Скрипт для включения BitLocker на всех дисках

Вопрос или проблема

$TPM = Get-WmiObject win32_tpm -Namespace root\cimv2\security\microsofttpm | where {$_.IsEnabled().Isenabled -eq 'True'} -ErrorAction SilentlyContinue
$WindowsVer = Get-WmiObject -Query 'select * from Win32_OperatingSystem where (Version like "6.2%" or Version like "6.3%" or Version like "10.0%") and ProductType = "1"' -ErrorAction SilentlyContinue
$BitLockerReadyDrive = Get-BitLockerVolume -MountPoint $env:SystemDrive -ErrorAction SilentlyContinue


#Если все вышеперечисленные условия выполнены, создайте ключевые защитники, затем включите BitLocker и сделайте резервную копию ключа восстановления в AD.
if ($WindowsVer -and $TPM -and $BitLockerReadyDrive) {

#Создание ключа восстановления
Start-Process 'manage-bde.exe' -ArgumentList " -protectors -add $env:SystemDrive -recoverypassword" -Verb runas -Wait

#Добавление ключа TPM
Start-Process 'manage-bde.exe' -ArgumentList " -protectors -add $env:SystemDrive  -tpm" -Verb runas -Wait
sleep -Seconds 15 #Это нужно, чтобы дать достаточно времени для полного воздействия защитников.

#Включение шифрования
Start-Process 'manage-bde.exe' -ArgumentList " -on $env:SystemDrive -em aes256" -Verb runas -Wait

#Получение GUID ключа восстановления
$RecoveryKeyGUID = (Get-BitLockerVolume -MountPoint $env:SystemDrive).keyprotector | where {$_.Keyprotectortype -eq 'RecoveryPassword'} | Select-Object -ExpandProperty KeyProtectorID

#Резервное копирование восстановления в AD.
manage-bde.exe  -protectors $env:SystemDrive -adbackup -id $RecoveryKeyGUID

#Перезагрузка компьютера, чтобы начать процесс шифрования
Restart-Computer}

$drives = Get-Volume | Where {$_.DriveType -like "Fixed" -and $_.DriveLetter -ne $null -and $_.FileSystem -ne $null}
Foreach ($drive in $drives){
    $drive.DriveLetter
}

Ответ или решение

Чтобы включить BitLocker на всех дисках на машинах, присоединенных к домену в вашем офисе, вам необходимо модифицировать скрипт, который вы уже используете. Ваша текущая реализация настраивает шифрование только для системного диска C, что может быть недостаточно для обеспечения безопасности всех данных на компьютере.

Шаги для включения BitLocker на всех фиксированных дисках

1. Получите список всех фиксированных дисков.
   Вы можете использовать командлет Get-Volume, чтобы получить список всех доступных дисков. При этом следует фильтровать только фиксированные диски, которые содержат файловую систему.

2. Обход всех дисков и включение BitLocker.
   После того как вы получили список дисков, используйте цикл Foreach, чтобы пройтись по каждому из них и применить команды для включения BitLocker.

Пример скрипта

# Получаем информацию о TPM
$TPM = Get-WmiObject win32_tpm -Namespace root\cimv2\security\microsofttpm | where {$_.IsEnabled().Isenabled -eq 'True'} -ErrorAction SilentlyContinue

# Проверяем версию Windows
$WindowsVer = Get-WmiObject -Query 'select * from Win32_OperatingSystem where (Version like "6.2%" or Version like "6.3%" or Version like "10.0%") and ProductType = "1"' -ErrorAction SilentlyContinue

# Получаем все фиксированные диски
$drives = Get-Volume | Where-Object { $_.DriveType -eq 'Fixed' -and $_.DriveLetter -ne $null -and $_.FileSystem -ne $null }

# Проверка всех предварительных условий перед включением BitLocker 
if ($WindowsVer -and $TPM -and $drives.Count -gt 0) {
    foreach ($drive in $drives) {
        # Создаем защиту восстановления
        Start-Process 'manage-bde.exe' -ArgumentList "-protectors -add $($drive.DriveLetter): -recoverypassword" -Verb runas -Wait

        # Добавление ключа TPM
        Start-Process 'manage-bde.exe' -ArgumentList "-protectors -add $($drive.DriveLetter): -tpm" -Verb runas -Wait
        Start-Sleep -Seconds 15 # Время для активации защитников

        # Включаем шифрование
        Start-Process 'manage-bde.exe' -ArgumentList "-on $($drive.DriveLetter): -em aes256" -Verb runas -Wait

        # Получаем GUID ключа восстановления
        $RecoveryKeyGUID = (Get-BitLockerVolume -MountPoint "$($drive.DriveLetter):").KeyProtector | Where-Object { $_.KeyProtectorType -eq 'RecoveryPassword' } | Select-Object -ExpandProperty KeyProtectorID

        # Резервное копирование ключа восстановления в AD
        manage-bde.exe -protectors "$($drive.DriveLetter):" -adbackup -id $RecoveryKeyGUID
    }

    # Перезагружаем компьютер для начала процесса шифрования
    Restart-Computer
} else {
    Write-Host "Проверка предварительных условий не выполнена: убедитесь, что TPM активен, версия Windows поддерживается, и существуют фиксированные диски."
}

Пояснение к коду:

• TPM и версия Windows: Сначала мы выполняем проверку наличия аппаратного модуля TPM и совместимой версии Windows.
• Получение дисков: Используя Get-Volume, мы получаем список всех фиксированных дисков в системе.
• Цикл Foreach: Проходим по каждому диску, добавляем ключи защиты и включаем шифрование.
• Резервное копирование ключей: Ключи восстановления сохраняются в Active Directory для управления и доступа в случае необходимости.

Альтернативный метод: Групповая политика

Если вы управляете большим количеством машин, рекомендуется рассмотреть возможность использования групповой политики для включения BitLocker. Это обеспечит централизованное управление и упростит процесс.

Для получения дополнительной информации о настройке через групповую политику, вы можете ознакомиться с документом Specops: Групповая политика для настройки BitLocker.

Заключение

Используя предложенный скрипт, вы сможете эффективно включить BitLocker на всех фиксированных дисках пользователей. Убедитесь также, что вы осведомлены о требованиях к безопасности и управления данными, чтобы обеспечить полный контроль над процессом шифрования.