Évaluation de MBAM 1.0

  • Article

Mis à jour: novembre 2012

S'applique à: Microsoft BitLocker Administration and Monitoring 1.0

Avant de déployer Microsoft BitLocker Administration and Monitoring (MBAM) dans un environnement de production, vous devez l'évaluer dans un environnement de laboratoire. Vous pouvez utiliser les informations dans cette rubrique pour configurer MBAM dans un environnement de laboratoire à serveur unique à des fins d'évaluation uniquement.

Bien que les étapes de déploiement soient identiques au scénario décrit dans Installation et configuration de MBAM sur un seul serveur, cette rubrique contient des informations supplémentaires qui vous permettront de configurer un environnement d'évaluation de MBAM dans un délai très court.

Configurer l'environnement de laboratoire

Même lorsque vous configurez une instance de MBAM non destinée à la production afin de l'évaluer dans un environnement de laboratoire, vous devez tout de même vérifier que vous répondez aux conditions préalables au déploiement et à la configuration matérielle et logicielle. Pour plus d'informations, voir Conditions préalables au déploiement de MBAM 1.0 et Configurations prises en charge par MBAM 1.0. Nous vous conseillons également de consulter Préparation de votre environnement pour MBAM 1.0 avant de commencer le déploiement de l'évaluation de MBAM.

Planifier un déploiement d'évaluation de MBAM

  Tâche Références Remarques
Zone de liste de contrôle

Examiner les informations de mise en route sur MBAM pour acquérir une compréhension de base du produit avant de commencer votre planification du déploiement.

Mise en route de MBAM 1.0

Zone de liste de contrôle

Préparer votre environnement informatique pour l'installation de MBAM. Pour ce faire, vous devez activer le chiffrement de données transparent (TDE) sur les instances SQL Server qui hébergeront les bases de données MBAM. Pour activer TDE dans votre environnement de laboratoire, vous pouvez créer un fichier .sql à exécuter par rapport à la base de données principale hébergée sur l'instance SQL Server que MBAM utilise.

Notes

Vous pouvez utiliser l'exemple suivant pour créer un fichier .sql pour votre environnement de laboratoire afin d'activer rapidement TDE sur l'instance SQL Server qui héberge les bases de données MBAM. Ces commandes SQL Server activent TDE à l'aide d'un certificat SQL Server localement signé. Veillez à sauvegarder le certificat TDE et sa clé de chiffrement associée dans le chemin de sauvegarde local, par exemple C:\Backup</EM>. Le certificat TDE et la clé sont requis lors de la récupération de la base de données ou du déplacement du certificat et de la clé vers un autre serveur sur lequel le chiffrement TDE est activé.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

Conditions préalables au déploiement de MBAM 1.0

Chiffrement de base de données dans SQL Server 2008 Enterprise Edition

Zone de liste de contrôle

Planifier et configurer les exigences de stratégie de groupe MBAM.

Planification des exigences en matière de stratégie de groupe MBAM 1.0

Zone de liste de contrôle

Planifier et créer des groupes de sécurité de services de dommaine Active Directory et planifier les exigences en matière d'appartenance au groupe de sécurité MBAM.

Planification des rôles administrateur de MBAM 1.0

Zone de liste de contrôle

Planifier le déploiement des composants serveur de MBAM.

Planification du déploiement de serveurs MBAM 1.0

Zone de liste de contrôle

Planifier le déploiement du client MBAM.

Planification du déploiement de clients MBAM 1.0

Effectuer un déploiement d'évaluation de MBAM

Après avoir terminé la planification nécessaire et l'installation des composants logiciels nécessaires pour préparer votre environnement informatique en vue d'une installation de MBAM, vous pouvez commencer le déploiement d'évaluation de MBAM.

Zone de liste de contrôle

Passez en revue les informations sur les configurations prises en charge par MBAM pour vous assurer que les ordinateurs clients et serveurs que vous avez sélectionnés sont compatibles pour l'installation des composants de MBAM.

Configurations prises en charge par MBAM 1.0

Zone de liste de contrôle

Exécuter le programme d'installation de MBAM pour déployer les composants serveur de MBAM sur un seul serveur à des fins d'évaluation.

Installation et configuration de MBAM sur un seul serveur

Zone de liste de contrôle

Ajouter les groupes de sécurité de services de domaine Active Directory que vous avez créés au cours de la phase de planification aux groupes locaux de composants serveur de MBAM appropriés sur le nouveau serveur MBAM.

Planification des rôles administrateur de MBAM 1.0 et Gérer des rôles d'administrateur MBAM

Zone de liste de contrôle

Créer et déployer les objets de stratégie de groupe MBAM requis.

Déploiement d'objets stratégie de groupe MBAM 1.0

Zone de liste de contrôle

Déployer le logiciel du client MBAM.

Déploiement du client MBAM 1.0

Configurer les ordinateurs du laboratoire pour l'évaluation de MBAM

Vous pouvez modifier les paramètres de fréquence du rapport d'état du client MBAM à l'aide de l'Éditeur du Registre. Toutefois, ces modifications doivent être utilisées uniquement à des fins de test.

Avertissement

Cette rubrique décrit comment modifier le Registre Windows à l'aide de l'Éditeur du Registre. Toute modification incorrecte du Registre Windows peut provoquer des problèmes sérieux pouvant vous obliger à réinstaller Windows. Avant d'apporter des modifications, il est conseillé de créer une copie de sauvegarde des fichiers du Registre (System.dat et User.dat). Microsoft ne peut pas garantir que les problèmes résultant de la modification du Registre puissent être résolus. Vous assumez donc les risques liés à la modification du Registre.

Modifier les paramètres de fréquence du rapport d'état du client MBAM

La réactivation du client MBAM et les fréquences de rapports d'état ont une valeur minimale de 90 minutes lorsqu'elles sont définies pour utiliser une stratégie de groupe. Vous pouvez modifier ces fréquences sur des ordinateurs clients MBAM en modifiant le Registre Windows afin de diminuer les valeurs, ce qui vous permettra d'accélérer le test. Pour modifier les paramètres de fréquence du rapport d'état du client MBAM, utilisez un éditeur de registre pour accéder à HKLM\Software\Policies\FVE\MDOPBitLockerManagement, modifiez les valeurs pour ClientWakeupFrequency et StatusReportingFrequency par 1 comme valeur minimale prise en charge pour le client, puis redémarrez le service BitLocker Management Client. Lorsque vous apportez cette modification, le client MBAM crée un rapport toutes les minutes. Vous pouvez définir des valeurs aussi basses uniquement lorsque vous le faites manuellement dans le Registre.

Modifier le délai de démarrage sur le service client MBAM

Outre la réactivation du client MBAM et les fréquences du rapport d'état, il existe un délai aléatoire pouvant atteindre 90 minutes lorsque le service de l'agent du client MBAM démarre sur des ordinateurs clients. Si vous ne voulez pas appliquer ce délai aléatoire, créez une valeur DWORD pour NoStartupDelay sous HKLM\Software\Microsoft\MBAM, définissez sa valeur sur 1, puis redémarrez le service BitLocker Management Client.

Voir aussi

Autres ressources

Mise en route de MBAM 1.0

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----