Implantando o MBAM 2.5 em uma configuração autônoma

  • Artigo

Este artigo fornece instruções passo a passo para instalar o MBAM (Microsoft BitLocker Administration and Monitoring) 2.5 em uma configuração autônoma. Neste guia, usaremos uma configuração de dois servidores. Um dos dois servidores será um servidor de banco de dados que executa o Microsoft SQL Server 2012. Esse servidor hospedará os bancos de dados e relatórios MBAM. O servidor adicional será um Windows Server 2012 servidor Web que hospeda "Servidor de Administração e Monitoramento" e "Portal de Autoatendimento".

Etapas de preparação antes de instalar o software do servidor MBAM 2.5

Etapa 1: Instalação e configuração de servidores

Antes de começarmos a configurar o MBAM 2.5, precisamos garantir que ambos os servidores estejam configurados de acordo com os requisitos do sistema MBAM. Consulte os requisitos mínimos do sistema MBAM e selecione uma configuração que atenda a esses requisitos.

Etapa 1.1: Implantação de pré-requisitos para banco de dados e servidor de relatórios

  1. Instale e configure um servidor que executa o sistema operacional Windows Server 2008 R2 (ou posterior).

  2. Instale Windows PowerShell 3.0.

  3. Instale o Microsoft SQL Server 2008 R2 ou uma versão posterior que inclua o pacote de serviços mais recente. Se você estiver instalando uma nova instância de SQL Server para MBAM, verifique se o SQL Server instalado inclui a ordenação SQL_Latin1_General_CP1_CI_AS. Você terá que instalar os seguintes recursos de SQL Server:

    • Mecanismo de Banco de Dados
    • Reporting Services
    • Conectividade de Ferramentas do Cliente
    • Ferramentas de Gerenciamento – Concluído

    Observação

    Opcionalmente, você também pode instalar o recurso TDE (Transparent Data Encryption) no SQL Server.

    SQL Server Reporting Services deve ser instalado e configurado no modo "nativo" e não no modo não configurado ou "SharePoint".

    Os recursos de SQL Server necessários.

  4. Se você planeja usar o SSL para o site de Administração e Monitoramento, configure SQL Server Reporting Services (SSRS) para usar o protocolo SSL (Secure Sockets Layer) antes de configurar o site de Administração e Monitoramento. Caso contrário, o recurso Relatórios usará o transporte de dados HTTP (não criptografado) em vez de criptografado (HTTPS).

    Você pode seguir Configurar conexões SSL em um Servidor de Relatório de Modo Nativo para configurar o SSL no Servidor de Relatório.

    Observação

    Você pode seguir o Guia de Instalação SQL Server para sua respectiva versão do SQL Server instalar SQL Server. Os links são os seguintes: > * SQL Server 2014> * SQL Server 2012> * SQL Server 2008 R2

  5. Na pós-instalação do SQL Server, verifique se você provisiona a conta de usuário no SQL Server e atribua as seguintes permissões ao usuário que configurará o banco de dados MBAM e as funções de relatório no servidor de banco de dados.

    Funções para a instância de SQL Server:

    • Dbcreator
    • processadmin

    Direitos para a instância de SQL Server Reporting Services:

    • Criar pastas
    • Publicar Relatórios

Seu servidor de banco de dados está pronto para a configuração de funções MBAM 2.5. Vamos para o próximo servidor.

Etapa 1.2: Implantação de pré-requisitos para servidor de administração e monitoramento

Escolha um servidor que atenda à configuração de hardware conforme explicado no documento de requisitos do sistema MBAM. Ele deve estar executando o Windows Server 2008 R2 ou um sistema operacional posterior, juntamente com o pacote de serviços e atualizações mais recentes. Depois que o servidor estiver pronto, instale as seguintes funções e recursos:

Funções

  • Ferramentas de Gerenciamento do Servidor Web (IIS) (Selecione Scripts e Ferramentas de Gerenciamento do IIS.)

  • Serviços de Função do Servidor Web

    • Recursos HTTP comuns
      Conteúdo estático
      Documento Padrão

    • Desenvolvimento de aplicativo
      ASP.NET
      Extensibilidade do .NET
      Extensões ISAPI
      Filtros ISAPI
      Security
      Autenticação do Windows
      Filtragem de Solicitações

    • Ferramentas de Gerenciamento do IIS do Serviço Web

Recurso

  • .NET Framework recursos 4.5

    • Microsoft .NET Framework 4.5

      Para Windows Server 2012 ou Windows Server 2012 R2, .NET Framework 4.5 já está instalado para essas versões do Windows Server. No entanto, você deve habilitá-lo.

      Para o Windows Server 2008 R2, .NET Framework 4.5 não está incluído no Windows Server 2008 R2. Portanto, você deve baixar .NET Framework 4.5 e instalá-lo separadamente.

    • Ativação do WCF
      Ativação HTTP
      Ativação não HTTP

    • Ativação do TCP

    • Serviço de Ativação do Processo do Windows:
      Modelo de Processo
      Ambiente .NET Framework
      APIs de configuração

Para que o portal de autoatendimento funcione, você também deve baixar e instalar ASP.NET MVC 4.0.

A próxima etapa é criar os usuários e grupos de MBAM necessários no Active Directory.

