Freigeben über

Aktivieren von BitLocker mit MBAM während der Windows-Bereitstellung

  • Artikel

Letzte Aktualisierung: August 2015

Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

In diesem Thema wird erläutert, wie Sie BitLocker auf dem Computer eines Endbenutzers aktivieren, indem Sie MBAM im Rahmen Ihres Windows-Imageerstellungs- und -Bereitstellungsprozesses verwenden.

Voraussetzungen:

  • Ein vorhandener Windows-Imagebereitstellungsprozess – Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager oder ein anderes Imageerstellungstool oder ein anderer Imageerstellungsprozess – muss eingerichtet sein.

  • Ein TPM muss im BIOS aktiviert und für das Betriebssystem sichtbar sein.

  • Die MBAM-Serverinfrastruktur muss vorhanden und verfügbar sein.

  • Die für BitLocker erforderliche Systempartition muss erstellt sein.

  • Der Computer muss während der Imageerstellung einer Domäne beigetreten sein, bevor MBAM BitLocker vollständig aktiviert.

So aktivieren Sie BitLocker mit MBAM 2.5 SP1 im Rahmen einer Windows-Bereitstellung

  • In MBAM 2.5 SP1 besteht die empfohlene Vorgehensweise zum Aktivieren von BitLocker während einer Windows-Bereitstellung in der Verwendung des PowerShell-Skripts Invoke-MbamClientDeployment.ps1.

    • Das Skript Invoke-MbamClientDeployment.ps1 setzt BitLocker während des Imageerstellungsprozesses in Kraft. Falls durch eine BitLocker-Richtlinie erforderlich, fordert der MBAM-Agent den Domänenbenutzer sofort auf, eine PIN oder ein Kennwort zu erstellen, wenn sich der Benutzer zum ersten Mal nach der Imageerstellung bei der Domäne anmeldet.

    • Einfach zu verwenden mit MDT, System Center Configuration Manager und eigenständigen Imageerstellungsprozessen.

    • Kompatibel mit PowerShell 2.0 und höher

    • Verschlüsseln des BS-Volumes mit TPM-Schlüsselschutzvorrichtung

    • Vollständige Unterstützung der BitLocker-Vorabbereitstellung

    • Optionale Verschlüsselung von FDDs

    • Hinterlegen von TPM-OwnerAuth, auch unter Windows 8 und höher (MBAM muss weiterhin Besitzer des TPM unter Windows 7 sein, damit die Hinterlegung erfolgen kann)

    • Hinterlegen von Wiederherstellungsschlüsseln und Wiederherstellungsschlüsselpaketen

    • Sofortiges Melden des Verschlüsselungsstatus

    • Neue WMI-Anbieter

    • Ausführliche Protokollierung

    • Robuste Fehlerbehandlung

    Sie können das Skript Invoke-MbamClientDeployment.ps1 aus dem Microsoft.com-Download Center herunterladen. Dies ist das Hauptskript, das von Ihrem Bereitstellungssystem aufgerufen wird, um die BitLocker-Laufwerkverschlüsselung zu konfigurieren und Wiederherstellungsschlüssel mit dem MBAM-Server aufzuzeichnen.

    WMI-Bereitstellungsmethoden für MBAM: Die folgenden WMI-Methoden wurden in MBAM 2.5 SP1 hinzugefügt, um die Aktivierung von BitLocker mithilfe des PowerShell-Skripts Invoke-MbamClientDeployment.ps1 zu ermöglichen.

    • WMI-Klasse "MBAM_Machine"
      PrepareTpmAndEscrowOwnerAuth: Liest TPM-OwnerAuth und sendet es an die MBAM-Wiederherstellungsdatenbank mithilfe des MBAM-Wiederherstellungsdiensts. Wenn kein Besitz für das TPM vorhanden ist und die automatische Bereitstellung nicht aktiviert ist, generiert es ein TPM-OwnerAuth und übernimmt den Besitz. Wenn es fehlschlägt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

      Parameter Beschreibung

      RecoveryServiceEndPoint

      Eine Zeichenfolge, die den MBAM-Wiederherstellungsdienst-Endpunkt angibt.
      Gängige Rückgabewerte Fehlermeldung

      S_OK

      0 (0x0)

      Die Methode war erfolgreich.

