Share via

Sobre o MBAM 2.5

  • Artigo

Microsoft o MBAM (Administração e Monitoramento do BitLocker) 2.5 fornece uma interface administrativa simplificada para a Criptografia de Unidade do BitLocker. O BitLocker oferece proteção aprimorada contra roubo de dados ou exposição de dados para computadores perdidos ou roubados. O BitLocker criptografa todos os dados armazenados nos volumes e unidades do sistema operacional Windows e em unidades de dados configuradas.

Visão geral do MBAM

O MBAM 2.5 tem os seguintes recursos:

  • Permite que os administradores automatizem o processo de criptografar volumes em computadores cliente em toda a empresa.

  • Permite que os agentes de segurança determinem rapidamente o estado de conformidade de computadores individuais ou até mesmo da empresa em si.

  • Fornece gerenciamento centralizado de relatório e de hardware com o Microsoft System Center Configuration Manager.

  • Reduz a carga de trabalho no Help Desk para ajudar os usuários finais com o PIN do BitLocker e solicitações de chave de recuperação.

  • Permite aos usuários finais recuperar dispositivos criptografados de forma independente, usando o Portal de Autoatendimento.

  • Permite que os agentes de segurança auditem facilmente o acesso para recuperar informações importantes.

  • Permite que os usuários do Windows Enterprise continuem a trabalhar em qualquer lugar com a garantia de que seus dados corporativos estão protegidos.

O MBAM impõe as opções de política de criptografia BitLocker definidas para sua empresa, monitora a conformidade dos computadores cliente com essas políticas e relatórios sobre o status de criptografia dos computadores da empresa e do indivíduo. Além disso, o MBAM permite que você acesse as informações da chave de recuperação quando os usuários esquecem seu PIN ou senha, ou quando o BIOS ou registros de inicialização são alterados.

Os seguintes grupos podem estar interessados em usar o MBAM para gerenciar o BitLocker:

  • Administradores, profissionais de segurança de TI e oficiais de conformidade responsáveis por garantir que os dados confidenciais não sejam divulgados sem autorização

  • Administradores responsáveis pela segurança do computador em filiais ou remotas

  • Administradores responsáveis por computadores cliente que estão executando o Windows

Nota O BitLocker não é explicado em detalhes nesta documentação do MBAM. Para obter mais informações, confira Visão geral da Criptografia de Unidade do BitLocker.

Novidades no MBAM 2.5

Esta seção descreve os novos recursos no MBAM 2.5.

Suporte para Microsoft SQL Server 2014

O MBAM adiciona suporte para Microsoft SQL Server 2014, além do mesmo software com suporte em versões anteriores do MBAM.

Modelos de Política de Grupo mbam baixados separadamente

Os Modelos de Política de Grupo do MBAM devem ser baixados separadamente da instalação do MBAM. Nas versões anteriores do MBAM, o instalador do MBAM incluiu um Modelo de Política do MBAM, que continha os GPOs (Objetos de Política de Grupo) específicos do MBAM necessários que definem as configurações de implementação do MBAM para Criptografia de Unidade do BitLocker. Esses GPOs foram removidos do instalador mbam. Agora você baixa os GPOs de Como baixar e implantar modelos de Política de Grupo MDOP (.admx) e copiá-los para um servidor ou estação de trabalho antes de iniciar a instalação do Cliente MBAM. Você pode copiar os Modelos de Política de Grupo para qualquer servidor ou estação de trabalho que esteja executando uma versão com suporte do sistema operacional Windows Server ou Windows.

Importante Não altere as configurações de Política de Grupo no nó Criptografia de Unidade do BitLocker ou o MBAM não funcionará corretamente. Quando você configura as configurações de Política de Grupo no nó MDOP MBAM (Gerenciamento do BitLocker), o MBAM configura automaticamente as configurações de Criptografia de Unidade do BitLocker para você.

