Condividi tramite

Come abilitare BitLocker usando MBAM come parte di una distribuzione di Windows

  • Articolo

Importante

Queste istruzioni non si applicano alla gestione BitLocker di Configuration Manager. Lo Invoke-MbamClientDeployment.ps1 script di PowerShell non è supportato per l'uso con Gestione BitLocker in Configuration Manager. Ciò include il deposito delle chiavi di ripristino di BitLocker durante una sequenza di attività di Configuration Manager.

A partire da Configuration Manager versione 2103, Gestione BitLocker di Configuration Manager non usa più il sito dei servizi di ripristino delle chiavi di MBAM per il deposito delle chiavi. Il tentativo di usare lo Invoke-MbamClientDeployment.ps1 script di PowerShell con Configuration Manager versione 2103 o successiva può causare gravi problemi con il sito di Configuration Manager. I problemi noti includono la creazione di una grande quantità di criteri destinati a tutti i dispositivi, che possono causare tempeste di criteri. Questo comportamento comporta una grave riduzione delle prestazioni in Configuration Manager principalmente in SQL e con punti di gestione. Per altre informazioni, vedere Uso dell'agente MBAM per il deposito delle chiavi di ripristino BitLocker che genera criteri eccessivi in Configuration Manager versione 2103.

Gestione BitLocker a partire da Configuration Manager, versione 2203 supporta in modo nativo il deposito della chiave BitLocker durante una sequenza di attività con l'attività Abilita sequenza di attività BitLocker tramite l'opzione Archivia automaticamente la chiave di ripristino in:>Il database di Configuration Manager. Per altre informazioni, vedere Password di ripristino di Escrow BitLocker nel sito durante una sequenza di attività.

L'integrazione di MBAM autonoma con Configuration Manager è supportata solo tramite Configuration Manager, versione 1902. Poiché Configuration Manager, la versione 1902 non è più supportata, l'uso di MBAM autonomo e lo Invoke-MbamClientDeployment.ps1 script di PowerShell con le versioni attualmente supportate di Configuration Manager non è più supportato. Per altre informazioni, vedere Versioni di Configuration Manager supportate da MBAM. I clienti che usano MBAM autonomo con Configuration Manager devono eseguire la migrazione a Gestione BitLocker di Configuration Manager.

Questo articolo illustra come abilitare BitLocker nel computer di un utente usando Microsoft BitLocker Administration and Monitoring (MBAM) come parte del processo di creazione di immagini e distribuzione di Windows.

Nota

Se viene visualizzata una schermata nera al riavvio dopo la conclusione della fase di installazione che indica che l'unità non può essere sbloccata, vedi Le versioni precedenti di Windows non vengono avviate dopo il passaggio "Configura Windows e Configuration Manager" se viene usato Il pre-provisioning di BitLocker con Windows 10 versione 1511.

Prerequisiti

  • Deve essere presente un processo di distribuzione di immagini Windows esistente - Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager o un altro strumento o processo di creazione di immagini

  • TPM deve essere abilitato nel BIOS e visibile al sistema operativo

  • L'infrastruttura del server MBAM deve essere eseguita e accessibile

  • La partizione di sistema richiesta da BitLocker deve essere creata

  • Il computer deve essere aggiunto a un dominio durante l'imaging prima che MBAM abiliti completamente BitLocker

Per abilitare BitLocker usando MBAM 2.5 SP1 come parte di una distribuzione di Windows

Abilitare BitLocker durante la distribuzione di Windows con lo Invoke-MbamClientDeployment.ps1 script di PowerShell

In MBAM 2.5 SP1, l'approccio consigliato per abilitare BitLocker durante una distribuzione di Windows consiste nell'usare lo Invoke-MbamClientDeployment.ps1 script di PowerShell.

  • Lo Invoke-MbamClientDeployment.ps1 script attiva BitLocker durante il processo di creazione dell'immagine. Quando richiesto dai criteri di BitLocker, l'agente di MBAM richiede immediatamente all'utente di dominio di creare un PIN o una password quando l'utente di dominio accede per la prima volta dopo l'imaging.