      MBAM_E_TPM_NOT_PRESENT

      2147746304 (0x80040200)

      TPM ist auf dem Computer nicht vorhanden oder in der BIOS-Konfiguration deaktiviert.

      MBAM_E_TPM_INCORRECT_STATE

      2147746305 (0x80040201)

      TPM hat nicht den korrekten Status (aktiviert, aktiviert und Besitzerinstallation zulässig).

      MBAM_E_TPM_AUTO_PROVISIONING_PENDING

      2147746306 (0x80040202)

      MBAM kann keinen Besitz von TPM übernehmen, weil die automatische Bereitstellung aussteht. Versuchen Sie es noch mal, nachdem die automatische Bereitstellung abgeschlossen ist.

      MBAM_E_TPM_OWNERAUTH_READFAIL

      2147746307 (0x80040203)

      MBAM kann den TPM-OwnerAuth-Wert nicht lesen. Möglicherweise wurde der Wert nach einer erfolgreichen Hinterlegung entfernt. Unter Windows 7 kann MBAM den Wert nicht lesen, wenn jemand anderes Besitzer des TPM ist.

      MBAM_E_REBOOT_REQUIRED

      2147746308 (0x80040204)

      Der Computer muss neu gestartet werden, um das TPM in den richtigen Status zu versetzen. Möglicherweise müssen Sie den Computer manuell neu starten.

      MBAM_E_SHUTDOWN_REQUIRED

      2147746309 (0x80040205)

      Der Computer muss heruntergefahren und neu eingeschaltet werden, um das TPM in den richtigen Status zu versetzen. Möglicherweise müssen Sie den Computer manuell neu starten.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Der Zugriff wurde vom Remoteendpunkt verweigert.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Der Remoteendpunkt war nicht erreichbar.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Die Endpunktadress-URL ist ungültig. Die URL muss mit "http" oder "https" beginnen.

      ReportStatus: Liest den Konformitätsstatus des Volumes und sendet diesen an die MBAM-Konformitätsstatusdatenbank mithilfe des MBAM-Statusberichtsdiensts. Der Status umfasst die Verschlüsselungsstärke, den Schutzvorrichtungstyp und -status sowie den Verschlüsselungsstatus. Wenn es fehlschlägt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

      Parameter Beschreibung

      ReportingServiceEndPoint

      Eine Zeichenfolge, die den MBAM-Statusberichtsdienst-Endpunkt angibt.
      Gängige Rückgabewerte Fehlermeldung

      S_OK

      0 (0x0)

      Die Methode war erfolgreich.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Der Zugriff wurde vom Remoteendpunkt verweigert.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Der Remoteendpunkt war nicht erreichbar.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Die Endpunktadress-URL ist ungültig. Die URL muss mit "http" oder "https" beginnen.

    • WMI-Klasse "MBAM_Volume"
      EscrowRecoveryKey: Liest das numerische Wiederherstellungskennwort und Schlüsselpaket des Volumes und sendet diese an die MBAM-Wiederherstellungsdatenbank mithilfe des MBAM-Wiederherstellungsdiensts. Wenn es fehlschlägt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

      Parameter Beschreibung

      RecoveryServiceEndPoint

      Eine Zeichenfolge, die den MBAM-Wiederherstellungsdienst-Endpunkt angibt.
      Gängige Rückgabewerte Fehlermeldung

      S_OK

      0 (0x0)

      Die Methode war erfolgreich.

      FVE_E_LOCKED_VOLUME

      2150694912 (0x80310000)

      Das Volume ist gesperrt.

      FVE_E_PROTECTOR_NOT_FOUND

      2150694963 (0x80310033)

      Es wurde keine numerische Kennwortschutzvorrichtung für das Volume gefunden.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      Der Zugriff wurde vom Remoteendpunkt verweigert.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Der Remoteendpunkt war nicht erreichbar.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      Die Endpunktadress-URL ist ungültig. Die URL muss mit "http" oder "https" beginnen.

