Einrichten von MDT für BitLocker

In diesem Thema erfahren Sie, wie Sie Ihre Umgebung für BitLocker – die in Windows 10 Enterprise und Windows 10 Pro integrierte Datenträgervolume-Verschlüsselung – mit MDT konfigurieren können. Für BitLocker gibt es unter Windows 10 zwei Anforderungen im Zusammenhang mit der Betriebssystembereitstellung:

  • Eine Schutzvorrichtung, die entweder auf dem Trusted Platform Module (TPM)-Chip oder als Kennwort gespeichert wird. Technisch können Sie auch einen USB-Stick verwenden, um die Schutzvorrichtung zu speichern, aber es ist kein praktischer Ansatz, da der USB-Stick verloren gehen oder gestohlen werden kann. Daher wird stattdessen ein TPM-Chip und/oder ein Kennwort empfohlen.
  • Mehrere Partitionen auf der Festplatte

Um Ihre Umgebung für BitLocker zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren Sie Active Directory für BitLocker.
  2. Laden Sie die verschiedenen BitLocker-Skripts und -Tools herunter.
  3. Konfigurieren Sie die Tasksequenz für die Betriebssystembereitstellung für BitLocker.
  4. Konfigurieren Sie die Regeln („CustomSettings.ini“) für BitLocker.

Hinweis

Obwohl es sich nicht um eine BitLocker-Anforderung handelt, empfehlen wir, BitLocker so zu konfigurieren, dass das Wiederherstellungskennwort in Active Directory gespeichert wird. Weitere Informationen zu diesem Feature finden Sie unter "Sichern von BitLocker- und TPM-Wiederherstellungsinformationen in AD DS". Wenn Sie auf Microsoft BitLocker Administration and Monitoring (MBAM) (Teil des Microsoft Desktop Optimization Packs, MDOP) zugreifen können, verfügen Sie über zusätzliche Verwaltungsfeatures für BitLocker.

Hinweis

Das Sichern von TPM in Active Directory wurde nur in Windows 10 Version 1507 und 1511 unterstützt.

Im Rahmen dieses Themas verwenden wir den Domänencontroller DC01, Mitglied der Domäne „contoso.com“ der fiktiven Contoso Corporation. Weitere Informationen zum Setup für dieses Thema finden Sie unter Bereitstellen Windows 10 mit dem Microsoft Deployment Toolkit.

Konfigurieren von Active Directory für BitLocker

Damit BitLocker den Wiederherstellungsschlüssel und die TPM-Daten in Active Directory speichert, müssen Sie in Active Directory eine Gruppenrichtlinie erstellen. Für diesen Abschnitt führen wir Windows Server2012 R2 aus, daher müssen Sie das Schema nicht erweitern. Sie müssen jedoch die entsprechenden Berechtigungen in Active Directory festlegen.

Hinweis

Abhängig von der Active Directory-Schemaversion müssen Sie möglicherweise das Schema aktualisieren, bevor Sie BitLocker-Daten in Active Directory speichern können.

In Windows Server-Version von 2008 R2 und höher haben Sie Zugriff auf die BitLocker Drive Encryption Administration Utilities-Features, die Ihnen bei der Verwaltung von BitLocker helfen. Beim Installieren der Features ist der BitLocker-Wiederherstellungskennwort-Viewer für Active Directory enthalten. Zudem werden die Active Directory-Benutzer und -Computer um die BitLocker-Wiederherstellungsdaten erweitert.

Abbildung 2.

Die BitLocker-Wiederherstellungsdaten für ein Computerobjekt der Domäne „contoso.com“.