  • Facile da usare con MDT, System Center Configuration Manager o processi di imaging autonomi

  • Compatibile con PowerShell 2.0 o versione successiva

  • Crittografare il volume del sistema operativo con protezione chiave TPM

  • Supporto completo del pre-provisioning di BitLocker

  • Crittografare facoltativamente gli ID FDD

  • Escrow TPM OwnerAuth

    • Per Windows 7, MBAM deve essere il proprietario del TPM affinché si verifichi il deposito.
    • Per Windows 8.1, Windows 10 RTM e Windows 10 versione 1511, è supportato il deposito di TPM OwnerAuth.
    • Per Windows 10, versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Quando esegue il provisioning del TPM, Windows non mantiene la password del proprietario del TPM. Per altre informazioni, vedere Password del proprietario di TPM.

  • Chiavi di ripristino del deposito e pacchetti di chiavi di ripristino

  • Segnala immediatamente lo stato di crittografia

  • Nuovi provider WMI

  • Registrazione dettagliata

  • Gestione affidabile degli errori

È possibile scaricare lo Invoke-MbamClientDeployment.ps1 script dagli script di distribuzione client MBAM. Questo download è lo script principale chiamato dal sistema di distribuzione per configurare la crittografia dell'unità BitLocker e registrare le chiavi di ripristino con il server MBAM.

Metodi di distribuzione WMI per MBAM

Per supportare l'abilitazione di BitLocker tramite lo Invoke-MbamClientDeployment.ps1 script di PowerShell, MBAM 2.5 SP1 include i metodi WMI seguenti:

MBAM_Machine Classe WMI

  • PrepareTpmAndEscrowOwnerAuth: legge il TPM OwnerAuth e lo invia al database di ripristino di MBAM usando il servizio di ripristino MBAM. Se il TPM non è di proprietà e il provisioning automatico non è attivo, genera un TPM OwnerAuth e assume la proprietà. Se ha esito negativo, viene restituito un codice di errore per la risoluzione dei problemi.

    Nota

    Per Windows 10, versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Inoltre, Windows non manterrà la password del proprietario del TPM durante il provisioning del TPM. Per altre informazioni, vedere Password del proprietario di TPM.

    Parametro Descrizione
    RecoveryServiceEndPoint Stringa che specifica l'endpoint del servizio di ripristino MBAM.

    Ecco un elenco di messaggi di errore comuni:

    Valori restituiti comuni Messaggio di errore
    S_OK
    0 (0x0)    		 Il metodo ha avuto esito positivo.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 TPM non è presente nel computer o è disabilitato nella configurazione del BIOS.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 TPM non è nello stato corretto (è consentita l'installazione abilitata, attivata e proprietaria).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 MBAM non può assumere la proprietà di TPM perché il provisioning automatico è in sospeso. Riprovare dopo il completamento del provisioning automatico.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 MBAM non è in grado di leggere il valore di autorizzazione del proprietario del TPM. Il valore potrebbe essere rimosso dopo un deposito riuscito. In Windows 7, se altri sono proprietari del TPM, MBAM non può leggere il valore.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 Il computer deve essere riavviato per impostare TPM sullo stato corretto. Potrebbe essere necessario riavviare manualmente il computer.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 Il computer deve essere arrestato e riacceso per impostare TPM sullo stato corretto. Potrebbe essere necessario riavviare manualmente il computer.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 L'endpoint remoto ha negato l'accesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 L'endpoint remoto non esiste o non può essere individuato.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 L'endpoint remoto non è riuscito a elaborare la richiesta.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 L'endpoint remoto non era raggiungibile.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Un messaggio contenente un errore è stato ricevuto dall'endpoint remoto. Assicurarsi di connettersi all'endpoint di servizio corretto.
    2151481376 WS_E_INVALID_ENDPOINT_URL (0x803D0020) L'URL dell'indirizzo dell'endpoint non è valido. L'URL deve iniziare con http o https.

