Быстрая централизованная настройка Bitlocker + TPM модуль + PIN через групповые политики

В наличии:

  • домен (Active Directory 2008 и выше)
  • компьютеры с установленным TPM-модулем
  • 3 раздела на жестком диске компьютера (один из которых системный)
  • Windows 7 Enterprise (но подойдет Windows 8.1 и Windows 10)
  • желание защитить информацию от постороннего вмешательства

Цель:

  1. Добиться автоматического запуска шифрования данных на всех томах диска. Несистемные тома должны автоматически разблокироваться при входе пользователя в систему.
  2. Пользователь должен сам ввести ПИН-код и пароли для шифрования системного раздела и разделов с данными.

Шаги для достижения цели:

  1. Проверяем, что TPM-модуль включен на компьютерах. По умолчанию, он обычно отключен. Делаем это через BIOS (UEFI) или специальные утилиты, которые крупные вендоры делают, чтобы можно было изменять настройки BIOS централизованно (уточняйте у DELL/HP/IBM/Lenovo и т.д.)
  2. Создаем организационное подразделение (OU) в каталоге Active Directory, куда необходимо перенести все доменные компьютеры, которые будут подвержены шифрованию.
  3. Создаем новую групповую политику и в ней необходимо настроить политику из раздела «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Этот параметр политики позволяет выбрать шифрование дисков»:
    — в разделе «диски операционной системы» изменяем политики:
    а) «Этот параметр политики позволяет указать, требует ли BitLocker дополнительной проверки подлинности при каждом запуске»б) «Этот параметр политики позволяет указать, разрешено ли обычным пользователям изменять ПИН-коды или пароль»в) «Этот параметр политики позволяет настраивать использование улучшенных ПИН-кодов при запуске компьютера.»

    г) «Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска»

    д) «Этот параметр политики позволяет указать, как восстанавливать диски операционной системы, защищенные с помощью BitLocker» — очень важная настройка. Т.к. администратор в моем случае не знает о пин-кодах и паролях, которые придумают пользователи, то ему необходимо средство восстановления доступа к томам, в случае потери пароля или увольнения сотрудника. Для этого сохраняем ключи восстановления в Active Directory и не начинаем шифрование пока ключ не будет сохранен там.

    — в разделе «несъемные диски с данными» изменяем политики:

    а) «Этот параметр политики определяет, требуется ли пароль для разблокировки несъемных дисков с данными»

    б) «Этот параметр политики позволяет указать, как восстанавливать несъемные диски с данными, защищенными с помощью BitLocker» — настраиваем аналогично системному диску.

    На этом можно закончить с настройкой групповых политик, если у Вас Windows 7. Для Windows 8 и 10 интересных настроек есть чуть побольше, внимательно ознакомьтесь со всеми.

  4. Привязываем настроенную политику к подразделению, которому мы создали на втором шаге.
  5. Далее мы должны взять скрипт, который доступен по этому адресу. Скрипт изначально не работает на неанглоязычных локалях. Чтобы скрипт заработал на системе с русским интерфейсом, надо в самом скрипте подправить значения «True» на «Истина» и «False» на «Ложь», но только не везде, а в основном теле скрипта и в функции «OwnTPM». Так же под русскоговорящего пользователя можно изменить текст уведомлений на русский, это делается в функции «GetPIN».
  6. Создаем файл с расширением bat, в котором будем запускать vbs скрипт из предыдущего пункта, запускать шифрование на каждом из дисков и включать на этих дисках автоматическую разблокировку. Этот скрипт необходимо создавать в кириллической кодировке «OEM 866», т.к. именно в ней в командой строке по умолчанию отображается текст. Проще всего это сделать через Notepad++


    Не забываем прикрепить этот скрипт к групповым политикам и к тому же подразделению, что мы создали ране. Добавление скрипта делается в разделе «»Конфигурация компьютера — Политики — Конфигурации Windows — Сценарии — Автозагрузка».

