Compartilhar via

Implantando o cliente MBAM como parte de uma implantação do Windows

  • Artigo

O cliente MBAM (Administração e Monitoramento do Microsoft BitLocker) permite que os administradores imponham e monitorem a criptografia de unidade do BitLocker em computadores da empresa. Se os computadores que têm um chip TPM (Trusted Platform Module), o cliente BitLocker poderá ser integrado a uma organização habilitando o gerenciamento e a criptografia do BitLocker em computadores cliente como parte do processo de implantação de imagens e windows.

Observação
Para examinar os requisitos do sistema cliente de administração e monitoramento do Microsoft BitLocker, consulte Configurações com suporte do MBAM 2.0.

Criptografar computadores cliente com BitLocker durante o estágio inicial de imagem de uma implantação do Windows pode reduzir a sobrecarga administrativa necessária para implementar o MBAM em uma organização. Ele também garante que todos os computadores implantados já tenham o BitLocker em execução e estejam configurados corretamente.

Observação
O procedimento neste tópico descreve a modificação do registro do Windows. Usar o Editor do Registro incorretamente pode causar sérios problemas que podem exigir que você reinstale o Windows. A Microsoft não pode garantir que problemas resultantes do uso incorreto do Editor de Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco.

Para criptografar um computador como parte da implantação do Windows

  1. Se sua organização estiver planejando usar o protetor TPM (Trusted Platform Module) ou as opções de protetor TPM + PIN no BitLocker, você deverá ativar o chip TPM antes da implantação inicial do MBAM. Ao ativar o chip TPM, você evita uma reinicialização mais tarde no processo e garante que os chips TPM estejam configurados corretamente de acordo com os requisitos da sua organização. Você deve ativar o chip TPM manualmente no BIOS do computador.

    Observação
    Alguns fornecedores fornecem ferramentas para ativar e ativar o chip TPM no BIOS de dentro do sistema operacional. Consulte a documentação do fabricante para obter mais detalhes sobre como configurar o chip TPM.

  2. Instale o agente cliente de Administração e Monitoramento do Microsoft BitLocker.

  3. Junte o computador a um domínio (recomendado).

    • Se o computador não estiver ingressado no domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chaves do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra a menos que a chave de recuperação possa ser armazenada.

    • Se um computador começar no modo de recuperação antes que a chave de recuperação seja armazenada no SERVIDOR MBAM, o computador precisará ser reimageado. Nenhum método de recuperação está disponível.

  4. Execute o prompt de comando como administrador, interrompa o serviço MBAM e defina o serviço como manual ou sob demanda e comece digitando os seguintes comandos:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Defina as configurações de registro para o agente MBAM ignorar Política de Grupo e executar o TPM para criptografia somente do sistema operacional executando Regedit e importando o modelo de chave do registro de C:\Arquivos de Programa\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. No regedit, acesse HKLM\SOFTWARE\Microsoft\MBAM e configure as configurações listadas na tabela a seguir.

    Entrada do Registro

    Definições de configuração

    DeploymentTime

    0 = OFF

    1 = Usar configurações de política de tempo de implantação (padrão)

    UseKeyRecoveryService

    0 = Não use o escrow de chave ( as duas próximas entradas de registro não são necessárias nesse caso)

    1 = Usar o escrow de chave no sistema de Recuperação de Chaves (padrão)

    Recomendado: o computador deve ser capaz de se comunicar com o serviço de Recuperação de Chaves. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.

    KeyRecoveryOptions

    0 = Carrega somente a chave de recuperação

    1 = Carrega a Chave de Recuperação e o Pacote de Recuperação de Chaves (padrão)

    KeyRecoveryServiceEndPoint

    Defina esse valor como a URL do servidor Web do Key Recovery, por exemplo, http://< nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.

Observação
A política do MBAM ou os valores do registro podem ser definidos aqui para substituir os valores definidos anteriormente.

  1. O agente MBAM reinicia o sistema durante a implantação do cliente MBAM. Quando estiver pronto para essa reinicialização, execute o seguinte comando em um prompt de comando como administrador:

    net start mbamagent

  2. Quando os computadores são reiniciados e o BIOS solicita que você aceite uma alteração do TPM, aceite a alteração.

  3. Durante o processo de imagem do sistema operacional cliente Windows, quando você estiver pronto para iniciar a criptografia, reinicie o serviço do agente MBAM e defina iniciar como automático executando um prompt de comando como administrador e digitando os seguintes comandos:

    sc config mbamagent start= auto

    net start mbamagent

  4. Remova os valores de registro de bypass executando Regedit e indo para a entrada HKLM\SOFTWARE\Microsoft Registry. Para excluir o nó MBAM , clique com o botão direito do mouse no nó e clique em Excluir.

Implantando o Cliente do MBAM 2.0