Infos zu MBAM 2.5 SP1

  • Artikel

Letzte Aktualisierung: August 2015

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1 bietet eine vereinfachte Verwaltungsoberfläche für die BitLocker-Laufwerkverschlüsselung. Mit BitLocker können Sie Daten auf verlorenen oder gestohlenen Computern umfassend vor Diebstahl und Offenlegung schützen. Mit BitLocker werden alle Daten verschlüsselt, die auf den Windows-Betriebssystemlaufwerken und entsprechend konfigurierten Datenlaufwerken gespeichert sind.

Überblick über MBAM

MBAM 2.5 SP1 bietet die folgenden Features:

  • Administratoren können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.

  • Sicherheitsbeauftragte können den Konformitätsstatus einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.

  • Berichterstellung und Hardwareverwaltung können zentral mit Microsoft System Center Configuration Manager erfolgen.

  • Die Arbeitsbelastung des Helpdesk wird verringert, da Endbenutzer seltener BitLocker-PINs und -Wiederherstellungsschlüssel anfordern.

  • Endbenutzer können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.

  • Sicherheitsbeauftragte können problemlos den Zugriff auf Wiederherstellungsschlüssel-Informationen überwachen.

  • Windows Enterprise-Benutzer können standortunabhängig arbeiten sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.

Von MBAM werden die Richtlinienoptionen der BitLocker-Verschlüsselung erzwungen, die Sie für Ihr Unternehmen festlegen; außerdem wird die Konformität der Clientcomputer überwacht, und es werden Berichte zum Verschlüsselungsstatus des Unternehmens sowie der einzelnen Computer erstellt. Sie können mit MBAM zudem auf Wiederherstellungsschlüssel-Informationen zugreifen, falls Benutzer ihre PIN oder ihr Kennwort vergessen haben oder wenn Änderungen am BIOS oder Startdatensatz vorgenommen wurden.

Das Verwalten von BitLocker mithilfe von MBAM kann für folgende Personenkreise von Interesse sein:

  • Administratoren, IT-Sicherheitsfachpersonal und Compliance Officers, die dafür verantwortlich sind, dass vertrauliche Daten nur autorisiert offengelegt werden

  • Administratoren, die für die Computersicherheit in Remotebüros oder Zweigstellen verantwortlich sind

  • Administratoren, die für Clientcomputer verantwortlich sind, auf welchen Windows ausgeführt wird

Hinweis

BitLocker wird in dieser MBAM-Dokumentation nicht ausführlich behandelt. Weitere Informationen finden Sie unter BitLocker-Laufwerkverschlüsselung (Übersicht).

Neuheiten in MBAM 2.5 SP1

In diesem Abschnitt werden die neuen Features in MBAM 2.5 SP1 erläutert.

Neu unterstützte Sprachen für den MBAM 2.5 SP1-Client

Die folgenden zusätzlichen Sprachen werden jetzt in MBAM 2.5 SP1 nur für den MBAM-Client, einschließlich des Self-Service-Portals, unterstützt:

  • Tschechisch (Tschechische Republik) cs-CZ

  • Dänisch (Dänemark) da-DK

  • Niederländisch (Niederlande) nl-NL

  • Finnisch (Finnland) fi-FI

  • Griechisch (Griechenland) el-GR

  • Ungarisch (Ungarn) hu-HU

  • Norwegisch, Bokmål (Norwegen) nb-NO

  • Polnisch (Polen) pl-PL

  • Portugiesisch (Portugal) pt-PT

  • Slowakisch (Slowakei) sk-SK

  • Slowenisch (Slowenien) sl-SL

  • Schwedisch (Schweden) sv-SE

  • Türkisch (Türkei) tr-TR

Eine Liste aller für Client und Server in MBAM 2.5 und MBAM 2.5 SP1 unterstützten Sprachen finden Sie unter MBAM 2.5 – Unterstützte Konfigurationen.

Unterstützung für Windows 10

MBAM fügt zusätzlich zu der in früheren Versionen von MBAM unterstützten Software Unterstützung für Windows 10 hinzu.

Windows 10 wird sowohl in MBAM 2.5 als auch in MBAM 2.5 SP1 unterstützt.

Unterstützung für Microsoft SQL Server 2014 SP1

MBAM fügt zusätzlich zu der in früheren Versionen von MBAM unterstützten Software Unterstützung für Microsoft SQL Server 2014 SP1 hinzu.

