Настройка MDT для BitLocker
В этом разделе вы узнаете, как настроить среду для BitLocker, шифрование тома диска, встроенное в Windows 10 Корпоративная и Windows 10 Pro, с помощью MDT. BitLocker в Windows 10 предъявляет два требования к развертыванию операционной системы:
Средство защиты, которое можно сохранить в микросхеме доверенного платформенного модуля (TPM) или в качестве пароля. Технически можно также использовать USB-диск для хранения средства защиты, но этот подход не рекомендуется, так как USB-диск может быть потерян или украден. Рекомендуется использовать микросхему TPM и/или пароль.
Несколько разделов на жестком диске.
Для настройки среды для BitLocker необходимо сделать следующее.
Настройте Active Directory для BitLocker.
Загрузите скрипты и средства BitLocker.
Настройте последовательность задач развертывания операционной системы для BitLocker.
Настройте правила (CustomSettings.ini) для BitLocker.
Примечание
В BitLocker не предъявляется такого требования, но рекомендуется настроить BitLocker для хранения ключа восстановления и сведений о владельце в Active Directory. Дополнительные сведения об этих компонентах см. в разделе Создание резервной копии BitLocker и сведений о восстановлении TPM в Active Directory DS. При наличии доступа к средству MBAM, которое является частью пакета MDOP, можно настроить дополнительные компоненты для BitLocker.
В этом разделе используется DC01, контроллер домена, который является членом домена contoso.com вымышленной корпорации Contoso. Дополнительные сведения о конфигурации для этого раздела см. в разделе Развертывание Windows 10 с помощью Microsoft Deployment Toolkit.
Настройка Active Directory для BitLocker
Чтобы разрешить BitLocker сохранить ключ восстановления и сведения о TPM в Active Directory, необходимо создать политику группы для него в Active Directory. В этом разделе используется Windows Server 2012 R2, поэтому нет необходимости расширять схему. Однако необходимо задать соответствующие разрешения в Active Directory.
Примечание
В зависимости от версии схемы Active Directory, перед сохранением сведений BitLocker в Active Directory может потребоваться обновление схемы.
В Windows Server 2012 R2 (а также в Windows Server 2008 R2 и Windows Server 2012) вы получаете доступ к средствам администрирования шифрования диска BitLocker, которые помогут управлять BitLocker. Во время установки компонентов добавляется средство просмотра паролей восстановления Active Directory для BitLocker, а также сведения о восстановлении пользователей и компьютеров Active Directory.
Рисунок 2. Сведения для восстановления BitLocker на компьютере в домене contoso.com.
Добавление средств администрирования шифрования диска BitLocker
Средства администрирования шифрования диска BitLocker добавляются в качестве компонентов через диспетчер сервера (или Windows PowerShell).
На компьютере DC01 войдите в качестве CONTOSO\Administrator и в диспетчере сервера щелкните Add roles and features.
На странице Before you begin нажмите кнопку Далее.
На странице Select installation type выберите параметр Role-based or feature-based installation и нажмите кнопку Далее.
На странице Select destination server выберите DC01.contoso.com и нажмите кнопку Далее.
На странице Select server roles нажмите кнопку Далее.
На странице Select features разверните Remote Server Administration Tools, Feature Administration Tools, выберите следующие компоненты и нажмите Далее:
Средства администрирования шифрования диска BitLocker
Средства шифрования диска BitLocker
Средство просмотра пароля восстановления BitLocker
На странице Confirm installation selections нажмите кнопку Установить, а затем Закрыть.
Рисунок 3. Выбор средств администрирования шифрования диска BitLocker.
Создание групповой политики BitLocker
Приведенные ниже шаги позволяют включить резервное копирование BitLocker и сведения о восстановлении TPM в Active Directory. Вы также включаете политику для профиля проверки TPM.
На компьютере DC01 с помощью управления групповыми политиками щелкните правой кнопкой мыши организационное подразделение Contoso и выберите Create a GPO in this domain, and Link it here.
Назначьте имя BitLocker Policy новой групповой политике.
Разверните подразделение Contoso, щелкните правой кнопкой мыши BitLocker Policy и выберите Изменить. Настройте следующие параметры политики:
Конфигурация компьютера / Политики / Шаблоны администрирования / Компоненты Windows / Шифрование диска BitLocker / Диски операционной системы.
Включите политику Указать способ восстановления дисков операционной системы, защищенной BitLocker, и настройте следующие параметры:
Разрешить агент восстановления данных (значение по умолчанию)
Сохранить сведения о восстановлении BitLocker в службы домена Active Directory (значение по умолчанию)
Не включать BitLocker, пока сведения о восстановлении не сохранены в службах домена Active Directory для дисков операционной системы
Включите политику Configure TPM platform validation profile for BIOS-based firmware configurations.