Etapa 2: Criar usuários e grupos em Active Directory Domain Services

Como parte dos pré-requisitos, você deve definir determinadas funções e contas usadas no MBAM para fornecer direitos de segurança e acesso a servidores e recursos específicos, como os bancos de dados que estão em execução na instância do SQL Server e os aplicativos Web que estão em execução no Servidor de Administração e Monitoramento.

Crie os seguintes grupos e usuários no Active Directory. (Você pode usar qualquer nome para os grupos e usuários.) Os usuários não precisam ter maiores direitos de usuário. Uma conta de usuário de domínio é suficiente. Você precisará especificar o nome desses grupos durante a configuração do MBAM 2.5:

  • MBAMAppPool

    Tipo: Usuário de Domínio

    Descrição: usuário de domínio que tem permissão de leitura ou gravação para o Banco de Dados de Conformidade e Auditoria e o Banco de Dados de Recuperação para permitir que os aplicativos Web acessem os dados e relatórios nesses bancos de dados. Ele também será usado pelo pool de aplicativos para os aplicativos Web.

    Funções de conta (durante a configuração do MBAM):

    1. Conta de domínio do pool de aplicativos do serviço Web

    2. Usuário de leitura/gravação do Banco de Dados de Conformidade e Auditoria e recuperação para relatórios

  • MBAMROUser

    Tipo: Usuário de Domínio

    Descrição: usuário de domínio que terá acesso Read-Only ao Banco de Dados de Conformidade e Auditoria para permitir que os relatórios acessem os dados de conformidade e auditoria neste banco de dados. Também será a conta de usuário de domínio que a instância de SQL Server Reporting Services local usa para acessar o Banco de Dados de Conformidade e Auditoria.

    Funções de conta (durante a configuração do MBAM):

    1. Usuário somente leitura do Banco de Dados de Conformidade e Auditoria para relatórios

    2. Conta de usuário do domínio de conformidade e auditoria do banco de dados

  • MBAMAdvHelpDsk

    Tipo: Grupo de Domínios

    Descrição: grupo de acesso de usuários auxiliares avançados do MBAM: grupo de usuários de domínio cujos membros têm acesso a todas as áreas do Site de Administração e Monitoramento. Os usuários que têm essa função precisam inserir apenas a chave de recuperação, não o domínio e o nome de usuário do usuário, quando estão ajudando os usuários a recuperar suas unidades. Se um usuário for membro do grupo Usuários do Helpdesk do MBAM e do grupo Usuários auxiliares avançados do MBAM, as permissões do grupo Usuários auxiliares avançados do MBAM substituirão as permissões do Grupo de Helpdesk do MBAM.

    Funções de conta (durante a configuração do MBAM): Usuários auxiliares avançados do MBAM

  • MBAMHelpDsk

    Tipo: Grupo de Domínios

    Descrição: grupo de acesso de usuários auxiliares do MBAM: grupo de usuários de domínio cujos membros têm acesso às áreas Gerenciar TPM e Recuperação de Unidade do Site de Administração e Monitoramento do MBAM. Pessoas que têm essa função devem preencher todos os campos quando usam qualquer opção. Isso inclui o domínio e o nome da conta do usuário.

    Funções de conta (durante a configuração do MBAM): Usuários auxiliares do MBAM

  • MBAMRUGrp

    Tipo: Grupo de Domínios

    Descrição: grupo de usuários de domínio cujos membros têm acesso somente leitura aos relatórios na área Relatórios do Site de Administração e Monitoramento.

    Funções de conta (durante a configuração do MBAM):

    1. Grupo de acesso de domínio somente leitura de relatórios

    2. Grupo de acesso usuários de relatório do MBAM

Etapa 3 (Opcional): configurar e instalar o certificado SSL no servidor de administração e monitoramento

Embora seja opcional, é altamente recomendável que você use um certificado para ajudar a proteger a comunicação entre o Cliente MBAM e o Site de Administração e Monitoramento e os sites do Portal Self-Service. Não recomendamos que você use certificados autoassinados por motivos óbvios de segurança. Sugerimos que você use um Certificado de Tipo de Servidor Web de uma Autoridade de Certificação confiável. Para fazer isso, você pode consultar a seção "Usando certificado aprovado pela Autoridade de Certificado" do KB 2754259.

Depois que o certificado for emitido, você deverá adicionar o certificado ao repositório pessoal do Servidor de Administração e Monitoramento. Para adicionar o certificado, abra o repositório Certificados no computador local. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar com o botão direito do mouse e selecione Executar.

    Captura de tela mostrando onde selecionar a execução.

  2. Digite "MMC.EXE" (sem as aspas) e selecione OK.

    Caixa de execução.

  3. Selecione Arquivo no novo MMC que você abriu e selecione Adicionar/Remover Snap-in.

    Selecione.

  4. Realce o snap-in Certificados e selecione Adicionar.

    Captura de tela mostrando onde adicionar ou remover snap-ins.

  5. Selecione a opção Conta de computador e selecione Avançar.

    Janela de encaixe de certificados.

  6. Selecione Computador Local na próxima tela e selecione Concluir.

    Selecione Janela do computador.