MBAM wird nicht mehr mit gesonderter MSI-Datei ausgeliefert.

Seit MBAM 2.5 SP1 ist keine gesonderte MSI-Datei mehr im MBAM-Produkt enthalten. Allerdings können Sie die MSI-Datei aus der ausführbaren Datei (.exe) extrahieren, die im Produkt enthalten ist.

MBAM kann OwnerAuth-Kennwörter hinterlegen, ohne Besitzer des TPM zu sein.

Zuvor konnte, wenn MBAM nicht im Besitz des TPM war, das TPM-OwnerAuth in der MBAM-Datenbank hinterlegt werden. Um MBAM so zu konfigurieren, dass es das TPM besitzt und die Kennwörter speichert, mussten Sie die automatische TPM-Bereitstellung deaktivieren und das TPM auf dem Clientcomputer löschen.

Unter Windows 8 und höher kann MBAM 2.5 SP1 jetzt die OwnerAuth-Kennwörter hinterlegen, ohne das TPM zu besitzen. Während des Dienststarts fragt MBAM ab, ob das TPM bereits einen Besitzer hat, und falls dies der Falls ist, fordert es die Kennwörter vom Betriebssystem an. Die Kennwörter werden dann in der MBAM-Datenbank hinterlegt. Darüber hinaus muss die Gruppenrichtlinie so festgelegt sein, dass das lokale Löschen des OwnerAuth verhindert wird.

Unter Windows 7 muss MBAM Besitzer das TPM sein, um TPM-OwnerAuth-Informationen automatisch in der MBAM-Datenbank hinterlegen zu können. Wenn MBAM nicht Besitzer des TPM ist und die Active Directory-Sicherung (AD) des TPM mithilfe einer Gruppenrichtlinie konfiguriert ist, müssen Sie die MBAM Active Directory-Datenimport-Cmdlets (AD) verwenden, um den TPM-OwnerAuth aus Active Directory in die MBAM-Datenbank zu kopieren. Hierbei handelt es sich um fünf neue PowerShell-Cmdlets, die MBAM-Datenbanken vorab mit den in Active Directory gespeicherten Volumewiederherstellungs- und TPM-Besitzerinformationen auffüllen.

Weitere Informationen finden Sie unter Configure MBAM to escrow the TPM and store OwnerAuth passwords.

MBAM kann das TPM nach einer Sperre automatisch entsperren.

Auf Computern, auf denen TPM 1.2 ausgeführt wird, können Sie jetzt MBAM so konfigurieren, dass im Falle einer Sperre das TPM automatisch entsperrt werden kann. Wenn die Funktion für das automatische Zurücksetzen der TPM-Sperre aktiviert ist, kann MBAM erkennen, dass ein Benutzer gesperrt ist und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM automatisch für den Benutzer zu entsperren.

Diese Funktion muss sowohl auf der Serverseite als auch in der Gruppenrichtlinie auf der Clientseite aktiviert sein. Weitere Informationen finden Sie unter Configure MBAM to automatically unlock the TPM after a lockout.

Unterstützung für FIPS-konforme, numerische BitLocker-Kennwortschutzvorrichtungen

In MBAM 2.5 wurde Unterstützung für FIPS-konforme (Federal Information Processing Standard) BitLocker-Wiederherstellungsschlüssel auf Geräten hinzugefügt, die unter dem Betriebssystem Windows 8.1 ausgeführt werden. Windows implementierte jedoch keine FIPS-konformen Wiederherstellungsschlüssel in Windows 7. Deshalb war für Windows 7- und Windows 8-Geräte immer noch eine DRA-Schutzvorrichtung (Data Recovery Agent, Datenwiederherstellungs-Agent) für die Wiederherstellung erforderlich.

Das Windows-Team hat FIPS-konforme Wiederherstellungsschlüssel mit einem Hotfix auf niedrigere Versionen portiert, und in MBAM 2.5 SP1 wurde ebenfalls die Unterstützung für diese Schlüssel hinzugefügt.

Hinweis

Clientcomputer, die unter dem Betriebssystem Windows 8 ausgeführt werden, benötigen immer noch eine DRA-Schutzvorrichtung, weil der Hotfix nicht auf dieses Betriebssystem portiert wurde. Den BitLocker-Hotfix für Windows 7- und Windows 8-Computer steht zum Download und zur Installation unter Hotfixpaket 2 für BitLocker Administration and Monitoring 2.5 bereit. Weitere Informationen zu DRA finden Sie unter Using Data Recovery Agents with BitLocker (Verwenden von Datenwiederherstellungs-Agents mit BitLocker, in englischer Sprache).