  • Bereitstellen von MBAM mithilfe des Microsoft Deployment Toolkit (MDT) und der PowerShell

    1. Erstellen Sie in MDT eine neue Bereitstellungsfreigabe, oder öffnen Sie eine vorhandene Bereitstellungsfreigabe.

      Hinweis

      Das PowerShell-Skript Invoke-MbamClientDeployment.ps1 kann mit jedem Imageerstellungsprozess oder -tool verwendet werden. In diesem Abschnitt wird gezeigt, wie die Integrierung mit MDT erfolgt, aber die Schritte ähneln denen bei der Integration mit einem anderen Prozess oder Tool.

      Warnung

      Wenn Sie die Vorabbereitstellung von BitLocker (WinPE) verwenden und den TPM-OwnerAuth-Wert beibehalten möchten, müssen Sie das Skript SaveWinPETpmOwnerAuth.wsf in Windows PE unmittelbar vor dem Neustart der Installation als vollständiges Betriebssystem hinzufügen. Wenn Sie dieses Skript nicht verwenden, verlieren Sie den TPM-OwnerAuth-Wert beim Neustart des Computers.

    2. Kopieren Sie Invoke-MbamClientDeployment.ps1 nach <DeploymentShare>\Scripts. Wenn Sie die Vorabbereitstellung verwenden, kopieren Sie die Datei SaveWinPETpmOwnerAuth.wsf in <DeploymentShare>\Scripts.

    3. Fügen Sie die MBAM 2.5 SP1-Clientanwendung dem Knoten "Anwendungen" auf der Bereitstellungsfreigabe hinzu.

      1. Klicken Sie unter dem Knoten Anwendungen auf Neue Anwendung.

      2. Wählen Sie Anwendung mit Quelldateien aus. Klicken Sie auf Weiter.

      3. Geben Sie in Anwendungsname "MBAM 2.5 SP1-Client" ein. Klicken Sie auf Weiter.

      4. Navigieren Sie zu dem Verzeichnis, das MBAMClientSetup-<Version>.msi enthält. Klicken Sie auf Weiter.

      5. Geben Sie als zu erstellendes Verzeichnis "MBAM 2.5 SP1-Client" ein Klicken Sie auf Weiter.

      6. Geben Sie in der Befehlszeile msiexec /i MBAMClientSetup-<Version>.msi /quiet ein. Klicken Sie auf Weiter.

      7. Akzeptieren Sie die übrigen Standardeinstellungen, um den Assistenten für neue Anwendungen abzuschließen.

    4. Klicken Sie in MDT mit der rechten Maustaste auf den Namen der Bereitstellungsfreigabe, und klicken Sie auf Properties. Klicken Sie auf die Registerkarte Rules. Fügen Sie die folgenden Zeilen hinzu:

      SkipBitLocker=YES
      BDEInstall=TPM
      BDEInstallSuppress=NO
      BDEWaitForEncryption=YES

      Klicken Sie auf "OK", um das Fenster zu schließen.

    5. Bearbeiten Sie unter dem Knoten "Tasksequenzen" eine vorhandene Tasksequenz, die für die Windows-Bereitstellung verwendet wird. Wenn Sie möchten, können Sie eine neue Tasksequenz erstellen, indem Sie mit der rechten Maustaste auf den Knoten Tasksequenzen klicken, Neue Tasksequenz auswählen und den Assistenten abschließen.

      Führen Sie auf der Registerkarte Tasksequenz der ausgewählten Tasksequenz folgende Schritte aus:

      1. Aktivieren Sie unter dem Ordner Vorinstallation den optionalen Task BitLocker aktivieren (offline), wenn BitLocker in Windows PE aktiviert werden soll, das nur belegten Speicherplatz verschlüsselt.

