Configurar o MDT para BitLocker
Este tópico mostrará como configurar seu ambiente para o BitLocker, a criptografia de volume de disco integrado ao Windows 10 Enterprise e ao Windows 10 Pro, usando MDT. O BitLocker no Windows 10 tem dois requisitos em relação a uma implantação do sistema operacional:
Um protetor, que pode ser armazenado no chip Trusted Platform Module (TPM) ou armazenado como uma senha. Tecnicamente, você também pode usar um pen drive para armazenar o protetor, mas não é uma abordagem prática porque o pen drive pode ser perdido ou roubado. Portanto, recomendamos que você use um chip TPM e/ou uma senha.
Várias partições no disco rígido.
Para configurar seu ambiente para o BitLocker, você precisará fazer o seguinte:
Configure o Active Directory para BitLocker.
Baixe os diversos scripts e as ferramentas do BitLocker.
Configure a sequência de tarefas de implantação do sistema operacional para BitLocker.
Configure as regras (CustomSettings.ini) para BitLocker.
Observação
Embora não seja um requisito do BitLocker, recomendamos que você configure o BitLocker para armazenar a chave de recuperação e as informações do proprietário TPM no Active Directory. Para obter informações adicionais sobre esses recursos, consulte Fazendo backup das informações de recuperação do BitLocker e do TPM no AD DS. Caso tenha acesso ao Microsoft BitLocker Administration and Monitoring (MBAM), que faz parte do Microsoft Desktop Optimization Pack (MDOP), você tem recursos de gerenciamento adicionais para o BitLocker.
Para os fins deste tópico, usaremos DC01, um controlador de domínio membro do domínio contoso.com da fictícia Contoso Corporation. Para obter mais detalhes sobre a configuração para este tópico, consulte Implantar o Windows 10 com o Microsoft Deployment Toolkit.
Configurar o Active Directory para BitLocker
Para permitir que o BitLocker armazene a chave de recuperação e as informações TPM no Active Directory, você precisa criar uma Política de Grupo para ele no Active Directory. Para esta seção, como estamos executando o Windows Server 2012 R2, você não precisa estender o esquema. Porém, você precisa definir as permissões apropriadas no Active Directory.
Observação
Dependendo da versão do esquema do Active Directory, talvez você precise atualizar o esquema para poder armazenar informações do BitLocker no Active Directory.
No Windows Server 2012 R2 (bem como no Windows Server 2008 R2 e no Windows Server 2012), você tem acesso aos recursos dos Utilitários de Administração de Criptografia de Unidade de Disco BitLocker, o que ajudará a gerenciar o BitLocker. Quando você instala os recursos, o BitLocker Active Directory Recovery Password Viewer está incluído e estende Usuários e Computadores do Active Directory com informações de BitLocker Recovery.
.png "Figura 2")
Figura 2. As informações de BitLocker Recovery em um objeto de computador no domínio contoso.com.
Adicionar os Utilitários de Administração de Criptografia de Unidade de Disco BitLocker
Os Utilitários de Administração de Criptografia de Unidade de Disco BitLocker são adicionados como recursos por meio do Gerenciador de Servidores (ou do Windows PowerShell):
Em DC01, faça logon como CONTOSO\Administrador e, usando o Gerenciador do Servidor, clique em Add roles and features.
Na página Before you begin, clique em Next.
Na página Select installation type, escolha Role-based or feature-based installation e clique em Next.
Na página Select destination server, selecione DC01.contoso.com e clique em Next.
Na página Select server roles, clique em Next.
Na página Select features, expanda Remote Server Administration Tools, Feature Administration Tools, selecione os recursos a seguir e clique em Next:
BitLocker Drive Encryption Administration Utilities
BitLocker Drive Encryption Tools
BitLocker Recovery Password Viewer
Na página Confirm installation selections, clique em Install e em Close.
.png "Figura 3")
Figura 3. Selecionando os Utilitários de Administração de Criptografia de Unidade de Disco BitLocker.
Criar a Política de Grupo do BitLocker
Seguindo essas etapas, você habilita o backup das informações de recuperação do BitLocker e do TPM no Active Directory. Você também pode habilitar a política para o perfil de validação do TPM.
Em DC01, usando o Gerenciamento de Política de Grupo, clique com botão direito do mouse na unidade organizacional (UO) Contoso e selecione Create a GPO in this domain, and Link it here.
Atribua o nome BitLocker Policy para a nova Política de Grupo.
Expanda a UO Contoso, clique com botão direito do mouse em BitLocker Policy e selecione Edit. Defina as seguintes configurações de política:
Computer Configuration / Policies / Administrative Templates / Windows Components / BitLocker Drive Encryption / Operating System Drives
Habilite a política Choose how BitLocker-protected operating system drives can be recovered e defina as seguintes configurações:
Permitir agente de recuperação dos dados (padrão)
Salvar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory (padrão)
Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional
Habilite a política Configure TPM platform validation profile for BIOS-based firmware configurations.