Um FIPS-Konformität in Ihrer Organisation herzustellen, müssen Sie die FIPS-Gruppenrichtlinieneinstellungen (Federal Information Processing Standard) konfigurieren. Anweisungen zur Konfiguration finden Sie unter BitLocker Group Policy Settings (BitLocker-Gruppenrichtlinieneinstellungen, in englischer Sprache).

Anpassen von Pre-Boot-Wiederherstellungsnachricht und -URL mit neuer Gruppenrichtlinieneinstellung

Mithilfe einer neuen Gruppenrichtlinieneinstellung Meldung und URL für die Pre-Boot-Wiederherstellung konfigurieren können Sie eine benutzerdefinierte Wiederherstellungsnachricht konfigurieren oder eine URL angeben, die dann auf dem Pre-Boot-Wiederherstellungsbildschirm von BitLocker angezeigt wird, wenn das BS-Laufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern unter Windows 10 verfügbar.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der folgenden Optionen für die Pre-Boot-Wiederherstellungsnachricht auswählen:

  • Benutzerdefinierte Wiederherstellungsmeldung verwenden: Aktivieren Sie diese Option, um eine benutzerdefinierte Nachricht in den Pre-Boot-Wiederherstellungsbildschirm von BitLocker aufzunehmen.

  • Benutzerdefinierte Wiederherstellungs-URL verwenden: Aktivieren Sie diese Option, um die Standard-URL zu ersetzen, die im Pre-Boot-Wiederherstellungsbildschirm von BitLocker angezeigt wird.

  • Standard-Wiederherstellungsmeldung und -URL verwenden: Aktivieren Sie diese Option, um die Standardwiederherstellungsnachricht und -URL von BitLocker im Pre-Boot-Wiederherstellungsbildschirm von BitLocker anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder -URL konfiguriert hatten und die Standardnachricht wiederherstellen möchten, müssen Sie diese Richtlinie und diese Option aktivieren.

Die neue Gruppenrichtlinieneinstellung befindet sich in folgendem GPO-Knoten: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > MDOP MBAM > Betriebssystemlaufwerk. Weitere Informationen finden Sie unter Planen der Gruppenrichtlinienanforderungen für MBAM 2.5.

MBAM hat Unterstützung für Verschlüsselung von belegtem Speicherplatz hinzugefügt.

In MBAM 2.5 SP1, wenn Sie Verschlüsselung von belegtem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, berücksichtigt der MBAM-Client dies.

Diese Gruppenrichtlinieneinstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich unter folgendem Gruppenrichtlinienobjekt-Knoten: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und den Verschlüsselungstyp Auf belegten Speicherplatz beschränkte Verschlüsselung auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur Laufträgerspeicherplatz, der auf dem Volume belegt ist.

Weitere Informationen finden Sie unter Planen der Gruppenrichtlinienanforderungen für MBAM 2.5.

MBAM-Client-Unterstützung für verschlüsselte Festplatten

MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die TCG-Spezifikationsanforderungen für Opal sowie IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter Verschlüsselte Festplatte.

Bei der Registrierung von SPNs ist keine Konfiguration der Delegierung mehr erforderlich.

Die Anforderung, dass eingeschränkten Delegierung für SPNs konfiguriert werden muss, die Sie für das Anwendungspoolkonto registrieren, besitzt in MBAM 2.5 SP1 keine Gültigkeit mehr. Es ist allerdings immer noch eine gültige Anforderung für MBAM 2.5.

Aktivieren von BitLocker mithilfe von MBAM im Rahmen einer Windows-Bereitstellung

In MBAM 2.5 SP1 können Sie ein PowerShell-Skript verwenden, um die BitLocker-Laufwerkverschlüsselung zu konfigurieren und Wiederherstellungsschlüssel auf dem MBAM-Server zu hinterlegen.

Weitere Informationen finden Sie unter Aktivieren von BitLocker mit MBAM während der Windows-Bereitstellung

Das Self-Service-Portal kann entweder mithilfe der PowerShell oder mit dem Assistenten zum Anpassen des SSP angepasst werden

Seit MBAM 2.5 SP1 kann das Self-Service-Portal sowohl mithilfe des Anpassungs-Assistenten als auch mithilfe der PowerShell konfiguriert werden. Siehe Vorgehensweise beim Konfigurieren der MBAM 2.5-Webanwendungen.

