使用 Configuration Manager 预预配 Windows PE 中的 BitLocker

适用于: Configuration Manager(current branch)

Configuration Manager 中的预预配 BitLocker 任务序列步骤允许在操作系统部署之前从 Windows 预安装环境 (Windows PE) 启用 BitLocker。 仅加密使用的驱动器空间,因此加密时间要快得多。 这是通过随机生成的清除保护程序应用于格式化卷并在运行 Windows 安装过程之前加密卷来完成的。 通过 Windows 8 和 Windows Server 2012 引入了预预配 BitLocker 的功能。 但是,你可以在硬盘驱动器上预预配 BitLocker 并安装 Windows 7,只要遵循特定步骤即可。 Windows 7 安装程序完成后,必须设置 BitLocker 密钥保护程序,因为 Windows 7 BitLocker 控制面板不支持具有清晰保护程序的 BitLocker。 必须使用 “启用 BitLocker” 步骤或使用manage-bde.exe命令行工具添加密钥保护程序。

通常,必须执行以下操作才能在将安装 Windows 7 的计算机上成功预预配 BitLocker:

  • 在 Windows PE 中重启计算机

    重要

    必须使用 Windows PE 4 或更高版本的启动映像来预预配 BitLocker。 有关 Configuration Manager 中支持的 Windows PE 版本的详细信息,请参阅外部依赖项Configuration Manager

  • 对硬盘驱动器进行分区和格式化

  • 预预配 BitLocker

  • 使用特定操作系统和网络设置安装 Windows 7

  • 将密钥保护程序添加到 BitLocker

    在 Configuration Manager中,在硬盘驱动器上预预配 BitLocker 并安装 Windows 7 的建议方法是创建新的任务序列,并从“创建任务序列向导”的“创建新任务序列”页中选择“安装现有映像包”。 该向导创建下表中列出的任务序列步骤。

注意

任务序列可能有其他步骤,具体取决于在向导中配置设置的方式。 例如,如果在向导的“状态迁移”页上选择了“捕获Microsoft Windows 设置”,则可能具有“捕获 Windows 设置”步骤。

任务序列步骤 详细信息
禁用 BitLocker 此步骤将禁用 BitLocker 加密(如果当前已启用)。 有关详细信息,请参阅 禁用 BitLocker
在 Windows PE 中重启计算机 此步骤通过运行分配给任务序列的启动映像,在 Windows PE 中重启计算机。 必须使用 Windows PE 4 或更高版本的启动映像来预预配 BitLocker。 有关详细信息,请参阅 重启计算机
分区磁盘 0 - BIOS

分区磁盘 0 - UEFI
这些步骤使用 BIOS 或 UEFI 对目标计算机上的指定驱动器进行格式化和分区。 任务序列在检测到目标计算机处于 UEFI 模式时使用 UEFI。 有关详细信息,请参阅 格式化和分区磁盘
预预配 BitLocker 此步骤在 Windows PE 中启用驱动器上的 BitLocker。 仅对已用驱动器空间进行加密。 由于在上一步中对硬盘驱动器进行了分区和格式化,因此没有数据,并且加密很快完成。 有关详细信息,请参阅 预预配 BitLocker
应用操作系统 此步骤准备用于在目标计算机上安装操作系统的应答文件,并将 OSDTargetSystemDrive 任务序列变量设置为包含操作系统文件的分区的驱动器号。 应答文件和变量由安装 Windows 和 ConfigMgr 步骤用于安装操作系统。 有关详细信息,请参阅 应用操作系统映像
应用 Windows 设置 此步骤将 Windows 设置添加到应答文件。 安装 Windows 和 ConfigMgr 步骤使用应答文件来安装操作系统。 有关详细信息,请参阅 应用 Windows 设置
应用网络设置 此步骤将网络设置添加到应答文件。 安装 Windows 和 ConfigMgr 步骤使用应答文件来安装操作系统。 有关详细信息,请参阅 应用网络设置步骤
应用设备驱动程序 此步骤与操作系统部署中的驱动程序匹配并安装。 有关详细信息,请参阅 自动应用驱动程序
设置 Windows 和 ConfigMgr 此步骤执行从 Windows PE 到新操作系统的转换。 此任务序列步骤是任何操作系统部署的必需部分。 它将Configuration Manager客户端安装到新的操作系统中,并为任务序列在新操作系统中继续执行做好准备。 有关详细信息,请参阅 设置 Windows 和 ConfigMgr
启用 BitLocker 此步骤在硬盘驱动器上启用 BitLocker 加密并设置密钥保护程序。 由于硬盘驱动器是使用 BitLocker 预先预配的,所以此步骤很快完成。 Windows 7 要求添加密钥保护程序。 如果不使用此步骤,可以运行manage-bde.exe命令行工具来设置密钥保护程序。 有关详细信息,请参阅 启用 BitLocker