  7. Agora você adicionou o snap-in Certificados. Isso permitirá que você trabalhe com quaisquer certificados no repositório de certificados do computador.

    Janela Adicionar ou Remover Snap-ins.

  8. Importe o certificado do servidor Web para o repositório de certificados do computador.

    Agora que você tem acesso ao snap-in Certificados, você pode importar o certificado do servidor Web para o repositório de certificados do computador. Para fazer isso, siga as próximas etapas.

  9. Abra o snap-in Certificados (Computador Local) e navegue até Certificados Pessoais e, em seguida, certificados.

    A captura de tela mostra a janela de snap-in Certificados (Computador Local).

    Observação

    O snap-in certificados pode não estar listado. Se não for, nenhum certificado será instalado.

  10. Selecione com o botão direito do mouse Certificados, selecione Todas as Tarefas e selecione Importar.

    Janela de snap-in certificados (Computador Local).

  11. Quando o assistente for iniciado, selecione Avançar. Navegue até o arquivo que você criou que contém o certificado do servidor e a chave privada e selecione Avançar.

    Janela Assistente de Importação de Certificado.

  12. Insira a senha se você especificou uma para o arquivo quando a criou.

Insira a janela senha.

Observação

Verifique se a opção Marcar a chave como exportável será selecionada se você quiser poder exportar o par de chaves novamente deste computador. Como medida de segurança adicional, talvez você queira deixar essa opção desmarcada para garantir que ninguém possa fazer um backup de sua chave privada.

  1. Selecione Avançar e selecione o Repositório de Certificados no qual você deseja salvar o certificado.

    A captura de tela mostra a janela Assistente de Importação de Certificado.

    Observação

    Você deve selecionar Pessoal, pois é um certificado de servidor Web. Se você incluiu o certificado na hierarquia de certificação, ele também será adicionado a esse repositório.

  2. Selecione Avançar e, em seguida, selecione Concluir.

    Captura de tela mostrando onde selecionar Concluir na janela Assistente de Importação de Certificado.

Agora você verá o certificado de servidor para seu servidor Web na lista Certificados Pessoais. Ele será denotado pelo nome comum do servidor. (Você pode encontrar isso na seção assunto do certificado.)

Para obter mais referências:

Considerações sobre segurança do MBAM 2.5

Planejamento de formas para proteger os sites do MBAM

A próxima etapa é registrar um nome de princípio de serviço para a conta do pool de aplicativos.

Etapa 4: Configurando o certificado SSL para o MBAM Web Server

Se você estiver usando a comunicação SSL entre o cliente e o servidor, certifique-se de que o certificado tenha OIDs de uso de chave aprimoradas (1.3.6.1.5.5.7.3.1) e (1.3.6.1.5.5.7.3.2). Ou seja, você deve garantir que a Autenticação do Servidor e a Autenticação do Cliente sejam adicionadas.

Se você receber um erro de certificado ao tentar procurar URLs de serviço, você está usando um certificado emitido para um nome diferente ou está navegando usando uma URL incorreta.

Embora o navegador possa solicitar uma mensagem de erro de certificado, mas permitir que você continue, o serviço Web MBAM não ignorará os erros de certificado e bloqueará a conexão. Você observará erros relacionados ao certificado no log de eventos mbam do cliente MBAM Administração. Se você estiver usando um alias para se conectar ao servidor de Administração e Monitoramento, deverá emitir um certificado para o nome do alias. Ou seja, o nome da entidade do certificado deve ser o nome do alias e o nome DNS do servidor local deve ser adicionado ao campo Nome Alternativo do Assunto do certificado.

Exemplo:

Se o nome virtual for "bitlocker.contoso.com" e o nome do servidor de Administração e Monitoramento do MBAM for "adminserver.contoso.com", o certificado deverá ser emitido para bitlocker.contoso.com (nome da entidade) e adminserver.contoso.com deverá ser adicionado ao campo Nome Alternativo da Entidade do certificado.

Da mesma forma, se você tiver vários servidores de Administração e Monitoramento instalados para equilibrar a carga usando um balanceador de carga, deverá emitir o certificado SSL para o nome virtual. Ou seja, o campo nome do assunto do certificado deve ter o nome virtual e os nomes de todos os servidores locais devem ser adicionados no campo Nome Alternativo do Assunto do certificado.

Exemplo:

Se o nome virtual for "bitlocker.contoso.com" e os servidores forem "adminserver1.contoso.com" e "adminiserver2.contoso.com", o certificado deverá ser emitido para bitlocker.contoso.com (nome da entidade) e adminserver1.contoso.com e adminiserver2.contoso.com deve ser adicionado ao campo Nome Alternativo do Assunto do certificado.

As etapas para configurar a comunicação SSL usando MBAM são descritas no seguinte artigo da Base de Dados de Conhecimento: KB 2754259.

Etapa 5: registrar o SPNS para a conta do pool de aplicativos e configurar a delegação restrita

Observação

A delegação restrita é necessária apenas para 2,5 e não é necessária para o Service Pack 1 2.5 e posterior.

