Condividi tramite

Come distribuire il client di MBAM come parte di una distribuzione di Windows

  • Articolo

Aggiornamento: novembre 2012

Si applica a: Microsoft BitLocker Administration and Monitoring 1.0

Il client di Microsoft BitLocker Administration and Monitoring (MBAM) consente agli amministratori di applicare e monitorare la crittografia unità BitLocker nei computer dell'organizzazione. Può essere integrato nell'organizzazione abilitando la gestione e la crittografia BitLocker nei computer client durante il processo di creazione dell'immagine e distribuzione di Windows.

Nota

Per esaminare i requisiti di sistema del client di MBAM, vedere Configurazioni supportate di MBAM 1.0.

La crittografia dei computer client con BitLocker durante la fase iniziale di creazione dell'immagine di una distribuzione di Windows consente di ridurre il carico amministrativo per l'implementazione di MBAM. Questo approccio garantisce inoltre che la crittografia BitLocker sia già in esecuzione e sia configurata correttamente in tutti i computer distribuiti.

Avviso

In questo argomento viene descritto come modificare il Registro di sistema di Windows tramite l'Editor del Registro di sistema. La modifica errata del Registro di sistema può causare gravi problemi che potrebbero richiedere la reinstallazione di Windows. Prima di apportare modifiche al Registro di sistema, è consigliabile effettuare una copia dei file del Registro (System.dat e User.dat). Microsoft non garantisce che i problemi che potrebbero verificarsi quando si modifica il Registro di sistema possano essere risolti. La modifica del Registro di sistema è a rischio dell'utente.

Per crittografare un computer nell'ambito della distribuzione di Windows

  1. Se l'organizzazione prevede di utilizzare le opzioni di protezione TPM (Trusted Platform Module) o TPM più PIN in BitLocker, è necessario attivare il chip TPM prima della distribuzione iniziale di MBAM. Attivando il chip TPM, è possibile evitare un riavvio del sistema più avanti nel processo e assicurarsi che i chip TPM siano configurati correttamente in base ai requisiti dell'organizzazione. È necessario attivare il chip TPM manualmente nel BIOS del computer. Per ulteriori dettagli su come configurare il chip TPM, consultare la documentazione del produttore.

  2. Installare l'agente client di MBAM.

  3. È consigliabile aggiungere il computer a un dominio per i motivi seguenti:

    • Se il computer non fa parte di un dominio, la password di ripristino non viene archiviata nel servizio di recupero chiavi di MBAM. Per impostazione predefinita, MBAM consente di applicare la crittografia solo se la chiave di ripristino può essere archiviata.

    • Se un computer viene avviato in modalità di ripristino prima dell'archiviazione della chiave di ripristino nel server di MBAM, è necessario ricreare l'immagine del computer. Non è disponibile alcun metodo di ripristino.

  4. Aprire un prompt dei comandi come amministratore, arrestare il servizio MBAM e quindi impostarlo su manual o su on demand. Quindi, eseguire i comandi seguenti:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Specificare le impostazioni del Registro di sistema per l'agente MBAM in modo da ignorare i Criteri di gruppo ed eseguire il TPM solo per la crittografia del sistema operativo. A tale scopo, eseguire regedit e quindi importare il modello di chiave del Registro di sistema da C:\Programmi\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. In regedit passare a HKLM\SOFTWARE\Microsoft\MBAM e configurare le impostazioni elencate nella tabella riportata di seguito.

    Voce del Registro di sistema Impostazioni di configurazione

    DeploymentTime

    0 = Disattivato

    1 = Viene utilizzata l'impostazione dei criteri in fase di distribuzione (impostazione predefinita)

    UseKeyRecoveryService

    0 = Non viene utilizzato il deposito della chiave (le due voci successive del Registro di sistema non sono necessarie in questo caso).

    1 = Viene utilizzato il deposito della chiave nel sistema di recupero chiavi (impostazione predefinita)

    Consiglio: il computer deve essere in grado di comunicare con il servizio di recupero chiavi. Verificare che il computer possa comunicare con il servizio prima di procedere.

    KeyRecoveryOptions

    0 = Viene caricata solo la chiave di ripristino

    1 = Vengono caricati la chiave di ripristino e il relativo pacchetto (impostazione predefinita)

    KeyRecoveryServiceEndPoint

    Impostare questo valore sull'URL del server Web di recupero chiavi.

    Esempio: http://<nome computer>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Nota

    È possibile impostare qui i criteri o i valori del Registro di sistema di MBAM per sostituire i valori impostati in precedenza.

  7. L'agente MBAM riavvia il sistema durante la distribuzione dei client di MBAM. Quando si è pronti per il riavvio, eseguire il comando seguente da un prompt dei comandi come amministratore:

    net start mbamagent

  8. Quando il computer viene riavviato e il BIOS richiede se accettare una modifica al TPM, rispondere affermativamente.

  9. Durante il processo di creazione dell'immagine del sistema operativo client di Windows, quando si è pronti ad avviare la crittografia, riavviare il servizio dell'agente MBAM. Quindi, per impostare l'avvio su auto, aprire un prompt dei comandi come amministratore ed eseguire i comandi seguenti:

    sc config mbamagent start= auto

    net start mbamagent

  10. Rimuovere i valori del Registro di sistema di bypass. A questo scopo, eseguire regedit, passare alla voce del Registro di sistema HKLM\SOFTWARE\Microsoft, fare clic con il pulsante destro del mouse sul nodo MBAM e quindi scegliere Elimina.

Vedere anche

Altre risorse

Distribuzione del client di MBAM 1.0

-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----