Auswerten von MBAM 1.0

  • Artikel

Letzte Aktualisierung: November 2012

Betrifft: Microsoft BitLocker Administration and Monitoring 1.0

Vor dem Bereitstellen von Microsoft BitLocker-Administration und Überwachung (MBAM) in einer Produktionsumgebung sollten Sie eine Auswertung in einer Testumgebung durchführen. Mithilfe der Informationen in diesem Thema können Sie MBAM nur zu Auswertungszwecken in einer Testumgebung mit einem einzelnen Server einrichten.

Die Schritte für die tatsächliche Bereitstellung unterscheiden sich nur geringfügig von dem unter Vorgehensweise beim Installieren und Konfigurieren von MBAM auf einem einzelnen Server beschriebenen Szenario. Dieses Thema enthält zusätzliche Informationen zum Einrichten einer MBAM-Auswertungsumgebung in kürzester Zeit.

Einrichten der Testumgebung

Auch beim Einrichten einer Nichtproduktionsinstanz von MBAM zur Auswertung in einer Testumgebung sollten Sie überprüfen, ob die Voraussetzungen für die Bereitstellung und die Hardware- und Softwareanforderungen erfüllt sind. Weitere Informationen finden Sie unter Bereitstellungsvoraussetzungen für MBAM 1.0 und MBAM 1.0 – Unterstützte Konfigurationen. Bevor Sie mit der Bereitstellung von MBAM für die Auswertung beginnen, sollten Sie auch die Informationen unter Vorbereiten der Umgebung für MBAM 1.0 lesen.

Planen einer Bereitstellung von MBAM zur Auswertung

  Aufgabe Referenzen Notizen
CheckListBox

Lesen Sie die Informationen unter „Erste Schritte mit MBAM“, um vor Beginn der Bereitstellungsplanung grundlegende Kenntnisse des Produkts zu erwerben.

Erste Schritte mit MBAM 1.0

CheckListBox

Bereiten Sie die Computerumgebung für die Installation von MBAM vor. Dazu müssen Sie für die SQL Server-Instanzen, von denen die MBAM-Datenbanken gehostet werden sollen, die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) aktivieren. Zum Aktivieren von TDE in der Testumgebung können Sie eine SQL-Datei erstellen und diese für die Masterdatenbank der SQL Server-Instanz ausführen, die von MBAM verwendet werden soll.

Hinweis

Sie können das nachfolgend dargestellte Beispiel verwenden, um eine SQL-Datei für die Testumgebung zu erstellen und auf schnelle Weise TDE für die SQL Server-Instanz zu aktivieren, von der die MBAM-Datenbanken gehostet werden sollen. Durch die SQL Server-Befehle wird TDE mithilfe eines lokal signierten SQL Server-Zertifikats aktiviert. Sichern Sie das TDE-Zertifikat und den zugeordneten Verschlüsselungsschlüssel unter dem im Beispiel verwendeten lokalen Sicherungspfad C:\Backup</EM>. Das TDE-Zertifikat und der Schlüssel werden benötigt, um die Datenbank wiederherzustellen oder das Zertifikat und den Schlüssel auf einen anderen Server mit TDE-Verschlüsselung zu verschieben.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

Bereitstellungsvoraussetzungen für MBAM 1.0

Database Encryption in SQL Server 2008 Enterprise Edition (Datenbankverschlüsselung in SQL Server 2008 Enterprise Edition)

CheckListBox

Planen und konfigurieren Sie die Gruppenrichtlinienanforderungen für MBAM.

Planen der Gruppenrichtlinienanforderungen für MBAM 1.0

CheckListBox

Planen und erstellen Sie die erforderlichen Active Directory-Domänendienste-Sicherheitsgruppen, und planen Sie die Anforderungen für die Mitgliedschaften in lokalen Sicherheitsgruppen für MBAM.

Planen der Administratorrollen für MBAM 1.0

CheckListBox

Planen Sie die Bereitstellung der MBAM-Serverfunktionen.

Planen der Serverbereitstellung für MBAM 1.0

CheckListBox

Planen Sie die Bereitstellung der MBAM-Clients.