Habilite a política Configure TPM platform validation profile for native UEFI firmware configurations.
Computer Configuration / Policies / Administrative Templates / System / Trusted Platform Module Services
Habilite a política Turn on TPM backup to Active Directory Domain Services.
Observação
Caso você receba consistentemente o erro "Windows BitLocker Drive Encryption Information. The system boot information has changed since BitLocker was enabled. You must supply a BitLocker recovery password to start this system." depois de criptografar um computador usando o BitLocker, talvez seja necessário alterar também as diversas Políticas de Grupo "Configure TPM platform validation profile". Fazer isso ou não dependerá do hardware que você estiver usando.
Definir permissões no Active Directory do BitLocker
Além da Política de Grupo criada anteriormente, você precisa configurar permissões no Active Directory para poder armazenar as informações de recuperação do TPM. Nestas etapas, presumimos que você tenha baixado o script Add-TPMSelfWriteACE.vbs da Microsoft para C:\Setup\Scripts em DC01.
Em DC01, inicie um prompt do PowerShell elevado (executar como Administrador).
Configure as permissões executando o seguinte comando:
cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs
.png "Figura 4")
Figura 4. Executando o script Add-TPMSelfWriteACE.vbs em DC01.
Adicionar ferramentas de configuração do BIOS da Dell, da HP e da Lenovo
Se quiser automatizar a habilitação do chip TPM como parte do processo de implantação, você precisará baixar as ferramentas de fornecedor e adicioná-las às sequências de tarefas, diretamente ou em um wrapper de script.
Adicionar ferramentas da Dell
As ferramentas Dell são disponibilizadas por meio do Dell Client Configuration Toolkit (CCTK). O arquivo executável da Dell se chama cctk.exe. Aqui está um comando de exemplo para habilitar TPM e definir uma senha de BIOS usando-se a ferramenta cctk.exe:
cctk.exe --tpm=on --valsetuppwd=Password1234
Adicionar ferramentas da HP
As ferramentas HP fazem parte do HP System Software Manager. O arquivo executável da HP se chama BiosConfigUtility.exe. Este utilitário usa um arquivo de configuração para as configurações do BIOS. Aqui está um comando de exemplo para habilitar TPM e definir uma senha de BIOS usando-se a ferramenta BiosConfigUtility.exe:
BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234
E o conteúdo de exemplo do arquivo TPMEnable.REPSET:
English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available
Adicionar ferramentas da Lenovo
As ferramentas Lenovo são um conjunto de VBScripts disponíveis como parte do Lenovo BIOS Setup usando-se o Guia de implantação da Instrumentação de Gerenciamento do Windows. A Lenovo também oferece um download dos scripts à parte. Aqui está um exemplo de comando para habilitar o TPM usando as ferramentas Lenovo:
cscript.exe SetConfig.vbs SecurityChip Active
Configurar a sequência de tarefas do Windows 10 para habilitar o BitLocker
Durante a configuração de uma sequência de tarefas para executar qualquer ferramenta do BitLocker, diretamente ou usando um script personalizado, será útil adicionar também uma lógica para detectar se o BIOS já está configurado no computador. Nesta sequência de tarefas, estamos usando um script de exemplo (ZTICheckforTPM.wsf) da página da Web Deployment Guys para verificar o status no chip TPM. Você pode baixar esse script no post do blog Deployment Guys, Check to see if the TPM is enabled. Na seguinte sequência de tarefas, adicionamos cinco ações:
Check TPM Status. Executa o script ZTICheckforTPM.wsf para determinar se o TPM está habilitado. Dependendo do status, o script definirá as propriedades TPMEnabled e TPMActivated como true ou false.
Configure BIOS for TPM. Executa as ferramentas de fornecedor (neste caso, HP, Dell e Lenovo). Para garantir que essa ação só seja executada quando necessário, adicione uma condição de maneira que a ação só seja executada quando o chip TPM não esteja mais ativado. Use as propriedades do ZTICheckforTPM.wsf.
Observação
É comum para organizações que encapsulam essas ferramentas em scripts obter um registro em log adicional e um tratamento de erros.
Restart computer. Autoexplicativo, reinicia o computador.
Check TPM Status. Executa o script ZTICheckforTPM.wsf mais uma vez.
Enable BitLocker. Executa a ação interna para ativar o BitLocker.
Tópicos relacionados
Configurar as regras de compartilhamento da implantação do MDT
Configurar o MDT para scripts UserExit
Simular uma implantação do Windows 10 em um ambiente de teste
Usar o banco de dados MDT para preparar as informação de implantação do Windows 10