BitLocker: развертывание в Windows Server 2012 и более поздних версиях

  • Статья

В этом разделе для ИТ-специалистов объясняется, как развернуть BitLocker и Windows Server 2012 и более поздней версии.

Для всех выпусков Windows Server функцию BitLocker необходимо устанавливать с помощью диспетчера серверов. Однако вы можете подготовить BitLocker перед установкой операционной системы сервера в рамках развертывания.

Установка BitLocker

Для установки функции BitLocker требуются права администратора на сервере. Установить BitLocker можно с помощью диспетчера серверов или командлетов Windows PowerShell.

  • Установка BitLocker с помощью диспетчера серверов

  • Установка BitLocker с помощью Windows PowerShell

Установка BitLocker с помощью диспетчера серверов

  1. Откройте диспетчер серверов, выбрав соответствующий значок или запустив файл servermanager.exe.

  2. На панели навигации диспетчера серверов нажмите кнопку Управление и выберите Добавить роли и компоненты, чтобы запустить мастер добавления ролей и компонентов.

  3. Когда мастер добавления ролей и компонентов откроется, нажмите кнопку Далее на панели Перед началом работы (если отображается).

  4. Выберите Установка ролей или компонентов на панели Тип установки мастера добавления ролей и компонентов и нажмите кнопку Далее, чтобы продолжить.

  5. Выберите параметр Выбрать сервер из пула серверов на панели Выбор сервера и подтвердите сервер для установки функции BitLocker.

  6. Роли и функции сервера устанавливаются помощью того же мастера в диспетчере серверов. Нажмите кнопку Далее на панели Роли сервера мастера добавления ролей и компонентов, чтобы перейти к панели Компоненты.

  7. Установите флажок Шифрование диска BitLocker на панели Компоненты мастера добавления ролей и компонентов. Мастер покажет дополнительные компоненты управления, доступные для функции BitLocker. Если вы не хотите их устанавливать, отключите параметр Включить средства управления и выберите Добавить компоненты. После выбора дополнительных компонентов нажмите кнопку Далее, чтобы перейти к следующему шагу мастера.

    Примечание  

    Enhanced Storage — обязательный компонент для работы функции BitLocker. Этот компонент обеспечивает поддержку зашифрованных жестких дисков в соответствующих системах.

     

  8. Выберите Установить на панели Подтверждение мастера добавления ролей и компонентов, чтобы начать установку функции BitLocker. Чтобы завершить установку, необходимо перезапустить компьютер. При выборе параметра Автоматический перезапуск конечного сервера, если требуется на панели Подтверждение после завершения установки будет выполнен принудительный перезапуск компьютера.

  9. Если флажок Автоматический перезапуск конечного сервера, если требуется не установлен, на панели результатов мастера добавления ролей и компонентов будет показано сообщение об успешной или неудачной установке функции BitLocker. Если для завершения установки функции необходимы дополнительные действия, например перезапуск компьютера, будет показано соответствующее уведомление.

Установка BitLocker с помощью Windows PowerShell

Windows PowerShell предоставляет администраторам другой способ установки функции BitLocker. Windows PowerShell устанавливает компоненты с помощью модуля servermanager или dism; однако модули servermanager и dism не всегда используют соответствие имен компонентов. Поэтому рекомендуется подтвердить имя функции или роли до установки.

Примечание  

Чтобы завершить установку BitLocker, необходимо перезапустить сервер.

 

Использование модуля servermanager для установки BitLocker

Для установки функции BitLocker модуль Windows PowerShell servermanager может использовать командлет Install-WindowsFeature или Add-WindowsFeature. Командлет Add-WindowsFeature — это просто заглушка командлета Install-WindowsFeature. В этом примере используется командлет Install-WindowsFeature. Имя компонента BitLocker в модуле servermanagerBitLocker. Это можно определить с помощью командлета Get-WindowsFeature с таким запросом:

Get-WindowsFeature Bit

В результате выполнения этой команды отображается таблица всех имен компонентов, начинающихся с префикса Bit. Это позволяет убедиться в том, что имя компонента BitLocker — BitLocker.

По умолчанию установка компонентов в Windows PowerShell не включает необязательные дочерние компоненты и средства управления. Это можно узнать с помощью параметра -WhatIf в Windows PowerShell.

Install-WindowsFeature BitLocker -WhatIf

В результате выполнения этой команды мы узнаем, что она позволяет устанавливать только функцию шифрования диска BitLocker.

Чтобы просмотреть, что будет установлено с функцией BitLocker, в том числе все доступные средства управления и дочерние компоненты, используйте следующую команду:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -WhatIf | fl

В результате выполнения этой команды отображается следующий список всех средств администрирования для BitLocker, которые будут установлены с функцией, в том числе средства для использования с доменными службами Active Directory (AD DS) и службами Active Directory облегченного доступа к каталогам (AD LDS).

  • Шифрование диска BitLocker

  • Средства шифрования диска BitLocker

  • Средства администрирования шифрования диска BitLocker

  • Средство просмотра паролей восстановления BitLocker

  • Оснастки и программы командной строки доменных служб Active Directory

  • Средства AD DS

  • Средства AD DS и AD LDS

Команда для полной установки функции BitLocker со всеми доступными компонентами и перезапуска сервера после завершения:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Важно  

При установке функции BitLocker с помощью Windows PowerShell не устанавливается функция Enhanced Storage. Администраторам, которые хотят включить поддержку зашифрованных дисков в своей среде, необходимо установить функцию Enhanced Storage отдельно.

 

Использование модуля dism для установки BitLocker

Модуль Windows PowerShell dism использует командлет Enable-WindowsOptionalFeature для установки компонентов. Имя компонента BitLocker — BitLocker. Модуль dism не поддерживает подстановочные знаки при поиске имен компонентов. Чтобы вывести список имен компонентов для модуля dism, используйте командлет Get-WindowsOptionalFeatures. Ниже приведена команда для вывода всех необязательных компонентов в работающей операционной системе.

Get-WindowsOptionalFeature -Online | ft

Из этих данных мы видим, что с BitLocker связано три имени необязательных компонентов: BitLocker, BitLocker-Utilities и BitLocker-NetworkUnlock. Единственные обязательные элементы для установки компонента BitLocker — BitLocker и BitLocker-Utilities.

Чтобы установить BitLocker с помощью модуля dism, используйте следующую команду:

Enable-WindowsOptionalFeature -Online -FeatureName BitLocker -All

Эта команда выводит запрос на перезапуск. Командлет Enable-WindowsOptionalFeature не может обеспечить принудительную перезагрузку компьютера. Эта команда не включает установку средств управления для BitLocker. Для полной установки BitLocker и всех доступных средств управления используйте следующую команду:

Enable-WindowsOptionalFeature -Online -FeatureName BitLocker, BitLocker-Utilities -All

Дополнительные сведения

Обзор BitLocker

Вопросы и ответы по BitLocker

Подготовка организации к использованию BitLocker: планирование и политики

BitLocker: включение сетевой разблокировки