О программе MBAM 2.0

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.0

Администрирование и мониторинг Microsoft BitLocker (MBAM) 2.0 предоставляет упрощенный интерфейс администрирования для шифрования дисков BitLocker. BitLocker обеспечивает усиленную защиту от хищения данных, а также раскрытия данных на утерянных или украденных компьютерах. BitLocker шифрует все данные, хранящиеся на томе операционной системы Windows и на имеющихся томах данных.

О программе MBAM 2.0

Администрирование и мониторинг BitLocker 2.0 обеспечивает применение параметров политики шифрования BitLocker, настроенных для предприятия, отслеживает соответствие клиентских компьютеров данным политикам и предоставляет отчеты о состоянии шифрования как для всего предприятия, так и для отдельных компьютеров. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

Примечание

В этом руководстве не приводится детальное описание BitLocker. Сведения о BitLocker см. в статье Обзор шифрования дисков с помощью BitLocker.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

  • администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение разглашения конфиденциальных данных без разрешения;

  • администраторы, ответственные за безопасность компьютеров в удаленных офисах или дочерних подразделениях;

  • администраторы, ответственные за клиентские компьютеры под управлением Windows.

Новые возможности MBAM 2.0

В MBAM 2.0 реализованы следующие новые функции и возможности.

Интеграция System Center Configuration Manager с MBAM

MBAM теперь поддерживает интеграцию с System Center Configuration Manager. Такая интеграция позволяет переместить инфраструктуру проверки соответствия MBAM в среду Configuration Manager. ИТ-администраторы, использующие на предприятии систему Configuration Manager, теперь могут просматривать состояние соответствия предприятия в консоли управления (MMC) и детализировать отчеты для просмотра сведений об отдельных компьютерах.

Компонент "Совместимость оборудования" доступен только в топологии интеграции с Configuration Manager

Интеграция Configuration Manager с MBAM позволяет использовать возможности Configuration Manager по разрешению или запрету эксплуатации определенных типов оборудования с MBAM и обеспечивает дополнительную гибкость по сравнению с компонентом "Совместимость оборудования", который был доступен в MBAM 1.0. ИТ-администраторы могут создавать собственные коллекции для установки ограничений по оборудованию и развертывать шаблон базовой конфигурации MBAM в этих коллекциях. Компонент MBAM "Совместимость оборудования", представленный в MBAM 1.0, теперь доступен только в топологии MBAM с Configuration Manager и администрируется из Configuration Manager.

Гибкая политика предохранителей

Компьютеры, которые уже зашифрованы с помощью предохранителя (например, доверенный платформенный модуль (TPM) + ПИН-код или автоматическое снятие блокировки + пароль) и получают политику MBAM, требующую подмножество данного шифрования (например, TPM или автоматическое снятие блокировки), считаются соответствующими требованиям. В данном примере ПИН-код и пароль не будут удалены автоматически, если ИТ-администратор отдельно не определит эти функции как запрещенные.

Компьютеры, которые не зашифрованы и получают политику MBAM (например, TPM или автоматическое снятие блокировки), шифруются соответствующим образом. Пользователи, которые являются локальными администраторами, могут использовать средства BitLocker (элемент панели управления "Шифрование диска BitLocker" или Manage-bde) для добавления или изменения существующих предохранителей (например, TPM + ПИН-код или автоматическое снятие блокировки и пароль). Они останутся соответствующими требованиям, если не будут отдельно определены в политике MBAM.

Возможность обновления клиента MBAM

Установщик Windows для клиента MBAM 2.0 определяет версию существующего клиента и выполняет действия, необходимые для обновления предыдущих версий до версии клиента MBAM 2.0.

Возможность обновления предыдущих версий сервера MBAM

Предусмотрены следующие способы обновления инфраструктуры сервера MBAM 2.0 с предыдущих версий MBAM.

Ручная замена сервера на месте. Необходимо вручную удалить существующую инфраструктуру сервера MBAM, а затем установить инфраструктуру сервера MBAM 2.0. Для обновления не требуется удалять базы данных. Вместо этого необходимо выбрать существующие базы данных, которые были созданы с помощью предыдущей версии клиента MBAM. Установка обновления MBAM 2.0 перенесет существующие базы данных в MBAM 2.0.

Распределенное обновление клиентов. Если используется изолированная топология MBAM, после установки инфраструктуры сервера MBAM 2.0 можно постепенно обновлять клиентов MBAM. Сервер MBAM 2.0 определяет версию существующего клиента и выполняет действия, необходимые для его обновления до версии 2.0.

После обновления инфраструктуры сервера MBAM 2.0 клиенты MBAM 1.0 продолжают успешно передавать данные на сервер MBAM 2.0, депонируя данные восстановления, однако обеспечение соответствия будет осуществляться на основе политик MBAM версии 1.0. Необходимо обновить клиенты до версии MBAM 2.0, чтобы клиентские компьютеры передавали точные данные о соответствии, руководствуясь политиками MBAM 2.0. Клиенты можно обновить до версии MBAM 2.0 без удаления предыдущей версии, и они начнут применять и передавать политики MBAM 2.0.

Если используется MBAM с Configuration Manager, необходимо обновить клиенты MBAM 1.0 до версии MBAM 2.0.

Поддержка в MBAM корпоративных сценариев BitLocker на платформе Windows 8

MBAM поддерживает операционную систему Windows 8 в качестве целевой платформы для установки клиента MBAM. Такая поддержка позволяет ИТ-администраторам установить агент MBAM, зашифровать диски операционной системы Windows 8 и создавать отчеты о соответствии компьютеров. MBAM использует протекторы TPM и TPM + ПИН-код для управления операционной системой Windows 8 точно так же, как и для операционной системы Windows 7. В MBAM 2.0 также добавлена поддержка шифрования клиентов Windows To Go.

Добавление портала самообслуживания

Конечные пользователи теперь могут использовать портал самообслуживания для восстановления ключей восстановления. Портал самообслуживания может быть развернут на одном сервере с другими компонентами MBAM или на отдельном сервере, благодаря чему ИТ-администраторы получают широкие возможности для предоставления пользователям доступа к порталу в зависимости от обстоятельств. После того как пользователи пройдут проверку подлинности на портале самообслуживания, для получения ключа восстановления им необходимо ввести только первые восемь цифр идентификатора ключа восстановления.

MBAM также обеспечивает защиту ключа за счет того, что разрешает пользователям восстанавливать ключи только для тех компьютеров, на которых они являются пользователями, что уменьшает риск получения несанкционированного доступа другими пользователями.

Возможность автоматического возобновления защиты BitLocker из приостановленного состояния

MBAM больше не позволяет ИТ-администраторам приостанавливать защиту BitLocker на продолжительное время. Если ИТ-администратор приостановит защиту BitLocker, MBAM возобновит ее автоматически при перезагрузке компьютера, что уменьшает риск атаки на компьютер.

Фиксированные диски с данными могут быть настроены для автоматической разблокировки без пароля

В политике фиксированного диска с данными теперь может быть настроена автоматическая разблокировка диска без пароля. Перед шифрованием фиксированного диска с данными у пользователей не запрашивается пароль, и этот диск защищается и автоматически разблокируется вместе с диском операционной системы.

Заметки о выпуске MBAM 2.0

Дополнительные сведения и последние новости, отсутствующие в документации, см. в разделе Заметки о выпуске MBAM 2.0.

См. также

Другие ресурсы

MBAM 2.0 Administrator’s Guide
Приступая к работе с MBAM 2.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----