Sobre o MBAM 2.5 SP1

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5 SP1

O MBAM 2.5 SP1 fornece uma interface administrativa simplificada para a criptografia de unidade de disco BitLocker. O BitLocker oferece proteção aprimorada contra roubo de dados ou exposição de dados para computadores que foram perdidos ou roubados. O BitLocker criptografa todos os dados armazenados nas unidades e sistema operacional Windows e unidades de dados configuradas.

Visão geral do MBAM

O MBAM 2.5 SP1 tem os seguintes recursos:

  • Permite aos administradores automatizarem o processo de criptografia dos volumes nos computadores clientes em toda a empresa.

  • Permite aos responsáveis da segurança determinarem rapidamente o estado de conformidade dos computadores individualmente ou mesmo da própria empresa.

  • Oferece informações e gerenciamento de hardware centralizados com o Microsoft System Center Gerenciador de Configurações.

  • Reduz a carga de trabalho na Assistência Técnica (Help Desk) ao auxiliar os usuários finais com solicitações do PIN e da chave de recuperação do BitLocker.

  • Permite aos usuários finais recuperar dispositivos criptografados de forma independente através do uso do Portal de Autoatendimento.

  • Permite aos responsáveis pela segurança auditarem o acesso com facilidade para recuperar informações da chave.

  • Capacita os usuários do Windows Enterprise a continuarem trabalhando em qualquer lugar com a segurança da proteção dos seus dados corporativos.

O MBAM impõe as opções de política de criptografia do BitLocker que você define para a sua empresa, monitora a conformidade de computadores clientes com essas políticas e relata o status da criptografia de computadores da empresa e individuais. Além disso, o MBAM permite acessar informações sobre chaves de recuperação quando usuários esquecem seu PIN ou senha ou quando ocorrem alterações em seus BIOS ou nos registros de inicialização.

Os grupos a seguir podem estar interessados em usar o MBAM para gerenciar o BitLocker:

  • Administradores, profissionais de segurança de TI e responsáveis pela conformidade que estão encarregados de assegurar que os dados confidenciais não sejam divulgados sem autorização

  • Administradores responsáveis pela segurança do computador em escritórios remotos ou em filiais

  • Administradores responsáveis por computadores clientes que executam o Windows

Dica

O BitLocker não é abordado em detalhes nesta MBAM documentação. Para obter mais informações, consulte Visão geral da Criptografia de Unidade de Disco do BitLocker.

Novidades no MBAM 2.5 SP1

Esta seção descreve os novos recursos no MBAM 2.5 SP1.

Idiomas com suporte recente do cliente do MBAM 2.5 SP1

Agora há suporte para os seguintes idiomas adicionais em MBAM 2.5 SP1 para o MBAM cliente, incluindo o Portal de autoatendimento:

  • Theco (República Tcheca) cs-CZ

  • Dinamarquês (Dinamarca) da-DK

  • Holandês (Países Baixos) nl-NL

  • Finlandês (Finlândia) fi-FI

  • Grego (Grécia) el-GR

  • Húngaro (Hungria) hu-HU

  • Norueguês, Bokmål (Noruega) nb-NO

  • Polonês (Polônia) pl-PL

  • Português (Portugal) pt-PT

  • Eslovaco (Eslováquia) sk-SK

  • Esloveno (Eslovênia) sl-Sl

  • Sueco (Suécia) sv-SE

  • Turco (Turquia) tr-TR

Para obter uma lista de todos os idiomas com suporte no cliente e servidor em MBAM 2.5 e MBAM 2.5 SP1, consulte Configurações com suporte no MBAM 2.5.

Suporte para Windows 10

O MBAM 2.5 SP1 acrescenta suporte ao Windows 10, além do mesmo software ao qual as versões anteriores do MBAM dão suporte.

O Windows 10 tem suporte em ambos os MBAM 2.5 e MBAM 2.5 SP1.

Suporte ao Microsoft SQL Server 2014 SP1

O MBAM 2.5 SP1 acrescenta suporte ao Microsoft SQL Server 2014 SP1, além do mesmo software que tem suporte nas versões anteriores do MBAM.

O MBAM não é mais fornecido com MSI separado

A partir do MBAM 2.5 SP1, um MSI separado não é incluído com o produto MBAM. No entanto, você pode extrair o MSI do arquivo executável (.exe) que acompanha o produto.

O MBAM pode garantir senhas OwnerAuth sem ser proprietário do TPM

Anteriormente, se o MBAM não possuísse o TPM, o TPM OwnerAuth não podia ser mantido em garantia para o banco de dados do MBAM. Para configurar o MBAM para ser proprietário do TPM e armazenar as senhas, era necessário desabilitar o provisionamento automático do TPM e limpar o TPM no computador cliente.

No Windows 8 e superior, o MBAM 2.5 SP1 agora pode garantir as senhas OwnerAuth sem ser proprietário do TPM. Durante a inicialização do serviço, o MBAM faz consultas para ver se o TPM já é proprietário, e se for, ele solicita as senhas do sistema operacional. Em seguida, as senhas são mantidas em garantia no banco de dados do MBAM. Além disso, a Política de grupo deve ser definida para impedir que o OwnerAuth seja excluído localmente.

