Включение BitLocker с помощью MBAM в составе развертывания Windows

  • Статья

Важно.

Эти инструкции не относятся к управлению BitLocker Configuration Manager. Сценарий Invoke-MbamClientDeployment.ps1 PowerShell не поддерживается для использования с управлением BitLocker в Configuration Manager. Сюда входит депонирование ключей восстановления BitLocker во время Configuration Manager последовательности задач.

Кроме того, начиная с Configuration Manager версии 2103, Configuration Manager Управление BitLocker больше не использует сайт служб восстановления ключей MBAM для депонирования ключей. Попытка использовать Invoke-MbamClientDeployment.ps1 сценарий PowerShell с Configuration Manager версии 2103 или более поздней может привести к серьезным проблемам с сайтом Configuration Manager. Известные проблемы включают создание большого количества политик, предназначенных для всех устройств, что может привести к бурям политик. Это приведет к серьезному снижению производительности в Configuration Manager главным образом в SQL и с точками управления. Дополнительные сведения см. в статье Использование агента MBAM для депонирования ключей восстановления BitLocker создает избыточные политики в Configuration Manager версии 2103.

Управление BitLocker, начиная с Configuration Manager версии 2203, изначально поддерживает депонирование ключа BitLocker во время последовательности задач с помощью задачи Включить последовательность задач BitLocker с помощью параметра Автоматически хранить ключ восстановления в:>База данных Configuration Manager. Дополнительные сведения см. в разделе Escrow BitLocker, пароль восстановления для сайта во время последовательности задач.

Кроме того, обратите внимание, что автономная интеграция MBAM с Configuration Manager поддерживалась только до Configuration Manager версии 1902. С Configuration Manager версия 1902 не поддерживается, использование автономного MBAM и Invoke-MbamClientDeployment.ps1 скрипта PowerShell с поддерживаемыми в настоящее время версиями Configuration Manager больше не поддерживается. Дополнительные сведения см. в разделе Версии Configuration Manager, поддерживаемые MBAM. Клиенты, использующие автономный MBAM с Configuration Manager, должны перейти на Configuration Manager Управление BitLocker.

В этом разделе объясняется, как включить BitLocker на компьютере конечного пользователя с помощью MBAM в процессе создания образов и развертывания Windows. Если при перезапуске (после завершения этапа установки) отображается черный экран, указывающий, что диск не может быть разблокирован, см. раздел Предыдущие версии Windows не запускаются после шага "Настройка Windows и Configuration Manager", если предварительная подготовка BitLocker используется с Windows 10 версии 1511.

Необходимые условия:

  • Должен быть развернут существующий процесс развертывания образа Windows — Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager или другое средство или процесс создания образов.

  • TPM должен быть включен в BIOS и отображаться в ОС

  • Инфраструктура сервера MBAM должна быть на месте и доступна

  • Системный раздел, необходимый BitLocker, должен быть создан

  • Компьютер должен быть присоединен к домену во время создания образа, прежде чем MBAM полностью включит BitLocker

Включение BitLocker с помощью MBAM 2.5 с пакетом обновления 1 (SP1) в рамках развертывания Windows

  1. В MBAM 2.5 с пакетом обновления 1 (SP1) рекомендуемый подход к включению BitLocker во время развертывания Windows с помощью скрипта Invoke-MbamClientDeployment.ps1 PowerShell.

    • Скрипт Invoke-MbamClientDeployment.ps1 принимает BitLocker во время процесса создания образа. Если политика BitLocker требуется, агент MBAM немедленно предлагает пользователю домена создать ПИН-код или пароль, когда пользователь домена впервые входит в систему после создания образа.

    • Простота использования с MDT, System Center Configuration Manager или автономными процессами визуализации

    • Совместимость с PowerShell 2.0 или более поздней версии

    • Шифрование тома ОС с помощью предохранителя ключа доверенного платформенного модуля

    • Полная поддержка предварительной подготовки BitLocker

    • При необходимости зашифруйте FDD

    • Владелец доверенного платформенного модуля Для Windows 7 MBAM должен быть владельцем доверенного платформенного модуля для выполнения депонирования. Для Windows 8.1, Windows 10 RTM и Windows 10 версии 1511, поддерживается депонирования владельца доверенного платформенного модуля OwnerAuth. Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .

