Informationen zu MBAM 2.0

  • Artikel

Letzte Aktualisierung: April 2013

Betrifft: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 bietet eine vereinfachte Verwaltungsoberfläche für die BitLocker-Laufwerksverschlüsselung. Mit BitLocker können Sie Daten auf verlorenen oder gestohlenen Computern umfassend vor Diebstahl und Offenlegung schützen. Von BitLocker werden alle Daten verschlüsselt, die auf dem Windows-Betriebssystemlaufwerk und auf konfigurierten Datenlaufwerken gespeichert sind.

Informationen zu MBAM 2.0

Von BitLocker Administration and Monitoring 2,0 werden die Richtlinienoptionen der BitLocker-Verschlüsselung erzwungen, die Sie für Ihr Unternehmen festlegen; die Konformität der Clientcomputer wird überwacht, und es werden Berichte zum Verschlüsselungsstatus des Unternehmens sowie der einzelnen Computer erstellt. Sie können mit MBAM zudem auf Wiederherstellungsschlüsselinformationen zugreifen, falls Benutzer ihre PIN oder ihr Kennwort vergessen haben oder wenn Änderungen am BIOS oder Startdatensatz vorgenommen wurden.

Hinweis

BitLocker wird in diesem Handbuch nicht ausführlich behandelt. Eine Übersicht zu BitLocker finden Sie unter BitLocker-Laufwerkverschlüsselung (Übersicht).

Das Verwalten von BitLocker mithilfe von MBAM kann für folgende Personenkreise von Interesse sein:

  • Administratoren, IT-Sicherheitsfachpersonal und Compliance Officers, die dafür verantwortlich sind, dass vertrauliche Daten nur autorisiert offengelegt werden

  • Administratoren, die für die Computersicherheit in Remotebüros oder Zweigstellen verantwortlich sind

  • Administratoren, die für Clientcomputer verantwortlich sind, auf welchen Windows ausgeführt wird

Neuheiten in MBAM 2.0

In MBAM 2.0 sind die folgenden neuen Funktionen verfügbar:

Integration von System Center Configuration Manager mit MBAM

In MBAM wird jetzt die Integration mit System Center Configuration Manager unterstützt. Durch diese Integration wird die MBAM-Konformitätsinfrastruktur in die systemeigene Umgebung von Konfigurationsmanager verschoben. IT-Administratoren, die Konfigurationsmanager in ihrem Unternehmen verwenden, können jetzt den Konformitätsstatus ihres Unternehmens in der Microsoft-Verwaltungskonsole sowie Informationen zu einzelnen Computern in den Berichten anzeigen.

Hardwarekonformität ist nur in der Konfigurationsmanager-Integrationstopologie verfügbar

Mit der Integration von Konfigurationsmanager mit MBAM sind Konfigurationsmanager-Funktionen verfügbar, durch welche die Verwendung bestimmter Hardwaretypen mit MBAM ermöglicht bzw. verhindert wird, und die mehr Flexibilität bieten als die in MBAM 1.0 verfügbare Hardwarekonformität. IT-Administratoren können ihre eigenen Sammlungen erstellen, um die Hardware zu begrenzen, und die MBAM-Konfigurationsbasislinie für diese Sammlungen bereitstellen. Die MBAM-Hardwarekonformität, die in MBAM 1.0 gegeben war, ist jetzt nur in der MBAM-Configuration Manager-Topologie verfügbar, und sie wird mit Configuration Manager verwaltet.

Flexible Schutzrichtlinie

Computer, die bereits mit einem Schutz (z. B. TPM und PIN oder automatisches Entsperren und Kennwort) verschlüsselt sind und eine MBAM-Richtlinie erhalten, für die eine Untermenge der Verschlüsselung erforderlich ist (z. B. TPM oder automatisches Entsperren), werden als richtlinienkonform betrachtet. Im obigen Beispiel würden PIN und Kennwort nicht automatisch entfernt, es sei denn, der IT-Administrator definiert diese Funktionen speziell als nicht länger zulässig.

Computer, die nicht verschlüsselt sind und eine MBAM-Richtlinie (z. B. TPM oder automatisches Entsperren) erhalten, werden entsprechend verschlüsselt. Lokale Administratoren können die BitLocker-Tools (Systemsteuerungselemente, BitLocker-Laufwerkverschlüsselung oder Manage-bde) verwenden, um Schutzvorrichtungen wie TPM und PIN oder automatisches Entsperren und Kennwort hinzuzufügen oder, falls vorhanden, zu ändern. Die Richtlinienkonformität ist gegeben, bis spezifische Definitionen durch MBAM-Richtlinien vorliegen.

Möglichkeit zum Upgrade des MBAM-Clients

Die Version des vorhandenen Clients wird vom Windows Installer des MBAM 2.0-Clients ermittelt, und die erforderlichen Schritte zum Upgrade von älteren Versionen auf den MBAM 2.0-Client werden ausgeführt.

