Infos zu MBAM 2.5 SP1
MBAM 2.5 SP1 bietet eine vereinfachte Verwaltungsschnittstelle für die BitLocker-Laufwerkverschlüsselung. BitLocker bietet erweiterten Schutz vor Datendiebstahl oder Datenexposition für Computer, die verloren gehen oder gestohlen werden. BitLocker verschlüsselt alle Daten, die auf dem Windows-Betriebssystem und auf laufwerken und konfigurierten Datenlaufwerken gespeichert sind.
Übersicht über MBAM
MBAM 2.5 SP1 verfügt über die folgenden Features:
Administratoren können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.
Sicherheitsbeauftragte können den Kompatibilitätszustand einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.
Berichterstellung und Hardwareverwaltung können zentral mit Microsoft System Center Configuration Manager erfolgen.
Reduziert die Arbeitsauslastung des Helpdesks, um Endbenutzer bei BitLocker-PIN- und Wiederherstellungsschlüsselanforderungen zu unterstützen.
Endbenutzer können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.
Ermöglicht es Sicherheitsbeauftragten, den Zugriff einfach zu überwachen, um wichtige Informationen wiederherzustellen.
Windows Enterprise-Benutzer können standortunabhängig arbeiten und sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.
MBAM erzwingt die BitLocker-Verschlüsselungsrichtlinienoptionen, die Sie für Ihr Unternehmen festlegen, überwacht die Konformität von Clientcomputern mit diesen Richtlinien und meldet die Verschlüsselung status der Computer des Unternehmens und der Einzelperson. Darüber hinaus können Sie mit MBAM auf die Wiederherstellungsschlüsselinformationen zugreifen, wenn Benutzer ihre PIN oder ihr Kennwort vergessen oder wenn sich ihre BIOS- oder Startdatensätze ändern.
Die folgenden Gruppen sind möglicherweise an der Verwendung von MBAM zum Verwalten von BitLocker interessiert:
Administratoren, IT-Sicherheitsexperten und Compliance Officer, die dafür verantwortlich sind, dass vertrauliche Daten nicht ohne Autorisierung offengelegt werden
Administratoren, die für die Computersicherheit in Remote- oder Zweigstellen zuständig sind
Administratoren, die für Clientcomputer mit Windows verantwortlich sind
Hinweis
BitLocker wird in dieser MBAM-Dokumentation nicht ausführlich erläutert. Weitere Informationen finden Sie unter Übersicht über die BitLocker-Laufwerkverschlüsselung.
Neuerungen in MBAM 2.5 SP1
In diesem Abschnitt werden die neuen Features in MBAM 2.5 SP1 beschrieben.
Neu unterstützte Sprachen für den MBAM 2.5 SP1-Client
Die folgenden zusätzlichen Sprachen werden jetzt in MBAM 2.5 SP1 nur für den MBAM-Client unterstützt, einschließlich des Self-Service-Portals:
Tschechisch (Tschechische Republik) cs-CZ
Dänisch (Dänemark) da-DK
Niederländisch (Niederlande) nl-NL
Fi-FI finnisch (Finnland)
Griechisch (Griechenland) el-GR
Ungarisch (Ungarn) hu-HU
Norwegisch, Bokmål (Norwegen) nb-NO
Polnisch (Polen) pl-PL
Portugiesisch (Portugal) pt-PT
Slowakisch (Slowakei) sk-SK
Slowenisch (Slowenien) sl-SI
Schwedisch (Schweden) sv-SE
Türkisch (Türkiye) tr-TR
Eine Liste aller Sprachen, die für Client und Server in MBAM 2.5 und MBAM 2.5 SP1 unterstützt werden, finden Sie unter MbaM 2.5 Supported Configurations.
Unterstützung für Windows 10
MBAM 2.5 SP1 fügt unterstützung für Windows 11, Windows 10 und Windows Server 2016 hinzu, zusätzlich zu derselben Software, die in früheren Versionen von MBAM unterstützt wird.
Windows 10 wird in MBAM 2.5 und MBAM 2.5 SP1 unterstützt.
