Включение BitLocker с помощью MBAM в составе развертывания Windows
Важно.
Эти инструкции не относятся к управлению BitLocker Configuration Manager. Сценарий Invoke-MbamClientDeployment.ps1
PowerShell не поддерживается для использования с управлением BitLocker в Configuration Manager. Сюда входит депонирование ключей восстановления BitLocker во время Configuration Manager последовательности задач.
Кроме того, начиная с Configuration Manager версии 2103, Configuration Manager Управление BitLocker больше не использует сайт служб восстановления ключей MBAM для депонирования ключей. Попытка использовать Invoke-MbamClientDeployment.ps1
сценарий PowerShell с Configuration Manager версии 2103 или более поздней может привести к серьезным проблемам с сайтом Configuration Manager. Известные проблемы включают создание большого количества политик, предназначенных для всех устройств, что может привести к бурям политик. Это приведет к серьезному снижению производительности в Configuration Manager главным образом в SQL и с точками управления. Дополнительные сведения см. в статье Использование агента MBAM для депонирования ключей восстановления BitLocker создает избыточные политики в Configuration Manager версии 2103.
Управление BitLocker, начиная с Configuration Manager версии 2203, изначально поддерживает депонирование ключа BitLocker во время последовательности задач с помощью задачи Включить последовательность задач BitLocker с помощью параметра Автоматически хранить ключ восстановления в:>База данных Configuration Manager. Дополнительные сведения см. в разделе Escrow BitLocker, пароль восстановления для сайта во время последовательности задач.
Кроме того, обратите внимание, что автономная интеграция MBAM с Configuration Manager поддерживалась только до Configuration Manager версии 1902. С Configuration Manager версия 1902 не поддерживается, использование автономного MBAM и Invoke-MbamClientDeployment.ps1
скрипта PowerShell с поддерживаемыми в настоящее время версиями Configuration Manager больше не поддерживается. Дополнительные сведения см. в разделе Версии Configuration Manager, поддерживаемые MBAM. Клиенты, использующие автономный MBAM с Configuration Manager, должны перейти на Configuration Manager Управление BitLocker.
В этом разделе объясняется, как включить BitLocker на компьютере конечного пользователя с помощью MBAM в процессе создания образов и развертывания Windows. Если при перезапуске (после завершения этапа установки) отображается черный экран, указывающий, что диск не может быть разблокирован, см. раздел Предыдущие версии Windows не запускаются после шага "Настройка Windows и Configuration Manager", если предварительная подготовка BitLocker используется с Windows 10 версии 1511.
Необходимые условия:
Должен быть развернут существующий процесс развертывания образа Windows — Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager или другое средство или процесс создания образов.
TPM должен быть включен в BIOS и отображаться в ОС
Инфраструктура сервера MBAM должна быть на месте и доступна
Системный раздел, необходимый BitLocker, должен быть создан
Компьютер должен быть присоединен к домену во время создания образа, прежде чем MBAM полностью включит BitLocker
Включение BitLocker с помощью MBAM 2.5 с пакетом обновления 1 (SP1) в рамках развертывания Windows
В MBAM 2.5 с пакетом обновления 1 (SP1) рекомендуемый подход к включению BitLocker во время развертывания Windows с помощью скрипта
Invoke-MbamClientDeployment.ps1
PowerShell.Скрипт
Invoke-MbamClientDeployment.ps1
принимает BitLocker во время процесса создания образа. Если политика BitLocker требуется, агент MBAM немедленно предлагает пользователю домена создать ПИН-код или пароль, когда пользователь домена впервые входит в систему после создания образа.Простота использования с MDT, System Center Configuration Manager или автономными процессами визуализации
Совместимость с PowerShell 2.0 или более поздней версии
Шифрование тома ОС с помощью предохранителя ключа доверенного платформенного модуля
Полная поддержка предварительной подготовки BitLocker
При необходимости зашифруйте FDD
Владелец доверенного платформенного модуля Для Windows 7 MBAM должен быть владельцем доверенного платформенного модуля для выполнения депонирования. Для Windows 8.1, Windows 10 RTM и Windows 10 версии 1511, поддерживается депонирования владельца доверенного платформенного модуля OwnerAuth. Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .
