Compartilhar via

Como ativar o BitLocker com o MBAM como parte de uma implementação do Windows

  • Artigo

Importante

Estas instruções não se aplicam à Gestão do BitLocker do Configuration Manager. O Invoke-MbamClientDeployment.ps1 script do PowerShell não é suportado para utilização com a Gestão do BitLocker no Configuration Manager. Isto inclui o escrowing de chaves de recuperação BitLocker durante uma sequência de tarefas do Configuration Manager.

A partir do Configuration Manager, versão 2103, a Gestão bitLocker do Configuration Manager já não utiliza o site dos serviços de recuperação de chaves MBAM para escrow keys. Tentar utilizar o script do PowerShell com o Invoke-MbamClientDeployment.ps1 Configuration Manager, versão 2103 ou posterior, pode resultar em problemas graves com o site do Configuration Manager. Os problemas conhecidos incluem a criação de uma grande quantidade de políticas direcionadas para todos os dispositivos, o que pode causar tempestades políticas. Este comportamento leva a uma degradação grave do desempenho no Configuration Manager principalmente no SQL e com pontos de gestão. Para obter mais informações, veja Utilizar o agente MBAM para criar chaves de recuperação BitLocker gera políticas excessivas no Configuration Manager, versão 2103.

Gestão do BitLocker a partir do Configuration Manager, a versão 2203 suporta nativamente a remoção da chave BitLocker durante uma sequência de tarefas com a tarefa de sequência de tarefas Ativar BitLocker através da opção Armazenar automaticamente a chave de recuperação em:>A base de dados do Configuration Manager. Para obter mais informações, veja Escrow BitLocker recovery password to the site during a task sequence (Palavra-passe de recuperação Escrow BitLocker para o site durante uma sequência de tarefas).

A integração autónoma do MBAM com o Configuration Manager só foi suportada através do Configuration Manager, versão 1902. Uma vez que o Configuration Manager, a versão 1902 está sem suporte, a utilização do MBAM autónomo e do script do Invoke-MbamClientDeployment.ps1 PowerShell com versões atualmente suportadas do Configuration Manager já não é suportada. Para obter mais informações, veja Versões do Configuration Manager suportadas pelo MBAM. Os clientes que utilizam o MBAM autónomo com o Configuration Manager devem migrar para a Gestão do BitLocker do Configuration Manager.

Este artigo explica como ativar o BitLocker no computador de um utilizador através da Administração e Monitorização do Microsoft BitLocker (MBAM) como parte do processo de processamento de imagens e implementação do Windows.

Observação

Se vir um ecrã preto no reinício após a conclusão da fase de Instalação que indica que a unidade não pode ser desbloqueada, consulte As versões anteriores do Windows não são iniciadas após o passo "Configurar o Windows e o Configuration Manager" se a pré-aprovisionamento do BitLocker for utilizada com o Windows 10, versão 1511.

Pré-requisitos

  • Um processo de implementação de imagens do Windows existente - Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager ou outra ferramenta ou processo de imagem - tem de estar implementado

  • O TPM tem de estar ativado no BIOS e visível para o SO

  • A infraestrutura do servidor MBAM tem de estar no local e acessível

  • A partição do sistema exigida pelo BitLocker tem de ser criada

  • A máquina tem de estar associada a um domínio durante a criação de imagens antes de o MBAM ativar totalmente o BitLocker

Para ativar o BitLocker com o MBAM 2.5 SP1 como parte de uma implementação do Windows

Ativar o BitLocker durante a implementação do Windows com o script do Invoke-MbamClientDeployment.ps1 PowerShell

No MBAM 2.5 SP1, a abordagem recomendada para ativar o BitLocker durante uma Implementação do Windows é através do script do Invoke-MbamClientDeployment.ps1 PowerShell.