  • ReportStatus: legge lo stato di conformità del volume e lo invia al database dello stato di conformità di MBAM usando il servizio di report sullo stato di MBAM. Lo stato include il livello di crittografia, il tipo di protezione, lo stato di protezione e lo stato di crittografia. Se ha esito negativo, viene restituito un codice di errore per la risoluzione dei problemi.

    Parametro Descrizione
    ReportingServiceEndPoint Stringa che specifica l'endpoint del servizio di segnalazione dello stato di MBAM.

    Ecco un elenco di messaggi di errore comuni:

    Valori restituiti comuni Messaggio di errore
    S_OK
    0 (0x0)    		 Il metodo ha avuto esito positivo
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 L'endpoint remoto ha negato l'accesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 L'endpoint remoto non esiste o non può essere individuato.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 L'endpoint remoto non è riuscito a elaborare la richiesta.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 L'endpoint remoto non era raggiungibile.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Un messaggio contenente un errore è stato ricevuto dall'endpoint remoto. Assicurarsi di connettersi all'endpoint di servizio corretto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 L'URL dell'indirizzo dell'endpoint non è valido. L'URL deve iniziare con http o https.

MBAM_Volume Classe WMI

  • EscrowRecoveryKey: legge la password numerica di ripristino e il pacchetto della chiave del volume e li invia al database di ripristino DI MBAM usando il servizio di ripristino MBAM. Se ha esito negativo, viene restituito un codice di errore per la risoluzione dei problemi.

    Parametro Descrizione
    RecoveryServiceEndPoint Stringa che specifica l'endpoint del servizio di ripristino MBAM.

    Ecco un elenco di messaggi di errore comuni:

    Valori restituiti comuni Messaggio di errore
    S_OK
    0 (0x0)    		 Il metodo ha avuto esito positivo
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 Il volume è bloccato.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 Non è stata trovata una protezione password numerica per il volume.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 L'endpoint remoto ha negato l'accesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 L'endpoint remoto non esiste o non può essere individuato.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 L'endpoint remoto non è riuscito a elaborare la richiesta.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 L'endpoint remoto non era raggiungibile.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Un messaggio contenente un errore è stato ricevuto dall'endpoint remoto. Assicurarsi di connettersi all'endpoint di servizio corretto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 L'URL dell'indirizzo dell'endpoint non è valido. L'URL deve iniziare con http o https.

Distribuire MBAM usando Microsoft Deployment Toolkit (MDT) e PowerShell

  1. In MDT creare una nuova condivisione di distribuzione o aprire una condivisione di distribuzione esistente.

    Nota

    È possibile usare lo Invoke-MbamClientDeployment.ps1 script di PowerShell con qualsiasi processo o strumento di creazione di immagini. Questa sezione illustra come integrarlo usando MDT, ma i passaggi sono simili all'integrazione con qualsiasi altro processo o strumento.

    Attenzione

    Se si usa il preprovisioning di BitLocker in Windows PE e si vuole mantenere il valore di autorizzazione del proprietario di TPM, è necessario aggiungere lo SaveWinPETpmOwnerAuth.wsf script in Windows PE immediatamente prima del riavvio dell'installazione nel sistema operativo completo. Se non si usa questo script, si perderà il valore di autorizzazione del proprietario del TPM al riavvio.

  2. Copiare Invoke-MbamClientDeployment.ps1 in <DeploymentShare>\Scripts. Se si usa il pre-provisioning, copiare il SaveWinPETpmOwnerAuth.wsf file in <DeploymentShare>\Scripts.

  3. Aggiungere l'applicazione client MBAM 2.5 SP1 al nodo Applicazioni nella condivisione di distribuzione.

    1. Nel nodo Applicazioni selezionare Nuova applicazione.
    2. Selezionare Applicazione con file di origine. Seleziona Avanti.
    3. In Nome applicazione digitare "MBAM 2.5 SP1 Client". Seleziona Avanti.
    4. Passare alla directory contenente MBAMClientSetup-<Version>.msi. Seleziona Avanti.
    5. Digitare "MBAM 2.5 SP1 Client" come directory da creare. Seleziona Avanti.
    6. Immettere msiexec /i MBAMClientSetup-<Version>.msi /quiet nella riga di comando. Seleziona Avanti.
    7. Accettare le impostazioni predefinite rimanenti per completare la procedura guidata Nuova applicazione.