      2. Um TPM-OwnerAuth bei Verwendung der Vorabbereitstellung dauerhaft zu erhalten, sodass MBAM ihn zu einem späteren Zeitpunkt hinterlegen kann, gehen Sie wie folgt vor:

        1. Suchen Sie den Schritt Betriebssystem installieren.

        2. Fügen Sie dahinter einen neuen Schritt Befehlszeile ausführen hinzu.

        3. Nennen Sie den Schritt TPM-OwnerAuth beibehalten.

        4. Legen Sie die Befehlszeile auf cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf" fest.

      3. Löschen Sie im Ordner Zustandswiederherstellung Ordner den Task BitLocker aktivieren.

      4. Erstellen Sie im Ordner Zustandswiederherstellung unter Benutzerdefinierte Tasks einen neuen Task Anwendung installieren, und nennen Sie diesen MBAM-Agent installieren. Klicken Sie auf das Optionsfeld Einzelanwendung installieren, und navigieren Sie zu der zuvor erstellen MBAM 2.5 SP1-Clientanwendung.

      5. Erstellen Sie in dem Ordner Zustandswiederherstellung unter Benutzerdefinierte Tasks einen neuen Task PowerShell-Skript ausführen (nach dem Schritt "MBAM 2.5 SP1-Clientanwendung") mit den folgenden Einstellungen (aktualisieren Sie die Parameter entsprechend den Ansprüchen Ihrer Umgebung):

        • Name                      : Konfigurieren von BitLocker für MBAM

        • PowerShell-Skript: Invoke-MbamClientDeployment.ps1

        • Parameter:

          -RecoveryServiceEndpoint

          Erforderlich

          MBAM-Wiederherstellungsdienst-Endpunkt

          -StatusReportingServiceEndpoint

          Optional

          MBAM-Statusberichtsdienst-Endpunkt

          -EncryptionMethod

          Optional

          Verschlüsselungsmethode (Standard: AES 128)

          -EncryptAndEscrowDataVolume

          Schalter

          Gibt an, dass Datenvolumes verschlüsselt und Datenvolume-Wiederherstellungsschlüssel hinterlegt werden sollen.

          -WaitForEncryptionToComplete

          Schalter

          Gibt an, dass auf den Abschluss der Verschlüsselung gewartet werden soll.

          -DoNotResumeSuspendedEncryption

          Schalter

          Gibt an, dass das Bereitstellungsskript eine angehaltene Verschlüsselung nicht fortsetzt.

          -IgnoreEscrowOwnerAuthFailure

          Schalter

          Gibt an, dass TPM-OwnerAuth-Hinterlegungsfehler zu ignorieren sind. Sollte in Szenarien verwendet werden, in denen MBAM den TPM-OwnerAuth nicht lesen kann, z. B. wenn automatische TPM-Bereitstellung aktiviert ist.

          -IgnoreEscrowRecoveryKeyFailure

          Schalter

          Gibt an, dass Volumewiederherstellungsschlüssel-Hinterlegungsfehler zu ignorieren sind.

          -IgnoreReportStatusFailure

          Schalter

          Gibt an, dass Statusberichtfehler zu ignorieren sind.

So aktivieren Sie BitLocker mit MBAM 2.5 oder früher im Rahmen einer Windows-Bereitstellung

  1. Installieren Sie den MBAM-Client. Anweisungen finden Sie unter Bereitstellen des MBAM-Clients mit einer Befehlszeile.

  2. Fügen Sie den Computer einer Domäne hinzu (empfohlen).

    • Wenn der Computer keiner Domäne hinzugefügt ist, wird das Wiederherstellungskennwort nicht im MBAM-Schlüsselwiederherstellungsdienst gespeichert. Standardmäßig wird von MBAM eine Verschlüsselung nur dann zugelassen, wenn der Wiederherstellungsschlüssel gespeichert werden kann.

    • Wenn ein Computer im Wiederherstellungsmodus gestartet wird, bevor der Wiederherstellungsschlüssel auf dem MBAM-Server gespeichert wurde, ist keine Wiederherstellungsmethode verfügbar, und das Image des Computers muss neu erstellt werden.

  3. Öffnen Sie als Administrator eine Eingabeaufforderung, und halten Sie den MBAM-Dienst an.

  4. Legen Sie für den Dienst Manual oder On demand fest, indem Sie folgende Befehle eingeben:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Legen Sie die Registrierungswerte so fest, dass der MBAM-Client die Gruppenrichtlinieneinstellungen ignoriert und stattdessen festgelegt wird, dass der Verschlüsselungsvorgang bei der Bereitstellung von Windows auf diesem Clientcomputer gestartet wird.

