Condividi tramite

Valutazione di MBAM 1.0

  • Articolo

Prima di distribuire Microsoft BitLocker Administration and Monitoring (MBAM) in un ambiente di produzione, è necessario valutarlo in un ambiente lab. È possibile usare le informazioni in questo argomento per configurare MBAM in un ambiente lab a server singolo solo a scopo di valutazione.

Anche se i passaggi di distribuzione effettivi sono molto simili allo scenario descritto in Come installare e configurare MBAM in un singolo server, questo argomento contiene informazioni aggiuntive che consentono di configurare un ambiente di valutazione MBAM nel minor tempo possibile.

Configurare l'ambiente lab

Anche quando si configura un'istanza non di produzione di MBAM per la valutazione in un ambiente lab, è comunque necessario verificare di aver soddisfatto i prerequisiti di distribuzione e i requisiti hardware e software. Per altre informazioni, vedere MBAM 1.0 Deployment Prerequisites e MBAM 1.0 Supported Configurations. È anche consigliabile esaminare Preparazione dell'ambiente per MBAM 1.0 prima di iniziare la distribuzione di valutazione di MBAM.

Pianificare una distribuzione di valutazione di MBAM

Attività Riferimenti Note
Casella di controllo

Esaminare le informazioni Introduzione su MBAM per acquisire una conoscenza di base del prodotto prima di iniziare la pianificazione della distribuzione.

Attività iniziali di MBAM 1.0

Casella di controllo

Preparare l'ambiente di elaborazione per l'installazione di MBAM. A tale scopo, è necessario abilitare Transparent Data Encryption (TDE) nelle istanze di SQL Server che ospiteranno i database MBAM. Per abilitare TDE nell'ambiente lab, è possibile creare un file con estensione sql da eseguire nel database master ospitato nell'istanza del SQL Server che verrà usato da MBAM.

Nota

È possibile usare l'esempio seguente per creare un file con estensione sql per l'ambiente lab per abilitare rapidamente TDE nell'istanza di SQL Server che ospiterà i database MBAM. Questi comandi SQL Server abiliteranno TDE usando un certificato SQL Server firmato localmente. Assicurarsi di eseguire il backup del certificato TDE e della chiave di crittografia associata nel percorso di backup locale di esempio di C:\Backup. Il certificato E la chiave TDE sono necessari quando si recupera il database o si sposta il certificato e la chiave in un altro server in cui è presente la crittografia TDE.

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

Prerequisiti per la distribuzione di MBAM 1.0

Crittografia del database in SQL Server 2008 edizione Enterprise

Casella di controllo

Pianificare e configurare i requisiti di Criteri di gruppo MBAM.

Pianificazione dei requisiti di Criteri di gruppo per MBAM 1.0

Casella di controllo

Pianificare e creare i gruppi di sicurezza Active Directory Domain Services necessari e pianificare i requisiti di appartenenza ai gruppi di sicurezza locali di MBAM.

Pianificazione dei ruoli di amministrazione di MBAM 1.0

Casella di controllo

Pianificare la distribuzione delle funzionalità del server MBAM.

Pianificazione della distribuzione del server di MBAM 1.0

Casella di controllo

Pianificare la distribuzione client di MBAM.

Pianificazione della distribuzione del client di MBAM 1.0

Eseguire una distribuzione di valutazione di MBAM

Dopo aver completato le installazioni necessarie per la pianificazione e i prerequisiti software per preparare l'ambiente di elaborazione per un'installazione di MBAM, è possibile iniziare la distribuzione di valutazione di MBAM.

Casella di controllo

Esaminare le informazioni sulle configurazioni supportate da MBAM per assicurarsi che i computer client e server selezionati siano supportati per l'installazione della funzionalità MBAM.

Configurazioni supportate di MBAM 1.0

Casella di controllo

Eseguire il programma di installazione di MBAM per distribuire le funzionalità del server MBAM in un singolo server a scopo di valutazione.

Come installare e configurare MBAM in un server singolo

Casella di controllo

Aggiungere i gruppi di sicurezza Active Directory Domain Services creati durante la fase di pianificazione ai gruppi locali di funzionalità del server MBAM locali appropriati nel nuovo server MBAM.

Pianificazione dei ruoli di amministratore di MBAM 1.0 e Come gestire i ruoli di amministratore di MBAM

Casella di controllo

Creare e distribuire gli oggetti Criteri di gruppo MBAM necessari.

Distribuzione degli oggetti Criteri di gruppo di MBAM 1.0

Casella di controllo

Distribuire il software client MBAM.

Distribuzione del client MBAM 1.0

Configurare i computer lab per la valutazione di MBAM

È possibile modificare le impostazioni di frequenza nella segnalazione dello stato del client MBAM usando l'editor del Registro di sistema. Tuttavia, queste modifiche devono essere usate solo a scopo di test.

Warning
Questo argomento descrive come modificare il Registro di sistema di Windows usando l'editor del Registro di sistema. Se si modifica il Registro di sistema di Windows in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere la reinstallazione di Windows. È necessario eseguire una copia di backup dei file del Registro di sistema (System.dat e User.dat) prima di modificare il Registro di sistema. Microsoft non può garantire che i problemi che potrebbero verificarsi quando si modifica il Registro di sistema possano essere risolti. Modificare il registro a proprio rischio.

Modificare le impostazioni di frequenza in MBAM Client Status Reporting

Le frequenze di riattivazione e segnalazione stato del client MBAM hanno un valore minimo di 90 minuti quando sono impostate per l'uso di Criteri di gruppo. È possibile modificare queste frequenze nei computer client MBAM modificando il Registro di sistema di Windows in valori inferiori, in modo da velocizzare i test. Per modificare le impostazioni di frequenza nella segnalazione dello stato del client MBAM, usare un editor del Registro di sistema per passare a HKLM\Software\Policies\FVE\MDOPBitLockerManagement, modificare i valori per ClientWakeupFrequency e StatusReportingFrequency su 1 come valore minimo supportato dal client e quindi riavviare il servizio client di gestione BitLocker. Quando si apporta questa modifica, il client MBAM segnalerà ogni minuto. È possibile impostare valori bassi solo quando si esegue questa operazione manualmente nel Registro di sistema.

Modificare il ritardo di avvio nel servizio client MBAM

Oltre alle frequenze di riattivazione del client MBAM e di segnalazione dello stato, si verifica un ritardo casuale fino a 90 minuti all'avvio del servizio agente client MBAM nei computer client. Se non si desidera il ritardo casuale, creare un valore DWORDNoStartupDelay in HKLM\Software\Microsoft\MBAM, impostarne il valore su 1 e quindi riavviare Il servizio client di gestione BitLocker.

Attività iniziali di MBAM 1.0