Möglichkeit zum Upgrade des MBAM-Servers von älteren Versionen

Sie können bei der MBAM 2.0-Serverinfrastruktur ein Upgrade von älteren MBAM-Versionen ausführen. Gehen Sie dazu vor wie folgt:

Direktes manuelles Ersetzen des Servers: Sie müssen die vorhandene MBAM-Serverinfrastruktur manuell deinstallieren und dann die MBAM 2.0-Serverinfrastruktur installieren. Ein Entfernen der Datenbanken ist für das Upgrade nicht erforderlich. Stattdessen wählen Sie die vorhandenen Datenbanken aus, die von der älteren MBAM-Clientversion erstellt wurden. Diese Datenbanken werden dann bei der MBAM 2.0-Upgradeinstallation zu MBAM 2.0 migriert.

Verteiltes Clientupgrade: Wenn Sie die eigenständige MBAM-Topologie verwenden, können Sie das Upgrade bei den MBAM-Clients nach der Installation der MBAM 2.0-Serverinfrastruktur schrittweise ausführen. Die Version des vorhandenen Clients wird vom MBAM 2.0-Server ermittelt, und die erforderlichen Schritte zum Upgrade auf den 2.0-Client werden ausgeführt.

Nach dem Upgrade der MBAM 2.0-Serverinfrastruktur wird von MBAM 1.0-Clients auch weiterhin erfolgreich an den MBAM 2.0-Server berichtet, wobei Wiederherstellungsdaten hinterlegt und die Konformität mit den in MBAM 1.0 unterstützten Richtlinien berichtet werden. Sie müssen ein Upgrade der Clients auf MBAM 2.0 durchführen, damit die Kompatibilität von den Clientcomputern entsprechend den MBAM 2.0-Richtlinien korrekt gemeldet wird. Sie können bei den Clients Upgrades auf den MBAM 2.0-Client ausführen, ohne den vorhandenen Client deinstallieren zu müssen. Danach werden vom Client MBAM 2.0-Richtlinien angewendet und berichtet.

Wenn Sie MBAM mit Configuration Manager verwenden, müssen Sie ein Upgrade der MBAM 1.0-Clients auf MBAM 2.0 ausführen.

MBAM-Unterstützung für BitLocker-Unternehmensszenarien auf der Windows 8-Plattform

Von MBAM wird das Windows 8-Betriebssystem als Zielplattform für die Installation des MBAM-Clients unterstützt. So können IT-Administratoren den MBAM-Agent installieren, Windows 8-Betriebssystemlaufwerke verschlüsseln und Berichte zur Richtlinienkonformität der Computer erstellen. In MBAM werden die Schutzfunktionen TPM bzw. TPM und PIN genutzt, um das Windows 8-Betriebssystem ebenso wie das Windows 7-Betriebssystem zu verwalten. Außerdem ist durch MBAM 2.0 eine Verschlüsselung von Windows To Go-Clients möglich.

Neu: das Self-Service-Portal

Endbenutzer können ihre Wiederherstellungsschlüssel nun mithilfe des Self-Service-Portals abrufen. Das Self-Service-Portal kann auf einem einzelnen Server mit den anderen MBAM-Funktionen oder auf einem separaten Server bereitgestellt werden, mit dem IT-Administratoren die Flexibilität haben, Benutzern das Self-Service-Portal nach Bedarf bereitzustellen. Nach ihrer Authentifizierung beim Self-Service-Portal müssen die Benutzer lediglich die ersten acht Stellen der Wiederherstellungsschlüssel-ID eingeben, um ihren Wiederherstellungsschlüssel zu erhalten.

Die Schlüssel werden durch MBAM zusätzlich gesichert, indem ein Schlüssel für einen Computer nur durch einen Benutzer dieses Computers abgerufen werden kann. Hierdurch wird das Risiko verringert, dass andere Benutzer nicht autorisierten Zugriff erhalten.

Automatisches Fortsetzen des BitLocker-Schutzes aus einem Unterbrechungsstatus

In MBAM ist es nicht mehr möglich, den BitLocker-Schutz über längere Zeiträume zu unterbrechen. Wenn ein IT-Administrator BitLocker unterbricht, wird BitLocker bei einem Computerneustart von MBAM erneut aktiviert. Dadurch wird das Risiko von Angriffen auf den Computer verringert.

Konfigurieren von Festplattenlaufwerken zum automatischen Entsperren ohne Kennwort möglich

Sie können jetzt eine Richtlinie für Festplattenlaufwerke (FDD) konfigurieren, mit der ein automatisches Entsperren des Laufwerks ohne Kennwort möglich ist. Benutzer werden vor der Verschlüsselung des FDD nicht aufgefordert, ein Kennwort einzugeben, und das FDD wird mit dem Betriebssystemlaufwerk gesichert und automatisch entsperrt.

Anmerkungen zu dieser Version von MBAM 2.0

Weitere Informationen sowie aktuelle Neuigkeiten, die nicht in der Dokumentation enthalten sind, finden Sie unter Anmerkungen zur Version 2.0 von MBAM.

Siehe auch

Andere Ressourcen

MBAM 2.0 Administrator’s Guide
Erste Schritte mit MBAM 2.0

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----