Para permitir que os servidores MBAM autentiquem a comunicação do Site de Administração e Monitoramento e do Portal do Self-Service, você deve registrar um SPN (Nome da Entidade de Serviço) para o nome do host na conta de domínio que você está usando para o pool de aplicativos Web. O artigo a seguir contém instruções passo a passo para registrar SPNs: Planejando como proteger os sites do MBAM

Depois de configurar o SPN, você deverá configurar a delegação restrita no SPN. Para fazer isso, siga estas etapas:

  1. Vá para o Active Directory e localize as credenciais do pool de aplicativos que você configurou para sites do MBAM nas etapas anteriores.

  2. Clique com o botão direito do mouse nas credenciais e selecione propriedades.

  3. Selecione a guia delegação .

  4. Selecione a opção para autenticação Kerberos.

  5. Selecione procurar e navegue novamente pelas credenciais do pool de aplicativos. Em seguida, você deve ver todos os SPNs configurados na conta de creds do pool de aplicativos. (O SPN deve se assemelhar a "http/bitlocker.fqdn.com"). Realce o SPN que é o mesmo que o nome do host especificado durante a instalação do MBAM.

  6. Clique em OK.

Agora você é bom com pré-requisitos. Nas próximas etapas, você instalará o software MBAM nos servidores e o configurará.

Instalando e configurando o software do servidor MBAM 2.5

Etapa 6: Instalar o software do servidor MBAM 2.5

Para instalar o software do MBAM Server usando o assistente de Instalação de Administração e Monitoramento do Microsoft BitLocker no Servidor de Banco de Dados e no Servidor de Administração e Monitoramento, siga estas etapas.

  1. No servidor no qual você deseja instalar o MBAM, execute MBAMserversetup.exe para iniciar o assistente de Instalação de Monitoramento e Administração do Microsoft BitLocker.

  2. Na página Bem-vindo, selecione Avançar.

  3. Leia e aceite o Contrato de Licença de Software da Microsoft e selecione Avançar para continuar a instalação.

  4. Decida se você deve usar o Microsoft Update ao verificar se há atualizações e selecione Avançar.

  5. Decida se deve participar do Programa de Aprimoramento da Experiência do Cliente e selecione Avançar.

  6. Para iniciar a instalação, selecione Instalar.

  7. Selecione Concluir.

  8. Antes de continuar com a configuração do MBAM, instale a atualização de versão de manutenção do MDOP mais recente, caso contrário, seu servidor de banco de dados não será reconhecido/compatível e o assistente de configuração relatará um erro ao tentar validar a configuração do banco de dados: versão de manutenção de outubro de 2020 para o Microsoft Desktop Optimization Pack

  9. Você pode configurar o MBAM usando o atalho configuração do servidor MBAM que a instalação do servidor cria no menu Iniciar .

Para obter mais informações, confira Instalando o Software do Servidor MBAM 2.5.

Etapa 7: configurar a função de banco de dados e relatórios do MBAM 2.5

Nesta etapa, configuraremos o componente de relatórios e bancos de dados MBAM 2.5 usando o Assistente do MBAM:

  1. Configure o Banco de Dados de Conformidade e Auditoria e o Banco de Dados de Recuperação usando o assistente:

    1. No servidor no qual você deseja configurar os bancos de dados, inicie o assistente de Configuração do Servidor MBAM. Você pode selecionar Configuração do Servidor MBAM no menu Iniciar para abrir o assistente.

    2. Selecione Adicionar Novos Recursos, selecione Banco de Dados de Conformidade e Auditoria, Banco de Dados de Recuperação e Relatórios e selecione Avançar. O assistente verifica se todos os pré-requisitos para os bancos de dados são atendidos.

    3. Se a verificação de pré-requisito for bem-sucedida, selecione Avançar para continuar. Caso contrário, resolva os pré-requisitos ausentes e selecione Verificar pré-requisitos novamente.

    4. Usando as descrições a seguir, insira os valores de campo no assistente:

  2. Banco de dados de conformidade e auditoria

    Campo Descrição
    SQL Server nome Nome do servidor no qual você está configurando o Banco de Dados de Conformidade e Auditoria.
    Você deve adicionar uma exceção no computador de Banco de Dados de Conformidade e Auditoria para habilitar o tráfego de entrada de entrada na porta SQL Server. O número da porta padrão é 1433.
    SQL Server instância do banco de dados Nome da instância de banco de dados em que os dados de conformidade e auditoria serão armazenados. Se você estiver usando a instância padrão, deverá deixar esse campo em branco. Você também deve especificar onde as informações do banco de dados estarão localizadas.
    Nome do banco de dados Nome do banco de dados que armazenará os dados de conformidade. Você deve observar o nome do banco de dados que você está especificando aqui porque você terá que fornecer essas informações em etapas posteriores.
    Usuário ou grupo de domínio de permissão de leitura/gravação Especifique o nome do usuário MBAMAppPool conforme configurado na etapa 2.
    Usuário ou grupo de domínio de acesso somente leitura Especifique o nome do usuário MBAMROUser conforme configurado na etapa 2.

