Быстрая централизованная настройка Bitlocker + TPM модуль + PIN через групповые политики

В наличии:

  • домен (Active Directory 2008 и выше)
  • компьютеры с установленным TPM-модулем
  • 3 раздела на жестком диске компьютера (один из которых системный)
  • Windows 7 Enterprise (но подойдет Windows 8.1 и Windows 10)
  • желание защитить информацию от постороннего вмешательства

Цель:

  1. Добиться автоматического запуска шифрования данных на всех томах диска. Несистемные тома должны автоматически разблокироваться при входе пользователя в систему.
  2. Пользователь должен сам ввести ПИН-код и пароли для шифрования системного раздела и разделов с данными.

Шаги для достижения цели:

  1. Проверяем, что TPM-модуль включен на компьютерах. По умолчанию, он обычно отключен. Делаем это через BIOS (UEFI) или специальные утилиты, которые крупные вендоры делают, чтобы можно было изменять настройки BIOS централизованно (уточняйте у DELL/HP/IBM/Lenovo и т.д.)
  2. Создаем организационное подразделение (OU) в каталоге Active Directory, куда необходимо перенести все доменные компьютеры, которые будут подвержены шифрованию.
  3. Создаем новую групповую политику и в ней необходимо настроить политику из раздела «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Этот параметр политики позволяет выбрать шифрование дисков»:
    — в разделе «диски операционной системы» изменяем политики:
    а) «Этот параметр политики позволяет указать, требует ли BitLocker дополнительной проверки подлинности при каждом запуске»б) «Этот параметр политики позволяет указать, разрешено ли обычным пользователям изменять ПИН-коды или пароль»в) «Этот параметр политики позволяет настраивать использование улучшенных ПИН-кодов при запуске компьютера.»

    г) «Этот параметр политики позволяет установить минимальную длину ПИН-кода для запуска»

    д) «Этот параметр политики позволяет указать, как восстанавливать диски операционной системы, защищенные с помощью BitLocker» — очень важная настройка. Т.к. администратор в моем случае не знает о пин-кодах и паролях, которые придумают пользователи, то ему необходимо средство восстановления доступа к томам, в случае потери пароля или увольнения сотрудника. Для этого сохраняем ключи восстановления в Active Directory и не начинаем шифрование пока ключ не будет сохранен там.

    — в разделе «несъемные диски с данными» изменяем политики:

    а) «Этот параметр политики определяет, требуется ли пароль для разблокировки несъемных дисков с данными»

    б) «Этот параметр политики позволяет указать, как восстанавливать несъемные диски с данными, защищенными с помощью BitLocker» — настраиваем аналогично системному диску.

    На этом можно закончить с настройкой групповых политик, если у Вас Windows 7. Для Windows 8 и 10 интересных настроек есть чуть побольше, внимательно ознакомьтесь со всеми.

  4. Привязываем настроенную политику к подразделению, которому мы создали на втором шаге.
  5. Далее мы должны взять скрипт, который доступен по этому адресу. Скрипт изначально не работает на неанглоязычных локалях. Чтобы скрипт заработал на системе с русским интерфейсом, надо в самом скрипте подправить значения «True» на «Истина» и «False» на «Ложь», но только не везде, а в основном теле скрипта и в функции «OwnTPM». Так же под русскоговорящего пользователя можно изменить текст уведомлений на русский, это делается в функции «GetPIN».
  6. Создаем файл с расширением bat, в котором будем запускать vbs скрипт из предыдущего пункта, запускать шифрование на каждом из дисков и включать на этих дисках автоматическую разблокировку. Этот скрипт необходимо создавать в кириллической кодировке «OEM 866», т.к. именно в ней в командой строке по умолчанию отображается текст. Проще всего это сделать через Notepad++


    Не забываем прикрепить этот скрипт к групповым политикам и к тому же подразделению, что мы создали ране. Добавление скрипта делается в разделе «»Конфигурация компьютера — Политики — Конфигурации Windows — Сценарии — Автозагрузка».

    Само содержание скрипта у меня такое:

    TITLE Запуск системы шифрования дисков. Не закрывайте это окно!
    cls
    start "" /WAIT "C:\EnableBitLocker-ru.vbs" /on:tp /l:D:\bitlocker.log /em:256 /promptuser
    cls
    TIMEOUT /T 15 /NOBREAK
    cls
    start "Шифрование диска D:" /WAIT "%Systemroot%\system32\manage-bde.exe" -on -pw D: -rp
    cls
    start "Включение автоматической разблокировки диска D:" "%Systemroot%\system32\manage-bde.exe" -autounlock -enable D:
    cls
    start "Шифрование диска Z:" "%Systemroot%\system32\manage-bde.exe" -on -pw Z: -rp
    cls
    start "Включение автоматической разблокировки диска Z:" "%Systemroot%\system32\manage-bde.exe" -autounlock -enable Z:
    exit

    Скрипт будет работать при условии, что файл «EnableBitLocker-ru.vbs» лежит в корне диска C. Чтобы этот файл также централизованно переместить в это месторасположение, добавьте в bat-скрипт в начало строку xcopy -Y «расположение скрипта vbs в сетевой папке» «C:\» В самом скрипте сделана пауза в 15 секунд на всякий случай, т.к. мы настроили сохранение ключей шифрования в Active Directory и поэтому бывают небольшие задержки при включении шифрования на диске С, а без включения Bitlocker на системном томе, шифрование на других дисках не начнется (в Windows 10 такая пауза не нужна, т.к. правильно отрабатывает ключ /WAIT при запуске vbs скрипта).

Также хочу дополнить о строчке
start "" /WAIT "C:\EnableBitLocker-ru.vbs" /on:tp /l:D:\bitlocker.log /em:256 /promptuser

В ней обязательно нужно в ключе /l указывать файл лога не на системном томе, иначе скрипт не будет запускаться. Скрипт так же не будет работать, если запускать его через удаленный рабочий стол (ключ /promptuser в таком случае не получает информацию о текущем консольном сеансе пользователя)

Вот как все выглядит глазами пользователя:

 

 

P.S. Чтобы посмотреть ключи восстановления в Active Directory, необходимо на контроллере домена установить специальную компоненту:

 

После этого в оснастке «Active Directory пользователи и компьютеры» в свойствах компьютера будет отображаться вкладка Bitlocker:

 

Добавить комментарий

Войти с помощью: