Cómo habilitar BitLocker sin avisos para el usuario final

He configurado los ajustes de BitLocker y TPM en la Política de grupo de modo que todas las opciones estén configuradas y las claves de recuperación almacenadas en Active Directory. Todas nuestras máquinas ejecutan Windows 7 con una imagen corporativa estándar y tienen sus chips TPM habilitados y activos en el BIOS.

Mi objetivo es lograr que todo lo que el usuario deba hacer sea hacer clic en Habilitar BitLocker y listo. Microsoft incluso proporciona muestras de automatización que se pueden implementar mediante un script. Pero hay un pequeño inconveniente para hacer de este un proceso sin problemas.

En la GUI, cuando el usuario habilita BitLocker, debe inicializar el TPM con una contraseña de propietario que se genera automáticamente. Sin embargo, la contraseña de recuperación se muestra al usuario y se le solicita que la guarde en un archivo de texto. Parece que no puedo suprimir este diálogo y no se puede omitir el paso. Este es un mensaje no deseado (e innecesario) ya que la clave se respalda con éxito en AD.

Si escribo la implementación, debo proporcionar la contraseña del propietario en la secuencia de comandos cuando inicializo el TPM y quiero que se genere aleatoriamente como lo hace la GUI.

¿Hay alguna manera de hacer que un despliegue de BitLocker sea realmente cero como yo quiero?

Puede hacerlo a través de la Política de grupo. Si ya configuró las claves / paquetes de recuperación para hacer una copia de seguridad en AD, entonces todo lo que necesita hacer es marcar la casilla de verificación "Omitir opciones de recuperación del asistente de configuración de BitLocker" en la misma pantalla donde configuró la copia de seguridad en AD. Esta configuración es por tipo de unidad: sistema operativo, fijo y extraíble. Si está encriptando más que solo la unidad del sistema operativo, debe establecer la política en cada nodo en Configuración del equipo> Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker. Recuerde que esta casilla de verificación solo elimina la página del asistente. Si además desea evitar que sus usuarios exporten las claves de recuperación después del cifrado, también debe deshabilitar ambas opciones de recuperación.

Además, preste atención a en qué plataforma se admiten estas políticas. Aquí hay dos conjuntos de configuraciones de políticas, una para Vista / Server2008 y otra para 7 / Server2012 y posteriores. Si todavía usa Vista, debe usar la política "Elegir cómo los usuarios pueden recuperar las unidades protegidas con BitLocker" y establecer ambos métodos como No permitidos, luego establecer la política "Almacenar información de recuperación de BitLocker en los Servicios de dominio de Active Directory" como Activada .

¿Has intentado mirar la Administración y Monitoreo de Microsoft BitLocker? Es un servicio silencioso que se ejecuta de forma remota en las computadoras. Tomando de esta fuente:

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

Contiene las cosas necesarias que desea, por ejemplo, la implementación sin contacto en el lado de los usuarios finales y lo tiene idealmente en una consola.

¡Espero que esto ayude!

PS TPM debe estar activo para que el MBAM funcione.