Поделиться через

Включение BitLocker с помощью MBAM в рамках развертывания Windows

  • Статья

Важно.

Эти инструкции не применяются к Управлению BitLocker Configuration Manager. Сценарий Invoke-MbamClientDeployment.ps1 PowerShell не поддерживается для использования с управлением BitLocker в Configuration Manager. Сюда входит депонирование ключей восстановления BitLocker во время последовательности задач Configuration Manager.

Начиная с Configuration Manager версии 2103, Configuration Manager BitLocker Management больше не использует сайт служб восстановления ключей MBAM для депонирования ключей. Попытка использовать Invoke-MbamClientDeployment.ps1 сценарий PowerShell с Configuration Manager версии 2103 или более поздней может привести к серьезным проблемам с сайтом Configuration Manager. Известные проблемы включают создание большого количества политик, предназначенных для всех устройств, что может привести к бурям политик. Это приводит к серьезному снижению производительности в Configuration Manager в основном в SQL и с точками управления. Дополнительные сведения см. в статье Использование агента MBAM для депонирования ключей восстановления BitLocker создает избыточные политики в Configuration Manager версии 2103.

Управление BitLocker, начиная с Configuration Manager версии 2203, изначально поддерживает депонирование ключа BitLocker во время последовательности задач с помощью задачи Включить последовательность задач BitLocker с помощью параметра Автоматически хранить ключ восстановления в:>База данных Configuration Manager. Дополнительные сведения см. в разделе Escrow BitLocker, пароль восстановления для сайта во время последовательности задач.

Автономная интеграция MBAM с Configuration Manager поддерживалась только в Configuration Manager версии 1902. Начиная с Configuration Manager, версия 1902 не поддерживается, использование автономного MBAM и Invoke-MbamClientDeployment.ps1 скрипт PowerShell с поддерживаемыми в настоящее время версиями Configuration Manager больше не поддерживается. Дополнительные сведения см. в разделе Версии Configuration Manager, поддерживаемые MBAM. Клиентам, использующим автономный MBAM с Configuration Manager, следует перейти на Configuration Manager BitLocker Management.

В этой статье объясняется, как включить BitLocker на компьютере пользователя с помощью microsoft BitLocker Administration and Monitoring (MBAM) в процессе создания образов и развертывания Windows.

Примечание.

Если после завершения этапа установки после завершения этапа установки отображается черный экран, указывающий, что диск не может быть разблокирован, см. раздел Предыдущие версии Windows не запускаются после шага "Настройка Windows и Configuration Manager", если предварительная подготовка BitLocker используется с Windows 10 версии 1511.

Предварительные условия

  • Должен быть развернут существующий процесс развертывания образа Windows — Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager или другое средство или процесс создания образов.

  • TPM должен быть включен в BIOS и отображаться в ОС

  • Инфраструктура сервера MBAM должна быть на месте и доступна

  • Системный раздел, необходимый BitLocker, должен быть создан

  • Компьютер должен быть присоединен к домену во время создания образа, прежде чем MBAM полностью включит BitLocker

Включение BitLocker с помощью MBAM 2.5 с пакетом обновления 1 (SP1) в рамках развертывания Windows

Включение BitLocker во время развертывания Windows с помощью Invoke-MbamClientDeployment.ps1 сценария PowerShell

В MBAM 2.5 с пакетом обновления 1 (SP1) рекомендуемый подход к включению BitLocker во время развертывания Windows с помощью скрипта Invoke-MbamClientDeployment.ps1 PowerShell.

  • Скрипт Invoke-MbamClientDeployment.ps1 принимает BitLocker во время процесса создания образа. Если политика BitLocker требуется, агент MBAM немедленно предлагает пользователю домена создать ПИН-код или пароль, когда пользователь домена впервые входит в систему после создания образа.

  • Простота использования с MDT, System Center Configuration Manager или автономными процессами создания образов

  • Совместимость с PowerShell 2.0 или более поздней версии

  • Шифрование тома ОС с помощью предохранителя ключа доверенного платформенного модуля

  • Полная поддержка предварительной подготовки BitLocker

  • При необходимости зашифруйте FDD

  • Депонирования TPM OwnerAuth

    • Для Windows 7 MBAM должен быть владельцем доверенного платформенного модуля для выполнения депонирования.
    • Для Windows 8.1, Windows 10 RTM и Windows 10 версии 1511 поддерживается депонроу владельца доверенного платформенного модуля OwnerAuth.
    • В Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. При подготовке доверенного платформенного модуля Windows не сохраняет пароль владельца доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля.