  • O Invoke-MbamClientDeployment.ps1 script promulga o BitLocker durante o processo de processamento de imagens. Quando exigido pela política bitLocker, o agente MBAM pede imediatamente ao utilizador do domínio para criar um PIN ou palavra-passe quando o utilizador do domínio iniciar sessão pela primeira vez após a criação de imagens.

  • Fácil de utilizar com o MDT, o System Center Configuration Manager ou processos de processamento de imagens autónomos

  • Compatível com o PowerShell 2.0 ou superior

  • Encriptar o volume do SO com o protetor de chaves TPM

  • Suportar totalmente o pré-aprovisionamento do BitLocker

  • Opcionalmente, encriptar FDDs

  • Escrow TPM OwnerAuth

    • Para o Windows 7, o MBAM tem de ser o proprietário do TPM para que a caução ocorra.
    • Para Windows 8.1, o Windows 10 RTM e o Windows 10, versão 1511, é suportado o escrow do TPM OwnerAuth.
    • Para o Windows 10, versão 1607 ou posterior, apenas o Windows pode assumir a propriedade do TPM. Quando aprovisiona o TPM, o Windows não mantém a palavra-passe do proprietário do TPM. Para obter mais informações, veja Palavra-passe do proprietário do TPM.

  • Chaves de recuperação de segurança e pacotes de chaves de recuperação

  • Comunicar o estado de encriptação imediatamente

  • Novos fornecedores WMI

  • Registo detalhado

  • Processamento robusto de erros

Pode transferir o script a Invoke-MbamClientDeployment.ps1 partir de scripts de implementação de cliente MBAM. Esta transferência é o script principal que o sistema de implementação chama para configurar a encriptação de unidade BitLocker e registar chaves de recuperação com o Servidor MBAM.

Métodos de implementação WMI para MBAM

Para suportar a ativação do BitLocker com o script do PowerShell, o Invoke-MbamClientDeployment.ps1 MBAM 2.5 SP1 inclui os seguintes métodos WMI:

MBAM_Machine Classe WMI

  • PrepareTpmAndEscrowOwnerAuth: lê o OwnerAuth do TPM e envia-o para a base de dados de recuperação MBAM com o serviço de recuperação MBAM. Se o TPM não for propriedade e o aprovisionamento automático não estiver ativado, gera um OwnerAuth do TPM e assume a propriedade. Se falhar, é devolvido um código de erro para resolução de problemas.

    Observação

    Para o Windows 10, versão 1607 ou posterior, apenas o Windows pode assumir a propriedade do TPM. Além disso, o Windows não irá reter a palavra-passe do proprietário do TPM ao aprovisionar o TPM. Para obter mais informações, veja Palavra-passe do proprietário do TPM.

    Parâmetro Descrição
    RecoveryServiceEndPoint Uma cadeia que especifica o ponto final do serviço de recuperação MBAM.

    Eis uma lista de mensagens de erro comuns:

    Valores de retorno comuns Mensagem de erro
    S_OK
    0 (0x0)    		 O método foi bem-sucedido.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 O TPM não está presente no computador ou está desativado na configuração do BIOS.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 O TPM não está no estado correto (ativado, ativado e instalação de proprietário permitida).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 O MBAM não pode assumir a propriedade do TPM porque o aprovisionamento automático está pendente. Tente novamente após a conclusão do aprovisionamento automático.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 O MBAM não consegue ler o valor de autorização do proprietário do TPM. O valor pode ser removido após um aumento escrow com êxito. No Windows 7, se outras pessoas forem proprietárias do TPM, o MBAM não conseguirá ler o valor.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 O computador tem de ser reiniciado para definir o TPM para o estado correto. Poderá ter de reiniciar manualmente o computador.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 O computador tem de ser encerrado e ligado novamente para definir o TPM para o estado correto. Poderá ter de reiniciar manualmente o computador.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 O ponto final remoto negou o acesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 O ponto final remoto não existe ou não foi possível localizá-lo.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 O ponto final remoto não conseguiu processar o pedido.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 O ponto final remoto não estava acessível.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Foi recebida uma mensagem com uma falha do ponto final remoto. Certifique-se de que se liga ao ponto final de serviço correto.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) O URL do endereço do ponto final não é válido. O URL tem de começar com http ou https.