Support für Microsoft SQL Server 2014 SP1
MBAM 2.5 SP1 fügt Unterstützung für Microsoft SQL Server 2014 SP1 hinzu, zusätzlich zu derselben Software, die in früheren Versionen von MBAM unterstützt wird.
MBAM wird nicht mehr mit separater MSI ausgeliefert
Ab MBAM 2.5 SP1 ist eine separate MSI nicht mehr im MBAM-Produkt enthalten. Sie können die MSI jedoch aus der ausführbaren Datei (.exe) extrahieren, die im Produkt enthalten ist.
MBAM kann OwnerAuth-Kennwörter erstellen, ohne das TPM zu besitzen.
Wenn MBAM das TPM bisher nicht besitzt, konnte die TPM-Besitzerauthentifizierung nicht der MBAM-Datenbank zugeordnet werden. Um MBAM für das TPM zu konfigurieren und die Kennwörter zu speichern, mussten Sie die automatische TPM-Bereitstellung deaktivieren und das TPM auf dem Clientcomputer löschen.
In Windows 8 und höher kann MBAM 2.5 SP1 jetzt die OwnerAuth-Kennwörter verwalten, ohne das TPM zu besitzen. Während des Dienststarts fragt MBAM ab, um festzustellen, ob das TPM bereits im Besitz ist, und wenn ja, werden die Kennwörter vom Betriebssystem angefordert. Die Kennwörter werden dann der MBAM-Datenbank zugeordnet. Darüber hinaus muss Gruppenrichtlinie festgelegt werden, um zu verhindern, dass OwnerAuth lokal gelöscht wird.
Unter Windows 7 muss MBAM das TPM besitzen, um tpm OwnerAuth-Informationen in der MBAM-Datenbank automatisch zu verwalten. Wenn MBAM nicht im Besitz des TPM ist und die Active Directory-Sicherung (AD) des TPM über Gruppenrichtlinie konfiguriert ist, müssen Sie die MBAM Active Directory -Datenimport-Cmdlets (AD) verwenden, um TPM OwnerAuth aus AD in die MBAM-Datenbank zu kopieren. Dies sind fünf neue PowerShell-Cmdlets, die MBAM-Datenbanken vorab mit den in Active Directory gespeicherten Informationen zur Volumewiederherstellung und TPM-Besitzer auffüllen.
Weitere Informationen finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5.
MBAM kann das TPM nach einer Sperre automatisch entsperren.
Auf Computern, auf denen TPM 1.2 ausgeführt wird, können Sie MBAM jetzt so konfigurieren, dass das TPM im Falle einer Sperre automatisch entsperrt wird. Wenn das Feature für automatisches Zurücksetzen des TPM-Sperrens aktiviert ist, kann MBAM erkennen, dass ein Benutzer gesperrt ist, und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM automatisch für den Benutzer zu entsperren.
Dieses Feature muss sowohl auf der Serverseite als auch in Gruppenrichtlinie auf der Clientseite aktiviert werden. Weitere Informationen finden Sie unter Überlegungen zur Sicherheit von MBAM 2.5.
Unterstützung für FIPS-kompatible BitLocker-Schutzvorrichtungen für numerische Kennwörter
In MBAM 2.5 wurde Unterstützung für FIPS-kompatible BitLocker-Wiederherstellungsschlüssel (Federal Information Processing Standard) auf Geräten mit dem Windows 8.1 Betriebssystem hinzugefügt. Windows hat jedoch keine FIPS-kompatiblen Wiederherstellungsschlüssel in Windows 7 implementiert. Daher erforderten Windows 7- und Windows 8-Geräte weiterhin eine DRA-Schutzvorrichtung (Data Recovery Agent) für die Wiederherstellung.
Das Windows-Team hat FIPS-konforme Wiederherstellungsschlüssel mit einem Hotfix zurückportiert, und MBAM 2.5 SP1 hat auch unterstützung für sie hinzugefügt.
