Freigeben über

Auswerten von MBAM 1.0

  • Artikel

Bevor Sie Microsoft BitLocker Administration and Monitoring (MBAM) in einer Produktionsumgebung bereitstellen, sollten Sie es in einer Laborumgebung auswerten. Sie können die Informationen in diesem Thema verwenden, um MBAM nur zu Evaluierungszwecken in einer einzigen Serverumgebung einzurichten.

Während die tatsächlichen Bereitstellungsschritte dem Szenario sehr ähnlich sind, das unter "Installieren und Konfigurieren von MBAM auf einem einzelnen Server" beschrieben wird, enthält dieses Thema zusätzliche Informationen, mit denen Sie eine MBAM-Evaluierungsumgebung in kürzester Zeit einrichten können.

Einrichten der Lab-Umgebung

Auch wenn Sie eine Nicht-Produktionsinstanz von MBAM für die Auswertung in einer Laborumgebung einrichten, sollten Sie dennoch überprüfen, ob Sie die Bereitstellungsvoraussetzungen und die Hardware- und Softwareanforderungen erfüllt haben. Weitere Informationen finden Sie unter MBAM 1.0 Deployment Prerequisites and MBAM 1.0 Supported Configurations. Sie sollten auch die Vorbereitung Ihrer Umgebung für MBAM 1.0 lesen, bevor Sie mit der Bereitstellung der MBAM-Evaluierung beginnen.

Planen einer MBAM-Evaluierungsbereitstellung

Aufgabe Verweise Anmerkungen
Checklistenfeld

Überprüfen Sie die Erste Schritte Informationen zu MBAM, um ein grundlegendes Verständnis des Produkts zu erhalten, bevor Sie mit der Bereitstellungsplanung beginnen.

Erste Schritte mit MBAM 1.0

Checklistenfeld

Bereiten Sie Ihre Computerumgebung für die MBAM-Installation vor. Dazu müssen Sie die Transparente Datenverschlüsselung (TDE) für die SQL Server Instanzen aktivieren, die MBAM-Datenbanken hosten. Um TDE in Ihrer Lab-Umgebung zu aktivieren, können Sie eine SQL-Datei erstellen, die für die Masterdatenbank ausgeführt wird, die auf der Instanz der SQL Server gehostet wird, die MBAM verwendet.

Hinweis

Sie können das folgende Beispiel verwenden, um eine SQL-Datei für Ihre Lab-Umgebung zu erstellen, um TDE schnell auf der SQL Server Instanz zu aktivieren, die die MBAM-Datenbanken hosten wird. Mit diesen SQL Server Befehlen wird TDE mithilfe eines lokal signierten SQL Server-Zertifikats aktiviert. Stellen Sie sicher, dass Sie das TDE-Zertifikat und den zugehörigen Verschlüsselungsschlüssel für den beispielbasierten lokalen Sicherungspfad von C:\Backup sichern. Das TDE-Zertifikat und der TDE-Schlüssel sind erforderlich, wenn Sie die Datenbank wiederherstellen oder das Zertifikat und den Schlüssel auf einen anderen Server verschieben, auf dem die TDE-Verschlüsselung vorhanden ist.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

Bereitstellungsvoraussetzungen für MBAM 1.0

Datenbankverschlüsselung in SQL Server 2008 Enterprise Edition

Checklistenfeld

Planen und Konfigurieren von MBAM-Gruppenrichtlinie Anforderungen.

Planen der Gruppenrichtlinienanforderungen für MBAM 1.0

Checklistenfeld

Planen und erstellen Sie die erforderlichen Active Directory Domain Services Sicherheitsgruppen und planen Sie die Mitgliedschaftsanforderungen für lokale Sicherheitsgruppen von MBAM.

Planen der Administratorrollen für MBAM 1.0

Checklistenfeld

Planen sie die Bereitstellung von MBAM Server-Features.

Planen der Serverbereitstellung für MBAM 1.0

Checklistenfeld

Planen der MBAM-Clientbereitstellung.

