Настройка MDT для BitLocker

  • Статья

В этом разделе вы узнаете, как настроить среду для BitLocker, шифрование тома диска, встроенное в Windows 10 Корпоративная и Windows 10 Pro, с помощью MDT. BitLocker в Windows 10 предъявляет два требования к развертыванию операционной системы:

  • Средство защиты, которое можно сохранить в микросхеме доверенного платформенного модуля (TPM) или в качестве пароля. Технически можно также использовать USB-диск для хранения средства защиты, но этот подход не рекомендуется, так как USB-диск может быть потерян или украден. Рекомендуется использовать микросхему TPM и/или пароль.

  • Несколько разделов на жестком диске.

Для настройки среды для BitLocker необходимо сделать следующее.

  1. Настройте Active Directory для BitLocker.

  2. Загрузите скрипты и средства BitLocker.

  3. Настройте последовательность задач развертывания операционной системы для BitLocker.

  4. Настройте правила (CustomSettings.ini) для BitLocker.

Примечание  

В BitLocker не предъявляется такого требования, но рекомендуется настроить BitLocker для хранения ключа восстановления и сведений о владельце в Active Directory. Дополнительные сведения об этих компонентах см. в разделе Создание резервной копии BitLocker и сведений о восстановлении TPM в Active Directory DS. При наличии доступа к средству MBAM, которое является частью пакета MDOP, можно настроить дополнительные компоненты для BitLocker.

 

В этом разделе используется DC01, контроллер домена, который является членом домена contoso.com вымышленной корпорации Contoso. Дополнительные сведения о конфигурации для этого раздела см. в разделе Развертывание Windows 10 с помощью Microsoft Deployment Toolkit.

Настройка Active Directory для BitLocker

Чтобы разрешить BitLocker сохранить ключ восстановления и сведения о TPM в Active Directory, необходимо создать политику группы для него в Active Directory. В этом разделе используется Windows Server 2012 R2, поэтому нет необходимости расширять схему. Однако необходимо задать соответствующие разрешения в Active Directory.

Примечание  

В зависимости от версии схемы Active Directory, перед сохранением сведений BitLocker в Active Directory может потребоваться обновление схемы.

 

В Windows Server 2012 R2 (а также в Windows Server 2008 R2 и Windows Server 2012) вы получаете доступ к средствам администрирования шифрования диска BitLocker, которые помогут управлять BitLocker. Во время установки компонентов добавляется средство просмотра паролей восстановления Active Directory для BitLocker, а также сведения о восстановлении пользователей и компьютеров Active Directory.

Рисунок 2

Рисунок 2. Сведения для восстановления BitLocker на компьютере в домене contoso.com.

Добавление средств администрирования шифрования диска BitLocker

Средства администрирования шифрования диска BitLocker добавляются в качестве компонентов через диспетчер сервера (или Windows PowerShell).

  1. На компьютере DC01 войдите в качестве CONTOSO\Administrator и в диспетчере сервера щелкните Add roles and features.

  2. На странице Before you begin нажмите кнопку Далее.

  3. На странице Select installation type выберите параметр Role-based or feature-based installation и нажмите кнопку Далее.

  4. На странице Select destination server выберите DC01.contoso.com и нажмите кнопку Далее.

  5. На странице Select server roles нажмите кнопку Далее.

  6. На странице Select features разверните Remote Server Administration Tools, Feature Administration Tools, выберите следующие компоненты и нажмите Далее:

    1. Средства администрирования шифрования диска BitLocker

    2. Средства шифрования диска BitLocker

    3. Средство просмотра пароля восстановления BitLocker

  7. На странице Confirm installation selections нажмите кнопку Установить, а затем Закрыть.

Рисунок 3

Рисунок 3. Выбор средств администрирования шифрования диска BitLocker.

Создание групповой политики BitLocker

Приведенные ниже шаги позволяют включить резервное копирование BitLocker и сведения о восстановлении TPM в Active Directory. Вы также включаете политику для профиля проверки TPM.

  1. На компьютере DC01 с помощью управления групповыми политиками щелкните правой кнопкой мыши организационное подразделение Contoso и выберите Create a GPO in this domain, and Link it here.

  2. Назначьте имя BitLocker Policy новой групповой политике.

  3. Разверните подразделение Contoso, щелкните правой кнопкой мыши BitLocker Policy и выберите Изменить. Настройте следующие параметры политики:

    Конфигурация компьютера / Политики / Шаблоны администрирования / Компоненты Windows / Шифрование диска BitLocker / Диски операционной системы.

    1. Включите политику Указать способ восстановления дисков операционной системы, защищенной BitLocker, и настройте следующие параметры:

      1. Разрешить агент восстановления данных (значение по умолчанию)

      2. Сохранить сведения о восстановлении BitLocker в службы домена Active Directory (значение по умолчанию)

      3. Не включать BitLocker, пока сведения о восстановлении не сохранены в службах домена Active Directory для дисков операционной системы

    2. Включите политику Configure TPM platform validation profile for BIOS-based firmware configurations.

