Как включить BitLocker с помощью MBAM в рамках развертывания Windows
Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
В этом разделе объясняется, как включить BitLocker на компьютере конечного пользователя с помощью MBAM в рамках процесса создания образов и развертывания Windows.
Предварительные требования.
Должен использоваться существующий процесс развертывания образа Windows, т. е. должны использоваться Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager или другие средства или процессы создания образов.
Доверенный платформенный модуль должен быть включен в BIOS и видим для операционной системы.
MBAM Серверная инфраструктура должна быть развернута и доступна.
Системный раздел, необходимый для BitLocker, должен быть создан.
Компьютер должен быть включен в домен во время создания образа перед тем, как MBAM полностью включит BitLocker.
Включение BitLocker с помощью MBAM 2.5 с пакетом обновления 1 (SP1) в рамках развертывания Windows
В MBAM 2.5 с пакетом обновления 1 (SP1) рекомендуется включить BitLocker во время развертывания Windows с помощью скрипта PowerShell
Invoke-MbamClientDeployment.ps1
.Скрипт
Invoke-MbamClientDeployment.ps1
включает BitLocker в процессе создания образа. Когда это требуется политикой BitLocker, агент MBAM предлагает пользователю домена создать ПИН-код или пароль при первом входе пользователя в систему после создания образа.Простота в использовании с MDT, System Center Configuration Manager или автономными процессами создания образов
Совместимость с PowerShell 2.0 или более поздней версии
Шифрование тома операционной системы с ключом доверенного платформенного модуля
Полная поддержка предварительной подготовки BitLocker
Возможность шифрования фиксированных дисков с данными
Передача OwnerAuth доверенного платформенного модуля даже в Windows 8 или более поздней версии (для возникновения передачи MBAM по-прежнему должен быть владельцем доверенного платформенного модуля в Windows 7)
Перенос ключей восстановления и пакетов ключей восстановления
Немедленное формирование отчета о статусе шифрования
Новые поставщики WMI
Подробное ведение журнала
Надежная обработка ошибок
Скрипт
Invoke-MbamClientDeployment.ps1
можно загрузить в Центре загрузки Майкрософт. Это основной скрипт, который система развертывания будет вызывать для настройки шифрования диска BitLocker и записи ключей восстановления BitLocker на сервере MBAM.Методы развертывания WMI для MBAM В MBAM 2.5 с пакетом обновления 1 (SP1) были добавлены следующие методы WMI для поддержки включения BitLocker с помощью скрипта PowerShell
Invoke-MbamClientDeployment.ps1
.Класс WMI MBAM_Machine
PrepareTpmAndEscrowOwnerAuth: Считывает OwnerAuth доверенного платформенного модуля и отправляет его в базу данных восстановления MBAM с помощью службы восстановления MBAM. Если доверенный платформенный модуль не имеет владельца и автоматическая подготовка не включена, класс создает OwnerAuth доверенного платформенного модуля и становится его владельцем. В противном случае возвращается код ошибки для устранения неполадок.Параметр Описание RecoveryServiceEndPoint
Строка, указывающая конечную точку службы восстановления MBAM.
Распространенные возвращаемые значения Сообщение об ошибке S_OK
0 (0x0)
Метод выполнен успешно
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)
Доверенный платформенный модуль отсутствует на компьютере или отключен в настройках BIOS.
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)
Доверенный платформенный модуль не находится в правильном состоянии (включен, активирован и разрешает установку владельца).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)
MBAM не удается сменить владельца доверенного платформенного модуля, поскольку ожидается автоматическая подготовка. Повторите попытку после завершения автоматической подготовки.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)
MBAM не удается прочитать значение авторизации владельца доверенного платформенного модуля. Значение могло быть удалено после успешного переноса. В Windows 7 MBAM не удается считать значение, если доверенный платформенный модуль принадлежит другим пользователям.
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)
Чтобы установить правильное состояние доверенного платформенного модуля, необходимо перезагрузить компьютер. Может потребоваться перезагрузить компьютер вручную.
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)
Компьютер необходимо выключить и снова включить для перевода доверенного платформенного модуля в правильное состояние. Может потребоваться перезагрузить компьютер вручную.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
Отказано в доступе удаленной конечной точкой.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Удаленная конечная точка не существует, или ее не удалось найти.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Удаленная конечная точка не смогла обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.
ReportStatus: считывает состояние соответствия тома и отправляет его в базу данных состояний соответствия MBAM с помощью службы отчетов о состоянии MBAM. Состояние включает стойкость шифра, тип защиты, состояние защиты и состояние шифрования. В противном случае возвращается код ошибки для устранения неполадок.
Параметр Описание ReportingServiceEndPoint
Строка, указывающая конечную точку службы отчетов о состоянии MBAM.