Planen der Clientbereitstellung für MBAM 1.0

Bereitstellen von MBAM zur Auswertung

Wenn Sie die erforderliche Planung und Installation von Softwarevoraussetzungen abgeschlossen haben, um die Computerumgebung für eine MBAM-Installation vorzubereiten, können Sie mit dem Bereitstellen von MBAM für die Auswertung beginnen.

CheckListBox

Überprüfen Sie die Informationen zu unterstützten Konfigurationen für MBAM, und stellen Sie sicher, dass die Client- und Servercomputer unterstützt werden, die Sie für die Installation von MBAM-Funktionen ausgewählt haben.

MBAM 1.0 – Unterstützte Konfigurationen

CheckListBox

Führen Sie MBAM-Setup aus, um die MBAM-Serverfunktionen zu Auswertungszwecken auf einem einzelnen Server bereitzustellen.

Vorgehensweise beim Installieren und Konfigurieren von MBAM auf einem einzelnen Server

CheckListBox

Fügen Sie die Sicherheitsgruppen, die während der Planungsphase in Active Directory-Domänendienste erstellt wurden, zu den entsprechenden lokalen Gruppen für MBAM-Serverfunktionen auf dem neuen MBAM-Server hinzu.

Planen der Administratorrollen für MBAM 1.0 und Vorgehensweise beim Verwalten von MBAM Administratorrollen

CheckListBox

Erstellen Sie die erforderlichen MBAM-Gruppenrichtlinienobjekte, und stellen Sie diese bereit.

Bereitstellen von Gruppenrichtlinienobjekten für MBAM 1.0

CheckListBox

Stellen Sie die MBAM-Clientsoftware bereit.

Bereitstellen des Clients von MBAM 1.0

Konfigurieren von Testcomputern für die Auswertung von MBAM

Sie können mithilfe des Registrierungs-Editors die Frequenzeinstellungen für Statusberichte von MBAM-Clients ändern. Diese Änderungen sollten jedoch nur für Testzwecke verwendet werden.

Warnung

In diesem Thema wird beschrieben, wie Sie die Windows-Registrierung mit dem Registrierungs-Editor ändern. Wenn Sie die Windows-Registrierung fehlerhaft ändern, kann dies schwere Probleme verursachen, die es erforderlich machen könnten, Windows neu zu installieren. Bitte beachten Sie: Sie sollten eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen, bevor Sie die Registrierung bearbeiten. Microsoft kann nicht dafür garantieren, dass die bei einer Änderung der Registrierung eventuell auftretenden Probleme gelöst werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

Ändern der Frequenzeinstellungen für Statusberichte von MBAM-Clients

Die Frequenzeinstellungen für die Aktivierung und die Statusberichte von MBAM-Clients sind auf mindestens 90 Minuten festgelegt, wenn für diese die Gruppenrichtlinie gilt. Sie können die Frequenzeinstellungen auf MBAM-Clientcomputern ändern, um das Testen zu beschleunigen, indem Sie die entsprechenden Werte in der Windows-Registrierung bearbeiten. Navigieren Sie dazu mithilfe eines Registrierungs-Editors zu HKLM\Software\Policies\FVE\MDOPBitLockerManagement, ändern Sie die Werte für ClientWakeupFrequency und StatusReportingFrequency auf den niedrigsten von Clients unterstützten Wert 1, und starten Sie dann den BitLocker Management Client-Dienst neu. Nach dieser Änderung wird vom MBAM-Client jede Minute ein Bericht erstellt. Entsprechend niedrige Werte können nur manuell in der Registrierung festgelegt werden.

Ändern der Startverzögerung für den MBAM-Clientdienst

Neben den Frequenzeinstellungen für die Aktivierung und die Statusberichte von MBAM-Clients wird das Starten des MBAM-Client-Agent-Diensts auf Clientcomputern um eine zufällige Dauer von bis zu 90 Minuten verzögert. Wenn die zufällige Verzögerung nicht erwünscht ist, erstellen Sie unter HKLM\Software\Microsoft\MBAM einen DWORD-Wert mit dem Namen NoStartupDelay, legen Sie dessen Wert auf 1 fest, und starten Sie den BitLocker Management Client-Dienst neu.

Siehe auch

Andere Ressourcen

Erste Schritte mit MBAM 1.0

-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----