Sobre o MBAM 2.0
O MBAM (Administração e Monitoramento do Microsoft BitLocker) 2.0 fornece uma interface administrativa simplificada para criptografia de unidade do BitLocker. O BitLocker oferece proteção aprimorada contra roubo de dados ou exposição de dados para computadores perdidos ou roubados. O BitLocker criptografa todos os dados armazenados no volume do sistema operacional Windows e volumes de dados configurados.
Sobre o MBAM 2.0
A Administração e o Monitoramento do BitLocker 2.0 impõem as opções de política de criptografia do BitLocker definidas para sua empresa, monitoram a conformidade dos computadores cliente com essas políticas e relatam o status de criptografia dos computadores empresariais e individuais. Além disso, o MBAM permite que você acesse as informações da chave de recuperação quando os usuários esquecem seu PIN ou senha ou quando o BIOS ou o registro de inicialização é alterado.
Nota O BitLocker não é abordado em detalhes neste guia. Para obter uma visão geral do BitLocker, consulte Visão geral da Criptografia de Unidade de Disco BitLocker.
Os seguintes grupos podem estar interessados em usar o MBAM para gerenciar o BitLocker:
Administradores, profissionais de segurança de TI e responsáveis por garantir que os dados confidenciais não sejam divulgados sem autorização
Administradores responsáveis pela segurança do computador em filiais ou remotas
Administradores responsáveis por computadores cliente que executam o Windows
Novidades no MBAM 2.0
O MBAM 2.0 fornece os novos recursos e funcionalidades a seguir.
Integração do System Center Configuration Manager com o MBAM
O MBAM agora dá suporte à integração com System Center Configuration Manager. Essa integração move a infraestrutura de conformidade do MBAM para o ambiente nativo do Configuration Manager. Os administradores de TI que usam Configuration Manager em sua empresa agora podem exibir o status de conformidade de sua empresa no Console de Gerenciamento da Microsoft e analisar relatórios para exibir computadores individuais.
A compatibilidade de hardware está disponível somente na topologia Configuration Manager integração
A integração do Configuration Manager com o MBAM permite Configuration Manager recursos que permitem ou proíbem o uso de determinados tipos de hardware com o MBAM e proporcionam mais flexibilidade do que a compatibilidade de hardware que estava disponível no MBAM 1.0. Os administradores de TI podem criar suas próprias coleções para limitar o hardware e implantar a linha de base de configuração do MBAM nessas coleções. A compatibilidade de hardware do MBAM que estava presente no MBAM 1.0 agora está disponível apenas na topologia do MBAM Configuration Manager e é administrada Configuration Manager.
Política flexível de protetores
Os computadores que já estão criptografados com um protetor (por exemplo, TPM + PIN ou Desbloqueio Automático e senha) e que recebem uma política do MBAM que exige um subconjunto dessa criptografia (por exemplo, TPM ou Desbloqueio Automático) são considerados compatíveis. No exemplo acima, o PIN e a senha não serão removidos automaticamente, a menos que o administrador de TI defina especificamente esses recursos como não permitidos.
Computadores que não são criptografados e que recebem uma política do MBAM (por exemplo, TPM ou Desbloqueio Automático) são criptografados adequadamente. Os usuários que são administradores locais têm permissão para usar as ferramentas do BitLocker (Painel de Controle item BitLocker Drive Encryption ou Manage-bde) para adicionar ou modificar os protetores existentes (por exemplo, TPM + PIN ou Desbloqueio Automático e senha). Eles permanecem em conformidade, a menos que as políticas do MBAM as definam especificamente.
Capacidade de atualizar o cliente do MBAM
O Windows Installer do cliente MBAM 2.0 detecta a versão do cliente existente e executa as etapas necessárias para atualizar para o Cliente MBAM 2.0 de versões anteriores.