    • Ключи восстановления escrow и пакеты ключей восстановления

    • Немедленное сообщение о состоянии шифрования

    • Новые поставщики WMI

    • Подробное ведение журнала

    • Надежная обработка ошибок

    Скрипт можно скачать Invoke-MbamClientDeployment.ps1 из центра загрузки Microsoft.com. Это main скрипт, который система развертывания вызовет для настройки шифрования диска BitLocker и записи ключей восстановления с помощью сервера MBAM.

    Методы развертывания WMI для MBAM: В MBAM 2.5 с пакетом обновления 1 (SP1) добавлены следующие методы WMI для поддержки включения BitLocker с помощью скрипта Invoke-MbamClientDeployment.ps1 PowerShell.

    MBAM_Machine класс WMIPrepareTpmAndEscrowOwnerAuth: считывает владелец доверенного платформенного модуля и отправляет его в базу данных восстановления MBAM с помощью службы восстановления MBAM. Если доверенный платформенный модуль не принадлежит и автоматическая подготовка не включена, он создает владелец доверенного платформенного модуляAuth и берет на себя ответственность. В случае сбоя возвращается код ошибки для устранения неполадок.

    Примечание Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .

Параметр Описание
RecoveryServiceEndPoint Строка, указывающая конечную точку службы восстановления MBAM.

Ниже приведен список распространенных сообщений об ошибках:

Общие возвращаемые значения Сообщение об ошибке
S_OK
0 (0x0)		 Метод выполнен успешно.
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)		 TPM отсутствует на компьютере или отключен в конфигурации BIOS.
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)		 TPM находится не в правильном состоянии (разрешена, активирована и разрешена установка владельца).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)		 MBAM не может стать владельцем доверенного платформенного модуля, так как ожидается автоматическая подготовка. Повторите попытку после завершения автоматической подготовки.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)		 MBAM не может прочитать значение авторизации владельца доверенного платформенного модуля. Возможно, значение было удалено после успешного депонирования. В Windows 7 MBAM не может прочитать значение, если доверенный платформенный модуль принадлежит другим пользователям.
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)		 Компьютер необходимо перезагрузить, чтобы настроить TPM в правильном состоянии. Может потребоваться вручную перезагрузить компьютер.
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)		 Чтобы настроить TPM в правильном состоянии, компьютер должен быть выключен и снова включен. Может потребоваться вручную перезагрузить компьютер.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 Удаленная конечная точка запретила доступ.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Удаленная конечная точка не существует или не может быть найдена.
**WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Удаленной конечной точке не удалось обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
2151481376 WS_E_INVALID_ENDPOINT_URL (0x803D0020) Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https".

ReportStatus: Считывает состояние соответствия тома и отправляет его в базу данных состояния соответствия MBAM с помощью службы отчетов о состоянии MBAM. Состояние включает в себя надежность шифра, тип предохранителя, состояние предохранителя и состояние шифрования. В случае сбоя возвращается код ошибки для устранения неполадок.

Параметр Описание
ReportingServiceEndPoint Строка, указывающая конечную точку службы отчетов о состоянии MBAM.

Ниже приведен список распространенных сообщений об ошибках:

Общие возвращаемые значения Сообщение об ошибке
S_OK
0 (0x0)		 Метод выполнен успешно
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 Удаленная конечная точка запретила доступ.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Удаленная конечная точка не существует или не может быть найдена.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Удаленной конечной точке не удалось обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)		 Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https".

MBAM_Volume WMI ClassEscrowRecoveryKey: считывает числовой пароль и пакет ключей для восстановления тома и отправляет их в базу данных восстановления MBAM с помощью службы восстановления MBAM. В случае сбоя возвращается код ошибки для устранения неполадок.

Параметр Описание
RecoveryServiceEndPoint Строка, указывающая конечную точку службы восстановления MBAM.

Ниже приведен список распространенных сообщений об ошибках:

Общие возвращаемые значения Сообщение об ошибке
S_OK
0 (0x0)		 Метод выполнен успешно
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)		 Том заблокирован.
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)		 Для тома не найдена защита числового пароля.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 Удаленная конечная точка запретила доступ.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Удаленная конечная точка не существует или не может быть найдена.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Удаленной конечной точке не удалось обработать запрос.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Удаленная конечная точка недоступна.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)		 Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https".