  3. Banco de dados de recuperação.

    Campo Descrição
    SQL Server nome Nome do servidor no qual você está configurando o Banco de Dados de Recuperação. Você deve adicionar uma exceção no computador do Banco de Dados de Recuperação para habilitar o tráfego de entrada de entrada na porta SQL Server. O número da porta padrão é 1433.
    SQL Server instância do banco de dados Nome da instância de banco de dados em que os dados de recuperação serão armazenados. Se você estiver usando a instância padrão, deverá deixar esse campo em branco. Você também deve especificar onde as informações do banco de dados estarão localizadas.
    Nome do banco de dados Nome do banco de dados que armazenará os dados de recuperação.
    Usuário ou grupo de domínio de permissão de leitura/gravação Usuário ou grupo de domínio que tem permissão de leitura/gravação para este banco de dados para permitir que os aplicativos Web acessem os dados e relatórios neste banco de dados.
    Se você inserir um usuário neste campo, ele deverá ser o mesmo valor que o valor no campo da conta de domínio do pool de aplicativos do serviço Web na página Configurar Aplicativos Web .
    Se você inserir um grupo neste campo, o valor na conta de domínio do pool de aplicativos do serviço Web na página Configurar Aplicativos Web deve ser um membro do grupo que você insere neste campo.

    Ao concluir suas entradas, selecione Avançar. O assistente verifica se todos os pré-requisitos para os bancos de dados são atendidos.

    Se a verificação de pré-requisito for bem-sucedida, selecione Avançar para continuar. Caso contrário, resolva os pré-requisitos ausentes e selecione Avançar novamente.

  4. Relatórios.

    Campo Descrição
    SQL Server Reporting Services instância Instância de SQL Server Reporting Services em que os relatórios serão configurados. Se você estiver usando a instância padrão, deverá deixar esse campo em branco.
    Grupo de domínio de função de relatório Especifique o nome do MBAMRUGrp conforme mencionado na etapa 2.
    SQL Server nome Nome do servidor no qual o Banco de Dados de Conformidade e Auditoria está configurado.
    SQL Server instância do banco de dados Nome da instância de banco de dados em que os dados de conformidade e auditoria estão configurados. Se você estiver usando a instância padrão, deverá deixar esse campo em branco.
    Você deve adicionar uma exceção no computador Reports para habilitar o tráfego de entrada na porta do Reporting Server. (A porta padrão é 80.)
    Nome do banco de dados Nome do Banco de Dados de Conformidade e Auditoria. Por padrão, o nome do banco de dados é Status de Conformidade do MBAM.
    Conta de domínio de conformidade e auditoria do Banco de Dados Especifique o nome do usuário MBAMROUser conforme configurado na etapa 2.

    Ao concluir suas entradas, selecione Avançar. O assistente verifica se todos os pré-requisitos para o recurso Relatórios são atendidos. Selecione Avançar para continuar. Na página Resumo , examine os recursos que serão adicionados.

    Para obter mais informações, confira o seguinte artigo: Como configurar os Bancos de Dados MBAM 2.5.

Etapa 8: configurar a função de aplicativos Web MBAM 2.5

  1. No servidor no qual você deseja configurar os aplicativos Web, inicie o assistente de Configuração do Servidor MBAM. Você pode selecionar Configuração do Servidor MBAM no menu Iniciar para abrir o assistente.

  2. Selecione Adicionar Novos Recursos, selecione Site de Administração e Monitoramento e Portal de Autoatendimento e selecione Avançar. O assistente verifica se todos os pré-requisitos para os bancos de dados são atendidos.

  3. Se a verificação de pré-requisito for bem-sucedida, selecione Avançar para continuar. Caso contrário, resolva os pré-requisitos ausentes e selecione Verificar pré-requisitos novamente.

  4. Use as descrições a seguir para inserir os valores de campo no assistente.

    Campo Descrição
    Certificado de segurança Selecione um certificado criado anteriormente na etapa 3 para criptografar opcionalmente a comunicação entre os serviços Web e o servidor no qual você está configurando o Site de Administração e Monitoramento. Se você selecionar Não usar um certificado, sua comunicação Web poderá não estar segura.
    Nome do host Nome do computador host no qual você está configurando o Site de Administração e Monitoramento.
    Ele não precisa ser o nome do host do computador, pode ser qualquer coisa. No entanto, se o nome do host for diferente do nome netbios do computador, você precisará criar um registro A e verificar se o SPN usa o nome do host personalizado, não o nome netbios. Isso é comum em cenários de balanceamento de carga.
    Caminho de instalação Caminho no qual você está instalando o Site de Administração e Monitoramento.
    Port Número da porta a ser usado para comunicação do site.
    Você deve definir uma exceção de firewall para habilitar a comunicação por meio da porta especificada.
    Conta e senha do pool de aplicativos do serviço Web Especifique a conta de usuário e a senha do usuário MBAMAppPool conforme configurado na etapa 2.
    Para melhorar a segurança, defina a conta especificada nas credenciais para ter direitos de usuário limitados. Além disso, defina a senha da conta para nunca expirar.

  5. Verifique se a conta IIS_IUSRS interna ou a conta do pool de aplicativos foram adicionadas à representação de um cliente após a autenticação e ao Logon como um trabalho em lote configurações de segurança local.

    Para verificar se a conta foi adicionada às configurações de segurança local, abra o editor de Política de Segurança Local, expanda o nó Políticas Locais , selecione o nó Atribuição de Direitos do Usuário e selecione Representar um cliente duas vezes após a autenticação e Faça logon como políticas de trabalho em lote no painel direito.