    3. Включите политику Configure TPM platform validation profile for native UEFI firmware configurations.

      Конфигурация компьютера / Политики / Шаблоны администрирования / Система / Службы доверенного платформенного модуля

    4. Включите политику Turn on TPM backup to Active Directory Domain Services.

Примечание  

Если вы постоянно получаете ошибку «Сведения о шифровании диска Windows BitLocker. Сведения о загрузке системы изменились после включения BitLocker. Необходимо предоставить пароль восстановления BitLocker для запуска этой системы». после шифрования компьютера с помощью BitLocker, возможно, требуется также изменить некоторые групповые политики в разделе «Настройка профиля проверки платформы TPM». Следует это сделать или нет, будет зависеть от используемого оборудования.

 

Назначение разрешений в Active Directory для BitLocker

Помимо групповой политики, созданной ранее, необходимо настроить разрешения в Active Directory, чтобы сохранять сведения о восстановлении TPM. В этом разделе предполагается, что вы загрузили скрипт Add-TPMSelfWriteACE.vbs из сайта Microsoft в папку C:\Setup\Scripts на компьютере DC01.

  1. На компьютере DC01 запустите командную строку Windows PowerShell с правами администратора.

  2. Настройте разрешения с помощью следующей команды:

    cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs

Рисунок 4

Рисунок 4. Выполнение скрипта Add-TPMSelfWriteACE.vbs на компьютере DC01.

Добавление средств конфигурации BIOS от Dell, HP и Lenovo

Чтобы автоматизировать включение чипа TPM во время развертывания, необходимо загрузить средства поставщика и добавить их в последовательности задач напрямую или через скрипт.

Добавление средств от Dell

Средства от Dell можно установить с помощью набора DELL CCTK. Имя исполняемого файла от Dell — cctk.exe. Вот пример команды для включения TPM и установки пароля BIOS с помощью средства cctk.exe:

cctk.exe --tpm=on --valsetuppwd=Password1234

Добавление средств от HP

Средства HP входят в диспетчер системного программного обеспечения HP. Имя исполняемого файла от HP — BiosConfigUtility.exe. Средство использует файл конфигурации для параметров BIOS. Вот пример команды для включения TPM и установки пароля BIOS с помощью средства BiosConfigUtility.exe:

BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234

И образец содержимого файла TPMEnable.REPSET:

English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available

Добавление средств от Lenovo

Средства Lenovo — это набор скриптов VBScript, которые можно установить с помощью программы установки Lenovo BIOS (см. «Руководство по развертыванию инструментария управления Windows (WMI)»). Lenovo также предоставляет возможность отдельной загрузки скриптов. Ниже приводится пример команды для включения TPM с помощью средств Lenovo:

cscript.exe SetConfig.vbs SecurityChip Active

Настройка последовательности задач Windows 10 для включения BitLocker

Во время настройки последовательности задач для запуска средства BitLocker напрямую или через пользовательский скрипт целесообразно добавить логику обнаружения, выполнена или нет настройка BIOS на компьютере. В данной последовательности задач будет использоваться образец скрипта ZTICheckforTPM.wsf с веб-страницы Deployment Guys, который будет проверять состояние микросхемы TPM. Вы можете скачать этот скрипт из блога Deployment Guys по этой ссылке Проверка включения TPM. Следующая последовательность задач добавляет 5 действий:

  • Проверка состояния TPM. Выполняет скрипт ZTICheckforTPM.wsf, чтобы определить, включены ли микросхемы TPM. В зависимости от состояния, скрипт задает свойства TPMEnabled и TPMActivated в значения TRUE или FALSE.

  • Настройка BIOS для TPM. Запускает средства поставщика (в данном случае HP, Dell и Lenovo). Чтобы выполнять данное действие только в случаях, когда это необходимо, добавьте условие, которое позволит выполнить действие, если модуль TPM еще не активирован. Воспользуйтесь свойствами из скрипта ZTICheckforTPM.wsf.

    Примечание  

    Как правило, организации используют эти средства в скриптах ради дополнительных функций ведения журнала и обработки ошибок.

     

  • Перезагрузка компьютера. Перезагружает компьютер.

  • Проверка состояния TPM. Выполняет скрипт ZTICheckforTPM.wsf еще один раз.

  • Включение BitLocker. Выполняет встроенное действие для активации BitLocker.

Связанные разделы

Настройка правил общей папки развертывания MDT

Настройка MDT для скриптов UserExit

Имитация развертывания Windows 10 в тестовой среде

Использование базы данных MDT для представления сведений о развертывании Windows 10

Назначение приложений с помощью ролей MDT

Использование веб-служб в MDT

Использование модулей Runbook Orchestrator с MDT