    Warnung

    Dieser Schritt beschreibt, wie die Windows-Registrierung geändert wird. Eine nicht ordnungsgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, und Sie müssen Windows möglicherweise erneut installieren. Wir übernehmen keinerlei Garantie dafür, dass Probleme aufgrund einer nicht ordnungsgemäßen Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr.

    1. Legen Sie das TPM für Operating system only encryption fest, führen Sie „Regedit.exe“ aus, und importieren Sie anschließend die Registrierungsschlüsselvorlage aus "C:\Programme\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg".

    2. Wechseln Sie in „Regedit.exe“ zu „HKLM\SOFTWARE\Microsoft\MBAM“, und konfigurieren Sie die in der folgenden Tabelle aufgeführten Einstellungen.

      Hinweis

      Sie können nun die Gruppenrichtlinieneinstellungen oder Registrierungswerte hinsichtlich MBAM festlegen. Durch diese Einstellungen werden die zuvor festgelegten Werte außer Kraft gesetzt.

    Registrierungseintrag Konfigurationseinstellungen

    DeploymentTime

    0 = Deaktiviert

    1 = Richtlinieneinstellungen für die Bereitstellungszeit verwenden (Standard) – verwenden Sie diese Einstellung, um die Verschlüsselung zu aktivieren, wenn Windows auf dem Clientcomputer bereitgestellt wird.

    UseKeyRecoveryService

    0 = Keine Schlüsselhinterlegung verwenden (die folgenden beiden Registrierungseinträge sind in diesem Fall nicht erforderlich)

    1 = Schlüsselhinterlegung im Schlüsselwiederherstellungssystem verwenden (Standard)

    Dies ist die empfohlene Einstellung, die dafür sorgt, dass MBAM die Wiederherstellungsschlüssel speichert. Der Computer muss mit dem MBAM-Schlüsselwiederherstellungsdienst kommunizieren können. Überprüfen Sie dies, bevor Sie den Vorgang fortsetzen.

    KeyRecoveryOptions

    0 = Nur der Wiederherstellungsschlüssel wird hochgeladen

    1 = Wiederherstellungsschlüssel und Schlüsselwiederherstellungspaket werden hochgeladen (Standard)

    KeyRecoveryServiceEndPoint

    Legen Sie für diesen Wert die URL des Servers fest, auf dem der Schlüsselwiederherstellungsdienst ausgeführt wird, z. B. „http://<Computername>/MBAMRecoveryAndHardwareService/CoreService.svc“.

  6. Der MBAM-Client startet das System während der MBAM-Clientbereitstellung neu. Sobald Sie für diesen Neustart bereit sind, führen Sie an der Eingabeaufforderung den folgenden Befehl als Administrator aus:

    net start mbamagent

  7. Wenn der Computer neu gestartet wird und Sie vom BIOS aufgefordert werden, eine TPM-Änderung zu akzeptieren, akzeptieren Sie diese.

  8. Wenn Sie den Verschlüsselungsvorgang durchführen möchten, öffnen Sie während des Imageerstellungsprozesses für Windows-Clientbetriebssysteme eine Eingabeaufforderung, und geben Sie als Administrator folgende Befehle ein, um für den Start die Option Automatisch festzulegen und den MBAM-Client-Agent neu zu starten:

    sc config mbamagent start= auto

    net start mbamagent

  9. Führen Sie „Regedit.exe“ aus, um die Umgehungsregistrierungswerte zu löschen, und navigieren Sie zum Registrierungseintrag „HKLM\SOFTWARE\Microsoft“. Klicken Sie mit der rechten Maustaste auf den Knoten MBAM, und klicken Sie dann auf Löschen.

    Haben Sie einen Vorschlag für MBAM? Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab.
    Haben Sie Probleme mit MBAM? Nutzen Sie das MBAM-TechNet-Forum.

Siehe auch

Konzepte

Planen der Clientbereitstellung für MBAM 2.5

Weitere Ressourcen

Bereitstellen des Clients von MBAM 2.5