Hinzufügen der Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung

Die Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung werden über Server-Manager (oder Windows PowerShell) als Funktionen hinzugefügt:

  1. Melden Sie sich auf DC01 als CONTOSO\Administrator an, und klicken Sie im Server-Manager auf Rollen und Features hinzufügen.
  2. Klicken Sie auf der Seite Before you begin auf Next.
  3. Wählen Sie auf der Seite Select installation type die Option Role-based or feature-based installation aus, und klicken Sie auf Next.
  4. Wählen Sie auf der Seite Select destination server den Eintrag DC01.contoso.com aus, und klicken Sie auf Next.
  5. Klicken Sie auf der Seite Select server roles auf Next.
  6. Erweitern Sie auf der Seite Select features die Optionen Remote Server Administration Tools und Feature Administration Tools, wählen Sie die folgenden Features aus, und klicken Sie dann auf Next:
    1. Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung
    2. Tools zur BitLocker-Laufwerkverschlüsselung
    3. BitLocker-Wiederherstellungskennwort-Viewer
  7. Klicken Sie auf der Seite " Installationsauswahl bestätigen " auf "Installieren" und dann auf " Schließen".

Abbildung 3.

Auswählen der Verwaltungsdienstprogramme für die BitLocker-Laufwerkverschlüsselung.

Erstellen der BitLocker-Gruppenrichtlinie

Mit diesen Schritten aktivieren Sie die Sicherung der BitLocker- und TPM-Wiederherstellungsdaten in Active Directory. Zudem aktivieren Sie die Richtlinie für TPM-Überprüfungsprofil.

  1. Klicken Sie auf DC01 in der Gruppenrichtlinienverwaltung mit der rechten Maustaste auf die Organisationseinheit (OE) Contoso, und wählen Sie Create a GPO in this domain, and Link it here aus.
  2. Weisen Sie der neuen Gruppenrichtlinie den Namen BitLocker Policy zu.
  3. Erweitern Sie die OE Contoso, klicken Sie mit der rechten Maustaste auf die BitLocker Policy, und wählen Sie Edit aus. Konfigurieren Sie die folgenden Richtlinieneinstellungen: Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke
    1. Aktivieren Sie die Richtlinie Choose how BitLocker-protected operating system drives can be recovered, und konfigurieren Sie die folgenden Einstellungen:
      1. Allow data recovery agent (Standard)
      2. Save BitLocker recovery information to Active Directory Domain Services (Standard)
      3. Do not enable BitLocker until recovery information is stored in AD DS for operating system drives
    2. Aktivieren Sie die Richtlinie Configure TPM platform validation profile for BIOS-based firmware configurations.
    3. Aktivieren Sie die Richtlinie Configure TPM platform validation profile for native UEFI firmware configurations.

Hinweis

Wenn Ihnen nach dem Verschlüsseln eines Computers dauerhaft der Fehler „Windows-BitLocker-Laufwerkverschlüsselungsinformationen. Die Informationen zum Starten des Betriebssystems wurden seit dem Aktivieren von BitLocker geändert. Geben Sie ein BitLocker-Wiederherstellungskennwort ein, um den Computer zu starten.“ angezeigt wird, müssen Sie möglicherweise die verschiedenen Gruppenrichtlinien für „TPM-Plattformvalidierungsprofil konfigurieren“ ändern. Ob dies erforderlich ist oder nicht, hängt von der verwendeten Hardware ab.

Festlegen von Berechtigungen für BitLocker in Active Directory

Zusätzlich zu den bereits erstellten Gruppenrichtlinien müssen Sie in Active Directory Berechtigungen konfigurieren, um die TPM-Wiederherstellungsinformationen speichern zu können. In diesen Schritten wird davon ausgegangen, dass Sie das skriptAdd-TPMSelfWriteACE.vbs auf C:\Setup\Scripts auf DC01 heruntergeladen haben.

  1. Starten Sie auf DC01 eine (als Administrator ausgeführte) PowerShell-Eingabeaufforderung mit erhöhten Rechten.

  2. Konfigurieren Sie die Berechtigungen, indem Sie den folgenden Befehl ausführen:

    cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs
    

Abbildung 4.

Ausführen des Skripts „TPMSelfWriteACE.vbs“ auf DC01.

Hinzufügen von BIOS-Konfigurationstools von Dell, HP und Lenovo

Wenn Sie das Aktivieren des TPM-Chips als Teil der Bereitstellung automatisieren möchten, müssen Sie die Anbietertools herunterladen und diese den Tasksequenzen entweder direkt oder in einem Skriptwrapper hinzufügen.

