Развертывание клиента MBAM в рамках развертывания Windows

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Клиент Администрирование и мониторинг Microsoft BitLocker (MBAM) позволяет администраторам применить и отслеживать шифрование диска BitLocker на компьютерах предприятия. Клиент BitLocker может быть интегрирован в организацию посредством включения управления и шифрования BitLocker на компьютерах-клиентах во время создания образов компьютеров и развертывания Windows.

Примечание

Чтобы просмотреть системные требования клиента MBAM, см. Поддерживаемые конфигурации MBAM 1.0.

Шифрование компьютеров-клиентов с помощью BitLocker на начальном этапе создания образов при развертывании Windows может сократить объем работы администраторов при реализации MBAM. Благодаря этому подходу на каждом развертываемом компьютере уже будет запущено и соответствующим образом настроено шифрование BitLocker.

Предупреждение

В этом разделе описываются способы изменения реестра Windows с помощью редактора реестра. Внесение в реестр Windows неверных изменений может привести к серьезным проблемам, из-за которых может потребоваться переустановка Windows. Перед внесением изменений в реестр следует сделать резервные копии файлов реестра (System.dat и User.dat). Майкрософт не гарантирует возможности устранения проблем, вызванных внесенными в реестр изменениями. Изменения в реестр вносятся на свой риск.

Шифрование компьютера в рамках развертывания Windows

  1. Если в вашей организации планируется использовать предохранитель в виде доверенного платформенного модуля (TPM) или в виде TPM + PIN-код, необходимо активировать микросхему TPM до первоначального развертывания MBAM. При активации микросхемы TPM предотвращается необходимость перезагрузки на последующих этапах процесса, а также обеспечивается настройка микросхем TPM в соответствии с требованиями организации. Микросхему TPM необходимо активировать вручную в BIOS компьютера. Для получения подробных сведений о том, как настроить микросхему TPM, обратитесь к документации производителя.

  2. Установите агент клиента MBAM.

  3. Рекомендуем присоединить компьютер к домену...

    • Если компьютер не присоединен к домену, пароль восстановления не сохраняется в службе восстановления ключей MBAM. По умолчанию MBAM не разрешает шифрование, если имеется возможность сохранения ключа восстановления.

    • Если компьютер запускается в режиме восстановления перед сохранением ключа на сервере MBAM, образ компьютера должен быть пересоздан. Не доступен ни один метод восстановления.

  4. Откройте командную строку от имени администратора, остановите службу MBAM, после чего укажите метод запуска вручную или по требованию. Затем выполните следующие команды:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Настройте параметры реестра для агента MBAM на игнорирование групповой политики и запуск TPM для шифрования только операционной системы. Для этого запустите программу regedit, после чего импортируйте шаблон раздела реестра из файла C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. В программе regedit перейдите в раздел HKLM\SOFTWARE\Microsoft\MBAM и настройте параметры, указанные в следующей таблице.

    Запись реестра Параметры конфигурации

    DeploymentTime

    0 = ВЫКЛ

    1 = использовать параметры политики времени развертывания (по умолчанию)

    UseKeyRecoveryService

    0 = не использовать перенос ключа (В этом случае две следующие записи реестра не являются обязательными.)

    1 = использовать перенос ключа в системе восстановления ключей (по умолчанию)

    Рекомендуется: Компьютер должен иметь возможность связываться со службой восстановления ключей. Перед продолжением работы убедитесь, что компьютер может устанавливать связь со службой.

    KeyRecoveryOptions

    0 = отправка только ключа восстановления

    1 = отправка ключа восстановления и пакета восстановления ключа (по умолчанию)

    KeyRecoveryServiceEndPoint

    Укажите в этом значении URL веб-сервера восстановления ключей

    Пример: http://<имя_компьютера>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Примечание

    Здесь могут быть заданы политика или значения реестра MBAM для переопределения значений, заданных ранее.

  7. Агент MBAM перезагружает систему во время развертывания клиента MBAM. Когда все готово к этой перезагрузке, выполните следующую команду в командной строке от имени администратора:

    net start mbamagent

  8. Когда компьютер перезагрузится и BIOS предложит принять изменение TPM, примите изменение.

  9. Во время создания образов операционной системы клиента Windows, когда все готово к началу шифрования, перезапустите службу агента MBAM. После этого, чтобы установить тип запуска автоматически, откройте командную строку от имени администратора и выполните следующие команды:

    sc config mbamagent start= auto

    net start mbamagent

  10. Удалите обходные значения реестра. Для этого запустите программу regedit, перейдите к записи HKLM\SOFTWARE\Microsoft, щелкните правой кнопкой мыши узел MBAM и выберите Удалить.

См. также

Другие ресурсы

Развертывание клиента MBAM 1.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----