Os arquivos de modelo que você precisa copiar para um servidor ou estação de trabalho são:

  • BitLockerManagement.adml

  • BitLockerManagement.admx

  • BitLockerUserManagement.adml

  • BitLockerUserManagement.admx

Copie os arquivos de modelo para o local que melhor atende às suas necessidades. Para os arquivos específicos do idioma, que devem ser copiados para uma pasta específica do idioma, o Console de Gerenciamento Política de Grupo é necessário para exibir os arquivos.

  • Para instalar os arquivos de modelo localmente em um servidor ou estação de trabalho, copie os arquivos para um dos locais a seguir.

    Tipo de arquivo Local do arquivo

    idioma neutro (.admx)

    %systemroot%\policyDefinitions

    linguagem específica (.adml)

    %systemroot%\policyDefinitions[MUIculture] (por exemplo, o arquivo específico da língua inglesa dos EUA será armazenado em %systemroot%</em>policyDefinitions\en-us)

  • Para disponibilizar os modelos a todos os administradores Política de Grupo em um domínio, copie os arquivos para um dos seguintes locais em um controlador de domínio.

    Tipo de arquivo Local do arquivo do controlador de domínio

    Idioma neutro (.admx)

    %systemroot%sysvol\domain\policies\PolicyDefinitions

    Específico do idioma (.adml)

    %systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (por exemplo, o arquivo específico do idioma inglês dos EUA será armazenado em %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)

Para obter mais informações sobre arquivos de modelo, consulte Gerenciando Política de Grupo Guia passo a passo dos arquivos do ADMX.

Capacidade de impor políticas de criptografia no sistema operacional e unidades de dados fixas

O MBAM 2.5 permite impor políticas de criptografia no sistema operacional e unidades de dados fixas para computadores em sua organização e limitar o número de dias que os usuários finais podem solicitar um adiamento do requisito para cumprir as políticas de criptografia MBAM.

Para permitir que você configure a aplicação da política de criptografia, uma nova configuração de Política de Grupo, chamada Configurações de Imposição de Política de Criptografia, foi adicionada para unidades do sistema operacional e unidades de dados fixas. Essa política é descrita na tabela a seguir.

Configuração da Política de Grupo Descrição Política de Grupo nó usado para configurar essa configuração

Configurações de aplicação da política de criptografia (unidade do sistema operacional)

Para essa configuração, use a opção Configurar o número de dias de período de carência de não conformidade para unidades do sistema operacional para configurar um período de carência.

O período de carência especifica o número de dias que os usuários finais podem adiar a conformidade com as políticas do MBAM para sua unidade do sistema operacional depois que a unidade é detectada pela primeira vez como não compatível.

Depois que o período de carência configurado expirar, os usuários não poderão adiar a ação necessária ou solicitar uma isenção dele.

Se a interação do usuário for necessária (por exemplo, se você estiver usando o Módulo de Plataforma Confiável (TPM) + PIN ou usando um protetor de senha), uma caixa de diálogo será exibida e os usuários não poderão fechá-la até que forneçam as informações necessárias. Se o protetor for somente TPM, a criptografia começará imediatamente em segundo plano sem a entrada do usuário.

Os usuários não podem solicitar isenções por meio do assistente de criptografia BitLocker. Em vez disso, eles devem entrar em contato com o Help Desk ou usar qualquer processo que sua organização use para solicitações de isenção.

Modelos administrativos > de políticas > de configuração > do computador MDOP > MBAM (Gerenciamento de BitLocker) > unidade do sistema operacional

Configurações de aplicação da política de criptografia (unidades de dados fixas)

Para essa configuração, use a opção Configurar o número de dias de período de carência de não conformidade para unidades fixas para configurar um período de carência.

O período de carência especifica o número de dias que os usuários finais podem adiar a conformidade com as políticas de MBAM para sua unidade fixa depois que a unidade é detectada pela primeira vez como incompatível.