    Само содержание скрипта у меня такое:

    TITLE Запуск системы шифрования дисков. Не закрывайте это окно!
    cls
    start "" /WAIT "C:\EnableBitLocker-ru.vbs" /on:tp /l:D:\bitlocker.log /em:256 /promptuser
    cls
    TIMEOUT /T 15 /NOBREAK
    cls
    start "Шифрование диска D:" /WAIT "%Systemroot%\system32\manage-bde.exe" -on -pw D: -rp
    cls
    start "Включение автоматической разблокировки диска D:" "%Systemroot%\system32\manage-bde.exe" -autounlock -enable D:
    cls
    start "Шифрование диска Z:" "%Systemroot%\system32\manage-bde.exe" -on -pw Z: -rp
    cls
    start "Включение автоматической разблокировки диска Z:" "%Systemroot%\system32\manage-bde.exe" -autounlock -enable Z:
    exit

    Скрипт будет работать при условии, что файл «EnableBitLocker-ru.vbs» лежит в корне диска C. Чтобы этот файл также централизованно переместить в это месторасположение, добавьте в bat-скрипт в начало строку xcopy -Y «расположение скрипта vbs в сетевой папке» «C:\» В самом скрипте сделана пауза в 15 секунд на всякий случай, т.к. мы настроили сохранение ключей шифрования в Active Directory и поэтому бывают небольшие задержки при включении шифрования на диске С, а без включения Bitlocker на системном томе, шифрование на других дисках не начнется (в Windows 10 такая пауза не нужна, т.к. правильно отрабатывает ключ /WAIT при запуске vbs скрипта).

Также хочу дополнить о строчке
start "" /WAIT "C:\EnableBitLocker-ru.vbs" /on:tp /l:D:\bitlocker.log /em:256 /promptuser

В ней обязательно нужно в ключе /l указывать файл лога не на системном томе, иначе скрипт не будет запускаться. Скрипт так же не будет работать, если запускать его через удаленный рабочий стол (ключ /promptuser в таком случае не получает информацию о текущем консольном сеансе пользователя)

Вот как все выглядит глазами пользователя:

 

 

P.S. Чтобы посмотреть ключи восстановления в Active Directory, необходимо на контроллере домена установить специальную компоненту:

 

После этого в оснастке «Active Directory пользователи и компьютеры» в свойствах компьютера будет отображаться вкладка Bitlocker:

 

Автоматическая установка Office 365 Professional на компьютеры в домене

Привет!
Совсем недавно вышел Office 2016 из недр Office 365 и настала пора задуматься над тем, как его установить на компьютеры в домене, приложив к этому как можно меньше усилий. Домен небольшой, поэтому для автоматизации установки будет использоваться только групповая политика.

  1. Для начала администратору необходимо скачать инструмент «Office 2016 Deployment Tool» с оффициального сайта Microsoft. Распакуем его. Внутри два файла:
    setup.exe — используется для скачивания, установки и удаления Office 2016
    configuration.xml — в котором хранится информация что делать, как и куда.
  2. Затем скачиваем весь дистрибутив Office 2016. Для этого берем файл  configuration.xml и заполняем его следующим текстом:
    <Configuration>
    <Add SourcePath="\\VENERA\Distrib\SOFT\Microsoft\Office_2016\"OfficeClientEdition="32">
    <Product ID="O365ProPlusRetail">
    <Language ID="ru-ru" />
    </Product>
    </Add>
    <Display Level="None" AcceptEULA="TRUE" />
    </Configuration>
  3. В командной строке выполняем команду setup.exe /download configuration.xml для запуска процесса скачивания дистрибутива.
  4. Создаем групповую политику, в которой указываем на скрипт с расширением «cmd», который запускает  setup.exe с указанием конфигурационного файла. В моем случае содержимое скрипта такое:
    \\VENERA\Distrib\SOFT\Microsoft\Office_2016\setup.exe/configure \\VENERA\Distrib\SOFT\Microsoft\Office_2016\configuration.xml
    Не забываем групповую политику настроить на компьютер, иначе при запуске скрипта будет спрашиваться пароль администратора компьютера. Чтобы компьютер мог запустить этот скрипт в сетевой папке ему нужны соответствующие права на запуск.
  5. В настройках групповой политики в «фильтре безопасности» убираем группу «Прошедшие проверку» и добавляем группу безопасности, в которую вы должны добавить все те компьютеры, на которых будет установлен Office 2016.
  6. Перезагружаем компьютеры. Примерно через 10 минут после их запуска Office 2016 будет установлен. Этого не произойдет, если в процессе запуска установки пользователь запустит другую версию уже установленного Office. В таком случае, нужно перезагрузить компьютер еще раз и тогда Office 2016 до-установится. Если на вашем компьютере установлена предыдущая версия Office, то она будем удалена и заменена новой версией.
  7. После запуска Office 2016, пользователю будет предложено его активировать. Для этого нужно ввести адрес электронной почты и пароль, которые зарегистрированы в Office 365 и которая имеет соответствующую лицензию.Если Вам необходимо устанавливать не все продукты, которые входят в Office 365 Prof Plus или же необходимо установить, например, Visio таким же образом, то советую почитать подробнее о файле configuration.xml на Technet.