Planen der Clientbereitstellung für MBAM 1.0

Durchführen einer MBAM-Evaluierungsbereitstellung

Nachdem Sie die erforderlichen Planungs- und Softwareinstallationen abgeschlossen haben, um Ihre Computerumgebung auf eine MBAM-Installation vorzubereiten, können Sie mit der Bereitstellung der MBAM-Evaluierung beginnen.

Checklistenfeld

Überprüfen Sie die Von MBAM unterstützten Konfigurationsinformationen, um sicherzustellen, dass die ausgewählten Client- und Servercomputer für die Installation des MBAM-Features unterstützt werden.

Von MBAM 1.0 unterstützte Konfigurationen

Checklistenfeld

Führen Sie DAS MBAM-Setup aus, um MBAM-Serverfeatures zu Evaluierungszwecken auf einem einzelnen Server bereitzustellen.

So installieren und Konfigurieren von MBAM auf einem Server

Checklistenfeld

Fügen Sie die Active Directory Domain Services Sicherheitsgruppen, die Sie während der Planungsphase erstellt haben, den entsprechenden lokalen MBAM Server-Feature-lokalen Gruppen auf dem neuen MBAM-Server hinzu.

Planen von MBAM 1.0-Administratorrollen und Verwalten von MBAM-Administratorrollen

Checklistenfeld

Erstellen und Bereitstellen der erforderlichen MBAM-Gruppenrichtlinie-Objekte.

Bereitstellen von Gruppenrichtlinienobjekten für MBAM 1.0

Checklistenfeld

Stellen Sie die MBAM-Clientsoftware bereit.

Bereitstellen des MBAM 1.0-Clients

Konfigurieren von Laborcomputern für die MBAM-Auswertung

Sie können die Häufigkeitseinstellungen für die MBAM-Clientstatusberichterstattung mithilfe des Registrierungs-Editors ändern. Diese Änderungen sollten jedoch nur zu Testzwecken verwendet werden.

Warnung
In diesem Thema wird beschrieben, wie Sie die Windows-Registrierung mithilfe des Registrierungs-Editors ändern. Wenn Sie die Windows-Registrierung falsch ändern, können Sie schwerwiegende Probleme verursachen, bei denen Sie Windows möglicherweise neu installieren müssen. Sie sollten eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen, bevor Sie die Registrierung ändern. Microsoft kann nicht garantieren, dass die Probleme, die beim Ändern der Registrierung auftreten können, behoben werden können. Ändern Sie die Registrierung auf eigenes Risiko.

Ändern der Häufigkeitseinstellungen für die MBAM-Clientstatusberichterstattung

Die Aktivierungs- und Statusberichtsfrequenzen des MBAM-Clients haben einen Mindestwert von 90 Minuten, wenn sie für die Verwendung Gruppenrichtlinie festgelegt sind. Sie können diese Häufigkeiten auf MBAM-Clientcomputern ändern, indem Sie die Windows-Registrierung auf niedrigere Werte bearbeiten, wodurch die Tests beschleunigt werden. Verwenden Sie zum Ändern der Häufigkeitseinstellungen für die Statusberichterstattung des MBAM-Clients einen Registrierungs-Editor, um zu HKLM\Software\Policies\FVE\MDOPBitLockerManagement zu navigieren, ändern Sie die Werte für ClientWakeupFrequency und StatusReportingFrequency auf 1 als minimal unterstützten Clientwert, und starten Sie dann den BitLocker-Verwaltungsclientdienst neu. Wenn Sie diese Änderung vornehmen, meldet der MBAM-Client jede Minute. Sie können Werte nur dann so niedrig festlegen, wenn Sie dies manuell in der Registrierung tun.

Ändern der Startverzögerung für den MBAM-Clientdienst

Zusätzlich zu den Häufigkeiten der MBAM-Clientreaktivierung und Statusberichterstattung gibt es eine zufällige Verzögerung von bis zu 90 Minuten, wenn der MBAM-Client-Agent-Dienst auf Clientcomputern gestartet wird. Wenn Sie die zufällige Verzögerung nicht wünschen, erstellen Sie einen DWORD-Wert von NoStartupDelay unter HKLM\Software\Microsoft\MBAM, legen Sie den Wert auf 1 fest, und starten Sie dann den BitLocker-Verwaltungsclientdienst neu.

Erste Schritte mit MBAM 1.0