O período de carência começa quando a unidade fixa é determinada como não compatível. Se você estiver usando o desbloqueio automático, a política não será imposta até que a unidade do sistema operacional esteja em conformidade. No entanto, se você não estiver usando o desbloqueio automático, a criptografia da unidade de dados fixa poderá começar antes que a unidade do sistema operacional seja totalmente criptografada.

Depois que o período de carência configurado expirar, os usuários não poderão adiar a ação necessária ou solicitar uma isenção dele. Se a interação do usuário for necessária, uma caixa de diálogo será exibida e os usuários não poderão fechá-la até que forneçam as informações necessárias.

Modelos > administrativos de políticas > de configuração > do computador MDOP > MBAM (Gerenciamento de BitLocker) > Unidade fixa

Capacidade de fornecer uma URL no assistente de Criptografia de Unidade do BitLocker para apontar para sua política de segurança

Uma nova configuração de Política de Grupo, Fornecer a URL para o link Política de Segurança, permite configurar uma URL que será apresentada aos usuários finais como um link chamado Política de Segurança da Empresa. Esse link será exibido quando o MBAM solicitar que os usuários criptografem um volume.

Se você habilitar essa configuração de política, poderá configurar a URL para o link Política de Segurança da Empresa . Se você desabilitar ou não configurar essa configuração de política, o link Política de Segurança da Empresa não será exibido aos usuários.

A nova configuração de Política de Grupo estálocalizada no seguinte nó GPO:Modelos administrativos de políticas>>> de configuração> de computadorMDOP MBAM (Gerenciamento de BitLocker) > gerenciamento de clientes.

Suporte para chaves de recuperação compatíveis com FIPS

O MBAM 2.5 dá suporte a chaves de recuperação do BitLocker (Padrão de Processamento de Informações Federais) em dispositivos que executam o sistema operacional Windows 8.1. A chave de recuperação não estava em conformidade com o FIPS em versões anteriores do Windows. Esse aprimoramento aprimora o processo de recuperação de unidade em organizações que exigem conformidade FIPS porque permite que os usuários finais usem o Portal Self-Service ou o Site de Administração e Monitoramento (Help Desk) para recuperar suas unidades se esquecerem de seu PIN ou senha ou serem bloqueados de seus computadores. O novo recurso de conformidade FIPS não se estende a protetores de senha.

Para habilitar a conformidade fips em sua organização, você deve configurar as configurações de Política de Grupo do Padrão federal de Processamento de Informações (FIPS). Para obter instruções de configuração, consulte Configurações de Política de Grupo do BitLocker.

Para computadores cliente que estão executando os sistemas operacionais Windows 8 ou Windows 7 sem o hotfix do BitLocker instalado, os administradores de TI continuarão a usar o protetor DRA (Data Recovery Agents) em ambientes compatíveis com FIPS. Para obter informações sobre o DRA, consulte Usando agentes de recuperação de dados com BitLocker.

Consulte Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 to download and install the BitLocker hotfix for Windows 7 and Windows 8 computers.

Suporte para implantações de alta disponibilidade

O MBAM dá suporte aos seguintes cenários de alta disponibilidade, além das topologias de integração de dois servidores e Configuration Manager padrão:

  • SQL Server grupos de disponibilidade AlwaysOn

  • clustering SQL Server

  • NLB (balanceamento de carga de rede)

  • espelhamento SQL Server

  • Backup do VSS (Serviço de Cópia de Sombra de Volume)

Para obter mais informações sobre esses recursos, confira Planejamento para MBAM 2.5 Alta Disponibilidade.

O gerenciamento de funções para Administração e Monitoramento do Site foi alterado

No MBAM 2.5, você deve criar grupos de segurança em Active Directory Domain Services (AD DS) para gerenciar as funções que fornecem direitos de acesso ao Site de Administração e Monitoramento. As funções permitem que os usuários que estão em grupos de segurança específicos executem tarefas diferentes no site, como exibir relatórios ou ajudar os usuários finais a recuperar unidades criptografadas. Nas versões anteriores do MBAM, as funções eram gerenciadas usando grupos locais.