Hinzufügen von Dell-Tools

Dell Command | Configure stellt eine Befehlszeilenschnittstelle und eine grafische Benutzeroberfläche bereit.

Hinzufügen von HP-Tools

Die HP-Tools sind Bestandteil des HP System Software Managers. Die ausführbare Datei von HP heißt „BiosConfigUtility.exe“. Dieses Dienstprogramm verwendet für die BIOS-Einstellungen eine Konfigurationsdatei. Nachfolgend finden Sie einen Beispielbefehl für das Aktivieren von TPM und das Einrichten eines BIOS-Kennworts mit dem Tool „BiosConfigUtility.exe“:

BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234

Und ein Beispielinhalt der Datei „TPMEnable.REPSET“:

English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available

Hinzufügen von Lenovo-Tools

Die Lenovo-Tools sind eine Reihe von VBScript-Skripts, die als Teil des Lenovo BIOS-Setups unter Verwendung der Bereitstellungsanleitung für die Windows-Verwaltungsinstrumentation verfügbar sind. Lenovo bietet zudem einen separaten Download der Skripts an. Nachfolgend finden Sie einen Beispielbefehl für die TPM-Aktivierung mithilfe der Lenovo-Tools:

cscript.exe SetConfig.vbs SecurityChip Active

Konfigurieren der Windows 10-Tasksequenz für die BitLocker-Aktivierung

Beim Konfigurieren einer Tasksequenz für das Ausführen beliebiger BitLocker-Tools (sei es direkt oder mithilfe eines benutzerdefinierten Skripts) ist es hilfreich, zusätzlich eine Logik hinzuzufügen, um zu ermitteln, ob BIOS auf dem Computer bereits konfiguriert wurde. In der folgenden Tasksequenz verwenden wir ein Beispielskript (ZTICheckforTPM.wsf) von der Deployment Guys-Webseite, um den Status auf dem TPM-Chip zu überprüfen. Sie können dieses Skript vom Deployment Guys-Blogbeitrag Check to see if the TPM is enabled (in englischer Sprache) herunterladen.

In der folgenden Tasksequenz wurden fünf Aktionen hinzugefügt:

  • Überprüfen des TPM-Status. Führt das Skript „ZTICheckforTPM.wsf“ aus, um festzustellen, ob TPM aktiviert ist. Abhängig vom Status legt das Skript die Eigenschaften „TPMEnabled“ und „TPMActivated“ auf „true“ oder „false“ fest.

  • Konfigurieren des BIOS für TPM. Führt die Anbietertools (in diesem Fall HP, Dell und Lenovo) aus. Um sicherzustellen, dass diese Aktion nur bei Bedarf ausgeführt wird, fügen Sie die Bedingung hinzu, dass die Aktion nur dann ausgeführt wird, wenn der TPM-Chip noch nicht aktiviert wurde. Verwenden Sie die Eigenschaften aus „ZTICheckforTPM.wsf“.

    Hinweis

    Es ist üblich, dass Organisationen diese Tools in Skripts einschließen, um zusätzliche Protokollierung und Fehlerbehandlung zu erhalten.

  • Neustarten des Computers. Selbsterklärend; der Computer wird neu gestartet.

  • Überprüfen des TPM-Status. Führt das Skript „ZTICheckforTPM.wsf“ erneut aus.

  • Aktivieren von BitLocker. Führt die integrierte Aktion für die BitLocker-Aktivierung aus.

Verwandte Themen

Konfigurieren von MDT-Bereitstellungsfreigaberegeln
Konfigurieren von MDT für UserExit-Skripts
Simulieren einer Windows 10-Bereitstellung in einer Testumgebung
Verwenden der MDT-Datenbank zum Bereitstellen von Windows 10-Bereitstellungsinformationen
Zuweisen von Anwendungen mithilfe von Rollen in MDT
Verwenden von Webdiensten in MDT
Verwenden von Orchestrator-Runbooks mit MDT