  • ReportStatus: lê o estado de conformidade do volume e envia-o para a base de dados de estado de conformidade do MBAM com o serviço de relatórios de estado MBAM. O estado inclui a força da cifra, o tipo de protetor, o estado do protetor e o estado de encriptação. Se falhar, é devolvido um código de erro para resolução de problemas.

    Parâmetro Descrição
    ReportingServiceEndPoint Uma cadeia que especifica o ponto final do serviço de relatórios de estado do MBAM.

    Eis uma lista de mensagens de erro comuns:

    Valores de retorno comuns Mensagem de erro
    S_OK
    0 (0x0)    		 O método foi bem-sucedido
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 O ponto final remoto negou o acesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 O ponto final remoto não existe ou não foi possível localizá-lo.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 O ponto final remoto não conseguiu processar o pedido.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 O ponto final remoto não estava acessível.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Foi recebida uma mensagem com uma falha do ponto final remoto. Certifique-se de que se liga ao ponto final de serviço correto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 O URL do endereço do ponto final não é válido. O URL tem de começar com http ou https.

MBAM_Volume Classe WMI

  • EscrowRecoveryKey: lê a palavra-passe numérica de recuperação e o pacote de chave do volume e envia-os para a base de dados de recuperação MBAM com o serviço de recuperação MBAM. Se falhar, é devolvido um código de erro para resolução de problemas.

    Parâmetro Descrição
    RecoveryServiceEndPoint Uma cadeia que especifica o ponto final do serviço de recuperação MBAM.

    Eis uma lista de mensagens de erro comuns:

    Valores de retorno comuns Mensagem de erro
    S_OK
    0 (0x0)    		 O método foi bem-sucedido
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 O volume está bloqueado.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 Não foi encontrado um protetor de palavra-passe numérico para o volume.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 O ponto final remoto negou o acesso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 O ponto final remoto não existe ou não foi possível localizá-lo.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 O ponto final remoto não conseguiu processar o pedido.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 O ponto final remoto não estava acessível.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Foi recebida uma mensagem com uma falha do ponto final remoto. Certifique-se de que se liga ao ponto final de serviço correto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 O URL do endereço do ponto final não é válido. O URL tem de começar com http ou https.

Implementar o MBAM com o Microsoft Deployment Toolkit (MDT) e o PowerShell

  1. No MDT, crie uma nova partilha de implementação ou abra uma partilha de implementação existente.

    Observação

    Pode utilizar o script do Invoke-MbamClientDeployment.ps1 PowerShell com qualquer processo ou ferramenta de processamento de imagens. Esta secção mostra como integrá-la com o MDT, mas os passos são semelhantes à sua integração com qualquer outro processo ou ferramenta.

    Cuidado

    Se utilizar o pré-aprovisionamento do BitLocker no Windows PE e quiser manter o valor de autorização do proprietário do TPM, tem de adicionar o SaveWinPETpmOwnerAuth.wsf script no Windows PE imediatamente antes de a instalação reiniciar no SO completo. Se não utilizar este script, perderá o valor de autorização do proprietário do TPM ao reiniciar.

  2. Copie Invoke-MbamClientDeployment.ps1 para <DeploymentShare>\Scripts. Se estiver a utilizar o pré-aprovisionamento, copie o SaveWinPETpmOwnerAuth.wsf ficheiro para <DeploymentShare>\Scripts.

