Сведения о программе MBAM 2.5 SP1

  • Статья

Назначение: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 с пакетом обновления 1 (SP1) предоставляет упрощенный интерфейс администрирования для шифрования дисков BitLocker. BitLocker обеспечивает усиленную защиту от хищения данных, а также от раскрытия данных на утерянных или украденных компьютерах. BitLocker шифрует все данные, хранящиеся в операционной системе и на дисках Windows и на настроенных дисках данных.

Общие сведения о MBAM

MBAM 2.5 с пакетом обновления 1 (SP1) имеет следующие функции.

  • Позволяет администраторам автоматизировать процесс шифрования томов на клиентских компьютерах по всему предприятию.

  • Позволяет сотрудникам службы безопасности быстро определять состояние соответствия отдельных компьютеров и даже самого предприятия.

  • Обеспечивает возможность централизованного управления оборудованием и составлением отчетов с помощью Microsoft System Center Configuration Manager.

  • Уменьшает нагрузку на сотрудников службы поддержки, связанную с обработкой запросов пользователей по ПИН-кодам BitLocker и ключам восстановления.

  • Позволяет конечным пользователям восстанавливать зашифрованные устройства самостоятельно через портал самообслуживания.

  • Позволяет сотрудникам службы безопасности беспрепятственно осуществлять аудит доступа к данным о ключах восстановления.

  • Позволяет пользователям Windows Корпоративная продолжать работу в любом месте с гарантией защиты данных предприятия.

MBAM принудительно применяет параметры политики шифрования BitLocker, заданные для организации, отслеживает соответствие клиентских компьютеров этим политикам и создает отчеты о состоянии шифрования на компьютерах организации и отдельных лиц. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.

В использовании MBAM для управления BitLocker могут быть заинтересованы следующие группы пользователей:

  • администраторы, специалисты по компьютерной безопасности, а также должностные лица, осуществляющие контроль соответствия требованиям и ответственные за предотвращение несанкционированного разглашения конфиденциальных данных;

  • администраторы, ответственные за безопасность компьютеров в удаленных офисах или филиалах;

  • администраторы, ответственные за клиентские компьютеры под управлением Windows.

Примечание

В этой документации по MBAM не приводится подробное описание BitLocker. Дополнительные сведения см. в разделе Обзор шифрования дисков BitLocker.

Что нового в MBAM 2.5 с пакетом обновления 1 (SP1)

В этом разделе описываются новые возможности MBAM 2.5 с пакетом обновления 1 (SP1).

Поддержка новых языков в клиенте MBAM 2.5 с пакетом обновления 1 (SP1)

В MBAM 2.5 с пакетом обновления 1 (SP1) для клиента MBAM (включая портал самообслуживания) добавлена поддержка следующих языков:

  • Чешский (Чешская Республика), cs-CZ

  • Датский (Дания), da-DK

  • Голландский (Нидерланды), nl-NL

  • Финский (Финляндия), fi-FI

  • Греческий (Греция), el-GR

  • Венгерский (Венгрия), hu-HU

  • Норвежский (букмол, Норвегия) nb-NO

  • Польский (Польша), pl-PL

  • Португальский (Португалия), pt-PT

  • Словацкий (Словакия), sk-SK

  • Словенский (Словения) sl-SI

  • Шведский (Швеция), sv-SE

  • Турецкий (Турция), tr-TR

Список всех языков, поддерживаемых для клиента и сервера в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1), см. в разделе Поддерживаемые конфигурации MBAM 2.5.

Поддержка Windows 10

В MBAM 2.5 с пакетом обновления 1 (SP1) добавлена поддержка Windows 10 в дополнение к тому же ПО, что поддерживается в ранних версиях MBAM.

Windows 10 поддерживается как в MBAM 2.5, так и в MBAM 2.5 с пакетом обновления 1 (SP1).

Поддержка Microsoft SQL Server 2014 с пакетом обновления 1 (SP1)

В MBAM 2.5 с пакетом обновления 1 (SP1) добавлена поддержка Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) в дополнение к тому же ПО, которое поддерживалось в более ранних версиях MBAM.

В MBAM больше не включается отдельный MSI

Начиная с версии MBAM 2.5 с пакетом обновления 1 (SP1), в продукт MBAM больше не включается отдельный MSI. Тем не менее MSI можно извлечь из исполняемого файла (EXE), входящего в состав продукта.

MBAM может депонировать пароли OwnerAuth, не владея доверенным платформенным модулем

Раньше, если MBAM не владел доверенным платформенным модулем, OwnerAuth доверенного платформенного модуля нельзя было депонировать в базе данных MBAM. Чтобы настроить MBAM на владение доверенным платформенным модулем и хранение паролей, необходимо было отключить автоматическую подготовку доверенного платформенного модуля и очистить доверенный платформенный модуль на клиентском компьютере.