  6. Use as descrições de campo a seguir para configurar as informações de conexão no assistente para o Banco de Dados de Conformidade e Auditoria.

    Campo Descrição
    SQL Server nome Nome do servidor no qual o Banco de Dados de Conformidade e Auditoria está configurado.
    SQL Server instância do banco de dados Nome da instância de SQL Server (por exemplo, <Nome> do Servidor) e no qual o Banco de Dados de Conformidade e Auditoria está configurado. Deixe isso em branco se você estiver usando a instância padrão.
    Nome do banco de dados Nome do Banco de Dados de Conformidade e Auditoria. Por padrão, é "Status de Conformidade do MBAM".

  7. Use as descrições de campo a seguir para configurar as informações de conexão no assistente do Banco de Dados de Recuperação.

    Campo Descrição
    SQL Server nome Nome do servidor no qual o Banco de Dados de Recuperação está configurado.
    SQL Server instância do banco de dados Nome da instância de SQL Server (por exemplo, <Nome> do Servidor) na qual o Banco de Dados de Recuperação está configurado. Deixe isso em branco se você estiver usando a instância padrão.
    Nome do banco de dados Nome do Banco de Dados de Recuperação. Por padrão, é "MBAM Recovery and Hardware".

  8. Use as descrições a seguir para inserir os valores de campo no assistente para configurar o Site de Administração e Monitoramento.

    Campo Descrição
    Grupo de domínio de função helpdesk avançado Especifique o nome do Grupo MBAMAdvHelpDsk conforme configurado na etapa 2.
    Grupo de domínio de função helpdesk Especifique o nome do Grupo MBAMHelpDsk conforme configurado na etapa 2.
    Usar System Center Configuration Manager Integração Selecione para limpar essa caixa de seleção.
    Grupo de domínio de função de relatório Especifique o nome do Grupo MBAMRUGrp conforme configurado na etapa 2.
    URL SQL Server Reporting Services Especifique a URL do Serviço Web para o servidor SSRS no qual os relatórios do MBAM estão configurados. Você pode encontrar essas informações fazendo logon em Reporting Services Configuration Manager no Servidor de Banco de Dados.
    Exemplo de um nome de domínio totalmente qualificado: https://MyReportServer.Contoso.com/ReportServer
    Exemplo de um nome de host personalizado: https://MyReportServer/ReportServer
    Diretório virtual Diretório virtual do Site de Administração e Monitoramento. Esse nome corresponde ao diretório físico do site no servidor e é acrescentado ao nome do host do site. Por exemplo:
    http(s)://<nome> do host:<port>/HelpDesk/
    Se você não especificar um diretório virtual, o valor HelpDesk será usado.

  9. Use a descrição a seguir para inserir os valores de campo no assistente para configurar o Portal Self-Service.

    Campo Descrição
    Diretório virtual Diretório virtual do aplicativo Web. Esse nome corresponde ao diretório físico do site no servidor e é acrescentado ao nome do host do site. Por exemplo:
    http(s)://<host name>:<port>/SelfService/
    Se você não especificar um diretório virtual, o valor "SelfService" será usado.

  10. Ao concluir suas entradas, selecione Avançar. O assistente verifica se todos os pré-requisitos para os aplicativos Web são atendidos.

  11. Selecione Avançar para continuar.

  12. Na página Resumo , examine os recursos que serão adicionados.

  13. Selecione Adicionar para adicionar os aplicativos Web ao servidor e selecione Fechar.

Personalizar e validar etapas depois de instalar o software do servidor MBAM 2.5

Etapa 9: Personalizar o portal de auto-servidor para sua organização

Para personalizar o Portal Self-Service adicionando texto de aviso personalizado, seu nome da empresa, ponteiros para mais informações e assim por diante, consulte Personalizando o Portal de Self-Service para Sua Organização.

Etapa 10: configurar o portal de auto-servidor se os computadores cliente não puderem acessar a CDN

Determine se os computadores cliente têm acesso à CDN (Rede de Entrega de Conteúdo) do Microsoft AJAX. A CDN fornece ao Portal do Self-Service o acesso necessário a determinados arquivos JavaScript. Se você não configurar o Portal Self-Service quando os computadores cliente não puderem acessar a CDN, somente o nome da empresa e a conta em que o usuário entrou serão exibidos. Nenhuma mensagem de erro será mostrada.

Siga um destes procedimentos:

Etapa 11: Validar a configuração do recurso do servidor MBAM 2.5

Para validar a implantação do SERVIDOR MBAM para usar a topologia autônoma, siga estas etapas.

  1. Em cada servidor no qual um recurso MBAM é implantado, selecione Painel de Controle>Programas>Programas e Recursos. Verifique se a Administração e o Monitoramento do Microsoft BitLocker são exibidos na lista Programas e Recursos .

    Observação

    Para executar a validação, você deve usar uma conta de domínio que tenha credenciais administrativas de computador local em cada servidor.

  2. No servidor no qual o Banco de Dados de Recuperação está configurado, abra SQL Server Management Studio e verifique se o banco de dados de recuperação e hardware do MBAM está configurado.

  3. No servidor no qual o Banco de Dados de Conformidade e Auditoria está configurado, abra SQL Server Management Studio e verifique se o Banco de Dados de Status de Conformidade do MBAM está configurado.