  • Ключи восстановления escrow и пакеты ключей восстановления

  • Немедленно сообщить о состоянии шифрования

  • Новые поставщики WMI

  • Подробное ведение журнала

  • Надежная обработка ошибок

Скрипт можно скачать из Invoke-MbamClientDeployment.ps1скриптов развертывания клиента MBAM. Это основной скрипт, который система развертывания вызывает для настройки шифрования диска BitLocker и записи ключей восстановления с помощью сервера MBAM.

Методы развертывания WMI для MBAM

Для поддержки включения BitLocker с помощью скрипта Invoke-MbamClientDeployment.ps1 PowerShell MBAM 2.5 с пакетом обновления 1 (SP1) включает следующие методы WMI:

MBAM_Machine Класс WMI

  • PrepareTpmAndEscrowOwnerAuth: считывает значение OwnerAuth доверенного платформенного модуля и отправляет его в базу данных восстановления MBAM с помощью службы восстановления MBAM. Если TPM не принадлежит и автоматическая подготовка не включена, он создает владелец доверенного платформенного модуля и берет на себя ответственность. В случае сбоя возвращается код ошибки для устранения неполадок.

    Примечание.

    В Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля.

    Параметр Описание
    RecoveryServiceEndPoint Строка, указывающая конечную точку службы восстановления MBAM.

    Ниже приведен список распространенных сообщений об ошибках:

    Общие возвращаемые значения Сообщение об ошибке
    S_OK
    0 (0x0)    		 Метод выполнен успешно.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 TPM отсутствует на компьютере или отключен в конфигурации BIOS.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 TPM не в правильном состоянии (включен, активирован и разрешена установка владельца).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 MBAM не может стать владельцем доверенного платформенного модуля, так как ожидается автоматическая подготовка. Повторите попытку после завершения автоматической подготовки.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 MBAM не может прочитать значение авторизации владельца доверенного платформенного модуля. Значение может быть удалено после успешного депонирования. В Windows 7, если доверенный платформенный модуль принадлежит другим пользователям, MBAM не сможет прочитать значение.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 Компьютер необходимо перезагрузить, чтобы настроить TPM в правильном состоянии. Может потребоваться вручную перезагрузить компьютер.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 Чтобы настроить TPM в правильном состоянии, компьютер должен быть выключен и снова включен. Может потребоваться вручную перезагрузить компьютер.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Удаленная конечная точка отказано в доступе.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Удаленная конечная точка не существует или не может быть найдена.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Удаленной конечной точке не удалось обработать запрос.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Удаленная конечная точка недоступна.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
    2151481376 WS_E_INVALID_ENDPOINT_URL (0x803D0020) Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

  • ReportStatus: считывает состояние соответствия тома и отправляет его в базу данных состояния соответствия MBAM с помощью службы отчетов о состоянии MBAM. Состояние включает в себя надежность шифра, тип предохранителя, состояние предохранителя и состояние шифрования. В случае сбоя возвращается код ошибки для устранения неполадок.

    Параметр Описание
    ReportingServiceEndPoint Строка, указывающая конечную точку службы отчетов о состоянии MBAM.

    Ниже приведен список распространенных сообщений об ошибках:

    Общие возвращаемые значения Сообщение об ошибке
    S_OK
    0 (0x0)    		 Метод выполнен успешно
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Удаленная конечная точка отказано в доступе.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Удаленная конечная точка не существует или не может быть найдена.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Удаленной конечной точке не удалось обработать запрос.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Удаленная конечная точка недоступна.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

MBAM_Volume Класс WMI

  • EscrowRecoveryKey: считывает числовой пароль восстановления и пакет ключей тома и отправляет их в базу данных восстановления MBAM с помощью службы восстановления MBAM. В случае сбоя возвращается код ошибки для устранения неполадок.

    Параметр Описание
    RecoveryServiceEndPoint Строка, указывающая конечную точку службы восстановления MBAM.

    Ниже приведен список распространенных сообщений об ошибках:

    Общие возвращаемые значения Сообщение об ошибке
    S_OK
    0 (0x0)    		 Метод выполнен успешно
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 Том заблокирован.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 Для тома не найден числовый предохранитель паролем.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Удаленная конечная точка отказано в доступе.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Удаленная конечная точка не существует или не может быть найдена.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Удаленной конечной точке не удалось обработать запрос.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Удаленная конечная точка недоступна.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с http или https.