В Windows 8 и более поздних версиях MBAM 2.5 с пакетом обновления 1 (SP1) может депонировать пароли OwnerAuth, не владея доверенным платформенным модулем. Во время запуска службы MBAM отправляет запрос, чтобы проверить, владеет ли кто-либо доверенным платформенным модулем, и если да, то запрашивает пароли из операционной системы. Затем пароли депонируются в базе данных MBAM. Кроме того, необходимо настроить групповую политику таким образом, чтобы не допустить удаления OwnerAuth с локального компьютера.

В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически депонировать сведения OwnerAuth доверенного платформенного модуля в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, а резервное копирование доверенного платформенного модуля в Active Directory (AD) настраивается с помощью групповой политики, для копирования OwnerAuth доверенного платформенного модуля из AD в базу данных MBAM необходимо использовать командлеты импорта данных Active Directory (AD) MBAM. Ниже описаны пять командлетов PowerShell, которые заполняют базы данных MBAM информацией о восстановлении томов и о владельце доверенного платформенного модуля, хранящейся в Active Directory.

Более подробные сведения см. в разделе Configure MBAM to escrow the TPM and store OwnerAuth passwords.

MBAM может автоматически разблокировать доверенный платформенный модуль после блокировки

Теперь на компьютерах с доверенным платформенным модулем 1.2 можно настраивать MBAM на автоматическую разблокировку доверенного платформенного модуля в случае блокировки. Если функция автоматического сброса блокировки доверенного платформенного модуля включена, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM для автоматической разблокировки доверенного платформенного модуля для пользователя.

Эта функция должна быть включена на стороне сервера и в групповой политике на стороне клиента. Более подробные сведения см. в разделе Configure MBAM to automatically unlock the TPM after a lockout.

Поддержка FIPS-совместимых предохранителей числовых паролей BitLocker

В MBAM 2.5 добавлена поддержка ключей восстановления BitLocker, совместимых со стандартом FIPS, на устройствах, работающих под управлением Windows 8.1. В Windows 7 не реализованы FIPS-совместимые ключи восстановления. Таким образом, для восстановления устройствам Windows 7 и Windows 8 по-прежнему требуется предохранитель агента восстановления данных (DRA).

Группа Windows обеспечила поддержку FIPS-совместимых ключей восстановления с помощью исправления и добавила их полную поддержку в MBAM 2.5 с пакетом обновления 1 (SP1).

Примечание

Клиентские компьютеры под управлением операционной системы Windows 8 по-прежнему требуют предохранитель DRA, так как для этой версии ОС исправление не выпущено. Инструкции по загрузке и установке исправления BitLocker для компьютеров Windows 7 и Windows 8 см. в разделе Исправление 2 для BitLocker Administration and Monitoring 2.5. Сведения о DRA см. в статье Использование агентов восстановления данных с BitLocker.

Чтобы обеспечить соответствие FIPS в вашей организации, необходимо настроить параметры FIPS групповой политики. Инструкции по настройке см. в статье Параметры групповой политики BitLocker.

Настройка сообщения о предзагрузочном восстановлении и URL-адреса с помощью нового параметра групповой политики

Новый параметр групповой политики, Настройка сообщения о предзагрузочном восстановлении и URL-адреса, позволяет настроить пользовательское сообщение о восстановлении или указать URL-адрес, который будет отображаться на экране восстановления BitLocker при блокировке диска операционной системы. Этот параметр доступен только на клиентских компьютерах под управлением Windows 10.

Если этот параметр политики включен, выберите один из следующих параметров настройки сообщения о предзагрузочном восстановлении.

  • Использовать пользовательское сообщение о восстановлении: выберите этот параметр, чтобы включить настраиваемое сообщение на экране восстановления предварительной загрузки BitLocker.

  • Использовать пользовательский URL-адрес восстановления: выберите этот параметр, чтобы заменить URL-адрес по умолчанию, отображаемый на экране восстановления предварительной загрузки BitLocker.

  • Использовать сообщение о восстановлении и URL-адрес по умолчанию: выберите этот параметр, чтобы отображалось сообщение восстановления BitLocker по умолчанию и экран восстановления BitLocker по умолчанию. Если ранее вы настроили пользовательское сообщение о восстановлении или URL-адрес и хотите восстановить сообщение по умолчанию, включите эту политику и выберите данный параметр.

Новый параметр групповой политики находится в следующем узле объекта групповой политики: Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > MDOP MBAM (управление BitLocker) > Диск операционной системы. Более подробные сведения см. в разделе Планирование требований групповой политики MBAM 2.5.

В MBAM добавлена поддержка шифрования используемого пространства

Если в MBAM 2.5 с пакетом обновления 1 (SP1) включить шифрование используемого пространства с помощью групповой политики BitLocker, клиент MBAM выполняет его.

Этот параметр групповой политики называется Применить тип шифрования диска к дискам операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы. Если включить эту политику и выбрать тип шифрования Шифрование только занятого места, то MBAM будет выполнять политику и BitLocker будет шифровать только используемое пространство тома.

Более подробные сведения см. в разделе Планирование требований групповой политики MBAM 2.5.