No Windows 7, o MBAM deve ter o TPM para manter em custódia automaticamente as informações de OwnerAuth do TPM no banco de dados do MBAM. Se MBAM não possuir o TPM e o backup do Active Directory (AD) e o TPM for configurado por meio da Política de grupo, você deve usar os cmdlets de importação de dados do Active Directory (AD) do MBAM para copiar o OwnerAuth do TPM do AD no banco de dados do MBAM. Existem cinco novos cmdlets do PowerShell que preenchem previamente o bancos de dados do MBAM com a recuperação de volume e informações de proprietário do TPM armazenadas no Active Directory.

Para obter mais informações, consulte Configure MBAM to escrow the TPM and store OwnerAuth passwords.

O MBAM pode desbloquear o TPM automaticamente após um bloqueio

Em computadores com TPM 1.2, agora você pode configurar o MBAM para desbloquear automaticamente o TPM no caso de um bloqueio. Se o recurso de redefinição automática de bloqueio do TPM estiver ativado, o MBAM pode detectar se um usuário está bloqueado e, em seguida, obter a senha OwnerAuth do banco de dados do MBAM para desbloquear automaticamente o TPM para o usuário.

Esse recurso deve estar habilitado no lado do servidor e na Política de grupo no lado do cliente. Para obter mais informações, consulte Configure MBAM to automatically unlock the TPM after a lockout.

Suporte para o protetor de senha numérica de BitLocker compatível com FIPS

O MBAM 2.5 é compatível com a conformidade da FIPS (Norma de Processamento de Informação Federal) das chaves de recuperação do BitLocker em dispositivos que estão executando o sistema operacional Windows 8.1. No entanto, o Windows não implementou as chaves de recuperação compatíveis com FIPS no Windows 7. Portanto, os dispositivos com Windows 7 e Windows 8 ainda exigem um protetor de DRA (Agente de Recuperação de Dados) para a recuperação.

A equipe do Windows fez backport das chaves de recuperação compatíveis com FIPS com um hotfix, e o MBAM 2.5 SP1 adicionou suporte para eles também.

Dica

Computadores cliente que executam o sistema operacional Windows 8 ainda requerem um protetor de DRA, pois não foi feito backport do hotfix para esse sistema operacional. Consulte Pacote de Hotfix 2 para BitLocker Administration and Monitoring 2.5 para baixar e instalar o hotfix do BitLocker para computadores com Windows 7 e Windows 8. Para obter informações sobre o DRA, consulte Uso de Agentes de Recuperação de Dados com o BitLocker.

Para possibilitar a conformidade com o FIPS na sua organização, é necessário configurar as definições de Política de Grupo da Norma de Processamento de Informação Federal (FIPS). Para obter instruções sobre a configuração, consulte Definições de Política de Grupo do BitLocker.

Personalizar mensagem de recuperação de pré-inicialização e URL com a nova configuração de Política de grupo

Uma nova configuração de Política de grupo, Configurar mensagens de recuperação de pré-inicialização e URL, permite que você configure uma mensagem personalizada de recuperação ou especifique uma URL que é exibida na tela de recuperação do BitLocker de pré-inicialização quando a unidade do sistema operacional está bloqueada. Esta configuração só está disponível em computadores cliente que executam o Windows 10.

Se você habilitar essa configuração de política, poderá selecionar uma destas opções para a mensagem de recuperação de pré-inicialização:

  • Usar mensagem de recuperação personalizada: Selecione esta opção para incluir uma mensagem personalizada na tela de recuperação do BitLocker de pré-inicialização.

  • Usar a URL de recuperação personalizada: Selecione esta opção para substituir a URL padrão que é exibida na tela de recuperação do BitLocker de pré-inicialização.

  • Usar a mensagem de recuperação e o URL padrão: Selecione esta opção para exibir a mensagem de recuperação do BitLocker padrão e a URL na tela de recuperação do BitLocker de pré-inicialização. Se você configurou anteriormente uma mensagem de recuperação personalizada ou a URL e quiser reverter para a mensagem padrão, você deve habilitar essa política e selecione essa opção.

A nova definição da Política de Grupo está localizada no seguinte nó do GPO: Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > MDOP MBAM (Gerenciamento do BitLocker) > Unidade do Sistema Operacional. Para obter mais informações, consulte Planejar Requisitos de Política de Grupo do MBAM 2.5.

O MBAM adicionou suporte para criptografia de espaço usado

No MBAM 2.5 SP1, se você habilitar a Criptografia de Espaço Usado por meio da política de Grupo do BitLocker, o Cliente MBAM respeita essa criptografia.

Essa configuração de Política de grupo é chamada Aplicar tipo de criptografia de dados a unidades do sistema operacional e está localizada no seguinte nó GPO: Configuração do Computador > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades do Sistema Operacional. Se você habilitar esta política e selecionar o tipo de criptografia como Criptografia Somente Espaço Usado, o MBAM respeitará a política e o BitLocker somente criptografará o espaço em disco usado no volume.

Para obter mais informações, consulte Planejar Requisitos de Política de Grupo do MBAM 2.5.