  3. Adicione a aplicação cliente MBAM 2.5 SP1 ao nó Aplicações na partilha de implementação.

    1. No nó Aplicações , selecione Nova Aplicação.
    2. Selecione Aplicação com Ficheiros de Origem. Selecione Avançar.
    3. Em Nome da Aplicação, escreva "Cliente MBAM 2.5 SP1". Selecione Avançar.
    4. Navegue para o diretório que MBAMClientSetup-<Version>.msicontém . Selecione Avançar.
    5. Escreva "Cliente MBAM 2.5 SP1" como o diretório a criar. Selecione Avançar.
    6. Introduza msiexec /i MBAMClientSetup-<Version>.msi /quiet na linha de comandos. Selecione Avançar.
    7. Aceite as predefinições restantes para concluir o assistente Nova Aplicação.

  4. No MDT, clique com o botão direito do rato no nome da partilha de implementação e selecione Propriedades. Selecione o separador Regras . Adicione as seguintes linhas:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Selecione OK para fechar a janela.

  5. No nó Sequências de Tarefas, edite uma sequência de tarefas existente utilizada para a Implementação do Windows. Se quiser, pode criar uma nova sequência de tarefas ao clicar com o botão direito do rato no nó Sequências de Tarefas , selecionar Nova Sequência de Tarefas e concluir o assistente.

    No separador Sequência de Tarefas da sequência de tarefas selecionada, siga estes passos:

    1. Na pasta Pré-instalação , ative a tarefa opcional Ativar o BitLocker (Offline) se pretender que o BitLocker esteja ativado no WinPE, que encripta apenas o espaço utilizado.

    2. Para manter o Proprietário do TPMAuth ao utilizar o pré-aprovisionamento, permitindo que o MBAM o escrow mais tarde, faça o seguinte:

      1. Localizar o passo Instalar Sistema Operativo

      2. Adicionar um novo passo Executar Linha de Comandos após a mesma

      3. Nomeie o passo Persist TPM OwnerAuth

      4. Defina a linha de comandos como cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Observação

        Para o Windows 10, versão 1607 ou posterior, apenas o Windows pode assumir a propriedade do TPM. Ao aprovisionar o TPM, o Windows não mantém a palavra-passe do proprietário do TPM. Para obter mais informações, veja Palavra-passe do proprietário do TPM.

    3. Na pasta Restauro de Estado , elimine a tarefa Ativar BitLocker .

    4. Na pasta Restauro de Estado , em Tarefas Personalizadas, crie uma nova tarefa Instalar Aplicação e dê-lhe o nome Instalar Agente MBAM. Selecione o botão de opção Instalar Aplicação Única e navegue para a aplicação cliente MBAM 2.5 SP1 criada anteriormente.

    5. Na pasta Restauro de Estado em Tarefas Personalizadas, crie uma nova tarefa Executar Script do PowerShell (após o passo da aplicação cliente MBAM 2.5 SP1) com as seguintes definições (atualize os parâmetros conforme adequado para o seu ambiente):

      • Nome: Configurar o BitLocker para MBAM

      • Script do PowerShell: Invoke-MbamClientDeployment.ps1

      • Parâmetros:

        Parâmetro Requisito Descrição
        -RecoveryServiceEndpoint Obrigatório Ponto final do serviço de recuperação MBAM.
        -StatusReportingServiceEndpoint Opcional Ponto final do serviço de relatórios de estado do MBAM.
        -EncryptionMethod Opcional Método de encriptação (predefinição: AES 128).
        -EncryptAndEscrowDataVolume Opção Especifique para encriptar volumes de dados e aumentar as chaves de recuperação do volume de dados.
        -WaitForEncryptionToComplete Opção Especifique para aguardar a conclusão da encriptação.
        -DoNotResumeSuspendedEncryption Opção Especifique que o script de implementação não retomará a encriptação suspensa.
        -IgnoreEscrowOwnerAuthFailure Opção Especifique para ignorar a falha de depósito do proprietário-autenticação do TPM. Deve ser utilizado em cenários em que o MBAM não consegue ler a autenticação de proprietário do TPM. Por exemplo, se o aprovisionamento automático do TPM estiver ativado.
        -IgnoreEscrowRecoveryKeyFailure Opção Especifique para ignorar a falha da chave de recuperação de volume.
        -IgnoreReportStatusFailure Opção Especifique para ignorar a falha do relatório de estado.

