Как включить BitLocker с помощью MBAM в рамках развертывания Windows

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

В этом разделе объясняется, как включить BitLocker на компьютере конечного пользователя с помощью MBAM в рамках процесса создания образов и развертывания Windows.

Предварительные требования.

  • Должен использоваться существующий процесс развертывания образа Windows, т. е. должны использоваться Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager или другие средства или процессы создания образов.

  • Доверенный платформенный модуль должен быть включен в BIOS и видим для операционной системы.

  • MBAM Серверная инфраструктура должна быть развернута и доступна.

  • Системный раздел, необходимый для BitLocker, должен быть создан.

  • Компьютер должен быть включен в домен во время создания образа перед тем, как MBAM полностью включит BitLocker.

Включение BitLocker с помощью MBAM 2.5 с пакетом обновления 1 (SP1) в рамках развертывания Windows

  • В MBAM 2.5 с пакетом обновления 1 (SP1) рекомендуется включить BitLocker во время развертывания Windows с помощью скрипта PowerShell Invoke-MbamClientDeployment.ps1.

    • Скрипт Invoke-MbamClientDeployment.ps1 включает BitLocker в процессе создания образа. Когда это требуется политикой BitLocker, агент MBAM предлагает пользователю домена создать ПИН-код или пароль при первом входе пользователя в систему после создания образа.

    • Простота в использовании с MDT, System Center Configuration Manager или автономными процессами создания образов

    • Совместимость с PowerShell 2.0 или более поздней версии

    • Шифрование тома операционной системы с ключом доверенного платформенного модуля

    • Полная поддержка предварительной подготовки BitLocker

    • Возможность шифрования фиксированных дисков с данными

    • Передача OwnerAuth доверенного платформенного модуля даже в Windows 8 или более поздней версии (для возникновения передачи MBAM по-прежнему должен быть владельцем доверенного платформенного модуля в Windows 7)

    • Перенос ключей восстановления и пакетов ключей восстановления

    • Немедленное формирование отчета о статусе шифрования

    • Новые поставщики WMI

    • Подробное ведение журнала

    • Надежная обработка ошибок

    Скрипт Invoke-MbamClientDeployment.ps1 можно загрузить в Центре загрузки Майкрософт. Это основной скрипт, который система развертывания будет вызывать для настройки шифрования диска BitLocker и записи ключей восстановления BitLocker на сервере MBAM.

    Методы развертывания WMI для MBAM В MBAM 2.5 с пакетом обновления 1 (SP1) были добавлены следующие методы WMI для поддержки включения BitLocker с помощью скрипта PowerShell Invoke-MbamClientDeployment.ps1.

    • Класс WMI MBAM_Machine
      PrepareTpmAndEscrowOwnerAuth: Считывает OwnerAuth доверенного платформенного модуля и отправляет его в базу данных восстановления MBAM с помощью службы восстановления MBAM. Если доверенный платформенный модуль не имеет владельца и автоматическая подготовка не включена, класс создает OwnerAuth доверенного платформенного модуля и становится его владельцем. В противном случае возвращается код ошибки для устранения неполадок.

      Параметр Описание

      RecoveryServiceEndPoint

      Строка, указывающая конечную точку службы восстановления MBAM.
      Распространенные возвращаемые значения Сообщение об ошибке

      S_OK

      0 (0x0)

      Метод выполнен успешно

      MBAM_E_TPM_NOT_PRESENT

      2147746304 (0x80040200)

      Доверенный платформенный модуль отсутствует на компьютере или отключен в настройках BIOS.

      MBAM_E_TPM_INCORRECT_STATE

      2147746305 (0x80040201)

      Доверенный платформенный модуль не находится в правильном состоянии (включен, активирован и разрешает установку владельца).

      MBAM_E_TPM_AUTO_PROVISIONING_PENDING

      2147746306 (0x80040202)

      MBAM не удается сменить владельца доверенного платформенного модуля, поскольку ожидается автоматическая подготовка. Повторите попытку после завершения автоматической подготовки.

