NinjaOne:s 4.6 version innehöll en betydande förbättring av vår automatisering – övervakning av skriptutgångar. Den här nya funktionen gör det möjligt för våra partners att övervaka utmatningen av skript och skapa avisering, notifieringar och ärenden baserat på denna utmatning. Det ger även möjlighet att utlösa automatiseringar baserade på samma skriptutgångar.
Ett exempel på hur du kan använda den här förbättringen är att automatiskt hantera BitLocker diskkryptering direkt inom NinjaOne med hjälp av PowerShell.
För att uppnå detta krävs följande tre steg:
- Kontrollera BitLocker-krypteringsstatus för enheterna
- Aktivera BitLocker och extrahera återställningsnyckeln
- Skapa en principautomatisering som använder utmatning från det första skriptet för att utlösa det andra skriptet
1) Kontrollera BitLocker-krypteringsstatusen för enheterna
Kontrollera varje volym på en endpoint med hjälp av PowerShell-cmdlet Get-BitLockerVolume och parametern ProtectionStatus för att identifiera om en volym är okrypterad.
Om en volym är okrypterad använder du Write-Host för att returnera en unik identifierare (t.ex. ”Bitlocker Disabled for Volume” för att utlösa skriptutgångsövervakaren i Ninja.
2) Aktivera BitLocker och extrahera återställningsnyckeln
Kontrollera och aktivera först TPM
BitLocker kan aktiveras på distans med eller utan en TPM (Trusted Platform Module). Utan en TPM krävs en extra flagga för att aktivera BitLocker.
För att få reda på TPM-statusen måste du använda kommandot Get-Tpm. Om TPM:en inte är redo måste du initialisera TPM:en, vilket kan göras med Initialize-Tpm.
Kontrollera skyddsstatusen för varje volym som du vill kryptera.
Du vill inte försöka aktivera BitLocker för enheter som redan är krypterade, så du bör kontrollera skyddsstatusen för varje enhet innan du aktiverar BitLocker. Du kan kontrollera statusen för en enhet med Get-BitLockerVolume och ProtectionStatus.
Aktivera BitLocker
Använd Enable-BitLocker för att aktivera BitLocker för okrypterade volymer. Det finns några parametrar att tänka på när du använder Enable-BitLocker:
- -MountPoint låter dig ange vilken eller vilka volymer som krypteras.
- -EncryptionMethod låter dig ange vilken metod som används för att kryptera volymen.
- -UsedSpaceOnly kan användas för att påskynda krypteringsprocessen genom att inte kryptera oanvänt utrymme.
- -TpmProtector anger att TPM är skydd för den angivna volymen.
Samla in och lagra återställningsnycklar
Om du inte har återställningsnyckeln för en viss volym och något går fel kommer du aldrig att kunna återställa data på den volymen. För att få tillbaka återställningsnycklar till Ninja kan du använda Write-Host och Get-BitLockerVolume och KeyProtector för att hämta KeyProtector och skriva den till aktivitetsloggen för den enheten i Ninja.
Du vill sedan överföra KeyProtector till din IT-dokumentationsplattform (t.ex. IT Glue) eller till fliken ”Notes” i NinjaOne.
3) Aktivera automatiseringen i NinjaOne
I din överordnade policy på högsta nivå:
- Schemalägg det första skriptet för att kontrollera nya enheters krypteringsstatus enligt ett schema som du väljer.
- Skapa en ny tillståndsövervakning för skriptutgång som utlöses när den unika identifieraren som skapades i det ursprungliga skriptet (”BitLocker Disabled for Volume”) upptäcks. Ställ in villkoret så att det utlöser PowerShell-skriptet ”Enable BitLocker” som du skapade i steg 2.