  4. No servidor no qual o recurso Relatórios está configurado, abra um navegador da Web usando credenciais administrativas e navegue até a página inicial do site SQL Server Reporting Services.

    O local padrão da página inicial de uma instância do site SQL Server Reporting Services é o seguinte: http(s)://<MBAM Reports Server Name>:<port>/Reports.aspx

    Para localizar a URL real, use a ferramenta Reporting Services Configuration Manager e selecione as instâncias especificadas durante a instalação.

  5. Verifique se uma pasta de relatórios chamada Administração e Monitoramento do Microsoft BitLocker contém uma fonte de dados chamada MaltaDataSource. Essa fonte de dados contém pastas que têm nomes que representam localidades de idioma (por exemplo, en-us). Os relatórios estão nas pastas de idioma.

    Observação

    Se SQL Server Reporting Services (SSRS) foi configurado como uma instância nomeada, a URL deverá se assemelhar ao seguinte: http(s)://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    Se o SSRS não estiver configurado para usar a SSL (Secure Socket Layer), a URL dos relatórios será definida como "HTTP" em vez de "HTTPS" quando você instalar o servidor MBAM. Se você acessar o Site de Administração e Monitoramento (também conhecido como Helpdesk) e selecionar um relatório, receberá a seguinte mensagem: "Somente conteúdo seguro é exibido". Para mostrar o relatório, selecione Mostrar Todo o Conteúdo.

  6. No servidor no qual o recurso Site de Administração e Monitoramento está configurado, execute Gerenciador do Servidor, navegue até Funções e selecione Gerenciador de Serviços de Informações da Internet (IIS)>Servidor Web (IIS).

  7. Em Conexões, navegue até o <nome> do computador e selecione Sites>Administração e Monitoramento do Microsoft BitLocker. Verifique se os seguintes estão listados:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. No servidor no qual o Site de Administração e Monitoramento e Self-Service Portal estão configurados, abra um navegador da Web usando credenciais administrativas.

  9. Navegue até os seguintes sites para verificar se eles carregam com êxito:

    • https(s)://<MBAM Administration Server Name>:<port>/HelpDesk/ (confirme cada link para navegação e relatórios)
    • http(s)://<MBAM Administration Server Name>:<port>/SelfService/

    Observação

    Supõe-se que você configurou os recursos do servidor na porta padrão sem criptografia de rede. Se você configurou os recursos do servidor em uma porta ou diretório virtual diferente, altere as URLs para incluir a porta apropriada. Por exemplo: http(s)://<host name>:<port>/HelpDesk/ http(s)://<host name>:<port>/<virtualdirectory>/ If the server features were configured to use network encryption, change http:// to https://.

  10. Navegue até os serviços Web a seguir para verificar se eles carregam com êxito. Uma página é aberta para indicar que o serviço está em execução. No entanto, a página não exibe metadados.

    • http(s)://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • http(s)://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

Etapa 12: configurar os modelos de política do Grupo MBAM

Para implantar o MBAM, você precisa definir Política de Grupo configurações que definem as configurações de implementação do MBAM para a Criptografia de Unidade do BitLocker. Para concluir essa tarefa, você deve copiar os modelos de Política de Grupo MBAM para um servidor ou estação de trabalho que possa executar Política de Grupo Console de Gerenciamento (GPMC) ou AGPM (Gerenciamento avançado de Política de Grupo) e editar as configurações.

Importante

Não altere as configurações de Política de Grupo no nó Criptografia de Unidade do BitLocker ou o MBAM não funcionará corretamente. Quando você configura as configurações de Política de Grupo no nó MDOP MBAM (Gerenciamento do BitLocker), o MBAM configura automaticamente as configurações de Criptografia de Unidade do BitLocker para você.

Copiar os modelos de Política de Grupo do MBAM 2.5

Antes de instalar o Cliente MBAM, você deve copiar GPOs (Objetos de Política de Grupo) específicos do MBAM para a estação de trabalho de gerenciamento. Esses GPOs definem as configurações de implementação do MBAM para BitLocker. Você pode copiar os modelos de Política de Grupo para qualquer servidor ou estação de trabalho que seja um servidor ou computador cliente baseado em Windows com suporte e que possa executar o GPMC (console de gerenciamento de Política de Grupo) ou AGPM (Gerenciamento avançado de Política de Grupo).

Para obter mais informações, consulte Copiar os Modelos de Política de Grupo do MBAM 2.5.

Editando configurações de GPO do MBAM 2.5

Depois de criar os GPOs necessários, você deve implantar as configurações de Política de Grupo do MBAM nos computadores cliente da sua organização. Para exibir e criar GPOs, você deve ter Política de Grupo Console de Gerenciamento (GPMC) ou AGPM (Gerenciamento Avançado de Política de Grupo) instalados.

Para obter mais informações, consulte Editando o MBAM 2.5 Política de Grupo Configurações e Planejamento para Requisitos de Política de Grupo MBAM 2.5.

Etapa 13: Implantação do cliente MBAM 2.5

Dependendo de quando você implanta o software Cliente de Administração e Monitoramento do Microsoft BitLocker, você pode habilitar o BitLocker em um computador em sua organização antes que o usuário receba o computador ou depois, configurando Política de Grupo e implantando o software cliente MBAM usando um sistema de implantação de software corporativo.