Развертывание MBAM с помощью Microsoft Deployment Toolkit (MDT) и PowerShell

  1. В MDT создайте новую общую папку развертывания или откройте существующую общую папку развертывания.

    Примечание.

    Скрипт PowerShell можно использовать Invoke-MbamClientDeployment.ps1 с любым процессом или средством создания образов. В этом разделе показано, как интегрировать его с помощью MDT, но шаги похожи на интеграцию с любым другим процессом или средством.

    Предостережение

    Если вы используете предварительную подготовку BitLocker в Среде предустановки Windows и хотите сохранить значение авторизации владельца доверенного платформенного модуля, необходимо добавить SaveWinPETpmOwnerAuth.wsf скрипт в Среду предустановки Windows непосредственно перед перезапуском установки в полную ОС. Если вы не используете этот скрипт, при перезапуске вы потеряете значение авторизации владельца доверенного платформенного модуля.

  2. Скопируйте Invoke-MbamClientDeployment.ps1 в <DeploymentShare>\Scripts. Если вы используете предварительную подготовку, скопируйте файл в SaveWinPETpmOwnerAuth.wsf<DeploymentShare>\Scripts.

  3. Добавьте клиентское приложение MBAM 2.5 с пакетом обновления 1 (SP1) в узел Приложения в общей папке развертывания.

    1. В узле Приложения выберите Создать приложение.
    2. Выберите Приложение с исходными файлами. Выберите Далее.
    3. В поле Имя приложения введите "MBAM 2.5 SP1 Client". Выберите Далее.
    4. Перейдите в каталог, содержащий MBAMClientSetup-<Version>.msi. Выберите Далее.
    5. Введите "КЛИЕНТ MBAM 2.5 с пакетом обновления 1 (SP1) в качестве создаваемого каталога. Выберите Далее.
    6. Введите msiexec /i MBAMClientSetup-<Version>.msi /quiet в командной строке. Выберите Далее.
    7. Примите остальные значения по умолчанию, чтобы завершить работу мастера создания приложения.

  4. В MDT щелкните правой кнопкой мыши имя общей папки развертывания и выберите Пункт Свойства. Перейдите на вкладку Правила . Добавьте следующие строки:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Нажмите кнопку ОК, чтобы закрыть окно.

  5. В узле Последовательности задач измените существующую последовательность задач, используемую для развертывания Windows. При необходимости можно создать новую последовательность задач, щелкнув правой кнопкой мыши узел Последовательности задач , выбрав Создать последовательность задач и завершив работу мастера.

    На вкладке Последовательность задач выбранной последовательности задач выполните следующие действия:

    1. В папке Preinstall включите необязательную задачу Включить BitLocker (автономно), если вы хотите включить BitLocker в WinPE, который шифрует только используемое пространство.

    2. Чтобы сохранить TPM OwnerAuth при использовании предварительной подготовки, разрешив MBAM депонировать его позже, сделайте следующее:

      1. Найдите шаг Установка операционной системы

      2. Добавление нового шага командной строки запуска после него

      3. Присвойте шагу имя Persist TPM OwnerAuth

      4. Задайте для командной строки значение cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Примечание.

        В Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. При подготовке доверенного платформенного модуля Windows не сохраняет пароль владельца доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля.

    3. В папке "Восстановление состояния" удалите задачу Включить BitLocker .

    4. В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу "Установка приложения" и назовите ее Install MBAM Agent. Установите переключатель Установить отдельное приложение и перейдите к созданному ранее клиентскому приложению MBAM 2.5 с пакетом обновления 1 (SP1).

    5. В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу Запуск скрипта PowerShell (после шага клиентского приложения MBAM 2.5 с пакетом обновления 1 (SP1) со следующими параметрами (обновите параметры в соответствии с вашей средой):

      • Имя: настройка BitLocker для MBAM

      • Сценарий PowerShell: Invoke-MbamClientDeployment.ps1

      • Параметры:

