О программе MBAM 2.5

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 предоставляет упрощенный интерфейс администрирования для шифрования дисков BitLocker. BitLocker обеспечивает усиленную защиту от хищения данных, а также раскрытия данных на утерянных или украденных компьютерах. BitLocker шифрует все данные, хранящиеся на томах и дисках операционной системы Windows и на имеющихся дисках данных.

Общие сведения о MBAM

MBAM 2.5 имеет следующие функции:

  • Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах на предприятии.

  • Позволяет сотрудникам службы безопасности быстро определять состояние соответствия отдельных компьютеров и даже самого предприятия.

  • Обеспечивает возможность централизованного управления оборудованием и составления отчетов с помощью Microsoft System Center Configuration Manager.

  • Уменьшает нагрузку на сотрудников службы поддержки, связанную с обработкой запросов пользователей по ПИН-кодам BitLocker и ключам восстановления.

  • Позволяет конечным пользователям восстанавливать зашифрованные устройства самостоятельно через портал самообслуживания.

  • Позволяет сотрудникам службы безопасности беспрепятственно осуществлять аудит доступа к данным о ключах восстановления.

  • Позволяет пользователям Windows Корпоративная продолжать работу в любом месте с гарантией защиты данных предприятия.

MBAM принудительно применяет параметры политики шифрования BitLocker, заданные для организации, отслеживает соответствие клиентских компьютеров этим политикам и создает отчеты о состоянии шифрования на компьютерах организации и отдельных лиц. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

  • администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение разглашения конфиденциальных данных без разрешения;

  • администраторы, ответственные за безопасность компьютеров в удаленных офисах или дочерних подразделениях;

  • администраторы, ответственные за клиентские компьютеры под управлением Windows.

Примечание

В этой документации по MBAM не приводится подробное описание BitLocker. Дополнительные сведения см. в разделе Обзор шифрования дисков BitLocker.

Новые возможности MBAM 2.5

В этом разделе описываются новые возможности MBAM 2.5.

Поддержка Microsoft SQL Server 2014

В MBAM добавлена поддержка Microsoft SQL Server 2014 в дополнение к тому же ПО, что поддерживается в ранних версиях MBAM.

Шаблоны групповых политики MBAM скачиваются отдельно

Шаблоны групповой политики MBAM должны загружаться отдельно от установки MBAM. В предыдущих версиях MBAM установщик MBAM включал шаблон политики MBAM, содержащий необходимые объекты групповой политики для MBAM, определяющие параметры применения MBAM для шифрования дисков BitLocker. Эти объекты групповой политики были удалены из установщика MBAM. Теперь объекты групповой политики следует загружать из шаблонов получения групповой политики MDOP (файлы с расширением ADMX) и копировать их на сервер или рабочую станцию перед началом установки клиента MBAM. Шаблоны групповой политики можно скопировать на любой сервер или рабочую станцию, работающую под управлением поддерживаемой версии Windows Server или операционной системы Windows.

Важно!

Не изменяйте параметры групповой политики в узле Шифрование дисков BitLocker, иначе MBAM не будет правильно работать. При настройке параметров групповой политики в узле MDOP MBAM (Управление BitLocker) MBAM автоматически настраивает параметры шифрования дисков BitLocker.

Файлы шаблона, которые требуется скопировать на сервер или рабочую станцию:

  • BitLockerManagement.adml

  • BitLockerManagement.admx

  • BitLockerUserManagement.adml

  • BitLockerUserManagement.admx

Скопируйте файлы шаблонов в место, максимально соответствующее вашим нуждам. Для просмотра файлов определенного языка, которые должны быть скопированы в соответствующие языковые папки, требуется консоль управления групповыми политиками.

  • Чтобы установить файлы шаблонов локально на сервере или рабочей станции, скопируйте файлы в одно из следующих мест.

    Тип файла Расположение файла

    Не зависит от языка (.admx)

    %systemroot%\policyDefinitions

    Зависит от языка (.adml)

    %systemroot%\policyDefinitions\[код культуры] (например, файл для английского (США) будет храниться в папке %systemroot%\policyDefinitions\en-us).

  • Чтобы сделать шаблоны доступными для всех администраторов групповой политики в домене, скопируйте файлы в одно из следующих мест на контроллере домена:

    Тип файла Расположение файла на контроллере домена

    Не зависит от языка (.admx)

    %systemroot%sysvol\domain\policies\PolicyDefinitions

    Зависит от языка (.adml)

    %systemroot%\sysvol\domain\policies\PolicyDefinitions\[код культуры] (например, файл для английского (США) будет храниться в папке %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us).