  1. Развертывание MBAM с помощью Microsoft Deployment Toolkit (MDT) и PowerShell

    1. В MDT создайте новую общую папку развертывания или откройте существующую общую папку развертывания.

      Примечание.
      Скрипт Invoke-MbamClientDeployment.ps1 PowerShell можно использовать с любым процессом или средством создания образов. В этом разделе показано, как интегрировать его с помощью MDT, но шаги похожи на интеграцию с любым другим процессом или средством.

      Осторожностью
      Если вы используете предварительную подготовку BitLocker (WinPE) и хотите сохранить значение авторизации владельца доверенного платформенного модуля, необходимо добавить SaveWinPETpmOwnerAuth.wsf скрипт в WinPE непосредственно перед перезагрузкой установки в полную операционную систему. Если вы не используете этот скрипт, вы потеряете значение авторизации владельца доверенного платформенного модуля при перезагрузке.

    2. Скопируйте Invoke-MbamClientDeployment.ps1 в <DeploymentShare>\Scripts. Если вы используете предварительную подготовку, скопируйте файл в SaveWinPETpmOwnerAuth.wsf<DeploymentShare>\Scripts.

    3. Добавьте клиентское приложение MBAM 2.5 с пакетом обновления 1 (SP1) в узел Приложения в общей папке развертывания.

      1. В узле Приложения щелкните Создать приложение.

      2. Выберите Приложение с исходными файлами. Нажмите кнопку Далее.

      3. В поле Имя приложения введите "MBAM 2.5 SP1 Client". Нажмите кнопку Далее.

      4. Перейдите в каталог, содержащий MBAMClientSetup-<Version>.msi. Нажмите кнопку Далее.

      5. Введите "КЛИЕНТ MBAM 2.5 с пакетом обновления 1 (SP1) в качестве создаваемого каталога. Нажмите кнопку Далее.

      6. Введите msiexec /i MBAMClientSetup-<Version>.msi /quiet в командной строке. Нажмите кнопку Далее.

      7. Примите остальные значения по умолчанию, чтобы завершить работу мастера создания приложения.

    4. В MDT щелкните правой кнопкой мыши имя общей папки развертывания и выберите пункт Свойства. Перейдите на вкладку Правила . Добавьте следующие строки:

      SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

      Нажмите кнопку ОК, чтобы закрыть окно.

    5. В узле Последовательности задач измените существующую последовательность задач, используемую для развертывания Windows. При необходимости можно создать новую последовательность задач, щелкнув правой кнопкой мыши узел Последовательности задач , выбрав Создать последовательность задач и завершив работу мастера.

      На вкладке Последовательность задач выбранной последовательности задач выполните следующие действия:

      1. В папке Preinstall включите необязательную задачу Включить BitLocker (вне сети), если вы хотите включить BitLocker в WinPE, который шифрует только используемое пространство.

      2. Чтобы сохранить TPM OwnerAuth при использовании предварительной подготовки, разрешив MBAM депонировать его позже, сделайте следующее:

        1. Найдите шаг Установка операционной системы

        2. Добавление нового шага командной строки запуска после него

        3. Присвойте шагу имя Persist TPM OwnerAuth

        4. Задайте для командной строки cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"значение Примечание. Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .

      3. В папке "Восстановление состояния" удалите задачу Включить BitLocker .

      4. В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу "Установка приложения" и назовите ее Install MBAM Agent. Нажмите переключатель Установить отдельное приложение и перейдите к созданному ранее клиентскому приложению MBAM 2.5 с пакетом обновления 1 (SP1).

      5. В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу Запуск скрипта PowerShell (после шага клиентского приложения MBAM 2.5 с пакетом обновления 1 (SP1) со следующими параметрами (обновите параметры в соответствии с вашей средой):

        • Имя: настройка BitLocker для MBAM

        • Сценарий PowerShell: Invoke-MbamClientDeployment.ps1

        • Параметры:

          -RecoveryServiceEndpoint

          Обязательный

          Конечная точка службы восстановления MBAM

          -StatusReportingServiceEndpoint

          Необязательно

          Конечная точка службы отчетов о состоянии MBAM

          -EncryptionMethod

          Необязательно

          Метод шифрования (по умолчанию: AES 128)

          -EncryptAndEscrowDataVolume

          Переключатель

          Укажите ключи для шифрования томов данных и депонирования томов данных.