        Параметр Требование Описание
        -RecoveryServiceEndpoint Обязательный Конечная точка службы восстановления MBAM.
        -StatusReportingServiceEndpoint Необязательно Конечная точка службы отчетов о состоянии MBAM.
        -EncryptionMethod Необязательно Метод шифрования (по умолчанию: AES 128).
        -EncryptAndEscrowDataVolume Переключатель Укажите, чтобы зашифровать тома данных и ключи восстановления тома данных депонирования.
        -WaitForEncryptionToComplete Переключатель Укажите, чтобы дождаться завершения шифрования.
        -DoNotResumeSuspendedEncryption Переключатель Укажите, что скрипт развертывания не будет возобновлять приостановленное шифрование.
        -IgnoreEscrowOwnerAuthFailure Переключатель Укажите, чтобы игнорировать сбой депонирования проверки подлинности владельца доверенного платформенного модуля. Его следует использовать в сценариях, когда MBAM не может прочитать проверку подлинности владельца доверенного платформенного модуля. Например, если включена автоматическая подготовка доверенного платформенного модуля.
        -IgnoreEscrowRecoveryKeyFailure Переключатель Укажите, чтобы игнорировать сбой депонирования ключа восстановления тома.
        -IgnoreReportStatusFailure Переключатель Укажите, чтобы игнорировать сбой отчетов о состоянии.

Включение BitLocker с помощью MBAM 2.5 или более ранней версии в рамках развертывания Windows

  1. Установите клиент MBAM. Инструкции см. в статье Развертывание клиента MBAM с помощью командной строки.

  2. Присоединение компьютера к домену (рекомендуется).

    • Если компьютер не присоединен к домену, пароль восстановления не хранится в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если ключ восстановления не может быть сохранен.

    • Если компьютер запускается в режиме восстановления до того, как ключ восстановления будет сохранен на сервере MBAM, метод восстановления недоступен, и компьютер необходимо переимыслить.

  3. Откройте командную строку от имени администратора и остановите службу MBAM.

  4. Задайте для службы значение Вручную или По запросу , введя следующие команды:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Задайте значения реестра так, чтобы клиент MBAM пропускал параметры групповой политики и вместо этого устанавливал шифрование, чтобы запустить время развертывания Windows на этом клиентском компьютере.

    Предостережение

    На этом шаге описывается изменение реестра Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки Windows. Мы не можем гарантировать, что проблемы, возникающие в результате неправильного использования редактора реестра, могут быть устранены. Используйте редактор реестра на свой страх и риск.

    1. Настройте TPM только для шифрования операционной системы, запустите Regedit.exe, а затем импортируйте шаблон раздела реестра из C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. В Regedit.exe перейдите к HKLM\SOFTWARE\Microsoft\MBAMи настройте параметры, перечисленные в следующей таблице.

      Примечание.

      Параметры групповой политики или значения реестра, связанные с MBAM, можно задать здесь. Эти параметры переопределяют ранее заданные значения.

      Запись реестра Параметры конфигурации
      DeploymentTime 0 = выкл.
      1 = использование параметров политики времени развертывания (по умолчанию) — используйте этот параметр, чтобы включить шифрование во время развертывания Windows на клиентском компьютере.
      UseKeyRecoveryService 0 = не используйте депонирования ключей. Следующие две записи реестра в этом случае не требуются.
      1 = использование депонирования ключей в системе восстановления ключей (по умолчанию)
      Рекомендуется использовать этот параметр, который позволяет MBAM хранить ключи восстановления. Компьютер должен иметь возможность взаимодействовать со службой восстановления ключей MBAM. Прежде чем продолжить, убедитесь, что компьютер может взаимодействовать со службой.
      KeyRecoveryOptions 0 = только ключ восстановления для отправки
      1 = передает ключ восстановления и пакет восстановления ключей (по умолчанию)
      KeyRecoveryServiceEndPoint Задайте для этого значения URL-адрес сервера, на котором запущена служба восстановления ключей, например https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Клиент MBAM перезапускает систему во время развертывания клиента MBAM. Когда вы будете готовы к перезапуску, выполните следующую команду в командной строке от имени администратора:

    net start mbamagent

  7. Когда компьютеры перезагружаются и BIOS предложит вам, примите изменения доверенного платформенного модуля.

  8. Во время процесса создания образа операционной системы клиента Windows, когда вы будете готовы начать шифрование, откройте командную строку от имени администратора и введите следующие команды, чтобы задать для параметра start значение Automatic и перезапустить агент клиента MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Чтобы удалить значения реестра обхода, запустите Regedit.exe и перейдите к HKLM\SOFTWARE\Microsoft записи реестра. Щелкните правой кнопкой мыши узел MBAM и выберите команду Удалить.

Развертывание клиента MBAM 2.5

Планирование развертывания клиента MBAM 2.5