Hinweis
Clientcomputer, auf denen das Windows 8-Betriebssystem ausgeführt wird, benötigen weiterhin eine DRA-Schutzvorrichtung, da der Hotfix nicht auf dieses Betriebssystem zurückportiert wurde. Informationen zum Herunterladen und Installieren des BitLocker-Hotfixes für Windows 7- und Windows 8-Computer finden Sie unter Hotfixpaket 2 für BitLocker-Verwaltung und -Überwachung 2.5 . Informationen zu DRA finden Sie unter Verwenden von Datenwiederherstellungs-Agents mit BitLocker.
Um die FIPS-Konformität in Ihrem organization zu aktivieren, müssen Sie die FiPS-Einstellungen (Federal Information Processing Standard) Gruppenrichtlinie konfigurieren. Konfigurationsanweisungen finden Sie unter BitLocker Gruppenrichtlinie Einstellungen.
Anpassen der Wiederherstellungsnachricht vor dem Start und der URL mit neuer Gruppenrichtlinie-Einstellung
Mit der neuen Gruppenrichtlinie Einstellung Configure pre-boot recovery message and URL (Konfigurieren von Wiederherstellungsnachricht und URL vor dem Start) können Sie eine benutzerdefinierte Wiederherstellungsnachricht konfigurieren oder eine URL angeben, die dann auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern verfügbar, auf denen Windows 11 und Windows 10 ausgeführt werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der folgenden Optionen für die Wiederherstellungsnachricht vor dem Start auswählen:
Benutzerdefinierte Wiederherstellungsmeldung verwenden: Wählen Sie diese Option aus, um eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start einzuschließen.
Benutzerdefinierte Wiederherstellungs-URL verwenden: Wählen Sie diese Option aus, um die Standard-URL zu ersetzen, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird.
Standardwiederherstellungsmeldung und -URL verwenden: Wählen Sie diese Option aus, um die BitLocker-Standardwiederherstellungsnachricht und -URL auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und rückgängig machen möchten, müssen Sie diese Richtlinie aktivieren und diese Option auswählen.
Die neue Gruppenrichtlinie Einstellung befindet sich im folgenden GPO-Knoten: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Betriebssystemlaufwerk. Weitere Informationen finden Sie unter Planen von MBAM 2.5 Gruppenrichtlinie Anforderungen.
MBAM hat Unterstützung für die Verschlüsselung von verwendeten Speicherplatz hinzugefügt.
Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über BitLocker Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.
Diese Gruppenrichtlinie Einstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich im folgenden GPO-Knoten: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und als Verschlüsselungstyp Nur verwendeter Speicherplatz auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur Speicherplatz, der auf dem Volume verwendet wird.
Weitere Informationen finden Sie unter Planen von MBAM 2.5 Gruppenrichtlinie Anforderungen.
MBAM-Clientunterstützung für verschlüsselte Festplatten
MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die tcg-Spezifikationsanforderungen für Opal sowie IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter Verschlüsselte Festplatte .
Delegierungskonfiguration beim Registrieren von SPNs nicht mehr erforderlich
Die Anforderung zum Konfigurieren der eingeschränkten Delegierung für SPNs, die Sie für das Anwendungspoolkonto registrieren, ist in MBAM 2.5 SP1 nicht mehr erforderlich. Es ist jedoch weiterhin eine Voraussetzung für MBAM 2.5.
Aktivieren von BitLocker mit MBAM als Teil einer Windows-Bereitstellung
In MBAM 2.5 SP1 können Sie ein PowerShell-Skript verwenden, um die BitLocker-Laufwerkverschlüsselung und die Escrow-Wiederherstellungsschlüssel für den MBAM-Server zu konfigurieren.
Weitere Informationen finden Sie unter Aktivieren von BitLocker mithilfe von MBAM als Teil einer Windows-Bereitstellung.
Self-Service Portal kann mithilfe von PowerShell oder dem SSP-Anpassungs-Assistenten angepasst werden.
Ab MBAM 2.5 SP1 kann das Self-Service Portal sowohl mithilfe des Anpassungs-Assistenten als auch mithilfe von PowerShell konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren der MBAM 2.5-Webanwendungen.
