:

English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available

Hinzufügen von Lenovo-Tools

Die Lenovo-Tools sind eine Reihe von VBScript-Skripts, die als Teil des Lenovo BIOS-Setups und im Rahmen der Bereitstellungsanleitung für die Windows-Verwaltungsinstrumentation verfügbar sind. Lenovo bietet zudem einen separaten Download der Skripts an. Nachfolgend finden Sie einen Beispielbefehl für die TPM-Aktivierung mithilfe der Lenovo-Tools:

cscript.exe SetConfig.vbs SecurityChip Active

Konfigurieren der Windows 10-Tasksequenz für die BitLocker-Aktivierung

Beim Konfigurieren einer Tasksequenz für das Ausführen beliebiger BitLocker-Tools (sei es direkt oder mithilfe eines benutzerdefinierten Skripts) ist es hilfreich, zusätzlich eine Logik hinzuzufügen, um zu ermitteln, ob BIOS auf dem Computer bereits konfiguriert wurde. In dieser Tasksequenz werden wir mit einem Beispielskript („ZTICheckforTPM.wsf“) von der Webseite „Deployment Guys“ den Status des TPM-Chips überprüfen. Sie können dieses Skript vom Deployment Guys-Blogbeitrag Check to see if the TPM is enabled (in englischer Sprache) herunterladen. In der folgenden Tasksequenz haben wir fünf Aktionen hinzugefügt:

  • Check TPM Status. Führt das Skript „ZTICheckforTPM.wsf“, um festzustellen, ob TPM aktiviert ist. Abhängig vom Status legt das Skript die Eigenschaften „TPMEnabled“ und „TPMActivated“ auf „true“ oder „false“ fest.

  • Configure BIOS for TPM. Führt die Anbietertools (in diesem Fall HP, Dell und Lenovo) aus. Sie können sicherzustellen, dass diese Aktion nur bei Bedarf ausgeführt wird. Fügen Sie dafür eine Bedingung hinzu, damit die Aktion nur dann ausgeführt wird, wenn der TPM-Chip noch nicht aktiviert wurde. Verwenden der Eigenschaften von „ZTICheckforTPM.wsf“

    Hinweis  

    Viele Unternehmen schließen diese Tools in Skripts ein, um zusätzliche Protokollierungs- und Fehlerbehandlungsfunktionen zu erhalten.

     

  • Restart computer. Selbsterklärend, der Computer wird neu gestartet.

  • Check TPM Status. Führt das Skript „ZTICheckforTPM.wsf“ erneut aus.

  • Enable BitLocker. Führt die integrierte Aktion für die BitLocker-Aktivierung aus.

Verwandte Themen

Konfigurieren von MDT-Bereitstellungsfreigaberegeln

Konfigurieren von MDT für UserExit-Skripts

Simulieren einer Windows 10-Bereitstellung in einer Testumgebung

Verwenden der MDT-Datenbank zum Bereitstellen von Windows 10-Bereitstellungsinformationen

Zuweisen von Anwendungen mithilfe von Rollen in MDT

Verwenden von Webdiensten in MDT

Verwenden von Orchestrator-Runbooks mit MDT