Webbrowser wird nicht mehr versehentlich als Administrator ausgeführt.

Ein Problem in MBAM 2.5 führte dazu, dass Hilfelinks im Serverkonfigurationstool verursachten, dass Browserfenster mit Administratorrechten geöffnet wurden. Dieses Problem ist in MBAM 2.5 SP1 behoben.

Keine Notwendigkeit mehr, die JavaScript-Dateien zum Konfigurieren des Self-Service-Portals herunterzuladen, wenn das CDN nicht verfügbar ist

In MBAM 2.5 und früher mussten die jQuery-Dateien, die für die Konfiguration des Self-Service-Portals verwendet werden, im Voraus aus dem CDN heruntergeladen werden, wenn Clients mit Zugriff auf das Self-Service-Portal keinen Internetzugang hatten. In MBAM 2.5 SP1 sind alle JavaScript-Dateien im Produkt enthalten, sodass sie nicht mehr heruntergeladen werden müssen.

Berichte können im Berichts-Generator 3.0 geöffnet werden.

In MBAM 2.5 SP1 wurden die Berichte auf das neueste Berichtsdefinitionssprachen-Schema (RDL) aktualisiert, wodurch Benutzer die Berichte im Berichts-Generator 3.0 öffnen und anpassen und sofort speichern können, ohne die Berichtsdatei zu beschädigen.

Neue PowerShell-Cmdlets

Neue PowerShell-Cmdlets für MBAM 2.5 SP1 ermöglichen es Ihnen, verschiedene MBAM-Funktionen zu konfigurieren und zu verwalten, einschließlich Datenbanken, Berichten und Webanwendungen. Für jede Funktion steht ein entsprechendes PowerShell-Cmdlet zur Verfügung, mit dem Sie Funktionen aktivieren bzw. deaktivieren oder Informationen über die Funktion abrufen können.

Die Cmdlets wurden für MBAM 2.5 SP1 implementiert:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

Die folgenden Parameter wurden in die Cmdlets "Enable-MbamWebApplication" und "Test-MbamWebApplication" für MBAM 2.5 SP1 implementiert:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Informationen zu den Cmdlets finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5 und Hilfe zu Microsoft BitLocker Administration and Monitoring-Cmdlets.

MBAM-Agent erkennt den Präsentationsmodus.

Der MBAM-Agent kann erkennen, wenn sich der Computer im Präsentationsmodus befindet und vermeiden, die MBAM-Benutzeroberfläche zu diesem Zeitpunkt aufzurufen.

MBAM-Agent-Dienst ist jetzt für verzögerten Start konfiguriert.

Nach der Installation legt der Dienst jetzt den MBAM-Agent-Dienst so fest, dass dieser den verzögerten Start verwendet, was die Startzeit von Windows verkürzt.

Gesperrte feste Datenvolumes werden jetzt als konform gemeldet

Die Konformitätsberechnungslogik für "Gesperrte feste Daten"-Volumes wurde so geändert, dass die Volumes als "Konform" gemeldet werden, allerdings mit dem Schutzvorrichtungs- und Verschlüsselungsstatus "Unbekannt" und dem Konformitätsstatusdetail "Volume ist gesperrt". Zuvor wurden gesperrte Volumes als "Nicht konform" gemeldet mit dem Schutzvorrichtungsstatus "Verschlüsselt", dem Verschlüsselungsstatus "Unbekannt" und dem Konformitätsstatusdetail "Unbekannter Fehler".

Beziehen von MDOP-Technologien

MBAM ist Teil des Microsoft Desktop Optimization Pack (MDOP). MDOP ist Bestandteil des Microsoft Software Assurance-Programms. Weitere Informationen zum Microsoft Software Assurance-Programm und zum Erwerb von MDOP finden Sie unter How Do I Get MDOP? (Wie erhalte ich MDOP?, in englischer Sprache).

MBAM 2.5 SP1 – Anmerkungen zu dieser Version

Weitere Informationen sowie aktuelle Neuigkeiten, die nicht in dieser Dokumentation enthalten sind, finden Sie unter Anmerkungen zu dieser Version von MBAM 2.5 SP1.

Haben Sie einen Vorschlag für MBAM?

Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.

Siehe auch

Konzepte

Microsoft BitLocker Administration and Monitoring 2,5

Weitere Ressourcen

Erste Schritte mit MBAM 2.5