Para ativar o BitLocker com o MBAM 2.5 ou anterior como parte de uma implementação do Windows

  1. Instale o cliente MBAM. Para obter instruções, veja Como implementar o cliente MBAM com uma linha de comandos.

  2. Associar o computador a um domínio (recomendado).

    • Se o computador não estiver associado a um domínio, a palavra-passe de recuperação não será armazenada no serviço MBAM Key Recovery. Por predefinição, o MBAM não permite que a encriptação ocorra, a menos que a chave de recuperação possa ser armazenada.

    • Se um computador iniciar no modo de recuperação antes de a chave de recuperação ser armazenada no Servidor MBAM, não existe nenhum método de recuperação disponível e o computador tem de ser recriado.

  3. Abra uma linha de comandos como administrador e pare o serviço MBAM.

  4. Defina o serviço como Manual ou A pedido ao escrever os seguintes comandos:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Defina os valores do registo para que o cliente MBAM ignore as definições da política de grupo e, em vez disso, defina a encriptação para iniciar a hora em que o Windows é implementado nesse computador cliente.

    Cuidado

    Este passo descreve como modificar o registo do Windows. A utilização incorreta do Editor de Registo pode causar problemas graves que podem exigir a reinstalação do Windows. Não podemos garantir que os problemas resultantes da utilização incorreta do Editor de Registo possam ser resolvidos. Utilize o Editor de Registo por sua conta e risco.

    1. Defina o TPM para encriptação apenas do sistema operativo, execute Regedit.exe e, em seguida, importe o modelo de chave de registo do C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. No Regedit.exe, aceda a HKLM\SOFTWARE\Microsoft\MBAMe configure as definições listadas na tabela seguinte.

      Observação

      Pode definir definições de política de grupo ou valores de registo relacionados com o MBAM aqui. Estas definições substituem os valores definidos anteriormente.

      Entrada de registo Definições de configuração
      DeploymentTime 0 = Desativado
      1 = Utilizar definições de política de tempo de implementação (predefinição) – utilize esta definição para ativar a encriptação no momento em que o Windows é implementado no computador cliente.
      UseKeyRecoveryService 0 = Não utilize a chave escrow. Neste caso, não são necessárias as duas entradas de registo seguintes.
      1 = Utilizar o depósito de chaves no sistema de Recuperação de Chaves (predefinição)
      Esta definição é recomendada, o que permite que o MBAM armazene as chaves de recuperação. O computador tem de conseguir comunicar com o serviço MBAM Key Recovery. Verifique se o computador consegue comunicar com o serviço antes de continuar.
      KeyRecoveryOptions 0 = Carrega apenas a Chave de Recuperação
      1 = Carrega a Chave de Recuperação e o Pacote de Recuperação de Chaves (predefinição)
      KeyRecoveryServiceEndPoint Defina este valor como o URL do servidor que está a executar o serviço Key Recovery, por exemplo, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. O cliente MBAM reinicia o sistema durante a implementação do cliente MBAM. Quando estiver pronto para este reinício, execute o seguinte comando numa linha de comandos como administrador:

    net start mbamagent

  7. Quando os computadores forem reiniciados e o BIOS lhe pedir, aceite a alteração do TPM.

  8. Durante o processo de processamento de imagens do sistema operativo cliente Windows, quando estiver pronto para iniciar a encriptação, abra uma linha de comandos como administrador e escreva os seguintes comandos para definir o início como Automático e reiniciar o agente de cliente MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Para eliminar os valores de registo de ignorar, execute Regedit.exe e aceda à entrada de HKLM\SOFTWARE\Microsoft registo. Clique com o botão direito do rato no nó MBAM e, em seguida, selecione Eliminar.

Implementar o cliente MBAM 2.5

Planear a implementação do cliente MBAM 2.5