      MBAM_E_TPM_OWNERAUTH_READFAIL

      2147746307 (0x80040203)

      MBAM не удается прочитать значение авторизации владельца доверенного платформенного модуля. Значение могло быть удалено после успешного переноса. В Windows 7 MBAM не удается считать значение, если доверенный платформенный модуль принадлежит другим пользователям.

      MBAM_E_REBOOT_REQUIRED

      2147746308 (0x80040204)

      Чтобы установить правильное состояние доверенного платформенного модуля, необходимо перезагрузить компьютер. Может потребоваться перезагрузить компьютер вручную.

      MBAM_E_SHUTDOWN_REQUIRED

      2147746309 (0x80040205)

      Компьютер необходимо выключить и снова включить для перевода доверенного платформенного модуля в правильное состояние. Может потребоваться перезагрузить компьютер вручную.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Отказано в доступе удаленной конечной точкой.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Удаленная конечная точка не существует, или ее не удалось найти.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Удаленная конечная точка не смогла обработать запрос.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Удаленная конечная точка недоступна.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

      ReportStatus: считывает состояние соответствия тома и отправляет его в базу данных состояний соответствия MBAM с помощью службы отчетов о состоянии MBAM. Состояние включает стойкость шифра, тип защиты, состояние защиты и состояние шифрования. В противном случае возвращается код ошибки для устранения неполадок.

      Параметр Описание

      ReportingServiceEndPoint

      Строка, указывающая конечную точку службы отчетов о состоянии MBAM.
      Распространенные возвращаемые значения Сообщение об ошибке

      S_OK

      0 (0x0)

      Метод выполнен успешно

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Отказано в доступе удаленной конечной точкой.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Удаленная конечная точка не существует, или ее не удалось найти.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Удаленная конечная точка не смогла обработать запрос.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Удаленная конечная точка недоступна.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

    • Класс WMI MBAM_Volume
      EscrowRecoveryKey: Считывает числовой пароль восстановления и пакет ключей тома и отправляет их в базу данных восстановления MBAM с помощью службы восстановления MBAM. В противном случае возвращается код ошибки для устранения неполадок.

      Параметр Описание

      RecoveryServiceEndPoint

      Строка, указывающая конечную точку службы восстановления MBAM.
      Распространенные возвращаемые значения Сообщение об ошибке

      S_OK

      0 (0x0)

      Метод выполнен успешно

      FVE_E_LOCKED_VOLUME

      2150694912 (0x80310000)

      Том заблокирован.

      FVE_E_PROTECTOR_NOT_FOUND

      2150694963 (0x80310033)

      Предохранитель в виде числового пароля для тома не найден.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Отказано в доступе удаленной конечной точкой.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Удаленная конечная точка не существует, или ее не удалось найти.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Удаленная конечная точка не смогла обработать запрос.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Удаленная конечная точка недоступна.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      От удаленной конечной точки было получено сообщение об ошибке. Убедитесь, что вы подключаетесь к необходимой конечной точке службы.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

  • Развертывание MBAM с помощью Microsoft Deployment Toolkit (MDT) и PowerShell

    1. В MDT создайте новый общий ресурс развертывания или откройте существующий общий ресурс развертывания.

      Примечание

      Скрипт PowerShell Invoke-MbamClientDeployment.ps1 можно использовать с любым процессом или средством создания образов. В этом разделе показано, как интегрировать его с помощью MDT, но для интеграции с другими процессами или средствами действия аналогичны.

      CautionОсторожно
      Если используется предварительная подготовка BitLocker (WinPE) и требуется сохранить значения авторизации владельца доверенного платформенного модуля, необходимо добавить скрипт SaveWinPETpmOwnerAuth.wsf в WinPE непосредственно перед перезагрузкой в полную версию операционной системы при установке. Если этот скрипт не используется, значение авторизации владельца доверенного платформенного модуля будет потеряно при перезагрузке.

    2. Скопируйте Invoke-MbamClientDeployment.ps1 в <DeploymentShare>\Scripts. При использовании предварительной подготовки скопируйте файл SaveWinPETpmOwnerAuth.wsf в <DeploymentShare>\Scripts.

