Bereitstellen des MBAM-Clients während der Windows-Bereitstellung
Letzte Aktualisierung: April 2013
Betrifft: Microsoft BitLocker Administration and Monitoring 2.0
Mithilfe des Clients von Microsoft BitLocker-Administration und Überwachung (MBAM) können Administratoren die BitLocker-Laufwerkverschlüsselung auf Computern im Unternehmen erzwingen und überwachen. Bei Computern mit TPM-Chip (Trusted Platform Module) kann der BitLocker-Client in eine Organisation integriert werden, indem die BitLocker-Verwaltung und -Verschlüsselung im Rahmen der Imageerstellung und Windows-Bereitstellung auf Clientcomputern aktiviert wird.
Hinweis
Informationen zu den Systemanforderungen für den Microsoft BitLocker Administration and Monitoring-Client finden Sie unter MBAM 2.0 – unterstützte Konfigurationen.
Durch die Verschlüsselung von Clientcomputern mithilfe von BitLocker während der anfänglichen Imageerstellungsphase einer Windows-Bereitstellung kann der Verwaltungsaufwand für die MBAM-Implementierung in einem Unternehmen verringert werden. Außerdem wird sichergestellt, dass alle bereitgestellten Computer ordnungsgemäß konfiguriert sind und BitLocker bereits auf ihnen ausgeführt wird.
Hinweis
In diesem Thema wird beschrieben, wie die Windows-Registrierung geändert wird. Eine nicht ordnungsgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, und Sie müssen Windows möglicherweise erneut installieren. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr.
So verschlüsseln Sie einen Computer während der Windows-Bereitstellung
Wenn in Ihrer Organisation die Verwendung der BitLocker-Schutzvorrichtungsoptionen „Trusted Platform Module (TPM)“ oder „TPM und PIN“ geplant ist, müssen Sie den TPM-Chip vor der ersten Bereitstellung von MBAM aktivieren. Durch Aktivieren des TPM-Chips vermeiden Sie einen späteren Neustart und stellen sicher, dass die TPM-Chips gemäß den Anforderungen Ihrer Organisation ordnungsgemäß konfiguriert sind. Sie müssen den TPM-Chip manuell im BIOS des Computers aktivieren.
Hinweis
Einige Anbieter stellen Tools zum Aktivieren des TPM-Chips im BIOS aus dem Betriebssystem heraus zur Verfügung. Weitere Informationen zum Konfigurieren des TPM-Chips finden Sie in der Herstellerdokumentation.
Installieren Sie den Microsoft BitLocker Administration and Monitoring-Client-Agent.
Fügen Sie den Computer einer Domäne hinzu (empfohlen).
Wenn der Computer keiner Domäne hinzugefügt ist, wird im MBAM-Schlüsselwiederherstellungsdienst das Wiederherstellungskennwort nicht gespeichert. Standardmäßig wird von MBAM eine Verschlüsselung nur dann zugelassen, wenn der Wiederherstellungsschlüssel gespeichert werden kann.
Wenn ein Computer im Wiederherstellungsmodus gestartet wird, bevor der Wiederherstellungsschlüssel auf dem MBAM-Server gespeichert wurde, muss das Image des Computers neu erstellt werden. Es ist keine Wiederherstellungsmethode verfügbar.
Führen Sie eine Eingabeaufforderung als Administrator aus, beenden Sie den MBAM-Dienst, legen Sie für den Dienst Manuell oder Bei Bedarf fest, und beginnen Sie dann, indem Sie die folgenden Befehle eingeben:
net stop mbamagent
sc config mbamagent start= demand
Legen Sie in den Registrierungseinstellungen für den MBAM-Agent das Ignorieren der Gruppenrichtlinie fest, und führen Sie TPM für die Verschlüsselung nur des Betriebssystems aus. Führen Sie dazu regedit aus, und importieren Sie dann die folgende Registrierungsschlüsselvorlage: „C:\Programme\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg“.
Navigieren Sie im Registrierungs-Editor zu „HKLM\SOFTWARE\Microsoft\MBAM“, und konfigurieren Sie die Einstellungen, die in der folgenden Tabelle aufgeführt sind.
Registrierungseintrag Konfigurationseinstellungen DeploymentTime
0 = Deaktiviert
1 = Richtlinieneinstellungen für die Bereitstellungszeit verwenden (Standard)
UseKeyRecoveryService
0 = Keine Schlüsselhinterlegung verwenden (die folgenden beiden Registrierungseinträge sind in diesem Fall nicht erforderlich)
1 = Schlüsselhinterlegung im Schlüsselwiederherstellungssystem verwenden (Standard)
Empfohlen: Der Computer muss mit dem Schlüsselwiederherstellungsdienst kommunizieren können. Überprüfen Sie dies, bevor Sie den Vorgang fortsetzen.
KeyRecoveryOptions
0 = Nur der Wiederherstellungsschlüssel wird hochgeladen
1 = Wiederherstellungsschlüssel und Schlüsselwiederherstellungspaket werden hochgeladen (Standard)
KeyRecoveryServiceEndPoint
Legen Sie für diesen Wert die URL des Schlüsselwiederherstellungs-Webservers fest, z. B. „http://<Computername>/MBAMRecoveryAndHardwareService/CoreService.svc“.
Hinweis
An dieser Stelle können MBAM-Richtlinien- oder -Registrierungswerte festgelegt werden, um zuvor festgelegte Werte außer Kraft zu setzen.
Das System wird vom MBAM-Agent während der MBAM-Clientbereitstellung neu gestartet. Sobald Sie für diesen Neustart bereit sind, führen Sie an der Eingabeaufforderung den folgenden Befehl als Administrator aus:
net start mbamagent
Wenn der Computer neu gestartet wird und Sie vom BIOS aufgefordert werden, eine TPM-Änderung zu akzeptieren, akzeptieren Sie sie.
Starten Sie während des Imageerstellungsprozesses für Windows-Clientbetriebssysteme den MBAM-Agent-Dienst neu, sobald Sie bereit sind, und legen Sie den Startwert auf Automatisch fest, indem Sie eine Befehlszeile als Administrator ausführen und die folgenden Befehle eingeben:
sc config mbamagent start= auto
net start mbamagent
Entfernen Sie die Umgehungsregistrierungswerte, indem Sie „Regedit“ ausführen und zum Registrierungseintrag „HKLM\SOFTWARE\Microsoft“ navigieren. Klicken Sie zum Löschen des MBAM-Knotens mit der rechten Maustaste auf den Knoten, und klicken Sie dann auf Löschen.
Siehe auch
Andere Ressourcen
Bereitstellen des MBAM 2.0-Clients
-----
Sie können in der TechNet-Bibliothek weitere Informationen zu MDOP lesen, im TechNet Wiki nach „Troubleshooting“ suchen oder uns auf Facebook oder Twitter folgen.
-----