Como implantar o Cliente do MBAM como parte de uma implantação do Windows

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 1.0

O Cliente do Microsoft BitLocker Administration and Monitoring (MBAM) permite que os administradores imponham e monitorem a criptografia de unidade de disco BitLocker nos computadores da empresa. O Cliente do BitLocker pode ser integrado em uma organização, permitindo o gerenciamento e a criptografia BitLocker em computadores clientes durante a geração de imagens do computador e o processo de implantação do Windows.

Dica

Para revisar os requisitos de sistema do Cliente do MBAM, consulte Configurações com suporte no MBAM 1.0.

A criptografia de computadores clientes com BitLocker durante a fase inicial de geração de imagens de uma implantação do Windows pode reduzir a sobrecarga administrativa da implementação do MBAM. Essa abordagem também garante que cada computador que é implantado já tenha o BitLocker em execução e configurado corretamente.

Aviso

Este tópico descreve como mudar o registro do Windows usando o Editor de Registro. Se você mudar o registro do Windows de forma incorreta, pode causar problemas graves que podem exigir a reinstalação do Windows. Você deve fazer uma cópia de segurança dos arquivos de registro (System.dat e User.dat) antes de mudar o registro. A Microsoft não pode garantir que os poblemas que podem ocorrer ao você mudar o registro podem ser resolvidos. Mude o registro por sua própria conta e risco.

Para criptografar um computador como parte da implantação do Windows

  1. Se sua organização planeja usar as opções de protetor do TPM (Trusted Platform Module) ou de protetor do TPM + PIN no BitLocker, você deverá ativar o chip do TPM antes da implantação inicial do MBAM. Quando você ativa o chip do TPM, evita uma reinicialização posterior no processo e garante que os chips do TPM estão configurados corretamente de acordo com os requisitos da sua organização. Você deve ativar o chip do TPM manualmente no BIOS do computador. Consulte a documentação do fabricante para obter mais detalhes sobre como configurar o chip do TPM.

  2. Instale o agente cliente do MBAM .

  3. Recomendamos que você ingresse o computador em um domínio...

    • Se o computador não tiver ingressado em um domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chave do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra, a menos que a chave de recuperação seja armazenada.

    • Se um computador é iniciado no modo de recuperação antes de a chave de recuperação ser armazenada no servidor do MBAM, será necessário criar outra imagem do computador. Nenhum método de recuperação está disponível.

  4. Abra um prompt de comando como administrador, interrompa o serviço do MBAM e defina o serviço para manual ou sob demanda. Em seguida, execute os seguintes comandos:

    net stop mbamagent

    sc config mbamagent start = demand

  5. Defina as configurações do Registro para que o agente do MBAM ignore a Política de Grupo e execute o TPM para criptografia apenas do sistema operacional Para isso, execute o comando regedit e importe o modelo de chave de registro de C:\Arquivos de Programas\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. No Regedit, vá para HKLM\SOFTWARE\Microsoft\MBAM e defina as configurações que estão listadas na tabela a seguir.

    Entrada de registro Definições de configuração

    DeploymentTime

    0 = DESATIVADO

    1 = Usar as configurações da política do tempo de implantação (padrão)

    UseKeyRecoveryService

    0 = Não usar caução de chaves (As duas entradas seguintes do registro não são necessárias, neste caso.)

    1 = Usar caução de chave no sistema de recuperação de chave (padrão)

    Recomendado: O computador deve poder se comunicar com o serviço de recuperação de chave. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.

    KeyRecoveryOptions

    0 = Carregar somente a chave de recuperação

    1 = Carregar a chave de recuperação e o pacote de recuperação de chave (padrão)

    KeyRecoveryServiceEndPoint

    Defina este valor para a URL do servidor Web de recuperação de chave.

    Exemplo: http://<nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Dica

    Os valores do registro ou a política do MBAM podem ser definidos aqui para substituir os valores definidos anteriormente.

  7. O agente do MBAM reinicia o sistema durante a implantação do cliente do MBAM. Quando estiver pronto para essa reinicialização, execute o comando a seguir como administrador em um prompt de comando:

    net start mbamagent

  8. Quando o computador reinicializar e o BIOS solicitar que você aceite uma alteração do TPM, aceite a alteração.

  9. Durante o processo de geração de imagem do sistema operacional do cliente Windows, quando você estiver pronto para começar a criptografia, reinicie o serviço do agente do MBAM. Depois, para definir o início para automático, abra um prompt de comando como administrador e execute os seguintes comandos:

    sc config mbamagent start= auto

    net start mbamagent

  10. Remova os valores de bypass do registro. Para isso, execute o comando regedit, vá até a entrada do Registro HKLM\SOFTWARE\Microsoft, clique com o botão direito do mouse no nó MBAM e clique em Excluir.

Consulte Também

Outros Recursos

Implantando o Cliente do MBAM 1.0

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----