No MBAM 2.5, o termo "funções" substitui o termo "funções de administrador", que foi usado em versões anteriores do MBAM. Além disso, no MBAM 2.5, a função "Administradores do Sistema MBAM" foi removida.

A tabela a seguir lista os grupos de segurança que você deve criar no AD DS. Você pode usar qualquer nome para os grupos de segurança.

Função Direitos de acesso para essa função no Site de Administração e Monitoramento

Usuários do Helpdesk do MBAM

Fornece acesso às áreas Gerenciar TPM e Recuperação de Unidade do Site de Administração e Monitoramento do MBAM. Os usuários que têm acesso a essas áreas devem preencher todos os campos quando usam qualquer área.

Usuários de Relatório MBAM

Fornece acesso aos Relatórios no Site de Administração e Monitoramento.

Usuários de helpdesk avançados do MBAM

Fornece acesso a todas as áreas no Site de Administração e Monitoramento. Os usuários desse grupo precisam inserir apenas a chave de recuperação, não o domínio e o nome de usuário do usuário final, ao ajudar os usuários finais a recuperar suas unidades. Se um usuário for membro do grupo Usuários do Helpdesk do MBAM e do grupo Usuários auxiliares avançados do MBAM, as permissões do grupo Usuários auxiliares avançados do MBAM substituirão as permissões do grupo Usuários do Helpdesk do MBAM.

Depois de criar os grupos de segurança no AD DS, atribua usuários e/ou grupos ao grupo de segurança apropriado para habilitar o nível correspondente de acesso ao Site de Administração e Monitoramento. Para permitir que indivíduos com cada função acessem o Site de Administração e Monitoramento, você também deve especificar cada grupo de segurança ao configurar o Site de Administração e Monitoramento.

Windows PowerShell cmdlets para configurar recursos do SERVIDOR MBAM

Windows PowerShell cmdlets para MBAM 2.5 permitem configurar e gerenciar os recursos do SERVIDOR MBAM. Cada recurso tem um cmdlet Windows PowerShell correspondente que você pode usar para habilitar ou desabilitar recursos ou para obter informações sobre o recurso.

Para pré-requisitos e pré-requisitos para usar Windows PowerShell, consulte Configurando recursos do servidor MBAM 2.5 usando Windows PowerShell.

Para carregar a ajuda do MBAM 2.5 para cmdlets Windows PowerShell depois de instalar o software do MBAM Server

  1. Abra Windows PowerShell ou Windows PowerShell ISE (ambiente de script integrado).

  2. Digite Update-Help –Module Microsoft. MBAM.

Windows PowerShell Ajuda para MBAM está disponível nos seguintes formatos:

Windows PowerShell formato de ajuda Mais informações

Em um prompt de comando Windows PowerShell, digitecmdletGet-Help<>

Para carregar os cmdlets Windows PowerShell mais recentes, siga as instruções na seção anterior sobre como carregar Windows PowerShell Ajuda para MBAM.

No TechNet como páginas da Web

https://go.microsoft.com/fwlink/?LinkId=393498

No arquivo Download Center as a Word .docx

https://go.microsoft.com/fwlink/?LinkId=393497

No Centro de Download como um arquivo .pdf

https://go.microsoft.com/fwlink/?LinkId=393499

Suporte para PINs somente ASCII e aprimorados e capacidade de evitar caracteres sequenciais e repetitivos

Permitir PINs aprimorados para configuração de Política de Grupo de inicialização

A configuração Política de Grupo, Permitir PINs aprimorados para inicialização, permite configurar se PINs de inicialização aprimorados são usados com BitLocker. PiNs de inicialização aprimorados permitem que os usuários insiram todas as teclas em um teclado completo, incluindo letras maiúsculas e minúsculas, símbolos, números e espaços. Se você habilitar essa configuração de política, todos os novos PINs de inicialização do BitLocker definidos serão PINs aprimorados. Se você desabilitar ou não configurar essa configuração de política, piNs aprimorados não poderão ser usados.

