Развертывание клиента MBAM в рамках развертывания Windows

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

Клиент Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет администраторам применять и отслеживать шифрование дисков BitLocker на компьютерах предприятия. Если компьютеры имеют микросхему доверенного платформенного модуля (TPM), клиент BitLocker может быть интегрирован в организацию посредством включения управления и шифрования BitLocker на клиентских компьютерах во время создания образов и развертывания Windows.

Примечание

Чтобы просмотреть системные требования клиента Администрирование и мониторинг Microsoft BitLocker, см. Поддерживаемые конфигурации MBAM 2.0.

Шифрование клиентских компьютеров с помощью BitLocker на начальном этапе создания образов при развертывании Windows может сократить административные накладные расходы на внедрение MBAM в организации. Благодаря этому подходу на каждом развертываемом компьютере уже будет запущено и соответствующим образом настроено шифрование BitLocker.

Примечание

В этой статье описана процедура внесения изменений в реестр Windows. Неправильное использование редактора реестра может привести к серьезным проблемам, для устранения которых может потребоваться переустановка Windows. Корпорация Майкрософт не гарантирует возможность устранения проблем, возникших в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.

Шифрование компьютера в рамках развертывания Windows

  1. Если в вашей организации планируется использовать предохранитель в виде доверенного платформенного модуля (TPM) или в виде TPM + ПИН-код, необходимо активировать микросхему TPM до первоначального развертывания MBAM. При активации микросхемы TPM предотвращается необходимость перезагрузки на последующих этапах процесса, а также обеспечивается настройка микросхем TPM в соответствии с требованиями организации. Микросхему TPM необходимо активировать вручную в BIOS компьютера.

    Примечание

    Некоторые поставщики предоставляют средства для включения и активации микросхемы TPM в BIOS из операционной системы. Для получения подробных сведений о том, как настроить микросхему TPM, обратитесь к документации производителя.

  2. Установите агент клиента Администрирование и мониторинг Microsoft BitLocker.

  3. Присоедините компьютер к домену (рекомендуется).

    • Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если отсутствует возможность сохранения ключа восстановления.

    • Если компьютер запускается в режиме восстановления перед сохранением ключа на сервере MBAM, образ компьютера должен быть пересоздан. Не доступен ни один метод восстановления.

  4. Запустите командную строку от имени администратора, остановите службу MBAM, настройте для службы тип запуска manual или on demand, а затем запустите с помощью следующих команд:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Настройте параметры реестра для агента MBAM на игнорирование групповой политики и запуск TPM для шифрования только операционной системы. Для этого запустите программу Regedit, после чего импортируйте шаблон раздела реестра из файла C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. В программе regedit перейдите в раздел HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, указанные в следующей таблице.

    Запись реестра Параметры конфигурации

    DeploymentTime

    0 = ВЫКЛ

    1 = использовать параметры политики времени развертывания (по умолчанию)

    UseKeyRecoveryService

    0 = не использовать перенос ключа (в этом случае следующие две записи реестра не требуются)

    1 = использовать перенос ключа в системе восстановления ключей (по умолчанию)

    Рекомендуется: Компьютер должен иметь возможность связываться со службой восстановления ключей. Перед продолжением работы убедитесь, что компьютер может устанавливать связь со службой.

    KeyRecoveryOptions

    0 = отправка только ключа восстановления

    1 = отправка ключа восстановления и пакета восстановления ключа (по умолчанию)

    KeyRecoveryServiceEndPoint

    Укажите в этом значении URL-адрес веб-сервера восстановления ключей, например http://<имя компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Примечание

    Здесь могут быть заданы значения реестра и политики MBAM для переопределения значений, заданных ранее.

  7. Агент MBAM перезагружает систему во время развертывания клиента MBAM. Когда все готово к этой перезагрузке, выполните следующую команду в командной строке от имени администратора:

    net start mbamagent

  8. Когда компьютер перезагрузится и BIOS предложит принять изменение TPM, примите это изменение.

  9. Во время создания образа операционной системы клиента Windows, когда все готово к началу шифрования, перезапустите службу агента MBAM и установите для нее тип запуска automatic. Для этого запустите командную строку от имени администратора и выполните следующие команды:

    sc config mbamagent start= auto

    net start mbamagent

  10. Удалите обходные значения реестра. Для этого запустите программу Regedit и перейдите в раздел реестра HKLM\SOFTWARE\Microsoft. Чтобы удалить узел MBAM, щелкните его правой кнопкой мыши и выберите пункт Удалить.

См. также

Другие ресурсы

Развертывание клиента MBAM 2.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----