Webbrowser wird nicht mehr unbeabsichtigt als Administrator ausgeführt
Ein Problem in MBAM 2.5 hat dazu geführt, dass Hilfelinks im Serverkonfigurationstool Browserfenster mit Administratorrechten geöffnet haben. Dieses Problem wurde in MBAM 2.5 SP1 behoben.
Die JavaScript-Dateien müssen nicht mehr heruntergeladen werden, um das Self-Service-Portal zu konfigurieren, wenn auf das CDN nicht zugegriffen werden kann
In MBAM 2.5 und früher mussten die jQuery-Dateien, die für die Konfiguration des Self-Service-Portals verwendet wurden, vorab aus dem CDN heruntergeladen werden, wenn Clients, die auf das Self-Service Portal zugreifen, keinen Internetzugang hatten. In MBAM 2.5 SP1 sind alle JavaScript-Dateien im Produkt enthalten, sodass das Herunterladen nicht erforderlich ist.
Berichte können in Report Builder 3.0 geöffnet werden.
In MBAM 2.5 SP1 wurden die Berichte auf das neueste Sprachschema der Berichtsdefinition aktualisiert, sodass Benutzer die Berichte in Report Builder 3.0 öffnen und anpassen und sofort speichern können, ohne die Berichtsdatei zu beschädigen.
Neue PowerShell-Cmdlets
Mit neuen PowerShell-Cmdlets für MBAM 2.5 SP1 können Sie verschiedene MBAM-Features konfigurieren und verwalten, einschließlich Datenbanken, Berichte und Webanwendungen. Jedes Feature verfügt über ein entsprechendes PowerShell-Cmdlet, mit dem Sie Features aktivieren oder deaktivieren oder Informationen zum Feature abrufen können.
Die folgenden Cmdlets wurden für MBAM 2.5 SP1 implementiert:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
Die folgenden Parameter wurden in den Cmdlets Enable-MbamWebApplication und Test-MbamWebApplication für MBAM 2.5 SP1 implementiert:
DataMigrationAccessGroup
TpmAutoUnlock
Informationen zu den Cmdlets finden Sie unter MbaM 2.5 Security Considerations (Sicherheitsüberlegungen zu MBAM 2.5) und Microsoft BitLocker Administration and Monitoring Cmdlet Help (Microsoft BitLocker Administration and Monitoring Cmdlet Help).
MBAM-Agent erkennt den Präsentationsmodus
Der MBAM-Agent kann erkennen, wenn sich der Computer im Präsentationsmodus befindet, und vermeiden, dass zu diesem Zeitpunkt die MBAM-Benutzeroberfläche aufgerufen wird.
MBAM-Agent-Dienst jetzt für die Verwendung des verzögerten Starts konfiguriert
Nach der Installation legt der Dienst den MBAM-Agent-Dienst jetzt so fest, dass er verzögerten Start verwendet, wodurch die Zeit verringert wird, die zum Starten von Windows benötigt wird.
Gesperrte feste Datenvolumes melden jetzt als Konform.
Die Logik für die Konformitätsberechnung für "Gesperrte feste Daten" wurde geändert, um die Volumes als "Konform" zu melden, jedoch mit dem Schutzstatus und dem Verschlüsselungsstatusstatus "Unbekannt" und dem Konformitätsstatusdetail "Volume ist gesperrt". Zuvor wurden gesperrte Volumes als "Nicht konform", als Schutzstatus "Verschlüsselt", als Verschlüsselungsstatus "Unbekannt" und als Konformitätsstatusdetail "Unbekannter Fehler" gemeldet.
So erhalten Sie MDOP-Technologien
MBAM ist Teil des Microsoft Desktop Optimization Pack (MDOP). MDOP ist Teil des Microsoft Software Assurance-Programms. Weitere Informationen zum Microsoft Software Assurance-Programm und zum Erwerb von MDOP finden Sie unter How Do I Get MDOP?.
Versionshinweise zu MBAM 2.5 SP1
Weitere Informationen und aktuelle Neuigkeiten, die in dieser Dokumentation nicht enthalten sind, finden Sie unter Versionshinweise für MBAM 2.5 SP1.
Haben Sie einen Vorschlag für MBAM?
Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.