Распространенные возвращаемые значения Сообщение об ошибке S_OK
0 (0x0)
Метод выполнен успешно
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
Отказано в доступе удаленной конечной точкой.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Удаленная конечная точка не существует, или ее не удалось найти.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Удаленная конечная точка не смогла обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.
Класс WMI MBAM_Volume
EscrowRecoveryKey: Считывает числовой пароль восстановления и пакет ключей тома и отправляет их в базу данных восстановления MBAM с помощью службы восстановления MBAM. В противном случае возвращается код ошибки для устранения неполадок.Параметр Описание RecoveryServiceEndPoint
Строка, указывающая конечную точку службы восстановления MBAM.
Распространенные возвращаемые значения Сообщение об ошибке S_OK
0 (0x0)
Метод выполнен успешно
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
Том заблокирован.
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)
Предохранитель в виде числового пароля для тома не найден.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
Отказано в доступе удаленной конечной точкой.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Удаленная конечная точка не существует, или ее не удалось найти.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Удаленная конечная точка не смогла обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.
Развертывание MBAM с помощью Microsoft Deployment Toolkit (MDT) и PowerShell
В MDT создайте новый общий ресурс развертывания или откройте существующий общий ресурс развертывания.
Примечание
Скрипт PowerShell
Invoke-MbamClientDeployment.ps1
можно использовать с любым процессом или средством создания образов. В этом разделе показано, как интегрировать его с помощью MDT, но для интеграции с другими процессами или средствами действия аналогичны.Осторожно Если используется предварительная подготовка BitLocker (WinPE) и требуется сохранить значения авторизации владельца доверенного платформенного модуля, необходимо добавить скрипт SaveWinPETpmOwnerAuth.wsf
в WinPE непосредственно перед перезагрузкой в полную версию операционной системы при установке. Если этот скрипт не используется, значение авторизации владельца доверенного платформенного модуля будет потеряно при перезагрузке.Скопируйте
Invoke-MbamClientDeployment.ps1
в <DeploymentShare>\Scripts. При использовании предварительной подготовки скопируйте файлSaveWinPETpmOwnerAuth.wsf
в <DeploymentShare>\Scripts.Добавьте клиентское приложение MBAM 2.5 с пакетом обновления 1 (SP1) к узлу приложения в общей папке развертывания.
В узле Приложения щелкните Новое приложение.
Выберите Приложение с исходными файлами. Нажмите кнопку Далее.
В поле Имя приложения введите «Клиент MBAM 2.5 с пакетом обновления 1 (SP1)». Нажмите кнопку Далее.
Перейдите к каталогу, содержащему
MBAMClientSetup-<Version>.msi
. Нажмите кнопку Далее.Введите «Клиент MBAM 2.5 с пакетом обновления 1 (SP1)» в качестве каталога для создания. Нажмите кнопку Далее.
Введите
msiexec /i MBAMClientSetup-<Version>.msi /quiet
в командной строке. Нажмите кнопку Далее.Примите остальные значения по умолчанию в мастере создания нового приложения.
В MDT щелкните правой кнопкой мыши папку развертывания и нажмите кнопку Properties. Перейдите на вкладку Rules. Добавьте следующие строки:
SkipBitLocker=YES
BDEInstall=TPM
BDEInstallSuppress=NO
BDEWaitForEncryption=YES
Нажмите кнопку «ОК», чтобы закрыть окно.
В узле «Последовательность задач» измените существующую последовательность задач для развертывания Windows. При желании можно создать новую последовательность задач, щелкнув правой кнопкой мыши в узле Последовательность задач, выбрав Новая последовательность задач и закрыв мастер.
На вкладке Последовательность задач выбранной последовательности задач выполните следующие действия.
В каталоге Предварительная установка включите дополнительную задачу Включить BitLocker (Автономно), если хотите включить BitLocker в WinPE, при котором будет шифроваться только занятое пространство.
Для сохранения OwnerAuth доверенного платформенного модуля при использовании предварительной подготовки, которая позволит MBAM впоследствии выполнить его перенос, выполните следующие действия.
Найдите шаг Установка операционной системы.
Добавьте после него новый шаг Выполнить из командной строки.
Назовите шаг Сохранение OwnerAuth доверенного платформенного модуля.
Установите значение командной строки в
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"
В каталоге Восстановление состояния удалите задачу Включить BitLocker.
В каталоге Восстановление состояния в разделе Пользовательские задачи создайте новую задачу Установка приложения и назовите ее Установка агента MBAM. Выберите переключатель Установка одного приложения и перейдите к клиентскому приложению MBAM 2.5 с пакетом обновления 1 (SP1), созданному ранее.