Дополнительные сведения о файлах шаблонов см. в разделе Пошаговое руководство по управлению ADMX-файлами групповой политики.

Возможность применять политики шифрования к операционной системе и фиксированным дискам с данными.

Версия MBAM 2.5 позволяет применять политики шифрования к операционной системе и фиксированным дискам с данными на компьютерах в организации и ограничивать количество дней, в течение которого пользователи могут запросить перенос требования соответствия политикам шифрования MBAM.

Возможность настройки применения политики шифрования обеспечивается новым параметром групповой политики "Настройка применения политики шифрования", распространяющимся на диски операционной системы и фиксированные диски с данными. Описание этой политики представлено в следующей таблице.

Параметр групповой политики Описание Узел групповой политики, используемый для настройки параметра

Настройка применения политики шифрования (диск операционной системы)

Чтобы задать льготный период, в этой настройке следует использовать параметр Настроить количество дней льготного периода несоответствия для системных дисков.

Льготный период определяет количество дней, на которое пользователь может перенести приведение в соответствие диска с операционной системой с политиками MBAM после первоначального обнаружения несоответствия.

По истечении заданного льготного периода пользователь больше не сможет отложить требуемое действие или запросить исключение из него.

Если требуется взаимодействие с пользователем (например, если используется доверенный платформенный модуль (TPM) + ПИН-код либо защита паролем) появляется диалоговое окно, и пользователь не сможет его закрыть до тех пор, пока не предоставит все требуемые данные. Если защита обеспечивается только посредством TPM, шифрование начинается немедленно в фоновом режиме без ввода данных пользователем.

Пользователи не могут запрашивать исключения посредством мастера шифрования BitLocker. Вместо этого им следует обращаться в службу поддержки или использовать предусмотренный в организации процесс по размещению запросов на исключение.

Настройка компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOPMBAM (управление BitLocker) > Диск операционной системы

Настройка применения политики шифрования (фиксированные диски с данными)

Чтобы задать льготный период, в этой настройке следует использовать параметр Настроить количество дней льготного периода несоответствия для фиксированных дисков с данными.

Льготный период определяет количество дней, на которое пользователь может перенести приведение в соответствие фиксированного диска с данными с политиками MBAM после первоначального обнаружения несоответствия.

Льготный период начинается, когда фиксированный диск определяется как несоответствующий. Если используется автоматическое снятие блокировки, политика не будет применена до тех пор, пока системный диск является соответствующим. Однако, если автоматическое снятие блокировки не используется, шифрование фиксированного диска с данными может начаться до того, как диск с операционной системой будет полностью зашифрован.

По истечении заданного льготного периода пользователь больше не сможет отложить требуемое действие или запросить исключение из него. При необходимости взаимодействия с пользователем появляется диалоговое окно, и пользователь не может закрыть его до тех пор, пока не предоставит всю требуемую информацию.

Настройка компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOPMBAM (управление BitLocker) > Фиксированный диск

Возможность предоставить в мастере шифрования дисков BitLocker URL-адрес, указывающий на политику безопасности.

Новый параметр групповой политики Предоставить URL-адрес ссылки на политику безопасности позволяет задать URL-адрес, отображаемый пользователям в виде ссылки Политика безопасности компании. Эта ссылка отображается, когда MBAM предлагает пользователям зашифровать том.

Если включить этот параметр политики, можно задать URL-адрес ссылки Политика безопасности компании. Если отключить или не настроить этот параметр политики, ссылка Политика безопасности компании не будет отображаться пользователям.

Новый параметр групповой политики находится в следующем узле объекта групповой политики: Настройка компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Управление клиентами.

Поддержка FIPS-совместимых ключей восстановления

Версия MBAM 2.5 поддерживает ключи восстановления BitLocker, совместимые со стандартом FIPS, на устройствах, работающих под управлением Windows 8.1. Ключ восстановления не был совместим со стандартом FIPS в более ранних версиях Windows. Это нововведение позволило усовершенствовать процесс восстановления дисков в организациях, в которых требуется соответствие FIPS, так как оно позволяет пользователям использовать портал самообслуживания или веб-сайт администрирования и мониторинга (службу поддержки) для восстановления дисков в случае, если ПИН-код или пароль забыт или произошла блокировка компьютера. Новая возможность соответствия стандарту FIPS не распространяется на защиту паролем.

Чтобы обеспечить соответствие FIPS в вашей организации, необходимо настроить параметры FIPS групповой политики. Инструкции по настройке см. в разделе Параметры групповой политики BitLocker.