Ключи восстановления escrow и пакеты ключей восстановления
Немедленное сообщение о состоянии шифрования
Новые поставщики WMI
Подробное ведение журнала
Надежная обработка ошибок
Скрипт можно скачать
Invoke-MbamClientDeployment.ps1
из центра загрузки Microsoft.com. Это main скрипт, который система развертывания вызовет для настройки шифрования диска BitLocker и записи ключей восстановления с помощью сервера MBAM.Методы развертывания WMI для MBAM: В MBAM 2.5 с пакетом обновления 1 (SP1) добавлены следующие методы WMI для поддержки включения BitLocker с помощью скрипта
Invoke-MbamClientDeployment.ps1
PowerShell.MBAM_Machine класс WMIPrepareTpmAndEscrowOwnerAuth: считывает владелец доверенного платформенного модуля и отправляет его в базу данных восстановления MBAM с помощью службы восстановления MBAM. Если доверенный платформенный модуль не принадлежит и автоматическая подготовка не включена, он создает владелец доверенного платформенного модуляAuth и берет на себя ответственность. В случае сбоя возвращается код ошибки для устранения неполадок.
Примечание Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .
Параметр | Описание |
---|---|
RecoveryServiceEndPoint | Строка, указывающая конечную точку службы восстановления MBAM. |
Ниже приведен список распространенных сообщений об ошибках:
Общие возвращаемые значения | Сообщение об ошибке |
---|---|
S_OK 0 (0x0) |
Метод выполнен успешно. |
MBAM_E_TPM_NOT_PRESENT 2147746304 (0x80040200) |
TPM отсутствует на компьютере или отключен в конфигурации BIOS. |
MBAM_E_TPM_INCORRECT_STATE 2147746305 (0x80040201) |
TPM находится не в правильном состоянии (разрешена, активирована и разрешена установка владельца). |
MBAM_E_TPM_AUTO_PROVISIONING_PENDING 2147746306 (0x80040202) |
MBAM не может стать владельцем доверенного платформенного модуля, так как ожидается автоматическая подготовка. Повторите попытку после завершения автоматической подготовки. |
MBAM_E_TPM_OWNERAUTH_READFAIL 2147746307 (0x80040203) |
MBAM не может прочитать значение авторизации владельца доверенного платформенного модуля. Возможно, значение было удалено после успешного депонирования. В Windows 7 MBAM не может прочитать значение, если доверенный платформенный модуль принадлежит другим пользователям. |
MBAM_E_REBOOT_REQUIRED 2147746308 (0x80040204) |
Компьютер необходимо перезагрузить, чтобы настроить TPM в правильном состоянии. Может потребоваться вручную перезагрузить компьютер. |
MBAM_E_SHUTDOWN_REQUIRED 2147746309 (0x80040205) |
Чтобы настроить TPM в правильном состоянии, компьютер должен быть выключен и снова включен. Может потребоваться вручную перезагрузить компьютер. |
WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
Удаленная конечная точка запретила доступ. |
WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
Удаленная конечная точка не существует или не может быть найдена. |
**WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
Удаленной конечной точке не удалось обработать запрос. |
WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
Удаленная конечная точка недоступна. |
WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы. |
2151481376 WS_E_INVALID_ENDPOINT_URL (0x803D0020) | Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https". |
ReportStatus: Считывает состояние соответствия тома и отправляет его в базу данных состояния соответствия MBAM с помощью службы отчетов о состоянии MBAM. Состояние включает в себя надежность шифра, тип предохранителя, состояние предохранителя и состояние шифрования. В случае сбоя возвращается код ошибки для устранения неполадок.
Параметр | Описание |
---|---|
ReportingServiceEndPoint | Строка, указывающая конечную точку службы отчетов о состоянии MBAM. |
Ниже приведен список распространенных сообщений об ошибках:
Общие возвращаемые значения | Сообщение об ошибке |
---|---|
S_OK 0 (0x0) |
Метод выполнен успешно |
WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
Удаленная конечная точка запретила доступ. |
WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
Удаленная конечная точка не существует или не может быть найдена. |
WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
Удаленной конечной точке не удалось обработать запрос. |
WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
Удаленная конечная точка недоступна. |
WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы. |
WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) |
Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https". |
MBAM_Volume WMI ClassEscrowRecoveryKey: считывает числовой пароль и пакет ключей для восстановления тома и отправляет их в базу данных восстановления MBAM с помощью службы восстановления MBAM. В случае сбоя возвращается код ошибки для устранения неполадок.
Параметр | Описание |
---|---|
RecoveryServiceEndPoint | Строка, указывающая конечную точку службы восстановления MBAM. |
Ниже приведен список распространенных сообщений об ошибках:
Общие возвращаемые значения | Сообщение об ошибке |
---|---|
S_OK 0 (0x0) |
Метод выполнен успешно |
FVE_E_LOCKED_VOLUME 2150694912 (0x80310000) |
Том заблокирован. |
FVE_E_PROTECTOR_NOT_FOUND 2150694963 (0x80310033) |
Для тома не найдена защита числового пароля. |
WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
Удаленная конечная точка запретила доступ. |
WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
Удаленная конечная точка не существует или не может быть найдена. |
WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
Удаленной конечной точке не удалось обработать запрос. |
WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
Удаленная конечная точка недоступна. |
WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
Сообщение, содержащее ошибку, было получено от удаленной конечной точки. Убедитесь, что вы подключаетесь к правильной конечной точке службы. |
WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) |
Недопустимый URL-адрес конечной точки. URL-адрес должен начинаться с "http" или "https". |
Развертывание MBAM с помощью Microsoft Deployment Toolkit (MDT) и PowerShell
В MDT создайте новую общую папку развертывания или откройте существующую общую папку развертывания.