Как узнать ключ активации установленной Windows

Иногда приходится выяснять ключ активации установленной Windows не тривиальным путем, т.к. стандартный скрипт slmgr.vbs не выводит ключ полностью, а наклейка на корпусе системного блока или ноутбука могла давно уже стереться. Что же в таком случае делается?

1) Скачайте скрипт c powershell скриптом к себе на компьютер.

2) Запустите Powershell и выполните команду Set-ExecutionPolicy RemoteSigned

3) Вводим команду Import-Module <путь до файла module.ps1>

4) Исполняем командлет Get-WindowsProduct и радуемся полученному результату ?

P.S. На Windows 10 скрипт не работает.

Изменение типа сети в Windows 10

Все давно уже видели и знают, наверно, что когда компьютер с Windows 8 , 8.1 или 10 подключается к новой сети, он спрашивает у пользователя “Хотите ли Вы, чтобы этот компьютер был виден в сети..”. При выборе “Да” тип сети становился “Частная”, при выборе “Нет” – “Общественная”. Причем ранее в Windows 7 переключение между “Частная сеть” и “Общественная” делалось за пару кликов мыши в “Центре управления сетями и общим доступом”. Начиная с Windows 8 эту возможность закопали очень глубоко. Я вам покажу на примере Windows 10 как можно переключить тип сети.

1. Нажимаем клавиши Win + I для запуска современной панели управления. Выбираем там раздел “Сеть и Интернет”

2. Выбираем вкладку Ethernet.

3. Дважды кликаем на локальную сеть, у которой надо поменять настройку

4. Включаем пункт меню “Позвольте другим компьютерам..”, если нужно данную сеть сделать “Частной” или же наоборот, если хотите поменять тип на “Общественная”. Перезагружаться не надо, настройка сразу вступит в силу.

P.S. Изменение типа сети так же возможно и через Powershell.

Для этого сначала нужно узнать номер сетевого интерфейса, на котором нужно поменять тип сети. Это делается командой
get-NetConnectionProfile Строка “InterfaceIndex” даст нужную информацию о номере нужного сетевого интерфейса. Далее командой
Set-NetConnectionProfile -InterfaceIndex <номер интерфейса> -NetworkCategory Private
или
Set-NetConnectionProfile -InterfaceIndex <номер интерфейса> -NetworkCategory Public меняем тип сети на “Приватная” или “Публичная”

MBR is missing

Сегодня столкнулся с такой проблемой: при перезагрузке сервера (в моем случае это был Windows Server 2008 R2 ) система не загрузилась и появилась ошибка MBR is missing. Press Ctrl+Alt+Delete to restart Ошибка эта довольно часто встречается с компьютерами, поэтому хотелось бы описать, как я ее решил.

1. Перезагружаемся. Проверяем, что все RAID-контроллеры, физические диски и собранные RAID на месте. Чаще всего при загрузке сервера такая важная информация всегда выводится в процессе тестирования сервера в момент включения. Если с ними все в порядке, нет странных warning-ов или error-ов, то переходим к следующему шагу.
2. Проверяем, что в BIOS (UEFI) выставлена загрузка с жесткого диска или RAID на котором установлена операционная система. Если все там правильно, то переходим дальше.
3. Загружаемся с загрузочного диска с любым Windows, начиная с Vista. Надо убедиться, что загрузочный диск видит все тома и партиции, в том числе и служебные! Для 2008 сервера в частности важно, чтобы был служебный том, размером 350 Мб. На нем хранится главная загрузочная запись, а также все файлы загрузчика Windows. И самое главное: эта партиция должна быть активной. BIOS в процессе загрузки начинает грузить информацию с раздела на диске, который указан как активный. У меня была именно в этом проблема и поэтому система не знала откуда начинать загрузку.

Как же узнать всю информацию о разделах через загрузочный диск? Самый простой вариант через утилиту diskpart. Она входит в любой современный дистрибутив Windows и доступна через командную строку.

 

Примерно такими командами определяется активный ли раздел или же нет. Главное, сначала надо понять, с какого диска осуществляется загрузка, затем нужно узнать, какие разделы есть на этом диске и, наконец, командой detail part можно увидеть активный раздел или нет. Если нет, то просто пишем команду active на разделе с загрузчиком и перезагружаемся.

