Vorgehensweise beim Bereitstellen des MBAM-Clients während der Windows-Bereitstellung
Letzte Aktualisierung: November 2012
Betrifft: Microsoft BitLocker Administration and Monitoring 1.0
Mithilfe des Clients von Microsoft BitLocker-Administration und Überwachung (MBAM) können Administratoren die BitLocker-Laufwerkverschlüsselung auf Computern im Unternehmen erzwingen und überwachen. Der BitLocker-Client kann in eine Organisation integriert werden, indem die BitLocker-Verwaltung und -Verschlüsselung während der Imageerstellung und Windows-Bereitstellung auf Clientcomputern aktiviert wird.
Hinweis
Informationen zu den Systemanforderungen für den MBAM-Client finden Sie unter MBAM 1.0 – Unterstützte Konfigurationen.
Durch die Verschlüsselung von Clientcomputern mithilfe von BitLocker während der anfänglichen Imageerstellungsphase einer Windows-Bereitstellung kann der Verwaltungsaufwand für die MBAM-Implementierung verringert werden. Durch diese Vorgehensweise wird außerdem sichergestellt, dass alle bereitgestellten Computer ordnungsgemäß konfiguriert sind und BitLocker bereits auf diesen ausgeführt wird.
Warnung
In diesem Thema wird beschrieben, wie Sie die Windows-Registrierung mit dem Registrierungs-Editor ändern. Wenn Sie die Windows-Registrierung fehlerhaft ändern, kann dies schwere Probleme verursachen, die es erforderlich machen könnten, Windows neu zu installieren. Bitte beachten Sie: Sie sollten eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen, bevor Sie die Registrierung bearbeiten. Microsoft kann nicht dafür garantieren, dass die bei einer Änderung der Registrierung eventuell auftretenden Probleme gelöst werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.
So verschlüsseln Sie einen Computer während der Windows-Bereitstellung
Wenn in Ihrer Organisation die Verwendung der BitLocker-Schutzvorrichtungsoption „Trusted Platform Module (TPM)“ bzw. „TPM und PIN“ geplant ist, müssen Sie vor der anfänglichen Bereitstellung von MBAM den TPM-Chip aktivieren. Durch Aktivieren des TPM-Chips vermeiden Sie einen späteren Neustart und stellen sicher, dass die TPM-Chips gemäß den Anforderungen Ihrer Organisation ordnungsgemäß konfiguriert sind. Sie müssen den TPM-Chip manuell im BIOS des Computers aktivieren. Weitere Informationen zum Konfigurieren des TPM-Chips finden Sie in der Herstellerdokumentation.
Installieren Sie den MBAM-Client-Agent.
Es wird empfohlen, dass Sie den Computer zu einer Domäne hinzufügen.
Wenn der Computer keiner Domäne hinzugefügt ist, wird das Wiederherstellungskennwort nicht im MBAM-Schlüsselwiederherstellungsdienst gespeichert. Standardmäßig wird von MBAM die Verschlüsselung nicht zugelassen, wenn der Wiederherstellungsschlüssel nicht gespeichert werden kann.
Wenn ein Computer im Wiederherstellungsmodus gestartet wird, bevor der Wiederherstellungsschlüssel auf dem MBAM-Server gespeichert wurde, muss das Image des Computers neu erstellt werden. Es ist keine Wiederherstellungsmethode verfügbar.
Öffnen Sie eine Eingabeaufforderung als Administrator, beenden Sie den MBAM-Dienst, und legen Sie dann für den Dienst Manuell oder Bei Bedarf fest. Führen Sie anschließend die folgenden Befehle aus:
net stop mbamagent
sc config mbamagent start= demand
Legen Sie in den Registrierungseinstellungen für den MBAM-Agent das Ignorieren der Gruppenrichtlinie fest, und führen Sie TPM für die Verschlüsselung nur des Betriebssystems aus. Führen Sie dazu regedit aus, und importieren Sie dann die folgende Registrierungsschlüsselvorlage: C:\Programme\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
Navigieren Sie im Registrierungs-Editor zu „HKLM\SOFTWARE\Microsoft\MBAM“, und konfigurieren Sie die Einstellungen, die in der nachfolgenden Tabelle aufgeführt sind.
Registrierungseintrag Konfigurationseinstellungen DeploymentTime
0 = Deaktiviert
1 = Richtlinieneinstellungen für die Bereitstellungszeit verwenden (Standard)
UseKeyRecoveryService
0 = Keine Schlüsselhinterlegung verwenden (Die folgenden beiden Registrierungseinträge sind in diesem Fall nicht erforderlich.)
1 = Schlüsselhinterlegung im Schlüsselwiederherstellungssystem verwenden (Standard)
Empfohlen: Der Computer muss mit dem Schlüsselwiederherstellungsdienst kommunizieren können. Überprüfen Sie dies, bevor Sie den Vorgang fortsetzen.
KeyRecoveryOptions
0 = Nur den Wiederherstellungsschlüssel hochladen
1 = Wiederherstellungsschlüssel und Schlüsselwiederherstellungspaket hochladen (Standard)
KeyRecoveryServiceEndPoint
Legen Sie für diesen Wert die URL des Schlüsselwiederherstellungs-Webservers fest.
Beispiel: http://<Computername>/MBAMRecoveryAndHardwareService/CoreService.svc
Hinweis
MBAM-Richtlinien- oder -Registrierungswerte können an dieser Stelle festgelegt werden, um die zuvor festgelegten Werte außer Kraft zu setzen.
Das System wird vom MBAM-Agent während der MBAM-Clientbereitstellung neu gestartet. Sobald Sie für diesen Neustart bereit sind, führen Sie an der Eingabeaufforderung den folgenden Befehl als Administrator aus:
net start mbamagent
Wenn der Computer neu gestartet wird und Sie vom BIOS aufgefordert werden, eine TPM-Änderung zu akzeptieren, akzeptieren Sie diese.
Starten Sie während des Imageerstellungsprozesses für Windows-Clientbetriebssysteme den MBAM-Agent-Dienst neu, sobald Sie bereit sind, die Verschlüsselung zu starten. Öffnen Sie dann eine Eingabeaufforderung als Administrator, und führen Sie die folgenden Befehle aus, um für das Starten die Option Automatisch festzulegen:
sc config mbamagent start= auto
net start mbamagent
Entfernen Sie die Registrierungswerte für die Umgehung. Führen Sie dazu „regedit“ aus, navigieren Sie zum Registrierungseintrag „HKLM\SOFTWARE\Microsoft“, klicken Sie mit der rechten Maustaste auf den Knoten MBAM, und klicken Sie dann auf Löschen.
Siehe auch
Andere Ressourcen
Bereitstellen des Clients von MBAM 1.0
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----