Поддержка зашифрованных жестких дисков клиентом MBAM

MBAM поддерживает технологию BitLocker для зашифрованных жестких дисков, соответствующих требованиям спецификации TCG для Opal, а также стандартов IEEE 1667. Применение технологии BitLocker на таких устройствах обеспечивает формирование ключей и выполнение функций управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск.

Настройка делегирования при регистрации имен субъектов-служб больше не требуется.

Требования по настройке ограниченного делегирования для имен субъектов-служб, которые можно зарегистрировать для учетной записи пула приложений, в MBAM 2.5 с пакетом обновления 1 (SP1) больше не являются обязательными. Тем не менее оно остается обязательным для MBAM 2.5.

Включение BitLocker с помощью MBAM в процессе развертывания Windows

В MBAM 2.5 с пакетом обновления 1 (SP1) можно использовать сценарий PowerShell для настройки шифрования диска BitLocker и передачи ключей восстановления на сервер MBAM.

Более подробные сведения см. в разделе Как включить BitLocker с помощью MBAM в рамках развертывания Windows.

Портал самообслуживания можно настроить на использование либо PowerShell, либо мастера настройки SSP.

Начиная с версии MBAM 2.5 с пакетом обновления 1 (SP1) портал самообслуживания можно настроить с помощью мастера настройки, а также с помощью PowerShell. См. раздел Настройка веб-приложений MBAM 2.5.

Веб-браузер больше не может непреднамеренно работать от имени администратора

В результате проблемы в MBAM 2.5 ссылки на справку в инструменте конфигурации сервера заставляют окна браузера открываться с правами администратора. Эта проблема исправлена в MBAM 2.5 с пакетом обновления 1 (SP1).

Загружать файлы JavaScript для настройки портала самообслуживания, если CDN недоступен, больше не требуется.

В MBAM 2.5 и более ранних версий файлы jQuery, используемые для настройки портала самообслуживания, необходимо заранее загрузить из CDN на случай, если у клиента портала самообслуживания не будет доступа к Интернету. В MBAM 2.5 с пакетом обновления 1 (SP1) в продукт включены все файлы JavaScript, поэтому загружать их не требуется.

Отчеты можно открывать в построителе отчетов 3.0

В MBAM 2.5 с пакетом обновления 1 (SP1) отчеты были обновлены в соответствии с новейшей схемой языка определения отчетов, что позволяет пользователям открывать и настраивать отчеты в построителе отчетов 3.0 и сохранять их незамедлительно, не повреждая файлы отчетов.

Новые командлеты PowerShell

Новые командлеты PowerShell для MBAM 2.5 с пакетом обновления 1 (SP1) позволяют настраивать различные компоненты MBAM, включая базы данных, отчеты и веб-приложения, и управлять ими. У каждой функции есть соответствующий командлет PowerShell, который позволяет включать и отключать функции, а также получать сведения о них.

В MBAM 2.5 с пакетом обновления 1 (SP1) были реализованы следующие командлеты.

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

В командлетах Enable-MbamWebApplication и Test-MbamWebApplication для MBAM 2.5 с пакетом обновления 1 (SP1) были реализованы следующие параметры.

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Сведения о командлетах см. в разделе Процедуры безопасности MBAM 2.5 и Справка по командлетам администрирования и мониторинга BitLocker.

Агент MBAM обнаруживает режим презентации

Агент MBAM может определить, когда компьютер находится в режиме презентации, и не вызывать пользовательский интерфейс MBAM течение этого времени.

Теперь служба агента MBAM может использовать отложенный запуск

Теперь после установки служба настраивает службу агента MBAM на использование отложенного запуска, что позволяет сократить время загрузки Windows.

Заблокированные фиксированные тома данных теперь помечаются как соответствующие политике

Логика вычислений соответствия для «Заблокированных фиксированных томов данных» была изменена таким образом, чтобы тома обозначались как «Соответствующие политике», но с неизвестным состоянием предохранителя и шифрования и значением «Том заблокирован» для сведений о состоянии соответствия. Ранее заблокированные тома обозначались как «Несоответствующие», состояние предохранителя как «Зашифрованное», состояние шифрования как «Неизвестно», а сведения о состоянии соответствия как «Неизвестная ошибка».

Получение технологий MDOP

MBAM входит в состав Microsoft Desktop Optimization Pack (MDOP). MDOP предоставляется в рамках программы Microsoft Software Assurance. Дополнительные сведения о программе Microsoft Software Assurance и о том, как получить MDOP, см. в разделе Получение MDOP.

Заметки о выпуске MBAM 2.5 с пакетом обновления 1 (SP1)

Дополнительные сведения и последние новости, отсутствующие в этой документации, см. в разделе Заметки о выпуске MBAM 2.5 SP1.

Есть предложение для MBAM?

Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.

См. также

Концепции

Microsoft BitLocker Administration and Monitoring 2.5

Другие ресурсы

Приступая к работе с MBAM 2.5