关于 MBAM 2.0
Microsoft BitLocker 管理和监视 (MBAM) 2.0 提供了 BitLocker 驱动器加密的简化管理接口。 BitLocker 为丢失或被盗的计算机提供了针对数据盗窃或数据泄露的增强保护。 BitLocker 加密存储在 Windows 操作系统卷和配置的数据卷上的所有数据。
关于 MBAM 2.0
BitLocker 管理和监视 2.0 强制实施为企业设置的 BitLocker 加密策略选项,监视客户端计算机与这些策略的符合性,并报告企业和单台计算机的加密状态。 此外,当用户忘记其 PIN 或密码,或者当其 BIOS 或启动记录发生更改时,MBAM 允许你访问恢复密钥信息。
注意 本指南中未详细介绍 BitLocker。 有关 BitLocker 的概述,请参阅 BitLocker 驱动器加密概述。
以下组可能有兴趣使用 MBAM 管理 BitLocker:
负责确保未经授权不披露机密数据的管理员、IT 安全专业人员和合规性官员
负责远程或分支机构中的计算机安全的管理员
负责运行 Windows 的客户端计算机的管理员
MBAM 2.0 中的新增功能
MBAM 2.0 提供以下新功能和功能。
System Center Configuration Manager与 MBAM 的集成
MBAM 现在支持与 System Center Configuration Manager 集成。 此集成将 MBAM 符合性基础结构移到Configuration Manager的本机环境中。 在其企业中使用Configuration Manager的 IT 管理员现在可以在 Microsoft 管理控制台中查看其企业的符合性状态,并深入了解报表以查看各个计算机。
硬件兼容性仅在Configuration Manager集成拓扑中可用
将Configuration Manager与 MBAM 集成可实现Configuration Manager功能,允许或禁止将某些硬件类型与 MBAM 配合使用,并提供比 MBAM 1.0 中提供的硬件兼容性更大的灵活性。 IT 管理员可以创建自己的集合来限制硬件,并且可以将 MBAM 配置基线部署到这些集合。 MBAM 1.0 中存在的 MBAM 硬件兼容性现在仅在 MBAM Configuration Manager拓扑中可用,并从Configuration Manager进行管理。
保护程序灵活策略
已使用保护程序加密的计算机 (例如,TPM + PIN 或自动解锁和密码) ,并且接收需要该加密 (子集的 MBAM 策略(例如,TPM 或自动解锁) )被视为合规。 在上面的示例中,除非 IT 管理员明确定义不再允许的这些功能,否则不会自动删除 PIN 和密码。
未加密且接收 MBAM 策略的计算机 (例如,TPM 或自动解锁) 会相应地进行加密。 允许本地管理员的用户使用 BitLocker 工具 (控制面板项 BitLocker 驱动器加密或 Manage-bde) 添加或修改现有的保护程序 (,例如 TPM + PIN 或自动解锁和密码) 。 除非 MBAM 策略明确定义它们,否则它们仍然合规。
升级 MBAM 客户端的功能
MBAM 2.0 客户端 Windows 安装程序检测现有客户端的版本,并执行从以前的版本升级到 MBAM 2.0 客户端所需的步骤。
能够从以前的版本升级 MBAM 服务器
可以从以前版本的 MBAM 升级 MBAM 2.0 服务器基础结构,如下所示:
手动更换就地服务器 – 必须手动卸载现有 MBAM 服务器基础结构,然后安装 MBAM 2.0 服务器基础结构。 无需删除数据库即可进行升级。 而是选择现有数据库,这是以前版本的 MBAM 客户端创建的。 然后,MBAM 2.0 升级安装会将现有数据库迁移到 MBAM 2.0。
分布式客户端升级 – 如果使用的是独立 MBAM 拓扑,则可以在安装 MBAM 2.0 服务器基础结构后逐步升级 MBAM 客户端。 MBAM 2.0 服务器检测现有客户端的版本,并执行升级到 2.0 客户端所需的步骤。
升级 MBAM 2.0 服务器基础结构后,MBAM 1.0 客户端将继续成功向 MBAM 2.0 服务器报告,从而托管恢复数据,但符合性将基于 MBAM 1.0 中的策略。 必须将客户端升级到 MBAM 2.0,使客户端计算机能够根据 MBAM 2.0 策略准确报告符合性。 可以在不卸载上一个客户端的情况下将客户端升级到 MBAM 2.0 客户端,客户端将开始应用并报告 MBAM 2.0 策略。
如果将 MBAM 与Configuration Manager配合使用,则必须将 MBAM 1.0 客户端升级到 MBAM 2.0。
MBAM 支持 Windows 8 平台上的 BitLocker 企业方案
MBAM 支持将Windows 8操作系统作为 MBAM 客户端安装的目标平台。 此支持使 IT 管理员能够安装 MBAM 代理、加密Windows 8操作系统驱动器以及报告计算机的符合性。 MBAM 利用 TPM 和 TPM+PIN 保护程序来管理Windows 8操作系统,就像 Windows 7 操作系统一样。 MBAM 2.0 还增加了对加密 Windows To Go 客户端的支持。
添加Self-Service门户
最终用户现在可以使用Self-Service门户来恢复其恢复密钥。 Self-Service门户可以部署在具有其他 MBAM 功能的单个服务器上,也可以部署在独立服务器上,使 IT 管理员能够根据需要灵活地向用户公开Self-Server门户。 Self-Service门户对用户进行身份验证后,用户只需输入恢复密钥 ID 的前八位数字才能接收其恢复密钥。
MBAM 还允许用户仅为用户所在的计算机恢复密钥,从而保护密钥,从而降低其他用户获得未经授权访问的风险。
能够从挂起状态自动恢复 BitLocker 保护
MBAM 不再允许 IT 管理员长时间挂起 BitLocker 且不受保护。 如果 IT 管理员挂起 BitLocker,则 MBAM 会在重新启动计算机时自动重新启用它,这样可以降低计算机受到攻击的风险。
可将固定数据驱动器配置为在不使用密码的情况下自动解锁
现在可以将固定数据驱动器 (FDD) 策略配置为允许在没有密码的情况下自动解锁驱动器。 在加密 FDD 之前,不会提示用户输入密码,并且将使用操作系统驱动器保护 FDD 并自动解锁。
MBAM 2.0 发行说明
有关详细信息,以及文档中未包含的突发性新闻,请参阅 MBAM 2.0 发行说明。
如何获取 MBAM 2.0
此技术是 Microsoft 桌面优化包 (MDOP) 的一部分。 企业客户可以使用 Microsoft 软件保障获取 MDOP。 有关 Microsoft 软件保障和获取 MDOP 的详细信息,请参 阅如何获取 MDOP?