Capacidade de atualizar o servidor MBAM de versões anteriores
Você pode atualizar a infraestrutura de servidor do MBAM 2.0 de versões anteriores do MBAM da seguinte maneira:
Substituição manual de servidor in-loco – você deve desinstalar manualmente a infraestrutura de servidor do MBAM existente e, em seguida, instalar a infraestrutura do Servidor do MBAM 2.0. Você não precisa remover os bancos de dados para fazer a atualização. Em vez disso, você seleciona os bancos de dados existentes, que a versão anterior do Cliente mbam criou. A instalação de atualização do MBAM 2.0 migra os bancos de dados existentes para o MBAM 2.0.
Atualização de cliente distribuído – se você estiver usando a topologia autônoma do MBAM, poderá atualizar os Clientes do MBAM gradualmente depois de instalar a infraestrutura do Servidor do MBAM 2.0. O Servidor MBAM 2.0 detecta a versão do cliente existente e executa as etapas necessárias para atualizar para o Cliente 2.0.
Depois de atualizar a infraestrutura de servidor do MBAM 2.0, os clientes do MBAM 1.0 continuam a se reportar ao Servidor mbam 2.0 com êxito, escrondo dados de recuperação, mas a conformidade será baseada nas políticas no MBAM 1.0. Você deve atualizar os clientes para o MBAM 2.0 para que os computadores cliente relatem com precisão a conformidade com as políticas do MBAM 2.0. Você pode atualizar os clientes para o Cliente MBAM 2.0 sem desinstalar o cliente anterior, e o cliente começará a aplicar e relatar políticas do MBAM 2.0.
Se você estiver usando o MBAM com Configuration Manager, deverá atualizar os clientes do MBAM 1.0 para o MBAM 2.0.
Suporte do MBAM para cenários empresariais do BitLocker na Windows 8 Plataforma
O MBAM dá suporte Windows 8 sistema operacional como uma plataforma de destino para a instalação do Cliente MBAM. Esse suporte permite que os administradores de TI instalem o agente do MBAM, criptografem Windows 8 unidades do sistema operacional e relatem a conformidade dos computadores. O MBAM aproveita os protetores TPM e TPM+PIN para gerenciar o Windows 8 operacional da mesma forma que faz com o sistema operacional Windows 7. O MBAM 2.0 também adiciona suporte para criptografar clientes do Windows To Go.
Adição do Self-Service Portal
Os usuários finais agora podem usar o portal Self-Service para recuperar suas chaves de recuperação. O portal do Self-Service pode ser implantado em um único servidor com os outros recursos do MBAM ou em um servidor separado que dá aos administradores de TI a flexibilidade de expor o portal do Self-Server aos usuários, conforme necessário. Depois que Self-Service Portal autentica os usuários, os usuários precisam inserir apenas os oito primeiros dígitos da ID da chave de recuperação para receber a chave de recuperação.
O MBAM também protege a chave, permitindo que os usuários recuperem chaves somente para os computadores em que são usuários, o que reduz o risco de que outros usuários obtenham acesso não autorizado.
Capacidade de retomar automaticamente a proteção do BitLocker de um estado suspenso
O MBAM não permite mais que os administradores de TI mantenham o BitLocker suspenso e desprotegido por longos períodos de tempo. Se um administrador de TI suspender o BitLocker, o MBAM o habilitará novamente automaticamente quando o computador for reinicializado, o que reduz o risco de que o computador possa ser atacado.
Unidades de dados fixas podem ser configuradas para desbloquear automaticamente sem uma senha
Uma política de unidade de dados fixa (FDD) agora pode ser configurada para permitir o desbloqueio automático da unidade sem uma senha. Os usuários não são solicitados a fornecer uma senha antes que o FDD seja criptografado e o FDD será protegido e desbloqueado automaticamente com a unidade do sistema operacional.
Notas sobre a versão do MBAM 2.0
Para obter mais informações e para obter notícias de última hora que não estão incluídas na documentação, consulte as Notas de Versão do MBAM 2.0.
Como obter o MBAM 2.0
Essa tecnologia faz parte do Microsoft Desktop Optimization Pack (MDOP). Os clientes corporativos podem obter o MDOP com o Microsoft Software Assurance. Para obter mais informações sobre o Microsoft Software Assurance e a aquisição do MDOP, consulte How Do I Get MDOP?