    3. Добавьте клиентское приложение MBAM 2.5 с пакетом обновления 1 (SP1) к узлу приложения в общей папке развертывания.

      1. В узле Приложения щелкните Новое приложение.

      2. Выберите Приложение с исходными файлами. Нажмите кнопку Далее.

      3. В поле Имя приложения введите «Клиент MBAM 2.5 с пакетом обновления 1 (SP1)». Нажмите кнопку Далее.

      4. Перейдите к каталогу, содержащему MBAMClientSetup-<Version>.msi. Нажмите кнопку Далее.

      5. Введите «Клиент MBAM 2.5 с пакетом обновления 1 (SP1)» в качестве каталога для создания. Нажмите кнопку Далее.

      6. Введите msiexec /i MBAMClientSetup-<Version>.msi /quiet в командной строке. Нажмите кнопку Далее.

      7. Примите остальные значения по умолчанию в мастере создания нового приложения.

    4. В MDT щелкните правой кнопкой мыши папку развертывания и нажмите кнопку Properties. Перейдите на вкладку Rules. Добавьте следующие строки:

      SkipBitLocker=YES
      BDEInstall=TPM
      BDEInstallSuppress=NO
      BDEWaitForEncryption=YES

      Нажмите кнопку «ОК», чтобы закрыть окно.

    5. В узле «Последовательность задач» измените существующую последовательность задач для развертывания Windows. При желании можно создать новую последовательность задач, щелкнув правой кнопкой мыши в узле Последовательность задач, выбрав Новая последовательность задач и закрыв мастер.

      На вкладке Последовательность задач выбранной последовательности задач выполните следующие действия.

      1. В каталоге Предварительная установка включите дополнительную задачу Включить BitLocker (Автономно), если хотите включить BitLocker в WinPE, при котором будет шифроваться только занятое пространство.

      2. Для сохранения OwnerAuth доверенного платформенного модуля при использовании предварительной подготовки, которая позволит MBAM впоследствии выполнить его перенос, выполните следующие действия.

        1. Найдите шаг Установка операционной системы.

        2. Добавьте после него новый шаг Выполнить из командной строки.

        3. Назовите шаг Сохранение OwnerAuth доверенного платформенного модуля.

        4. Установите значение командной строки в cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

      3. В каталоге Восстановление состояния удалите задачу Включить BitLocker.

      4. В каталоге Восстановление состояния в разделе Пользовательские задачи создайте новую задачу Установка приложения и назовите ее Установка агента MBAM. Выберите переключатель Установка одного приложения и перейдите к клиентскому приложению MBAM 2.5 с пакетом обновления 1 (SP1), созданному ранее.

      5. В каталоге Восстановление состояния в разделе Пользовательские задачи создайте новую задачу Запустить сценарий PowerShell (после шага «Клиент приложения MBAM 2.5 с пакетом обновления 1 (SP1)») со следующими параметрами (измените параметры в соответствии со своей средой):

        • Name                      : Настройка BitLocker для MBAM

        • Скрипт PowerShell: Invoke-MbamClientDeployment.ps1

        • Параметры:

          -RecoveryServiceEndpoint

          Обязательно

          Конечная точка службы восстановления MBAM

          -StatusReportingServiceEndpoint

          Необязателен

          Состояние конечной точки службы отчетов MBAM

          -EncryptionMethod

          Необязателен

          Метод шифрования (по умолчанию: AES 128)

          -EncryptAndEscrowDataVolume

          Переключатель

          Указывает тома данных для шифрования и ключи восстановления томов данных.

          -WaitForEncryptionToComplete

          Переключатель

          Указывает, следует ли ожидать завершения шифрования.

          -DoNotResumeSuspendedEncryption

          Переключатель

          Указывает, что сценарий развертывания не возобновляет приостановленное шифрование.

