Como implantar o Cliente do MBAM como parte de uma implantação do Windows
Aplica-se a: Microsoft BitLocker Administration and Monitoring 1.0
O Cliente do Microsoft BitLocker Administration and Monitoring (MBAM) permite que os administradores imponham e monitorem a criptografia de unidade de disco BitLocker nos computadores da empresa. O Cliente do BitLocker pode ser integrado em uma organização, permitindo o gerenciamento e a criptografia BitLocker em computadores clientes durante a geração de imagens do computador e o processo de implantação do Windows.
Dica
Para revisar os requisitos de sistema do Cliente do MBAM, consulte Configurações com suporte no MBAM 1.0.
A criptografia de computadores clientes com BitLocker durante a fase inicial de geração de imagens de uma implantação do Windows pode reduzir a sobrecarga administrativa da implementação do MBAM. Essa abordagem também garante que cada computador que é implantado já tenha o BitLocker em execução e configurado corretamente.
Aviso
Este tópico descreve como mudar o registro do Windows usando o Editor de Registro. Se você mudar o registro do Windows de forma incorreta, pode causar problemas graves que podem exigir a reinstalação do Windows. Você deve fazer uma cópia de segurança dos arquivos de registro (System.dat e User.dat) antes de mudar o registro. A Microsoft não pode garantir que os poblemas que podem ocorrer ao você mudar o registro podem ser resolvidos. Mude o registro por sua própria conta e risco.
Para criptografar um computador como parte da implantação do Windows
Se sua organização planeja usar as opções de protetor do TPM (Trusted Platform Module) ou de protetor do TPM + PIN no BitLocker, você deverá ativar o chip do TPM antes da implantação inicial do MBAM. Quando você ativa o chip do TPM, evita uma reinicialização posterior no processo e garante que os chips do TPM estão configurados corretamente de acordo com os requisitos da sua organização. Você deve ativar o chip do TPM manualmente no BIOS do computador. Consulte a documentação do fabricante para obter mais detalhes sobre como configurar o chip do TPM.
Instale o agente cliente do MBAM .
Recomendamos que você ingresse o computador em um domínio...
Se o computador não tiver ingressado em um domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chave do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra, a menos que a chave de recuperação seja armazenada.
Se um computador é iniciado no modo de recuperação antes de a chave de recuperação ser armazenada no servidor do MBAM, será necessário criar outra imagem do computador. Nenhum método de recuperação está disponível.
Abra um prompt de comando como administrador, interrompa o serviço do MBAM e defina o serviço para manual ou sob demanda. Em seguida, execute os seguintes comandos:
net stop mbamagent
sc config mbamagent start = demand
Defina as configurações do Registro para que o agente do MBAM ignore a Política de Grupo e execute o TPM para criptografia apenas do sistema operacional Para isso, execute o comando regedit e importe o modelo de chave de registro de C:\Arquivos de Programas\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
No Regedit, vá para HKLM\SOFTWARE\Microsoft\MBAM e defina as configurações que estão listadas na tabela a seguir.
Entrada de registro Definições de configuração DeploymentTime
0 = DESATIVADO
1 = Usar as configurações da política do tempo de implantação (padrão)
UseKeyRecoveryService
0 = Não usar caução de chaves (As duas entradas seguintes do registro não são necessárias, neste caso.)
1 = Usar caução de chave no sistema de recuperação de chave (padrão)
Recomendado: O computador deve poder se comunicar com o serviço de recuperação de chave. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.
KeyRecoveryOptions
0 = Carregar somente a chave de recuperação
1 = Carregar a chave de recuperação e o pacote de recuperação de chave (padrão)
KeyRecoveryServiceEndPoint
Defina este valor para a URL do servidor Web de recuperação de chave.
Exemplo: http://<nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.
Dica
Os valores do registro ou a política do MBAM podem ser definidos aqui para substituir os valores definidos anteriormente.
O agente do MBAM reinicia o sistema durante a implantação do cliente do MBAM. Quando estiver pronto para essa reinicialização, execute o comando a seguir como administrador em um prompt de comando:
net start mbamagent
Quando o computador reinicializar e o BIOS solicitar que você aceite uma alteração do TPM, aceite a alteração.
Durante o processo de geração de imagem do sistema operacional do cliente Windows, quando você estiver pronto para começar a criptografia, reinicie o serviço do agente do MBAM. Depois, para definir o início para automático, abra um prompt de comando como administrador e execute os seguintes comandos:
sc config mbamagent start= auto
net start mbamagent
Remova os valores de bypass do registro. Para isso, execute o comando regedit, vá até a entrada do Registro HKLM\SOFTWARE\Microsoft, clique com o botão direito do mouse no nó MBAM e clique em Excluir.
Consulte Também
Outros Recursos
Implantando o Cliente do MBAM 1.0
-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----