Nem todos os computadores dão suporte à entrada de PINs aprimorados no PXE (ambiente de execução de pré-inicialização). Antes de habilitar essa configuração de Política de Grupo para sua organização, execute uma verificação do sistema durante o processo de instalação do BitLocker para garantir que o BIOS do computador dê suporte ao uso do teclado completo no PXE. Para obter mais informações, consulte Planejamento para requisitos de Política de Grupo mbam 2.5.

Exigir caixa de seleção PINs somente ASCII

A configuração Permitir PINs aprimorados para inicialização Política de Grupo também contém uma caixa de seleção Exigir PINs somente ASCII. Se os computadores da sua organização não derem suporte ao uso do teclado completo no PXE, você poderá habilitar os PINs avançados para inicialização Política de Grupo configuração e, em seguida, selecione a caixa de seleção Exigir PINs somente ASCII para exigir que PINs aprimorados usem apenas caracteres ASCII imprimíveis.

Uso forçado de caracteres não sequenciais e nãoredos

O MBAM 2.5 impede que os usuários finais criem PINs que consistem em números repetidos (como 1111) ou números sequenciais (como 1234). Se os usuários finais tentarem inserir uma senha que contenha três ou mais números repetitivos ou sequenciais, o assistente de Criptografia de Unidade do Bitlocker exibirá uma mensagem de erro e impedirá que os usuários insiram um PIN com os caracteres proibidos.

Adição do certificado DRA ao relatório de conformidade do computador BitLocker

Um novo tipo de protetor, o Certificado DRA (Agente de Recuperação de Dados), foi adicionado ao Relatório de Conformidade do Computador BitLocker no Configuration Manager. Esse tipo de protetor se aplica a unidades do sistema operacional e aparece na seção Volumes de Computador na coluna Tipos de Protetor .

Suporte para implantações de suporte de várias florestas

O MBAM 2.5 dá suporte aos seguintes tipos de implantações de várias florestas:

  • Floresta única com domínio único

  • Floresta única com uma única árvore e vários domínios

  • Floresta única com várias árvores e namespaces desarticulados

  • Várias florestas em uma topologia de floresta central

  • Várias florestas em uma topologia de floresta de recursos

Não há suporte para migração florestal (indo de um único para vários, múltiplos para únicos, recurso para toda a floresta, etc.) ou atualizar ou fazer downgrade.

Os pré-requisitos para implantar o MBAM em implantações de várias florestas são:

  • A floresta deve estar em execução em versões com suporte do Windows Server.

  • É necessária uma confiança bidirecional ou unidirecional. As confianças unidirecionais exigem que o domínio do servidor confie no domínio do cliente. Em outras palavras, o domínio do servidor é apontado para o domínio do cliente.

Suporte ao cliente MBAM para discos rígidos criptografados

O MBAM dá suporte ao BitLocker em Discos Rígidos Criptografados que atendem aos requisitos de especificação TCG para Opal, bem como aos padrões IEEE 1667. Quando o BitLocker estiver habilitado nesses dispositivos, ele gerará chaves e executará funções de gerenciamento na unidade criptografada. Consulte Disco Rígido Criptografado para obter mais informações.

Como obter tecnologias MDOP

O MBAM faz parte do MDOP (Pacote de Otimização da Área de Trabalho) Microsoft. O MDOP faz parte do programa Microsoft Software Assurance. Para obter mais informações sobre o programa Microsoft Software Assurance e como adquirir o MDOP, consulte Como obter MDOP?.

Notas de versão do MBAM 2.5

Para obter mais informações e notícias de última hora que não estão incluídas nesta documentação, consulte Notas de Versão para MBAM 2.5.

Tem uma sugestão para MBAM?

Microsoft Administração e Monitoramento do BitLocker 2.5

Introdução ao MBAM 2.5