Если же у вас проблема не в этом и система продолжает писать эту ошибку, то напишите мне, я постараюсь вам оперативно помочь.

Компьютер, ноутбук с Windows 8/8.1/10 не выключается

Если Вы столкнулись с проблемой, когда при нажатии кнопки “Выключить” в интерфейсе компьютера с Windows 8, Windows 8.1 или Windows 10, то тогда необходимо отключить одну новинку, связанную с электропитанием, которая появилась в Windows 8. Эта “фишка” позволяет компьютер выводить в состояние “Включен” из состояния “Выключен” за достаточно непродолжительный промежуток времени. Технология называется “InstantGo” и к сожалению пока не распространена как хотелось бы.

Для этого необходимо зайти в Панель управления  –  Электропитание. В ллевом боковом меню найти “Действия кнопок питания” и там нажать на “Изменение параметров, которые сейчас недоступны“. После этого появится возможность отключить функцию быстрого запуска. После ее отключения проблемы с выключением компьютера должны пропасть.

Синий экран (blue screen) при загрузке Windows 7. Ошибка 0x0000007B

На днях, при попытке загрузить Windows 7 SP1 Pro x64, возник синий экран с ошибкой 0x0000007B. При включении отображения полной информации о загружаемых элементах выяснилось,  что загрузка останавливается на файле CLASSPNP.SYS. Выяснилось, что накануне были установлены два обновления, которые вышли вне очереди в конце апреля. Возможно проблема была из-за них, не стал выяснять.
В общем, такая проблема может возникать по разным причинам, но чаще всего проблема заключается в том, что загружаемая система не видит подключенные дисковые ресурсы, а это в свою очередь может возникать от того, что драйвер не загружается или он поврежден (отсутствует). В моем случае драйвер не загружался. Что нужно, чтобы устранить эту проблему?
1) Загружаемся с загрузочного диска (флешки) с аналогичной системой
2) Входим в режим восстановления
3) В режиме восстановления запускаем командную строку и запускаем в ней Реестр командой regedit
4) Устанавливаем выделение на ветку реестра HKEY_LOCAL_MACHINE. Дальше нажимаем Файл – Загрузить куст и проходим в директорию C:\Windows\System32\config , здесь, по умолчанию, расположены системный реестр. В папке RegBack содержатся резервные копии веток реестра. В случае чего его можно будет восстановить, а пока нужно загрузить “куст” SYSTEM. При его подключении компьютер потребует назвать каким-либо образом подключаемую ветку реестра. Назовите например “Temp”.
5) Дальше необходимо  поставить указатель на подключенную ветку “Temp” и воспользоваться поиском по реестру (Ctrl+F). В поле поиска нужно вписать “SCSI Miniport” и начать искать. Как только будут находиться устройства с таким названием, нужно находить в нем ключик “Start” и переводить его значение из 3 в 0, таким образом разрешая ему загрузиться.
6) Нажимаем F3 и находим следующее устройство, с которым поступаем аналогичным образом. Делаем до тех пор так, пока на всех устройствах не будет изменен ключ запуска Start с “3” на “0”.
7) После всего этого выделяем ветку “Temp” и через меню  “Файл – Выгрузить куст” отключаем подключенную ветку реестра не загружающееся системы.
8) Перезагружаем компьютер и наслаждаемся полноценной загрузкой системы. После выхода на рабочий стол Windows 7 сообщит, что найдено новое оборудование, на которое оно автоматически установит нужный драйвер.

Если возникнут вопросы или, если инструкция не помогает, то пишите мне в комментарияiх, постараюсь вам помочь.

Ошибка 0x101-0x20017 при установке (обновлении) Windows 8.1

Приключилась с моим другом недавно беда – невозможно обновить установленную Windows 8 Enterprise до Windows 8.1 Enterprise. Все обновления были установлены, а сам дистрибутив был официальный, хоть и очень старый в плане сборки. Ошибка возникала каждый раз в одном и том же месте после всех проверок и перезагрузки компьютера, но до установки самой системы. В интернете ничего полезного не нашел, поэтому решил скачать новый дистрибутив с той же редакцией системы и это помогло! В данном случае мое дистрибутив именовался как SW_DVD9_SA_Win_Ent_8.1_64BIT_Russian_-3_MLF_X19-84254.ISO

Поэтому советую и всем остальным, у кого возникла подобная проблема, скачать другой образ, поновее, чтобы убедиться, что проблема в нем (или же не в нем). У меня уже не первый раз проблемы с установкой возникают из-за некачественного образа системы.