Для клиентских компьютеров, работающих под управлением операционной системы Windows 8 или Windows 7 без установленного пакета обновления BitLocker, ИТ-администраторы продолжат использовать защиту Агента восстановления данных (DRA) в средах с поддержкой стандарта FIPS. Сведения о DRA см. в разделе Использование агентов восстановления данных с BitLocker.

Инструкции по загрузке и установке исправления BitLocker для компьютеров Windows 7 и Windows 8 см. в разделе Исправление 2 для BitLocker Administration and Monitoring 2.5.

Поддержка развертываний с высокой степенью доступности

MBAM поддерживает следующие сценарии с высокой степенью доступности, помимо стандартных топологий с двумя серверами и интеграцией Configuration Manager:

  • Группы доступности SQL Server AlwaysOn

  • Кластеризация SQL Server

  • Балансировка сетевой нагрузки (NLB)

  • Зеркалирование SQL Server

  • Резервное копирование с помощью службы теневого копирования (VSS)

Дополнительные сведения об этих возможностях см. в разделе Планирование высокой доступности MBAM 2.5.

Изменено управление ролями для администрирования и мониторинга веб-сайтов

В MBAM 2.5 необходимо создавать группы безопасности в доменных службах Active Directory (AD DS) для управления ролями, предоставляющими права на доступ к веб-сайту администрирования и мониторинга. Роли позволяют пользователям в определенных группах безопасности выполнять на веб-сайте различные задачи, такие как просмотр отчетов или помощь конечным пользователям в восстановлении зашифрованных дисков. В предыдущих версиях MBAM управление ролями осуществлялось посредством локальных групп.

В MBAM 2.5 термин «роли» используется взамен понятия «роли администратора», которое использовалось в более ранних версиях MBAM. Кроме того, в MBAM 2.5 была устранена роль «Системные администраторы MBAM».

В следующей таблице представлены группы безопасности, которые следует создать в AD DS. Для групп безопасности можно использовать любые имена.

Роль Права на доступ для этой роли на веб-сайте администрирования и мониторинга

Пользователи службы поддержки MBAM

Предоставляет доступ к областям "TPM" и "Восстановление дисков" веб-сайта администрирования и мониторинга MBAM. Пользователи, у которых есть доступ к этим областям, должны заполнять все поля при использовании той или иной области.

Пользователи отчетов MBAM

Предоставляет доступ к отчетам на веб-сайте администрирования и мониторинга.

Опытные пользователи службы поддержки MBAM

Предоставляет доступ ко всем областям отчетам на веб-сайте администрирования и мониторинга. При помощи пользователям в восстановлении дисков пользователи в этой группе должны вводить только ключ восстановления, а не домен и имя пользователя. Если пользователь является членом группы MBAMПользователи службы поддержки и группы MBAMОпытные пользователи службы поддержки, разрешения группы MBAMОпытные пользователи службы поддержки имеют преимущество перед разрешениями группы MBAMПользователи службы поддержки.

После создания групп безопасности в AD DS следует назначить пользователей и (или) группы соответствующей группе безопасности, чтобы предоставить надлежащий уровень доступа к веб-сайту администрирования и мониторинга. Чтобы предоставить пользователям с каждой из ролей доступ к веб-сайту администрирования и мониторинга, необходимо также указать все группы безопасности при настройке веб-сайта администрирования и мониторинга.

Командлеты Windows PowerShell для настройки функций сервера MBAM

Командлеты Windows PowerShell для MBAM 2.5 позволяют настраивать функции сервера MBAM и управлять ими. У каждой функции есть соответствующий командлет Windows PowerShell, который позволяет включать и отключать функции, а также получать сведения о них.

Необходимые компоненты и условия для использования Windows PowerShell см. в разделе Настройка компонентов MBAM 2.5 Server с помощью Windows PowerShell.

Загрузка справки по MBAM 2.5 для командлетов Windows PowerShell после установки серверного программного обеспечения MBAM

  1. Откройте интегрированную среду сценариев (ISE) Windows PowerShell или Windows PowerShell.

  2. Введите команду Update-Help –Module Microsoft.MBAM.

Справка по Windows PowerShell для MBAM доступна в следующих форматах:

Формат справки Windows PowerShell Дополнительные сведения

В командной строке Windows PowerShell введите <командлет> Get-Help.

Чтобы загрузить последние командлеты Windows PowerShell, выполните инструкции в предыдущем разделе, посвященном загрузке справки по Windows PowerShell для MBAM.