  4. In MDT fare clic con il pulsante destro del mouse sul nome della condivisione di distribuzione e scegliere Proprietà. Selezionare la scheda Regole . Aggiungere le righe seguenti:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Selezionare OK per chiudere la finestra.

  5. Nel nodo Sequenze di attività modificare una sequenza di attività esistente usata per la distribuzione di Windows. Se si desidera, è possibile creare una nuova sequenza di attività facendo clic con il pulsante destro del mouse sul nodo Sequenze di attività , selezionando Nuova sequenza di attività e completando la procedura guidata.

    Nella scheda Sequenza di attività della sequenza di attività selezionata seguire questa procedura:

    1. Nella cartella Preinstalla abilitare l'attività facoltativa Abilita BitLocker (offline) se si vuole abilitare BitLocker in WinPE, che crittografa solo lo spazio usato.

    2. Per rendere persistente TPM OwnerAuth quando si usa il pre-provisioning, consentendo a MBAM di eseguirne il deposito in un secondo momento, eseguire le operazioni seguenti:

      1. Trovare il passaggio Installa sistema operativo

      2. Aggiungere un nuovo passaggio Esegui riga di comando dopo

      3. Assegnare al passaggio il nome Persist TPM OwnerAuth

      4. Impostare la riga di comando su cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Nota

        Per Windows 10, versione 1607 o successiva, solo Windows può assumere la proprietà del TPM. Durante il provisioning del TPM, Windows non mantiene la password del proprietario del TPM. Per altre informazioni, vedere Password del proprietario di TPM.

    3. Nella cartella Ripristino stato eliminare l'attività Abilita BitLocker .

    4. Nella cartella Ripristino dello stato in Attività personalizzate creare una nuova attività Installa applicazione e denominarla Installa l'agente di MBAM. Selezionare il pulsante di opzione Installa applicazione singola e passare all'applicazione client MBAM 2.5 SP1 creata in precedenza.

    5. Nella cartella Ripristino dello stato in Attività personalizzate creare una nuova attività Esegui script PowerShell (dopo il passaggio dell'applicazione client di MBAM 2.5 SP1) con le impostazioni seguenti (aggiornare i parametri in base all'ambiente in uso):

      • Nome: Configurare BitLocker per MBAM

      • Script di PowerShell: Invoke-MbamClientDeployment.ps1

      • Parametri:

        Parametro Requisito Descrizione
        -RecoveryServiceEndpoint Obbligatorio Endpoint del servizio di ripristino MBAM.
        -StatusReportingServiceEndpoint Facoltativo Endpoint del servizio di report sullo stato di MBAM.
        -EncryptionMethod Facoltativo Metodo di crittografia (impostazione predefinita: AES 128).
        -EncryptAndEscrowDataVolume Opzione Specificare per crittografare i volumi di dati e le chiavi di ripristino del volume di dati di deposito.
        -WaitForEncryptionToComplete Opzione Specificare di attendere il completamento della crittografia.
        -DoNotResumeSuspendedEncryption Opzione Specificare che lo script di distribuzione non riprenderà la crittografia sospesa.
        -IgnoreEscrowOwnerAuthFailure Opzione Specificare per ignorare l'errore di deposito proprietario-autenticazione TPM. Deve essere usato negli scenari in cui MBAM non è in grado di leggere l'autenticazione del proprietario di TPM. Ad esempio, se il provisioning automatico TPM è abilitato.
        -IgnoreEscrowRecoveryKeyFailure Opzione Specificare per ignorare l'errore di deposito della chiave di ripristino del volume.
        -IgnoreReportStatusFailure Opzione Specificare per ignorare l'errore di segnalazione dello stato.

