Administrator Guide
Table Of Contents
- 適用於 Dell Wyse 精簡型用戶端的 Windows 10 企業版 2019 LTSC 管理員指南
- 目錄
- 簡介
- 入門指南
- 可存取的應用程式
- 系統管理功能
- 其他系統管理員公用程式和設定資訊
- 系統管理
- 網路架構與伺服器環境
- 使用 USB 映像製作工具來安裝韌體
- 常見問題
- 疑難排解
註: 管理這些服務時,請務必停用 Write Filter。
使用 TPM 與 BitLocker
信賴平台模組 (TPM) — TPM 是一種微晶片,可提供基本的安全性相關功能,主要與加密金鑰有關。
BitLocker 磁碟機加密 (BDE) — BDE 是一種全機加密功能,可為整個磁碟區提供加密來保護資料。依預設,此功能會使用搭配 128 位
元金鑰之加密塊鏈結 (CBC) 模式的 AES 加密演算法。這個演算法結合了 Elephant 擴散器,以提供額外的磁碟加密專屬安全性。
Windows 10 IoT 企業版不支援在 BitLocker 加密裝置上執行 Sysprep。由於這項限制,您無法加密裝置、執行 Sysprep 以及提取映
像。若要克服此問題,您必須新增或修改 TPM 指令檔。裝置在 Sysprep (提取) 前不得加密。裝置加密是由推送後執行指令檔處理,
該指令檔會使用位於 C:\Windows\setup\tools\ 的 TPM_enable.ps1 指令檔。在啟用 UWF 前和執行 Sysprep 指令檔後,都必
須納入這個推送後執行的指令檔。用於加密用戶端的 PIN 必須作為引數傳遞到指令檔。
您可以使用下列任何一種方法初始化 TPM 並啟用 BitLocker:
● 使用映像製作指令檔初始化 TPM 並啟用 BitLocker。
● 初始化 TPM 並手動啟用 BitLocker。
使用映像製作指令檔初始化 TPM 並啟用 BitLocker
事前準備作業
使用下列步驟,為 TPM 與 BitLocker 啟用英數字元 PIN 碼支援:
1. 登入系統管理員帳戶。
2. 停用 Unified Write Filter。
精簡型用戶端重新開機。
3. 再次登入系統管理員帳戶。
4. 使用執行命令功能表,開啟 gpedit.msc。
5. 前往本機群組原則 > 電腦組態 > 管理範本 > Windows 元件 > BitLocker 磁碟機加密 > 作業系統磁碟機 > 允許增強 PIN。
隨即顯示允許增強 PIN 供啟動使用視窗。
6. 選取已啟用選項。
7. 按一下套用,然後按一下確定。
8. 使用執行命令開啟 gpupdate /force。
9. 重新啟動精簡型用戶端以套用群組原則。
步驟
1. 登入系統管理員帳戶。
2. 停用 Unified Write Filter。
精簡型用戶端重新開機。
3. 再次登入系統管理員帳戶。
4. 取消註解下列各行,並更新 PIN (最少六個字元) 以用於 TPM 加密:
● 如果您是使用 Wyse 管理套件或 USB 映像製作工具,請前往
C:\Windows\Setup\CustomSysprep\Modules\Post_CustomSysprep.psm1,並取消註解下列各行:
○ #cd C:\Windows\setup\Tools\TPM\
○ #.\TPM_enable.ps1 -pin TC#1234
● 如果您使用的是 System Center Configuration Manager,請前往
C:\Windows\Setup\ConfigMgrSysprep\Modules\Admin_ConfigMgrSysprep.psm1,並取消註解下列各行:
○ #cd C:\Windows\setup\Tools\TPM\
○ #.\TPM_enable.ps1 -pin TC#1234
5. 將密碼變更為英數字元格式。
6. 前往 C:\Windows\Setup。
7. 執行 Build_master。
8. 您使用的是 Wyse 管理套件或 USB 映像製作工具,請執行 自訂 Sysprep,或是若使用 System Center Configuration Manager 時,
則執行 ConfigMgr Sysprep。
系統管理功能 17