Suporte ao cliente do MBAM para discos rígidos criptografados

MBAM dá suporte ao BitLocker em discos rígidos criptografados que satisfazem os requisitos de especificação TGC para o Opal, bem como as normas IEEE 1667. Quando o BitLocker está habilitado nesses dispositivos, ele irá gerar chaves e executar funções de gerenciamento na unidade criptografada. Veja Disco rígido criptografado para obter mais informações.

A configuração de delegação não é mais necessária ao registrar SPNs

O requisito de configurar delegação restrita para SPNs registrados para a conta do pool de aplicativos não é mais necessário no MBAM 2.5 SP1. No entanto, ainda é um requisito para o MBAM 2.5.

Habilitar o BitLocker usando o MBAM como parte de uma implantação do Windows

No MBAM 2.5 SP1, você pode usar um script do PowerShell para configurar a criptografia de unidade de disco BitLocker e garantir as chaves de recuperação para o MBAM Server.

Para obter mais informações, consulte Como habilitar o BitLocker usando o MBAM como parte de uma implantação do Windows

O portal de autoatendimento pode ser personalizado usando o PowerShell ou o Assistente de personalização do SSP

Como no MBAM 2.5 SP1, o Portal de autoatendimento pode ser configurado usando o Assistente de personalização, bem como o PowerShell. Consulte Como configurar os aplicativos da Web do MBAM 2.5.

O navegador da Web não é mais executado inadvertidamente como administrador

Um problema no MBAM 2.5 fez com que os links de ajuda da ferramenta Configuração do servidor abrissem as janelas de navegador com direitos de administrador. Esse problema foi corrigido no MBAM 2.5 SP1.

Não é mais necessário baixar os arquivos JavaScript para configurar o Portal de autoatendimento quando o CDN estiver inacessível

No MBAM 2.5 e anteriores, os arquivos jQuery usados para configurar o Portal de autoatendimento precisavam ser baixados do CDN com antecedência se os clientes que acessam o Portal de autoatendimento não tivessem acesso à internet. No MBAM 2.5 SP1, todos os arquivos JavaScript estão incluídos no produto, então baixá-los é desnecessário.

Relatórios podem ser abertos no Report Builder 3.0

No MBAM 2.5 SP1, os relatórios foram atualizados para o último esquema de linguagem de definição de relatório, permitindo que os usuários abram e personalizem os relatórios no Report Builder 3.0 e salvem os relatórios imediatamente sem corromper o arquivo de relatório.

Novos cmdlets do PowerShell

Os novos cmdlets do PowerShell para MBAM 2.5 SP1 permitem que você configure e gerencie diferentes recursos do MBAM, incluindo bancos de dados, relatórios e aplicativos Web. Cada recurso tem um cmdlet do PowerShell correspondente que pode ser usado para habilitar ou desabilitar os recursos ou para obter informação sobre o recurso.

Os seguintes cmdlets foram implementados para o MBAM 2.5 SP1:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

Os parâmetros a seguir foram implementados nos cmdlets Enable-MbamWebApplication e Test-MbamWebApplication para o MBAM 2.5 SP1:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Para obter informações sobre os cmdlets, consulte Considerações de Segurança do MBAM 2.5 e Ajuda do Cmdlet Microsoft Bitlocker Administration and Monitoring.

Agente do MBAM detecta o modo de apresentação

O agente do MBAM pode detectar quando o computador estiver no modo de apresentação e evitar invocar a UI do MBAM nesse momento.

O serviço de agente do MBAM agora está configurado para usar o atraso na inicialização

Após a instalação, o serviço irá definir o serviço de agente do MBAM para usar o atraso na inicialização, reduzindo o tempo necessário para iniciar o Windows.

Volumes de dados fixos bloqueados agora são relatados como Em conformidade

A lógica de cálculo de conformidade para volumes de "Dados fixos bloqueados" foi alterada para relatar os volumes como "Em conformidade", mas com um estado protetor e estado de criptografia "Desconhecido" e com um detalhe do status de conformidade de "Volume bloqueado". Anteriormente, volumes bloqueados foram relatados como "Não compatíveis", com um estado protetor "Criptografado", um estado de criptografia "Desconhecido" e um detalhe do status de conformidade de "Erro desconhecido".

Como obter as tecnologias do MDOP

O MBAM é parte do MDOP (Microsoft Desktop Optimization Pack). O MDOP é parte do programa de Garantia de Software Microsoft. Para obter mais informações sobre o programa de Garantia de Software Microsoft e como adquirir o MDOP, consulte How do I Get MDOP? (Como obtenho o MDOP?).

Notas de versão do MBAM 2.5 SP1

Para obter mais informações e para notícias mais recentes não incluídas nesta documentação, consulte Notas de versão do MBAM 2.5 SP1.

Você tem uma sugestão para o MBAM?

Adicione ou vote em sugestões aqui. Para problemas com o MBAM, utilize o Fórum MBAM TechNet.

Consulte também

Conceitos

Microsoft BitLocker Administration and Monitoring 2.5

Outros recursos

Introdução ao MBAM 2.5