Aktivera Bitlocker

<img style="”float:" right;” src="”https://www.recastsoftware.com/wp-content/uploads/2021/10/Recast-Logo-Dark_Horizontal.svg”" alt="&quot;Bild&quot;" height="”43″" width="”150″">

Aktivera Bitlocker / Pre-Provision Bitlocker

Det här steget låter dig enkelt slå på Bitlocker samtidigt som du tillhandahåller flera alternativ för att låta dig anpassa hur det initieras. Flera förbättringar har nyligen lagts till detta, vilket har tagit bort behovet av att förskapa flera registernycklar för att få önskat resultat. Det blir bara lättare! Jag slår samman de två stegen till ett, eftersom det bara är vettigt, särskilt för demos. Jag har slagit samman Aktivera Bitlocker Step & Pre-Provision Bitlocker Step till en sida, eftersom de är direkt relaterade och demos och testresultat är vettiga när de används tillsammans.

MS Docs

Aktivera Bitlocker -steg: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_EnableBitLocker

Steg för införande: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_PreProvisionBitLocker

MS Docs Bitlocker

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview

PowerShell

Stegbild

Aktivera Bitlocker 1

alternativ

  • När du väljer Drive (aka partitionen), kommer du förmodligen att lämna denna standard som väljer enheten som systemet (windows) är installerat på, men du kan manuellt välja en enhetsbeteckning om du vill kryptera en annan enhet istället för systemet enhet, eller om du har ett par instanser av steget "Aktivera Bitlocker" som du vill köra för att kryptera flera partitioner.
  • Krypteringsskydd.
    • Endast TPM - Mest sömlös och transparent för användaren.
    • Startnyckel endast på USB - Placerar nyckel på USB -enhet som måste anslutas till datorn för att låsa upp enheten.
    • TPM och startnyckel endast på USB - TPM och USB -enhet krävs för att låsa upp.
    • TPM och STIFT - BitLocker låser den normala startprocessen tills användaren anger PIN -koden.
  • Diskkrypteringsläge (Jag använder alltid XTS_AES_256, övertyga mig varför jag inte borde.)
    • AES_128
    • AES_256
    • XTS_AES_128
    • XTS_AES_256
  • Använd Full Disk Encryption
    • Kontrollerade = Full disk, inklusive oanvänt utrymme. Krypterar hela enheten vid start, men sedan är du klar.
    • Okontrollerad = Endast begagnat utrymme, Krypteras när du lägger till filer
  • Välj var du vill skapa återställningsnyckeln:
    • Active Directory Domain Services
    • Skapa inte - Det här skulle vara om du planerar att lagra dem i Azure eller MBAM och inte vill ha dem i AD också.
  • Vänta tills Bitlocker har slutfört diskkrypteringen ... innan du fortsätter - Jag har sett detta användas när du måste uppfylla efterlevnadspolicyer som säkerställer att en enhet är 100% -krypterad före distribution.
  • Hoppa över det här steget om datorer inte har TPM eller TPM är inaktiverat. – Detta lades till som ett skydd för att förhindra fel när den körs på en maskin som inte hade en TPM (som en virtuell dator) eller en som inte hade en TPM-installation. Beroende på din situation kanske du föredrar att uppgiftssekvensen misslyckas om maskinen inte krypterade.

DEMOS

Demo 1-Full Disk Encryption w/ Pre-Provision

Uppgiftssekvens:
Aktivera Bitlocker 1a

Bitlocker-SMSTS-logg i förväg:
Aktivera Bitlocker 2
Strax efter steget Pre-provision Step har körts kan du se att statusen redan har enheten krypterad med de inställningar vi ville ha ... men inga skydd ännu:
Aktivera Bitlocker 3
Väl i Full OS och vid "Aktivera Bitlocker" visar loggen vad vi kan förvänta oss:
Aktivera Bitlocker 4
Det är fortfarande krypterat, och det kommer att hänga på det här steget tills krypteringen är klar, som startades med förbestämningssteget.
Aktivera Bitlocker 5
Här kan du se att krypteringen är klar, sedan har skydden lagts till. Felet orsakades av att CD-skivan fortfarande fanns i enheten när den försökte lägga till skydden.

Demo 2-Endast begagnat utrymme med förprovision

Detta är samma inställning som förra testet, men vi avmarkerar rutan "Använd fullständig diskkryptering". I loggen för pre-provision-steget ser du att kommandoraden har ändrats från /full:True till /full:False och manage-bde-kommandot satt till "used"
Steg för införande:
Aktivera Bitlocker Prov1
Aktivera Bitlocker -steg:
Aktivera Bitlocker Prov2
I den här bilden av loggen kan du se att även om själva Aktivera Bitlocker-steget fortfarande är inställt på att använda full diskkryptering, eftersom det redan var inställt på använt utrymme tidigare, så förblev disken i läget endast använt utrymme. Vid det här laget, om du vill använda full disk, måste du dekryptera och sedan kryptera igen i full disk-läge.

