如何在 Windows 7 上預先佈建 BitLocker
適用於: System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Microsoft System Center 2012 Configuration Manager 中的 [預先佈建 BitLocker] 工作順序步驟可讓您在部署作業系統之前,先從 Windows 預先安裝環境 (Windows PE) 啟用 BitLocker。 由於只加密已使用的磁碟空間,因此加密速度較快。 這是藉由在執行 Windows 安裝程序之前,將隨機產生的透明保護裝置套用至格式化的磁碟區並加密磁碟區的方式進行。 預先佈建 BitLocker 是 Windows 8 和 Windows Server 2012 引進的功能。 不過,只要執行特定步驟,您仍可以在硬碟上預先佈建 BitLocker 並安裝 Windows 7。 Windows 7 安裝程式完成後,您必須設定 BitLocker 金鑰保護裝置,因為 Windows 7 BitLocker 控制台不支援使用透明保護裝置的 BitLocker。 您必須依照 [啟用 BitLocker] 步驟或使用 manage-bde.exe 命令列工具新增金鑰保護裝置。
一般而言,您必須執行下列步驟才能順利在即將安裝 Windows 7 的電腦上預先佈建 BitLocker:
在 Windows PE 中重新啟動電腦
.jpeg "System_CAPS_important")
重要事項您必須使用包含 Windows PE 4 或更新版本的開機映像才能預先佈建 BitLocker。 如需 Configuration Manager 中支援的 Windows PE 版本的詳細資訊,請參閱在 Configuration Manager 中部署作業系統的必要條件。
分割和格式化硬碟
預先佈建 BitLocker
使用特定作業系統和網路設定安裝 Windows 7
將金鑰保護裝置新增至 BitLocker
在 Configuration Manager 中,在硬碟上預先佈建 BitLocker 並安裝 Windows 7 的建議做法是建立新的工作順序,然後從 [建立工作順序精靈] 的 [建立新工作順序] 頁面選取 [安裝現有的映像封裝]。 此精靈將會建立下表所列的工作順序步驟。
.jpeg "System_CAPS_note") 注意事項 |
|---|
根據您在精靈中進行設定的方式,工作順序可能會有額外的步驟。 例如,如果您在精靈的 [狀態移轉] 頁面上選取了 [擷取的 Microsoft Windows 設定],就可能會有 [擷取 Windows 設定] 這個步驟。 |
工作順序步驟 |
詳細資料 |
|---|---|
停用 BitLocker |
此步驟會停用 BitLocker 加密 (若目前啟用的話)。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的停用 BitLocker 一節。 |
在 Windows PE 中重新啟動 |
此步驟會執行指派給工作順序的開機映像,在 Windows PE 中重新啟動電腦。 您必須使用包含 Windows PE 4 或更新版本的開機映像才能預先佈建 BitLocker。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的重新啟動電腦一節。 |
分割磁碟 0 – BIOS 分割磁碟 0 – UEFI |
這些步驟使用 BIOS 或 UEFI 針對目的地電腦的指定磁碟執行格式化和分割的動作。 當工作順序偵測到目的地電腦處於 UEFI 模式時,即會使用 UEFI。 如需這些步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的格式化和分割磁碟一節。 |
預先佈建 BitLocker |
這個步驟會在 Windows PE 中啟用磁碟上的 BitLocker。 只有已使用的磁碟空間會加密。 由於您已在上一個步驟分割和格式化硬碟,在無資料的情況下,加密很快就可以完成。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的預先佈建 BitLocker 一節。 |
套用作業系統 |
此步驟會準備用來在目的地電腦上安裝作業系統的回應檔,並將 OSDTargetSystemDrive 工作順序變數設定為包含作業系統檔案之分割區的磁碟機代號。 設定 Windows 和 ConfigMgr 步驟將使用此回應檔和變數來安裝作業系統。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的套用作業系統映像一節。 |
套用 Windows 設定 |
此步驟會將 Windows 設定新增至回應檔。 設定 Windows 和 ConfigMgr 步驟將使用回應檔安裝作業系統。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的套用 Windows 設定一節。 |
套用網路設定 |
此步驟會將網路設定新增至回應檔。 設定 Windows 和 ConfigMgr 步驟將使用回應檔安裝作業系統。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的格式化和分割磁碟一節。 |
套用裝置驅動程式 |
此步驟將比對並安裝驅動程式,作為作業系統部署的一部分。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的自動套用驅動程式一節。 |
設定 Windows 和 ConfigMgr |
此步驟會從 Windows PE 轉換為新的作業系統。 此工作順序步驟是部署任何作業系統的必要部分。 它會將 Configuration Manager 用戶端安裝到新的作業系統中,並準備好讓工作順序繼續在新的作業系統中執行。如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的設定 Windows 和 ConfigMgr 一節。 |
啟用 BitLocker |
此步驟將在硬碟上啟用 BitLocker 加密,並且設定金鑰保護裝置。 由於硬碟已預先佈建 BitLocker,此步驟可以很迅速地完成。 Windows 7 會要求您新增金鑰保護裝置。 若您不使用此步驟,可以執行 manage-bde.exe 命令列工具設定金鑰保護裝置。 如需這個步驟的詳細資訊,請參閱 Configuration Manager 中的工作順序步驟主題中的啟用 BitLocker 一節。 |