Per abilitare BitLocker usando MBAM 2.5 o versioni precedenti come parte di una distribuzione di Windows

  1. Installare il client MBAM. Per istruzioni, vedere Come distribuire il client MBAM usando una riga di comando.

  2. Aggiungere il computer a un dominio (scelta consigliata).

    • Se il computer non è aggiunto a un dominio, la password di ripristino non viene archiviata nel servizio di ripristino delle chiavi di MBAM. Per impostazione predefinita, MBAM non consente la crittografia a meno che non sia possibile archiviare la chiave di ripristino.

    • Se un computer viene avviato in modalità di ripristino prima che la chiave di ripristino venga archiviata nel server MBAM, non è disponibile alcun metodo di ripristino e il computer deve essere ricreato.

  3. Aprire un prompt dei comandi come amministratore e arrestare il servizio MBAM.

  4. Impostare il servizio su Manuale o Su richiesta digitando i comandi seguenti:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Impostare i valori del Registro di sistema in modo che il client MBAM ignori le impostazioni dei criteri di gruppo e imposti invece la crittografia per avviare l'ora in cui Windows viene distribuito nel computer client.

    Attenzione

    Questo passaggio descrive come modificare il Registro di sistema di Windows. L'uso non corretto dell'editor del Registro di sistema può causare problemi gravi che possono richiedere la reinstallazione di Windows. Non è possibile garantire che i problemi derivanti dall'uso errato dell'editor del Registro di sistema possano essere risolti. Usare l'editor del Registro di sistema a proprio rischio.

    1. Impostare il TPM per la crittografia solo del sistema operativo, eseguire Regedit.exe e quindi importare il modello di chiave del Registro di sistema da C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. In Regedit.exe passare a HKLM\SOFTWARE\Microsoft\MBAMe configurare le impostazioni elencate nella tabella seguente.

      Nota

      È possibile impostare le impostazioni dei criteri di gruppo o i valori del Registro di sistema correlati a MBAM qui. Queste impostazioni sostituiscono i valori impostati in precedenza.

      Voce del Registro di sistema Impostazioni di configurazione
      DeploymentTime 0 = Disattivato
      1 = Usa le impostazioni dei criteri dell'ora di distribuzione (impostazione predefinita): usa questa impostazione per abilitare la crittografia nel momento in cui Windows viene distribuito nel computer client.
      UseKeyRecoveryService 0 = Non usare il deposito chiavi. Le due voci del Registro di sistema successive non sono necessarie in questo caso.
      1 = Usare il deposito di chiavi nel sistema di recupero delle chiavi (impostazione predefinita)
      Questa impostazione è consigliata, che consente a MBAM di archiviare le chiavi di ripristino. Il computer deve essere in grado di comunicare con il servizio di ripristino delle chiavi di MBAM. Verificare che il computer possa comunicare con il servizio prima di procedere.
      KeyRecoveryOptions 0 = Carica solo la chiave di ripristino
      1 = Carica la chiave di ripristino e il pacchetto di ripristino delle chiavi (impostazione predefinita)
      KeyRecoveryServiceEndPoint Impostare questo valore sull'URL del server che esegue il servizio Di ripristino delle chiavi, ad esempio https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Il client MBAM riavvia il sistema durante la distribuzione del client MBAM. Quando si è pronti per il riavvio, eseguire il comando seguente al prompt dei comandi come amministratore:

    net start mbamagent

  7. Quando i computer vengono riavviati e viene richiesto dal BIOS, accettare la modifica del TPM.

  8. Durante il processo di creazione di immagini del sistema operativo client Windows, quando si è pronti per avviare la crittografia, aprire un prompt dei comandi come amministratore e digitare i comandi seguenti per impostare l'avvio su Automatico e riavviare l'agente client di MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Per eliminare i valori del Registro di sistema di bypass, eseguire Regedit.exe e passare alla voce del HKLM\SOFTWARE\Microsoft Registro di sistema. Fare clic con il pulsante destro del mouse sul nodo MBAM e quindi scegliere Elimina.

Distribuzione del client MBAM 2.5

Pianificazione della distribuzione client di MBAM 2.5