Проверка MBAM 1.0

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

Перед развертыванием Администрирование и мониторинг Microsoft BitLocker (MBAM) в рабочей среде необходимо оценить внедрение в лабораторной среде. Сведения, представленные в этой статье, можно использовать для установки MBAM в лабораторной среде с одним сервером только в целях оценки.

Хотя фактические действия по развертыванию очень схожи со сценарием, рассмотренным в статье Установка и настройка MBAM на одном сервере, в этой статье содержатся дополнительные сведения об организации среды оценки MBAM в минимальные сроки.

Организация лабораторной среды

Даже учитывая тот факт, что выполняется установка не рабочего экземпляра MBAM в лабораторной среде, необходимо убедиться в выполнении всех предварительных требований к развертыванию, а также к оборудованию и программному обеспечению. Дополнительные сведения см. в статьях Необходимые компоненты развертывания MBAM 1.0 и Поддерживаемые конфигурации MBAM 1.0. Прежде чем приступать к оценочному развертыванию MBAM, необходимо также ознакомиться с разделом Подготовка среды для развертывания MBAM 1.0.

Планирование оценочного развертывания MBAM

  Задача Рекомендации Примечания
Поле контрольного списка

Просмотрите сведения в разделе "Начало работы", относящиеся к MBAM, чтобы получить основное представление о продукте, прежде чем приступать к планированию развертывания.

Приступая к работе с MBAM 1.0

Поле контрольного списка

Подготовьте вычислительную среду к установке MBAM. Для этого необходимо включить прозрачное шифрование данных (TDE) на экземплярах SQL Server, на которых будут размещаться базы данных MBAM. Чтобы включить шифрование TDE в лабораторной среде, можно создать SQL-файл для запуска в базе данных master, размещенной на экземпляре SQL Server, который будет использоваться MBAM.

Примечание

Следующий пример можно использовать для создания SQL-файла для лабораторной среды, чтобы быстро включить шифрование TDE на экземпляре SQL Server, который будет использоваться для размещения баз данных MBAM. Эти команды SQL Server включают шифрование TDE, используя сертификат SQL Server, подписанный локально. Обязательно создайте резервную копию сертификата TDE и связанного ключа шифрования, например по следующему пути: C:\Backup</EM>. Сертификат и ключ TDE требуются при восстановлении базы данных или перемещении сертификата и ключа на другой сервер, на котором используется шифрование TDE.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

Необходимые компоненты развертывания MBAM 1.0

Шифрование баз данных в SQL Server 2008 Enterprise Edition

Поле контрольного списка

Выполните планирование и настройку требований групповой политики MBAM.

Планирование требований групповой политики MBAM 1.0

Поле контрольного списка

Спланируйте и создайте необходимые группы безопасности доменных служб Active Directory. Спланируйте требования к членству в локальных группах безопасности MBAM.

Планирование ролей администратора MBAM 1.0

Поле контрольного списка

Спланируйте развертывание компонента сервера MBAM.

Планирование развертывания сервера MBAM 1.0

Поле контрольного списка

Спланируйте развертывание клиента MBAM.

Планирование развертывания клиента MBAM 1.0

Выполнение оценочного развертывания MBAM

После завершения планирования и установки необходимых программных компонентов для подготовки вычислительной среды к установке MBAM можно приступать к оценочному развертыванию MBAM.

Поле контрольного списка

Просмотрите информацию о поддерживаемых конфигурациях MBAM, чтобы убедиться, что на выбранные вами компьютеры для клиентов и серверов могут быть установлены компоненты MBAM.

Поддерживаемые конфигурации MBAM 1.0

Поле контрольного списка

Запустите программу установки MBAM, чтобы развернуть компоненты сервера MBAM на одном сервере для проведения оценки.

Установка и настройка MBAM на одном сервере

Поле контрольного списка

Добавьте группы безопасности доменных служб Active Directory, созданные на этапе планирования, в соответствующие локальные группы компонентов сервера MBAM на новом сервере MBAM.

Планирование ролей администратора MBAM 1.0 и Управление ролями администратора MBAM

Поле контрольного списка

Создайте и разверните требуемые объекты групповой политики MBAM.

Развертывание объектов групповой политики MBAM 1.0

Поле контрольного списка

Выполните развертывание программного обеспечения клиентов MBAM.

Развертывание клиента MBAM 1.0

Настройка компьютеров лаборатории для оценки MBAM

Используя редактор реестра, можно изменить параметры частоты передачи данных о состоянии клиента MBAM. Тем не менее, эти изменения следует использовать только для целей тестирования.

Предупреждение

В этом разделе описываются способы изменения реестра Windows с помощью редактора реестра. Внесение в реестр Windows неверных изменений может привести к серьезным проблемам, из-за которых может потребоваться переустановка Windows. Перед внесением изменений в реестр следует сделать резервные копии файлов реестра (System.dat и User.dat). Майкрософт не гарантирует возможности устранения проблем, вызванных внесенными в реестр изменениями. Изменения в реестр вносятся на свой риск.

Изменение параметров частоты передачи данных о состоянии клиента MBAM

Минимальное значение частоты передачи данных о состоянии и пробуждении клиента MBAM составляет 90 минут, если эти параметры используют групповую политику. Эти значения можно изменить на клиентских компьютерах MBAM, указав в реестре Windows более низкое значение, что позволит ускорить тестирование. Чтобы изменить параметры частоты передачи данных о состоянии клиента MBAM, в редакторе реестра перейдите в раздел HKLM\Software\Policies\FVE\MDOPBitLockerManagement, измените значения для параметров ClientWakeupFrequency и StatusReportingFrequency на 1 (минимальное поддерживаемое клиентом значение), а затем перезапустите службу клиента управления BitLocker. После внесения этого изменения клиент MBAM будет передавать данные каждую минуту. Это минимальное значение, которое можно вручную задать в реестре.

Изменение задержки запуска в службе клиента MBAM

В дополнение к значениям частоты передачи данных о состоянии и пробуждении клиента MBAM при запуске службы агента клиента MBAM на клиентских компьютерах применяется произвольная задержка до 90 минут. Чтобы запретить такую произвольную задержку, создайте значение DWORD параметра NoStartupDelay в разделе HKLM\Software\Microsoft\MBAM, задайте для него значение 1, а затем перезапустите службу клиента управления BitLocker.

См. также

Другие ресурсы

Приступая к работе с MBAM 1.0

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----