          -WaitForEncryptionToComplete

          Переключатель

          Укажите, чтобы дождаться завершения шифрования

          -DoNotResumeSuspendedEncryption

          Переключатель

          Укажите, что сценарий развертывания не будет возобновлять приостановленное шифрование

          -IgnoreEscrowOwnerAuthFailure

          Переключатель

          Укажите, чтобы игнорировать сбой депонирования проверки подлинности владельца доверенного платформенного модуля. Его следует использовать в сценариях, когда MBAM не может считывать проверку подлинности владельца доверенного платформенного модуля, например, если включена автоматическая подготовка доверенного платформенного модуля.

          -IgnoreEscrowRecoveryKeyFailure

          Переключатель

          Укажите, чтобы игнорировать сбой депонирования ключа восстановления тома

          -IgnoreReportStatusFailure

          Переключатель

          Укажите, чтобы игнорировать сбой отчетов о состоянии

Включение BitLocker с помощью MBAM 2.5 или более ранней версии в рамках развертывания Windows

  1. Установите клиент MBAM. Инструкции см. в статье Развертывание клиента MBAM с помощью командной строки.

  2. Присоединение компьютера к домену (рекомендуется).

    • Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если ключ восстановления не может быть сохранен.

    • Если компьютер запускается в режиме восстановления до того, как ключ восстановления будет сохранен на сервере MBAM, метод восстановления недоступен, и компьютер должен быть переосмыслен.

  3. Откройте командную строку от имени администратора и остановите службу MBAM.

  4. Задайте для службы значение Вручную или По запросу , введя следующие команды:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Задайте значения реестра так, чтобы клиент MBAM пропускал параметры групповая политика и вместо этого настраивал шифрование, чтобы запустить время развертывания Windows на этом клиентском компьютере.

    Осторожностью На этом шаге описывается изменение реестра Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки Windows. Мы не можем гарантировать, что проблемы, возникающие в результате неправильного использования редактора реестра, могут быть устранены. Используйте редактор реестра на свой страх и риск.

    1. Настройте TPM только для шифрования операционной системы, запустите Regedit.exe, а затем импортируйте шаблон раздела реестра из C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. В Regedit.exe перейдите в раздел HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, перечисленные в следующей таблице.

      Примечание Здесь можно задать групповая политика параметры или значения реестра, связанные с MBAM. Эти параметры переопределяют ранее заданные значения.

      Запись реестра Параметры конфигурации

      DeploymentTime

      0 = выкл.

      1 = использовать параметры политики времени развертывания (по умолчанию) — используйте этот параметр, чтобы включить шифрование во время развертывания Windows на клиентском компьютере.

      UseKeyRecoveryService

      0 = не использовать депонирования ключей (следующие две записи реестра в этом случае не требуются)

      1 = использование депонирования ключей в системе восстановления ключей (по умолчанию)

      Это рекомендуемый параметр, который позволяет MBAM хранить ключи восстановления. Компьютер должен иметь возможность взаимодействовать со службой восстановления ключей MBAM. Прежде чем продолжить, убедитесь, что компьютер может взаимодействовать со службой.

      KeyRecoveryOptions

      0 = только ключ восстановления для отправки

      1 = передает ключ восстановления и пакет восстановления ключей (по умолчанию)

      KeyRecoveryServiceEndPoint

      Задайте для этого значения URL-адрес сервера, на котором запущена служба восстановления ключей, например имя http://< компьютер>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Клиент MBAM перезапустит систему во время развертывания клиента MBAM. Когда вы будете готовы к перезапуску, выполните следующую команду в командной строке от имени администратора:

    net start mbamagent

  7. Когда компьютеры перезагружаются и BIOS предложит вам, примите изменения доверенного платформенного модуля.

  8. В процессе создания образа операционной системы клиента Windows, когда вы будете готовы к началу шифрования, откройте командную строку от имени администратора и введите следующие команды, чтобы задать для параметра start значение Automatic и перезапустить агент клиента MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Чтобы удалить значения реестра обхода, запустите Regedit.exe и перейдите к записи реестра HKLM\SOFTWARE\Microsoft. Щелкните правой кнопкой мыши узел MBAM и выберите команду Удалить.

Развертывание клиента MBAM 2.5

Планирование развертывания клиента MBAM 2.5

Есть предложение для MBAM?

  • Для устранения проблем с MBAM используйте MBAM TechNet Forum.