Demo 3-Hel disk-ingen förprovision-Aktivera vänta

[Aktivera Bitlocker 56 (media/EnableBit06.png)
Den här gången förbestämning är inaktiverad, steget är inställt på Full kryptering och vänta på att kryptering ska slutföras.

Testresultat

All testning gjordes i HyperV med hjälp av Gen2 -datorer, 2 virtuella processorer och 2 GB RAM, 120 GB PNY Solid State -enhet. (Billig)
Aktivera Bitlocker HyperV1Aktivera Bitlocker HyperV2Nyckeln är att ha en dedikerad FYSISK enhet på värddatorn för den virtuella maskinen. För mer information, kolla in detta Blogginlägg

Tester:

  • Test 1: Hel disk med förprovision
    • Tid för OSD: 38 minuter
    • Bitlocker -kryptering: 100% komplett
  • Test 2: Full Disk w/out Pre-Provision w/out Wait Aktiverad
    • Tid för OSD: 12 minuter
    • Bitlocker -kryptering: 12% komplett
  • Test 3: Hel disk utan förprovision med väntetid aktiverad
    • Tid för OSD: 39 minuter
    • Bitlocker -kryptering: 100% av använt utrymme
  • Test 4: Endast använd disk med förprovision
    • Tid för OSD: 12 minuter
    • Bitlocker -kryptering: 100% av använt utrymme
  • Test 5: Endast begagnad disk utan förprovision
    • Tid för OSD: 12 minuter
    • Bitlocker -kryptering: 75% av använt utrymme

Dessa tester visar vikten av att möjliggöra förprovisionering.

Andra anteckningar

  • Förberedande steg
    • Steg krävs INTE, det är där för att spara tid genom att krypteringsprocessen startar förr än senare.
    • Om du använder full disk pausar den TS-processen vid "Aktivera Bitlocker"-steget medan den väntar på att kryptering ska slutföras för att lägga till skydd.
    • Trevligt att använda om du måste använda full disk, eftersom det säkerställer att krypteringen är klar innan OSD är klar och startar det tidigt i processen för att spara tid totalt sett.
  • Aktivera Bitlocker -steg
    • Ger fullständig flexibilitet när du konfigurerar Bitlocker
    • När den används utan förhandstillstånd kan du aktivera och fortsätta, inte sakta ner OSD, utan lämnar maskinen i ett "Krypterande" tillstånd efter OSD
  • Övergripande
    • Bara använt utrymme kommer att spara tid, och om ditt säkerhetsteam är ombord med det, gå för det, annars saktar inte hela disken ner mycket beroende på hur du vill konfigurera.
    • Så mycket förbättringar har gjorts i bitlocker-upplevelsen, jag är vid en punkt där jag inte längre behöver "tweaks" för att få Bitlocker Setup under OSD för att nå mitt mål, allt är inbyggt i native.
    • Den största övervägningen är att se till att du har konfigurerat dina förkrav, TPM -inställningen korrekt.

Ytterligare resurser

  • Skript för att mata ut CD -media (kör kommandoradssteg)
powershell.exe -NoProfile -Command "(New-Object -ComObject 'Shell.Application').Namespace(17).Items() | Where-Object { $_.Type -eq 'CD Drive' } | foreach { $_.InvokeVerb ('Mata ut') }"
  • Blogginlägg av Niall Brady FDE närmare titt, mycket bra gjort, som jag läste efter att jag skrev detta och täcker en hel del av samma material, men värt en titt för att få ett nytt öga på processen, hans serie går också in på andra områden som jag inte planerar att gå in på & Använd Bitlocker Management under OSD, ett annat bra inlägg för att få information om bitlocker och införliva hanteringen.
  • Recast Bitlocker Management Dashboard: Denna ConfigMgr -integration är riktigt trevlig för att få en övergripande uppfattning om hur din bitlocker -efterlevnad går, samt vidta åtgärder för att rätta till saker.
  • Felsökning: många gånger jag hade problem i en TS med att aktivera bitlocker var det TPM-relaterat, men hade sällan problem som om jag hade problem med firmware/TPM, de skulle komma ut tidigare i processen.

Om Recast Software
1 av 3 organisationer som använder Microsoft Configuration Manager förlitar sig på Right Click Tools för att visa sårbarheter och åtgärda snabbare än någonsin tidigare.
Ladda ner gratis verktyg
Begär pris

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Support

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Genom att skicka in detta formulär förstår du att Recast Software kan behandla dina uppgifter enligt beskrivningen i Recast Software Integritetspolicy.

sv_SESwedish