В виде веб-страниц на сайте TechNet

https://go.microsoft.com/fwlink/?LinkId=393498

В виде DOCX-файла Word в Центре загрузки

https://go.microsoft.com/fwlink/?LinkId=393497

В виде PDF-файла в Центре загрузки

https://go.microsoft.com/fwlink/?LinkId=393499

Поддержка ПИН-кодов строго в формате ASCII и расширенных ПИН-кодов, а также возможность предотвращения последовательных и повторяющихся символов

Разрешение использования расширенных ПИН-кодов для настройки групповой политики запуска

Параметр групповой политики Разрешить расширенные ПИН-коды для запуска позволяет указать, используются ли расширенные ПИН-коды с BitLocker. Расширенные ПИН-коды запуска позволяют пользователям вводить любые ключи на полной клавиатуре, включая буквы верхнего и нижнего регистров, символы, числа и пробелы. Если включить этот параметр политики, все задаваемые новые ПИН-коды запуска BitLocker будут являться расширенными ПИН-кодами. Если этот параметр политики отключен или не настроен, расширенные ПИН-коды использовать невозможно.

Не все компьютеры поддерживают ввод расширенных ПИН-кодов в среде PXE. Прежде чем включить этот параметр групповой политики в организации, выполните проверку системы при установке BitLocker и убедитесь в том, что BIOS компьютера поддерживает использование полной клавиатуры в PXE. Более подробные сведения см. в разделе Планирование требований групповой политики MBAM 2.5.

Флажок "ПИН-коды только в формате ASCII"

Параметр групповой политики Разрешить расширенные ПИН-коды для запуска также содержит флажок ПИН-коды только в формате ASCII. Если компьютеры в вашей организации не поддерживают использование полной клавиатуры в PXE, вы можете включить параметр групповой политики Разрешить расширенные ПИН-коды для запуска и затем установить флажок ПИН-коды только в формате ASCII, чтобы в расширенных ПИН-кодах можно было использовать только печатаемые символы ASCII.

Принудительное использование непоследовательных и неповторяющихся символов

В версии MBAM 2.5 пользователям запрещено создавать ПИН-коды, состоящие из повторяющихся чисел (например, 1111) или последовательных чисел (например, 1234). Если пользователь пытается ввести пароль, содержащий три или более повторяющихся или последовательных числа, мастер шифрования дисков BitLocker отображает ошибку и не позволяет пользователю ввести ПИН-код с недопустимыми символами.

Добавление сертификата DRA в отчет BitLocker о соответствии компьютера

В отчет BitLocker о соответствии компьютера в Configuration Manager была добавлена защита нового типа — сертификат агента восстановления данных (DRA). Защита этого типа применяется к дискам операционной системы и отображается в столбце Типы защиты раздела Тома компьютера.

Поддержка развертываний с несколькими лесами

MBAM 2.5 поддерживает следующие типы развертываний с несколькими лесами:

  • Один лес с одним доменом

  • Один лес с одним деревом и несколькими доменами

  • Один лес с несколькими деревьями и непересекающимися пространствами имен

  • Несколько лесов в топологии с центральным лесом

  • Несколько лесов в топологии с лесом ресурсов

Отсутствует поддержка миграции леса (от одного леса к нескольким, от нескольких лесов к одному, от леса ресурсов к распределенному лесу и т. д.), а также обновления и перехода к предыдущей версии.

Необходимые условия для развертывания MBAM в развертываниях с несколькими лесами:

  • Лес должен работать на поддерживаемых версиях Windows Server.

  • Необходимо двустороннее или одностороннее доверие. При одностороннем доверии необходимо, чтобы домен сервера имел доверительное отношение к домену клиента. Иными словами, домен сервера указывает на домен клиента.

Поддержка зашифрованных жестких дисков клиентом MBAM

MBAM поддерживает технологию BitLocker для зашифрованных жестких дисков, соответствующих требованиям спецификации TCG для Opal, а также стандартов IEEE 1667. Применение технологии BitLocker на таких устройствах обеспечивает формирование ключей и выполнение функций управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск.

Получение технологий MDOP

MBAM входит в состав Microsoft Desktop Optimization Pack (MDOP). MDOP предоставляется в рамках программы Microsoft Software Assurance. Дополнительные сведения о программе Microsoft Software Assurance и о том, как получить MDOP, см. в разделе Получение MDOP.

Заметки о выпуске MBAM 2.5

Дополнительные сведения и последние новости, отсутствующие в этой документации, см. в разделе Заметки о выпуске для MBAM 2.5.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Концепции

Microsoft BitLocker Administration and Monitoring 2.5

Другие ресурсы

Приступая к работе с MBAM 2.5