Включите политику Configure TPM platform validation profile for native UEFI firmware configurations.
Конфигурация компьютера / Политики / Шаблоны администрирования / Система / Службы доверенного платформенного модуля
Включите политику Turn on TPM backup to Active Directory Domain Services.
Примечание
Если вы постоянно получаете ошибку «Сведения о шифровании диска Windows BitLocker. Сведения о загрузке системы изменились после включения BitLocker. Необходимо предоставить пароль восстановления BitLocker для запуска этой системы». после шифрования компьютера с помощью BitLocker, возможно, требуется также изменить некоторые групповые политики в разделе «Настройка профиля проверки платформы TPM». Следует это сделать или нет, будет зависеть от используемого оборудования.
Назначение разрешений в Active Directory для BitLocker
Помимо групповой политики, созданной ранее, необходимо настроить разрешения в Active Directory, чтобы сохранять сведения о восстановлении TPM. В этом разделе предполагается, что вы загрузили скрипт Add-TPMSelfWriteACE.vbs из сайта Microsoft в папку C:\Setup\Scripts на компьютере DC01.
На компьютере DC01 запустите командную строку Windows PowerShell с правами администратора.
Настройте разрешения с помощью следующей команды:
cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs
Рисунок 4. Выполнение скрипта Add-TPMSelfWriteACE.vbs на компьютере DC01.
Добавление средств конфигурации BIOS от Dell, HP и Lenovo
Чтобы автоматизировать включение чипа TPM во время развертывания, необходимо загрузить средства поставщика и добавить их в последовательности задач напрямую или через скрипт.
Добавление средств от Dell
Средства от Dell можно установить с помощью набора DELL CCTK. Имя исполняемого файла от Dell — cctk.exe. Вот пример команды для включения TPM и установки пароля BIOS с помощью средства cctk.exe:
cctk.exe --tpm=on --valsetuppwd=Password1234
Добавление средств от HP
Средства HP входят в диспетчер системного программного обеспечения HP. Имя исполняемого файла от HP — BiosConfigUtility.exe. Средство использует файл конфигурации для параметров BIOS. Вот пример команды для включения TPM и установки пароля BIOS с помощью средства BiosConfigUtility.exe:
BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234
И образец содержимого файла TPMEnable.REPSET:
English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available
Добавление средств от Lenovo
Средства Lenovo — это набор скриптов VBScript, которые можно установить с помощью программы установки Lenovo BIOS (см. «Руководство по развертыванию инструментария управления Windows (WMI)»). Lenovo также предоставляет возможность отдельной загрузки скриптов. Ниже приводится пример команды для включения TPM с помощью средств Lenovo:
cscript.exe SetConfig.vbs SecurityChip Active
Настройка последовательности задач Windows 10 для включения BitLocker
Во время настройки последовательности задач для запуска средства BitLocker напрямую или через пользовательский скрипт целесообразно добавить логику обнаружения, выполнена или нет настройка BIOS на компьютере. В данной последовательности задач будет использоваться образец скрипта ZTICheckforTPM.wsf с веб-страницы Deployment Guys, который будет проверять состояние микросхемы TPM. Вы можете скачать этот скрипт из блога Deployment Guys по этой ссылке Проверка включения TPM. Следующая последовательность задач добавляет 5 действий:
Проверка состояния TPM. Выполняет скрипт ZTICheckforTPM.wsf, чтобы определить, включены ли микросхемы TPM. В зависимости от состояния, скрипт задает свойства TPMEnabled и TPMActivated в значения TRUE или FALSE.
Настройка BIOS для TPM. Запускает средства поставщика (в данном случае HP, Dell и Lenovo). Чтобы выполнять данное действие только в случаях, когда это необходимо, добавьте условие, которое позволит выполнить действие, если модуль TPM еще не активирован. Воспользуйтесь свойствами из скрипта ZTICheckforTPM.wsf.
Примечание
Как правило, организации используют эти средства в скриптах ради дополнительных функций ведения журнала и обработки ошибок.
Перезагрузка компьютера. Перезагружает компьютер.
Проверка состояния TPM. Выполняет скрипт ZTICheckforTPM.wsf еще один раз.
Включение BitLocker. Выполняет встроенное действие для активации BitLocker.
Связанные разделы
Настройка правил общей папки развертывания MDT
Настройка MDT для скриптов UserExit
Имитация развертывания Windows 10 в тестовой среде
Использование базы данных MDT для представления сведений о развертывании Windows 10