Compartilhar via

Como implantar o cliente do MBAM como parte de uma implantação do Windows

  • Artigo

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0

O Cliente do Microsoft BitLocker Administration and Monitoring (MBAM) permite que os administradores apliquem e monitorem a criptografia de unidade de disco BitLocker em computadores na empresa. Em computadores com um chip do TPM (Trusted Platform Module), o cliente do BitLocker pode ser integrado a uma organização por meio da habilitação do gerenciamento e da criptografia do BitLocker em computadores clientes como parte da geração de imagens e do processo de implantação do Windows.

Dica

Para rever os requisitos de sistema para o Cliente do Microsoft BitLocker Administration and Monitoring, consulte Configurações com suporte do MBAM 2.0.

A criptografia de computadores clientes com BitLocker durante a fase inicial de geração de imagens de uma implantação do Windows pode reduzir a sobrecarga administrativa necessária para a implementação do MBAM em uma organização. Ela também garante que cada computador implantado já tenha o BitLocker em execução e configurado corretamente.

Dica

O procedimento neste tópico descreve a modificação do registro do Windows. O uso incorreto do Editor do Registro pode causar problemas sérios que talvez exijam a reinstalação do Windows. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua própria conta e risco.

Para criptografar um computador como parte da implantação do Windows

  1. Se sua organização planeja usar as opções de protetor do TPM (Trusted Platform Module) ou de protetor do TPM + PIN no BitLocker, você deverá ativar o chip do TPM antes da implantação inicial do MBAM. Quando você ativa o chip do TPM, evita uma reinicialização posterior no processo e garante que os chips do TPM estão configurados corretamente de acordo com os requisitos da sua organização. Você deve ativar o chip do TPM manualmente no BIOS do computador.

    Dica

    Alguns fornecedores fornecem ferramentas para ativar o chip do TPM no BIOS a partir do sistema operacional. Consulte a documentação do fabricante para obter mais detalhes sobre como configurar o chip do TPM.

  2. Instale o agente cliente do Microsoft BitLocker Administration and Monitoring .

  3. Adicione o computador a um domínio (recomendado).

    • Se o computador não tiver sido adicionado ao domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chave do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra, a menos que a chave de recuperação seja armazenada.

    • Se um computador for iniciado no modo de recuperação antes de a chave de recuperação ser armazenada no Servidor do MBAM, será necessário criar outra imagem do computador. Nenhum método de recuperação está disponível.

  4. Execute o prompt de comando como administrador, interrompa o serviço do MBAM e defina o serviço como manual ou sob demanda e comece digitando os seguintes comandos:

    net stop mbamagent

    sc config mbamagent start = demand

  5. Defina as configurações do Registro para que o agente do MBAM ignore a Política de Grupo e execute o TPM para criptografia apenas do sistema operacional executando Regedit e importando o modelo de chave de registro de C:\Arquivos de Programas\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. No Regedit, vá para HKLM\SOFTWARE\Microsoft\MBAM e defina as configurações que estão listadas na tabela a seguir.

    Entrada de registro Definições de configuração

    DeploymentTime

    0 = DESATIVADO

    1 = Usar as configurações da política do tempo de implantação (padrão)

    UseKeyRecoveryService

    0 = Não usar caução de chaves (as duas entradas seguintes do registro não são necessárias, neste caso)

    1 = Usar caução de chave no sistema de recuperação de chave (padrão)

    Recomendado: O computador deve poder se comunicar com o serviço de recuperação de chave. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.

    KeyRecoveryOptions

    0 = Carrega somente a chave de recuperação

    1 = Carrega a chave de recuperação e o pacote de recuperação de chave (padrão)

    KeyRecoveryServiceEndPoint

    Defina este valor para a URL do servidor Web de recuperação de chave, por exemplo, http://<nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Dica

    Os valores do registro ou a política do MBAM podem ser definidos aqui para substituir os valores definidos anteriormente.

  7. O agente do MBAM reinicia o sistema durante a implantação do cliente do MBAM. Quando estiver pronto para essa reinicialização, execute o comando a seguir como administrador em um prompt de comando:

    net start mbamagent

  8. Quando o computador reinicializar e o BIOS solicitar que você aceite uma alteração do TPM, aceite a alteração.

  9. Durante o processo de geração de imagem do sistema operacional do cliente Windows, quando você estiver pronto para começar a criptografia, reinicie o serviço do agente do MBAM e defina para iniciar como automático executando um prompt de comando como administrador e digitando os seguintes comandos:

    sc config mbamagent start= auto

    net start mbamagent

  10. Remova os valores de registro de desvio executando Regedit e indo para a entrada de registro HKLM\SOFTWARE\Microsoft. Para excluir o nó do MBAM, clique com o botão direito do mouse no nó e clique em Excluir.

Consulte Também

Outros Recursos

Implantando o Cliente do MBAM 2.0

-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----