Примечание.
СкриптInvoke-MbamClientDeployment.ps1
PowerShell можно использовать с любым процессом или средством создания образов. В этом разделе показано, как интегрировать его с помощью MDT, но шаги похожи на интеграцию с любым другим процессом или средством.Осторожностью
Если вы используете предварительную подготовку BitLocker (WinPE) и хотите сохранить значение авторизации владельца доверенного платформенного модуля, необходимо добавитьSaveWinPETpmOwnerAuth.wsf
скрипт в WinPE непосредственно перед перезагрузкой установки в полную операционную систему. Если вы не используете этот скрипт, вы потеряете значение авторизации владельца доверенного платформенного модуля при перезагрузке.Скопируйте
Invoke-MbamClientDeployment.ps1
в <DeploymentShare>\Scripts. Если вы используете предварительную подготовку, скопируйте файл вSaveWinPETpmOwnerAuth.wsf
<DeploymentShare>\Scripts.Добавьте клиентское приложение MBAM 2.5 с пакетом обновления 1 (SP1) в узел Приложения в общей папке развертывания.
В узле Приложения щелкните Создать приложение.
Выберите Приложение с исходными файлами. Нажмите кнопку Далее.
В поле Имя приложения введите "MBAM 2.5 SP1 Client". Нажмите кнопку Далее.
Перейдите в каталог, содержащий
MBAMClientSetup-<Version>.msi
. Нажмите кнопку Далее.Введите "КЛИЕНТ MBAM 2.5 с пакетом обновления 1 (SP1) в качестве создаваемого каталога. Нажмите кнопку Далее.
Введите
msiexec /i MBAMClientSetup-<Version>.msi /quiet
в командной строке. Нажмите кнопку Далее.Примите остальные значения по умолчанию, чтобы завершить работу мастера создания приложения.
В MDT щелкните правой кнопкой мыши имя общей папки развертывания и выберите пункт Свойства. Перейдите на вкладку Правила . Добавьте следующие строки:
SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES
Нажмите кнопку ОК, чтобы закрыть окно.
В узле Последовательности задач измените существующую последовательность задач, используемую для развертывания Windows. При необходимости можно создать новую последовательность задач, щелкнув правой кнопкой мыши узел Последовательности задач , выбрав Создать последовательность задач и завершив работу мастера.
На вкладке Последовательность задач выбранной последовательности задач выполните следующие действия:
В папке Preinstall включите необязательную задачу Включить BitLocker (вне сети), если вы хотите включить BitLocker в WinPE, который шифрует только используемое пространство.
Чтобы сохранить TPM OwnerAuth при использовании предварительной подготовки, разрешив MBAM депонировать его позже, сделайте следующее:
Найдите шаг Установка операционной системы
Добавление нового шага командной строки запуска после него
Присвойте шагу имя Persist TPM OwnerAuth
Задайте для командной строки
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"
значение Примечание. Для Windows 10 версии 1607 или более поздней только Windows может стать владельцем доверенного платформенного модуля. Кроме того, Windows не будет сохранять пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Дополнительные сведения см. в разделе Пароль владельца доверенного платформенного модуля .
В папке "Восстановление состояния" удалите задачу Включить BitLocker .
В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу "Установка приложения" и назовите ее Install MBAM Agent. Нажмите переключатель Установить отдельное приложение и перейдите к созданному ранее клиентскому приложению MBAM 2.5 с пакетом обновления 1 (SP1).
В папке "Восстановление состояния" в разделе Пользовательские задачи создайте задачу Запуск скрипта PowerShell (после шага клиентского приложения MBAM 2.5 с пакетом обновления 1 (SP1) со следующими параметрами (обновите параметры в соответствии с вашей средой):
Имя: настройка BitLocker для MBAM
Сценарий PowerShell:
Invoke-MbamClientDeployment.ps1
Параметры:
-RecoveryServiceEndpoint
Обязательный
Конечная точка службы восстановления MBAM
-StatusReportingServiceEndpoint
Необязательно
Конечная точка службы отчетов о состоянии MBAM
-EncryptionMethod
Необязательно
Метод шифрования (по умолчанию: AES 128)
-EncryptAndEscrowDataVolume
Переключатель
Укажите ключи для шифрования томов данных и депонирования томов данных.
