共用方式為

評估 MBAM 1.0

  • 發行項

適用於: Microsoft BitLocker Administration and Monitoring 1.0

將 Microsoft BitLocker Administration and Monitoring (MBAM) 部署到生產環境之前,您應該先在實驗室環境中進行評估。 您可以使用本主題中的資訊,在單一伺服器實驗室環境中安裝 MBAM,但僅供評估之用。

雖然實際的部署步驟與如何在單一伺服器上安裝及設定 MBAM 中說明的案例非常相似,但是本主題還包含其他資訊,使您能夠在最短的時間內設定 MBAM 評估環境。

設定實驗室環境

即使是設定非生產 MBAM 執行個體以便在實驗室環境中進行評估,仍然應該確認您是否符合部署必要條件以及硬體和軟體需求。 如需詳細資訊,請參閱 MBAM 1.0 部署必要條件MBAM 1.0 支援的組態。 在開始進行 MBAM 評估部署之前,您還應該先參閱 MBAM 1.0 的環境準備

MBAM 評估部署規劃

  工作 參考資料 附註
檢查清單方塊

檢閱有關 MBAM 的「開始使用」資訊,在您開始規劃部署之前,取得對產品的基本瞭解。

開始使用 MBAM 1.0

檢查清單方塊

準備運算環境,以便安裝 MBAM。 若要這樣做,您必須在要裝載 MBAM 資料庫的 SQL Server 執行個體上啟用透明資料加密 (TDE)。 若要在實驗室環境中啟用 TDE,您可以建立 .sql 檔案,以針對裝載在 MBAM 所要使用之 SQL Server 執行個體上的主要資料庫執行該檔案。

注意

您可以使用下列範例為實驗室環境建立 .sql 檔案,在要裝載 MBAM 資料庫的 SQL Server 執行個體上快速啟用 TDE。 這些 SQL Server 命令會使用本機簽署的 SQL Server 憑證啟用 TDE。 請務必將 TDE 憑證及其相關加密金鑰備份到 C:\Backup</EM> 的範例本機備份路徑。 修復資料庫時或是將憑證和金鑰移到已啟用 TDE 加密的其他伺服器時,都需要用到 TDE 憑證和金鑰。

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

MBAM 1.0 部署必要條件

SQL Server 2008 Enterprise Edition 中的資料庫加密

檢查清單方塊

規劃並設定 MBAM 群組原則需求。

MBAM 1.0 群組原則需求規劃

檢查清單方塊

規劃並建立必要的 Active Directory 網域服務安全性群組,並規劃 MBAM 本機安全性群組成員資格的需求。

MBAM 1.0 系統管理員角色規劃

檢查清單方塊

規劃 MBAM 伺服器功能部署。

MBAM 1.0 伺服器部署規劃

檢查清單方塊

規劃 MBAM 用戶端部署。

MBAM 1.0 用戶端部署規劃

執行 MBAM 評估部署

在您完成必要的規劃與軟體必要條件安裝,以備妥要安裝 MBAM 的運算環境之後,便可開始執行 MBAM 評估部署作業。

檢查清單方塊

檢閱 MBAM 支援的組態資訊,確定所選的用戶端和伺服器電腦可支援安裝 MBAM 功能。

MBAM 1.0 支援的組態

檢查清單方塊

執行 MBAM 安裝程式,將 MBAM 伺服器功能部署在單一伺服器上,供評估之用。

如何在單一伺服器上安裝及設定 MBAM

檢查清單方塊

將規劃階段建立的 Active Directory 網域服務安全性群組,新增到新 MBAM 伺服器上適當的本機 MBAM 伺服器功能本機群組。

MBAM 1.0 系統管理員角色規劃如何管理 MBAM 系統管理員角色

檢查清單方塊

建立及部署必要的 MBAM 群組原則物件。

部署 MBAM 1.0 群組原則物件

檢查清單方塊

部署 MBAM 用戶端軟體。

部署 MBAM 1.0 用戶端

設定實驗室電腦以評估 MBAM

您可以使用登錄編輯程式,變更 MBAM 用戶端狀態報告的頻率設定。 不過,這些修改應該只能作為測試之用。

警告

本主題說明如何使用登錄編輯程式來變更 Windows 登錄。不當變更 Windows 登錄可能會導致嚴重問題,而必須重新安裝 Windows。在變更登錄之前,應先備份登錄檔案副本 (System.dat 和 User.dat)。Microsoft 無法保證能夠解決您在變更登錄時所發生的問題。您需自行承擔變更登錄的風險。

修改 MBAM 用戶端狀態報告的頻率設定

將 MBAM 用戶端喚醒和狀態報告頻率設定為使用群組原則時,此頻率會有最低 90 分鐘的下限。 您可透過編輯 Windows 登錄以降低值的方式,在 MBAM 用戶端電腦上變更這些頻率,以加快測試的速度。 若要修改 MBAM 用戶端狀態報告的頻率設定,請使用登錄編輯程式瀏覽到 HKLM\Software\Policies\FVE\MDOPBitLockerManagement,將 ClientWakeupFrequencyStatusReportingFrequency 的值變更為 1 作為用戶端支援的最小值,然後重新啟動 BitLocker Management Client 服務。 在您進行此變更後,MBAM 用戶端將會每分鐘回報一次。 只有在登錄中手動設定時,才能將值設成這麼低。

修改 MBAM 用戶端服務的啟動延遲

除了 MBAM 用戶端喚醒和狀態報告頻率之外,在用戶端電腦上啟動 MBAM 用戶端代理程式服務時,還會有一段隨機延遲時間 (最長 90 分鐘)。 如果您不想要這段隨機延遲時間,請在 HKLM\Software\Microsoft\MBAM 底下建立 NoStartupDelayDWORD 值,將其值設定為 1,然後重新啟動 BitLocker Management Client 服務。

另請參閱

其他資源

開始使用 MBAM 1.0

-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 FacebookTwitter 追蹤我們的動態。
-----