Freigeben über


Vorabbereitstellung von BitLocker in Windows PE mit Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Mit dem Tasksequenzschritt BitLocker vorab bereitstellen in Configuration Manager können Sie BitLocker aus der Windows Preinstallation Environment (Windows PE) vor der Betriebssystembereitstellung aktivieren. Nur der verwendete Speicherplatz auf dem Laufwerk wird verschlüsselt, sodass die Verschlüsselungszeiten viel schneller sind. Dies erfolgt mit einer zufällig generierten eindeutigen Schutzvorrichtung, die auf das formatierte Volume angewendet wird und das Volume vor dem Ausführen des Windows-Setupprozesses verschlüsselt. Die Möglichkeit, BitLocker vorab bereitzustellen, wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie können BitLocker jedoch vorab auf einer Festplatte bereitstellen und Windows 7 installieren, solange Sie bestimmte Schritte ausführen. Nach Abschluss des Windows 7-Setups müssen Sie eine BitLocker-Schlüsselschutzvorrichtung festlegen, da die Windows 7-BitLocker-Systemsteuerung BitLocker mit einer klaren Schutzvorrichtung nicht unterstützt. Sie müssen eine Schlüsselschutzvorrichtung mithilfe des Schritts BitLocker aktivieren oder mit dem manage-bde.exe-Befehlszeilentool hinzufügen.

Im Allgemeinen müssen Sie folgendes tun, um BitLocker erfolgreich auf einem Computer bereitzustellen, auf dem Windows 7 installiert wird:

  • Neustarten des Computers in Windows PE

    Wichtig

    Sie müssen ein Startimage mit Windows PE 4 oder höher verwenden, um BitLocker vorab bereitzustellen. Weitere Informationen zu unterstützten Windows PE-Versionen in Configuration Manager finden Sie unter Externe Abhängigkeiten zu Configuration Manager.

  • Partitionieren und Formatieren der Festplatte

  • Vorabbereitstellung von BitLocker

  • Installieren von Windows 7 mit bestimmten Betriebssystem- und Netzwerkeinstellungen

  • Hinzufügen einer Schlüsselschutzvorrichtung zu BitLocker

    In Configuration Manager empfiehlt es sich, BitLocker vorab auf einer Festplatte bereitzustellen und Windows 7 zu installieren, eine neue Tasksequenz zu erstellen und auf der Seite Neue Tasksequenz erstellen des Assistenten zum Erstellen von Tasksequenzendie Option Vorhandenes Imagepaket installieren auszuwählen. Der Assistent erstellt die in der folgenden Tabelle aufgeführten Tasksequenzschritte.

Hinweis

Die Tasksequenz kann zusätzliche Schritte enthalten, je nachdem, wie Sie die Einstellungen im Assistenten konfiguriert haben. Beispielsweise können Sie den Schritt Windows-Einstellungen erfassen verwenden, wenn Sie erfasst Microsoft Windows-Einstellungen auf der Seite Zustandsmigration des Assistenten ausgewählt haben.

Tasksequenzschritt Details
Deaktivieren von BitLocker In diesem Schritt wird die BitLocker-Verschlüsselung deaktiviert, sofern sie derzeit aktiviert ist. Weitere Informationen finden Sie unter Deaktivieren von BitLocker.
Computer in Windows PE neu starten In diesem Schritt wird der Computer in Windows PE neu gestartet, indem das Startimage ausgeführt wird, das der Tasksequenz zugewiesen ist. Sie müssen ein Startimage mit Windows PE 4 oder höher verwenden, um BitLocker vorab bereitzustellen. Weitere Informationen finden Sie unter Neustarten des Computers.
Partition Disk 0 – BIOS

Partitionsdatenträger 0 – UEFI
Mit diesen Schritten wird das angegebene Laufwerk auf dem Zielcomputer mithilfe von BIOS oder UEFI formatiert und partitioniert. Die Tasksequenz verwendet UEFI, wenn sie erkennt, dass sich der Zielcomputer im UEFI-Modus befindet. Weitere Informationen finden Sie unter Formatieren und Partitionieren von Datenträgern.
Vorabbereitstellung von BitLocker Dieser Schritt aktiviert BitLocker auf einem Laufwerk in Windows PE. Nur der verwendete Speicherplatz auf dem Laufwerk wird verschlüsselt. Da Sie die Festplatte im vorherigen Schritt partitioniert und formatiert haben, sind keine Daten vorhanden, und die Verschlüsselung wird sehr schnell abgeschlossen. Weitere Informationen finden Sie unter Vorabbereitstellung von BitLocker.
Betriebssystem anwenden Dieser Schritt bereitet die Antwortdatei vor, die zum Installieren des Betriebssystems auf dem Zielcomputer verwendet wird, und legt die Tasksequenzvariable OSDTargetSystemDrive auf den Laufwerkbuchstaben der Partition fest, die die Betriebssystemdateien enthält. Die Antwortdatei und die Variable werden vom Schritt Windows und ConfigMgr einrichten verwendet, um das Betriebssystem zu installieren. Weitere Informationen finden Sie unter Anwenden des Betriebssystemabbilds.
Anwenden von Windows-Einstellungen In diesem Schritt werden der Antwortdatei Windows-Einstellungen hinzugefügt. Die Antwortdatei wird vom Schritt Windows und ConfigMgr einrichten verwendet, um das Betriebssystem zu installieren. Weitere Informationen finden Sie unter Anwenden von Windows-Einstellungen.
Anwenden von Netzwerkeinstellungen In diesem Schritt werden der Antwortdatei Netzwerkeinstellungen hinzugefügt. Die Antwortdatei wird vom Schritt Windows und ConfigMgr einrichten verwendet, um das Betriebssystem zu installieren. Weitere Informationen finden Sie unter Schritt Zum Anwenden von Netzwerkeinstellungen.
Anwenden von Gerätetreibern In diesem Schritt werden Treiber im Rahmen der Betriebssystembereitstellung abgleicht und installiert. Weitere Informationen finden Sie unter Automatisches Anwenden von Treibern.
Einrichten von Windows und ConfigMgr Dieser Schritt führt den Übergang von Windows PE auf das neue Betriebssystem durch. Dieser Tasksequenzschritt ist ein erforderlicher Bestandteil jeder Betriebssystembereitstellung. Er installiert den Configuration Manager-Client im neuen Betriebssystem und bereitet die Ausführung der Tasksequenz im neuen Betriebssystem vor. Weitere Informationen finden Sie unter Einrichten von Windows und ConfigMgr.
Aktivieren von BitLocker Dieser Schritt aktiviert die BitLocker-Verschlüsselung auf der Festplatte und legt Schlüsselschutzvorrichtungen fest. Da die Festplatte bereits mit BitLocker bereitgestellt wurde, wird dieser Schritt sehr schnell abgeschlossen. Windows 7 erfordert das Hinzufügen einer Schlüsselschutzvorrichtung. Wenn Sie diesen Schritt nicht verwenden, können Sie das manage-bde.exe-Befehlszeilentool ausführen, um eine Schlüsselschutzvorrichtung festzulegen. Weitere Informationen finden Sie unter Aktivieren von BitLocker.