В каталоге Восстановление состояния в разделе Пользовательские задачи создайте новую задачу Запустить сценарий PowerShell (после шага «Клиент приложения MBAM 2.5 с пакетом обновления 1 (SP1)») со следующими параметрами (измените параметры в соответствии со своей средой):
Name : Настройка BitLocker для MBAM
Скрипт PowerShell:
Invoke-MbamClientDeployment.ps1
Параметры:
-RecoveryServiceEndpoint
Обязательно
Конечная точка службы восстановления MBAM
-StatusReportingServiceEndpoint
Необязателен
Состояние конечной точки службы отчетов MBAM
-EncryptionMethod
Необязателен
Метод шифрования (по умолчанию: AES 128)
-EncryptAndEscrowDataVolume
Переключатель
Указывает тома данных для шифрования и ключи восстановления томов данных.
-WaitForEncryptionToComplete
Переключатель
Указывает, следует ли ожидать завершения шифрования.
-DoNotResumeSuspendedEncryption
Переключатель
Указывает, что сценарий развертывания не возобновляет приостановленное шифрование.
-IgnoreEscrowOwnerAuthFailure
Переключатель
Указывает, что следует игнорировать ошибку переноса OwnerAuth доверенного платформенного модуля. Он должен использоваться в сценариях, в которых MBAM не удается прочитать данные владельца OwnerAuth доверенного платформенного модуля, например при включении автоматической подготовки доверенного платформенного модуля.
-IgnoreEscrowRecoveryKeyFailure
Переключатель
Указывает, стоит ли игнорировать ошибку переноса ключа восстановления тома.
-IgnoreReportStatusFailure
Переключатель
Указывает, стоит ли игнорировать ошибки отчетов о состоянии.
Включение BitLocker с помощью MBAM 2.5 или более ранней версии в рамках развертывания Windows
Установите клиент MBAM. Инструкции см. в разделе Развертывание клиента MBAM с помощью командной строки.
Присоедините компьютер к домену (рекомендуется).
Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если отсутствует возможность сохранения ключа восстановления.
Если компьютер запускается в режиме восстановления перед сохранением ключа на сервере MBAM, доступные методы восстановления отсутствуют и следует пересоздать образ компьютера.
Откройте командную строку от имени администратора и остановите службу MBAM.
Настройте для службы тип запуска Вручную или По требованию, введя следующие команды:
net stop mbamagent
sc config mbamagent start= demand
Установите значения реестра так, чтобы клиент MBAM игнорировал параметры групповой политики и устанавливал запуск шифрования на момент развертывания Windows на данном клиентском компьютере.
Осторожно Этот шаг описывает, как внести изменения в реестр Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых может потребоваться переустановка Windows. Мы не гарантируем возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя. Задайте для доверенного платформенного модуля значение Шифрование только операционной системы, запустите Regedit.exe и импортируйте шаблон раздела реестра из файла C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
В программе Regedit.exe перейдите к HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, указанные в следующей таблице.
Примечание
Здесь вы можете задать параметры групповой политики или значения реестра, связанные с MBAM. Эти значения переопределяю заданные ранее значения.
Запись реестра Параметры конфигурации DeploymentTime
0 = выкл.
1 = использовать параметры политики времени развертывания (по умолчанию); используйте этот параметр для включения шифрования после развертывания Windows на клиентском компьютере.
UseKeyRecoveryService
0 = не использовать перенос ключа (в этом случае следующие две записи реестра не требуются)
1 = использовать перенос ключа в системе восстановления ключей (по умолчанию)
Это рекомендуемый параметр, позволяющий MBAM сохранить ключи восстановления. Компьютер должен иметь возможность связываться со службой восстановления ключей MBAM. Перед продолжением работы убедитесь, что компьютер может устанавливать связь со службой.
KeyRecoveryOptions
0 = отправка только ключа восстановления
1 = отправка ключа восстановления и пакета восстановления ключа (по умолчанию)
KeyRecoveryServiceEndPoint
В качестве значения задайте URL-адрес сервера, на котором работает служба восстановления ключей, например http://<имя компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc.
Клиент MBAM перезапустит систему во время развертывания клиента MBAM. Когда все готово к этой перезагрузке, выполните следующую команду в командной строке от имени администратора:
net start mbamagent
Когда компьютер перезагрузится и BIOS выведет запрос, примите изменение TPM.
Во время создания образа операционной системы клиента Windows, когда все готово к началу шифрования, откройте командную строку от имени администратора и введите следующие команды, чтобы установить тип запуска Автоматически и перезапустить агент клиента MBAM:
sc config mbamagent start= auto
net start mbamagent
Чтобы удалить обходные значения реестра, запустите программу Regedit.exe и перейдите в раздел реестра HKLM\SOFTWARE\Microsoft. Щелкните правой кнопкой узел MBAM и выберите пункт Удалить.
Есть предложение для MBAM? Выдвигайте предложения и голосуйте за них здесь.
Есть вопрос по MBAM? Найдите ответ на форуме TechNet по MBAM.
См. также
Концепции
Планирование развертывания клиента MBAM 2.5