Windows Active Directory Bitlockerの導入
私は職場でADを介してビットロッカーの導入を実験しています。インターネット上でグーグルで検索したことがありますが、最も役立つリファレンスは次のようです。
サーバー2012 R2、完全に更新。テストクライアントはWindows 7 Ultimate 64ビットで、完全に更新されています。
なんらかの理由で機能していません-何が問題なのかを知るにはどうすればよいですか? GPOを作成してOUにリンクし、win7マシンをドメインに参加させ、win7マシンをOUに移動しました。おそらく暗号化を開始し、ビットロッカー回復キーをADのどこかに保存する(まだどこにあるかわからない)ことが予想されます(ただし、どこにあるかはわかりません)。しかし、何もしません。
BIOSでTPMが有効になっていることを確認した。 '' 'gpupdate/force' ''を実行してwin7マシンを再起動しました...しかし、それでも何も起こりません。
- コンピュータ/ポリシー/管理用テンプレート/システム/ TPMサービス
- (無効)ADへのTPMバックアップを有効にする
- コンピューター/ポリシー/管理用テンプレート/ Windowsコンポーネント/ Bitlockerドライブ暗号化
- (有効)ADにビットロッカー回復情報を保存する(サーバー2008およびVista)
- コンピューター/ポリシー/管理用テンプレート/ Windowsコンポーネント/ Bitlockerドライブ暗号化/オペレーティングシステムドライブ
- (有効)オペレーティングシステムドライブにドライブ暗号化を適用する
最初に気付くのは、「2008とVista」としか書かれていないということです... Win7と8のどこかに、追加の設定があるはずです。
まあ、盲目的に推測するのではなく、なぜ機能しないのか診断の方法を見つけるのは本当にいいでしょう...また、誰かがこれを行った場合成功し、プロセスを文書化しましたか?
あなたの環境でビットロッカーを管理するための合理化は、複数の分野のアプローチを検討することです。
グループポリシー
回復キーをActive Directoryに自動的にバックアップし、回復キーがADに保存されていない場合はコンピューターを暗号化しないようにグループポリシーを設定します。また、ユーザーが自分のマシンを暗号化する場合は、環境で使用しない限り、PINとパスワードのプロンプトを無効にします。
配備
すでに環境内にあるマシンと、新しく構築されたワークステーションを暗号化するための計画を作成します。ブートローダーを格納するためにビットロッカーがワークステーション上に存在するシステムパーティションを必要とするため、新しいワークステーションは通常より簡単です。イメージングプロセスに応じて、これは現在のワークステーションに存在する場合と存在しない場合があり、そうでない場合は別の手順を実行する必要があります bitlockerのハードドライブを準備するため が、コマンドは現時点でエスケープされます。 GUIはそれを自動的に実行し、続行する前に再起動が必要です。コマンドラインも同じように想定する必要があります。 manage-bdeは、グループポリシーが実装される前と同様に、暗号化済みのマシンのリカバリをActive Directoryにバックアップするためにも使用できます。もちろん、自動化されたビットロッカーの導入について話すときは、TPMチップの有効化とアクティブ化も考慮する必要があります。
メンテナンス/災害復旧
回復キーをActive Directoryにバックアップすることは問題ありませんが、コンピューターアカウントが切断されると、失われます。マシンが破棄されている場合は大した問題ではありませんが、これがしばらくネットワークに接続されておらず、ADクリーンアップスクリプトの影響を受けるラップトップだけの場合は、大きな問題になる可能性があります。 Powershellを使用して、Active Directoryからバックアップキーを取得できます。
既に述べたように、Active Directory内から直接ブロッカーの暗号化を開始することはできません。
ラップトップでスケジュールされたタスクを使用して(グループポリシーの設定で展開できます)、暗号化プロセスを開始し、必要なパラメーターを渡すことができます。
回復キーを一元的に管理するためのグループポリシーオプションが必要です。リカバリキーポリシーを設定してロックアウトする前に、このようなスケジュールされたタスクを実行しました。楽しくない。グループポリシーは、スクリプト化されたジョブがGUIから開始する場合と同じ要件を満たしていることを確認します。