모든 옵션이 설정되고 복구 키가 Active Directory에 저장되도록 그룹 정책에서 BitLocker 및 TPM 설정을 구성했습니다. 우리의 모든 컴퓨터는 표준 회사 이미지로 Windows 7을 실행하고 있으며 TPM 칩이 BIOS에서 활성화 및 활성화되어 있습니다.
내 목표는 모든 사용자가 BitLocker 사용을 클릭하고 사라지게하는 것입니다. Microsoft는 스크립트를 통해 배포 할 수있는 자동화 샘플도 제공합니다. 그러나이 과정을 순조롭게 만드는 데에는 작은 문제가 있습니다.
GUI에서 사용자가 BitLocker를 사용하도록 설정하면 자동으로 생성되는 소유자 비밀번호로 TPM을 초기화해야합니다. 그러나 복구 암호는 사용자에게 표시되며 텍스트 파일로 저장하라는 메시지가 표시됩니다. 이 대화 상자를 표시하지 않고 단계를 건너 뛸 수 없습니다. 키가 AD에 성공적으로 백업되었으므로 원하지 않는 (필요하지 않은) 프롬프트입니다.
배치를 스크립팅하는 경우 TPM을 초기화 할 때 스크립트에 소유자 비밀번호를 제공해야하며 GUI가 수행하는 방식으로 임의로 비밀번호를 생성하기를 원합니다.
BitLocker 배포를 원하는 방식으로 진정 제로 터치 할 수있는 방법이 있습니까?
답변
그룹 정책을 통해이 작업을 수행 할 수 있습니다. 복구 키 / 패키지를 AD에 백업하도록 이미 구성한 경우 AD에 백업을 구성한 화면과 동일한 화면에서 “BitLocker 설정 마법사에서 복구 옵션 생략”확인란을 선택하기 만하면됩니다. 이 설정은 드라이브 유형 (OS, 고정 및 이동식)에 따라 다릅니다. OS 드라이브 이상을 암호화하는 경우 컴퓨터 구성> 관리 템플릿> Windows 구성 요소> BitLocker 드라이브 암호화의 각 노드에서 정책을 설정해야합니다. 이 확인란은 마법사에서 페이지 만 제거합니다. 사용자가 암호화 후 복구 키를 내 보내지 못하게하려면 복구 옵션도 모두 허용하지 않아야합니다.
또한이 정책이 지원되는 플랫폼에주의하십시오. 여기에는 Vista / Server2008 용과 7 / Server2012 이상용의 두 가지 정책 설정이 있습니다. 여전히 Vista를 사용하는 경우 “사용자가 BitLocker로 보호 된 드라이브를 복구 할 수있는 방법 선택”정책을 사용하고 두 방법을 모두 허용되지 않음으로 설정 한 다음 “Active Directory 도메인 서비스에 BitLocker 복구 정보 저장”정책을 사용으로 설정해야합니다. .
답변
Microsoft BitLocker 관리 및 모니터링을 보셨습니까? 컴퓨터에서 원격으로 실행되는 조용한 서비스입니다. 이 소스에서 가져 오기 :
http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx
예를 들어, 최종 사용자 측에 비 터치 방식으로 배치하고 하나의 콘솔에 이상적으로 설치하는 등 필요한 사항이 포함되어 있습니다.
도움이 되었기를 바랍니다!
MBAM이 작동하려면 PS TPM이 활성화되어 있어야합니다.