-WaitForEncryptionToComplete
Переключатель
Укажите, чтобы дождаться завершения шифрования
-DoNotResumeSuspendedEncryption
Переключатель
Укажите, что сценарий развертывания не будет возобновлять приостановленное шифрование
-IgnoreEscrowOwnerAuthFailure
Переключатель
Укажите, чтобы игнорировать сбой депонирования проверки подлинности владельца доверенного платформенного модуля. Его следует использовать в сценариях, когда MBAM не может считывать проверку подлинности владельца доверенного платформенного модуля, например, если включена автоматическая подготовка доверенного платформенного модуля.
-IgnoreEscrowRecoveryKeyFailure
Переключатель
Укажите, чтобы игнорировать сбой депонирования ключа восстановления тома
-IgnoreReportStatusFailure
Переключатель
Укажите, чтобы игнорировать сбой отчетов о состоянии
Включение BitLocker с помощью MBAM 2.5 или более ранней версии в рамках развертывания Windows
Установите клиент MBAM. Инструкции см. в статье Развертывание клиента MBAM с помощью командной строки.
Присоединение компьютера к домену (рекомендуется).
Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если ключ восстановления не может быть сохранен.
Если компьютер запускается в режиме восстановления до того, как ключ восстановления будет сохранен на сервере MBAM, метод восстановления недоступен, и компьютер должен быть переосмыслен.
Откройте командную строку от имени администратора и остановите службу MBAM.
Задайте для службы значение Вручную или По запросу , введя следующие команды:
net stop mbamagent
sc config mbamagent start= demand
Задайте значения реестра так, чтобы клиент MBAM пропускал параметры групповая политика и вместо этого настраивал шифрование, чтобы запустить время развертывания Windows на этом клиентском компьютере.
Осторожностью На этом шаге описывается изменение реестра Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки Windows. Мы не можем гарантировать, что проблемы, возникающие в результате неправильного использования редактора реестра, могут быть устранены. Используйте редактор реестра на свой страх и риск.
Настройте TPM только для шифрования операционной системы, запустите Regedit.exe, а затем импортируйте шаблон раздела реестра из C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
В Regedit.exe перейдите в раздел HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, перечисленные в следующей таблице.
Примечание Здесь можно задать групповая политика параметры или значения реестра, связанные с MBAM. Эти параметры переопределяют ранее заданные значения.
Запись реестра Параметры конфигурации
DeploymentTime
0 = выкл.
1 = использовать параметры политики времени развертывания (по умолчанию) — используйте этот параметр, чтобы включить шифрование во время развертывания Windows на клиентском компьютере.
UseKeyRecoveryService
0 = не использовать депонирования ключей (следующие две записи реестра в этом случае не требуются)
1 = использование депонирования ключей в системе восстановления ключей (по умолчанию)
Это рекомендуемый параметр, который позволяет MBAM хранить ключи восстановления. Компьютер должен иметь возможность взаимодействовать со службой восстановления ключей MBAM. Прежде чем продолжить, убедитесь, что компьютер может взаимодействовать со службой.
KeyRecoveryOptions
0 = только ключ восстановления для отправки
1 = передает ключ восстановления и пакет восстановления ключей (по умолчанию)
KeyRecoveryServiceEndPoint
Задайте для этого значения URL-адрес сервера, на котором запущена служба восстановления ключей, например имя http://< компьютер>/MBAMRecoveryAndHardwareService/CoreService.svc.
Клиент MBAM перезапустит систему во время развертывания клиента MBAM. Когда вы будете готовы к перезапуску, выполните следующую команду в командной строке от имени администратора:
net start mbamagent
Когда компьютеры перезагружаются и BIOS предложит вам, примите изменения доверенного платформенного модуля.
В процессе создания образа операционной системы клиента Windows, когда вы будете готовы к началу шифрования, откройте командную строку от имени администратора и введите следующие команды, чтобы задать для параметра start значение Automatic и перезапустить агент клиента MBAM:
sc config mbamagent start= auto
net start mbamagent
Чтобы удалить значения реестра обхода, запустите Regedit.exe и перейдите к записи реестра HKLM\SOFTWARE\Microsoft. Щелкните правой кнопкой мыши узел MBAM и выберите команду Удалить.
Связанные статьи
Развертывание клиента MBAM 2.5
Планирование развертывания клиента MBAM 2.5
Есть предложение для MBAM?
- Для устранения проблем с MBAM используйте MBAM TechNet Forum.