          -IgnoreEscrowOwnerAuthFailure

          Переключатель

          Указывает, что следует игнорировать ошибку переноса OwnerAuth доверенного платформенного модуля. Он должен использоваться в сценариях, в которых MBAM не удается прочитать данные владельца OwnerAuth доверенного платформенного модуля, например при включении автоматической подготовки доверенного платформенного модуля.

          -IgnoreEscrowRecoveryKeyFailure

          Переключатель

          Указывает, стоит ли игнорировать ошибку переноса ключа восстановления тома.

          -IgnoreReportStatusFailure

          Переключатель

          Указывает, стоит ли игнорировать ошибки отчетов о состоянии.

Включение BitLocker с помощью MBAM 2.5 или более ранней версии в рамках развертывания Windows

  1. Установите клиент MBAM. Инструкции см. в разделе Развертывание клиента MBAM с помощью командной строки.

  2. Присоедините компьютер к домену (рекомендуется).

    • Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если отсутствует возможность сохранения ключа восстановления.

    • Если компьютер запускается в режиме восстановления перед сохранением ключа на сервере MBAM, доступные методы восстановления отсутствуют и следует пересоздать образ компьютера.

  3. Откройте командную строку от имени администратора и остановите службу MBAM.

  4. Настройте для службы тип запуска Вручную или По требованию, введя следующие команды:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Установите значения реестра так, чтобы клиент MBAM игнорировал параметры групповой политики и устанавливал запуск шифрования на момент развертывания Windows на данном клиентском компьютере.

    CautionОсторожно
    Этот шаг описывает, как внести изменения в реестр Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых может потребоваться переустановка Windows. Мы не гарантируем возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.

    1. Задайте для доверенного платформенного модуля значение Шифрование только операционной системы, запустите Regedit.exe и импортируйте шаблон раздела реестра из файла C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. В программе Regedit.exe перейдите к HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, указанные в следующей таблице.

      Примечание

      Здесь вы можете задать параметры групповой политики или значения реестра, связанные с MBAM. Эти значения переопределяю заданные ранее значения.

    Запись реестра Параметры конфигурации

    DeploymentTime

    0 = выкл.

    1 = использовать параметры политики времени развертывания (по умолчанию); используйте этот параметр для включения шифрования после развертывания Windows на клиентском компьютере.

    UseKeyRecoveryService

    0 = не использовать перенос ключа (в этом случае следующие две записи реестра не требуются)

    1 = использовать перенос ключа в системе восстановления ключей (по умолчанию)

    Это рекомендуемый параметр, позволяющий MBAM сохранить ключи восстановления. Компьютер должен иметь возможность связываться со службой восстановления ключей MBAM. Перед продолжением работы убедитесь, что компьютер может устанавливать связь со службой.

    KeyRecoveryOptions

    0 = отправка только ключа восстановления

    1 = отправка ключа восстановления и пакета восстановления ключа (по умолчанию)

    KeyRecoveryServiceEndPoint

    В качестве значения задайте URL-адрес сервера, на котором работает служба восстановления ключей, например http://<имя компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Клиент MBAM перезапустит систему во время развертывания клиента MBAM. Когда все готово к этой перезагрузке, выполните следующую команду в командной строке от имени администратора:

    net start mbamagent

  7. Когда компьютер перезагрузится и BIOS выведет запрос, примите изменение TPM.

  8. Во время создания образа операционной системы клиента Windows, когда все готово к началу шифрования, откройте командную строку от имени администратора и введите следующие команды, чтобы установить тип запуска Автоматически и перезапустить агент клиента MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Чтобы удалить обходные значения реестра, запустите программу Regedit.exe и перейдите в раздел реестра HKLM\SOFTWARE\Microsoft. Щелкните правой кнопкой узел MBAM и выберите пункт Удалить.

    Есть предложение для MBAM? Выдвигайте предложения и голосуйте за них здесь.
    Есть вопрос по MBAM? Найдите ответ на форуме TechNet по MBAM.

См. также

Концепции

Планирование развертывания клиента MBAM 2.5

Другие ресурсы

Развертывание клиента MBAM 2.5