Implantar o cliente MBAM na área de trabalho ou computadores portáteis

Depois de configurar Política de Grupo configurações, você pode usar um produto do sistema de implantação de software empresarial, como o Microsoft System Center 2012 Configuration Manager ou Active Directory Domain Services (AD DS) para implantar os arquivos do Windows Installer de instalação do cliente MBAM para os computadores de destino. Você pode usar os arquivos MbamClientSetup.exe de 32 bits ou 64 bits ou os arquivos MBAMClient.msi de 32 bits ou 64 bits. Eles são fornecidos junto com o software cliente MBAM.

Para obter mais informações, consulte Como implantar o cliente MBAM em Computadores Desktop ou Laptop.

Implantar o cliente MBAM como parte de uma implantação do Windows

Em organizações nas quais os computadores são recebidos e configurados centralmente, você pode instalar o Cliente MBAM para gerenciar a Criptografia de Unidade do BitLocker em cada computador antes que todos os dados do usuário sejam gravados nele. O benefício desse processo é que cada computador é então compatível com o BitLocker. Esse método não depende da ação do usuário porque o administrador já criptografou o computador. Uma suposição fundamental para esse cenário é que a política da organização é instalar uma imagem corporativa do Windows antes que o computador seja entregue ao usuário. Se as configurações de Política de Grupo forem configuradas para exigir um PIN, os usuários serão solicitados a definir um PIN após receberem a política.

Para obter mais informações, consulte Como implantar o cliente MBAM como parte de uma implantação do Windows.

Como implantar o Cliente MBAM usando uma linha de comando

Para obter mais informações , confira Como implantar o cliente MBAM usando uma linha de comando.

Pós-implantação de clientes

Agora que você concluiu a atividade de implantação, você deve examinar os logs a seguir e determinar se os clientes estão relatando com êxito ao banco de dados MBAM.

Perguntas frequentes

Como criar um servidor IIS balanceado de carga

  • O SPN deve ser registrado apenas no nome amigável (por exemplo: bitlocker.corp.net) e não deve ser registrado em servidores IIS individuais.

  • Se um certificado for usado, o certificado deverá ter nomes FQDN e NetBIOS inseridos no campo Nome Alternativo do Assunto para todos os servidores IIS no grupo de balanceamento de carga e também como o Nome Amigável (por exemplo: bitlocker.corp.net). Caso contrário, o certificado será relatado como não confiável pelo navegador quando você procurar endereços com balanceamento de carga.

Para obter mais informações, consulte Balanceamento de Carga de Rede do IIS e Registro de SPNs para a conta do pool de aplicativos.

Como configurar um certificado

  • Você terá que ter dois certificados. Um certificado é usado para SQL Server e o outro é usado para IIS. Eles devem ser instalados antes de iniciar a instalação do MBAM.

  • Recomendamos que você use o instalador para adicionar o certificado à configuração do IIS em vez de editar manualmente o arquivo web.config.

  • O certificado não será aceito pelo Configurador do MBAM se o campo "Emitido para" no certificado não corresponder ao nome do servidor. Nesse caso, crie temporariamente um certificado autoassinado do Console do IIS e use-o no Configurador. Isso tornará nsure que os Aplicativos Web estão instalados para SSL e HTTPS. Depois disso, você pode alterar o certificado para um das associações do IIS para o Site do MBAM.

O requisito de permissões SQL para instalação

Crie uma conta para o MbAM App Pool e forneça-lhe apenas permissões SecurityAdmin, Public e DBCreator.

Consulte Configuração do Banco de Dados MBAM – permissões mínimas para obter mais informações.

Observação

  • Em algumas situações, mais permissões são necessárias para as operações iniciais de instalação e atualização.
  • Use uma conta que tenha SA temporária para a instalação.
  • Não inicie o Configurador no contexto de uma conta de usuário (Executar Como) que não tenha permissões suficientes para fazer alterações no SQL Server porque isso causará erros de instalação.
  • Você deve estar conectado usando uma conta que tenha permissões no SQL Server. Somente SQL Server bancos de dados podem ser criados ou atualizados executando o MBAM Configurator remotamente. Para o servidor SSRS, você deve instalar o MBAM e executar o Configurador localmente para instalar ou atualizar os relatórios do SSRS do MBAM.

A permissão necessária para o Registro SPN

Uma conta usada para a instalação do portal do IIS deve ter permissões write ServicePrincipalName e Write Validated SPN. Sem essas permissões, a instalação retornará uma mensagem de aviso que afirma que não pode registrar o SPN.

Observação

Você receberá essa mensagem de aviso duas vezes. Isso não significa que o SPN deve ter dois objetos registrados nele.

Precisei atualizar os modelos do ADMX para a versão mais recente?

Você verá várias opções de sistema operacional no nó raiz do MBAM para GPO depois de atualizar os modelos do ADMX para suas versões mais recentes. Por exemplo, Windows 7, Windows 8.1 e Windows 10, versão 1511 e versões posteriores.

Para obter mais informações sobre como atualizar os modelos do ADMX, confira os seguintes artigos: