Como implantar o cliente do MBAM como parte de uma implantação do Windows
Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.0
O Cliente do Microsoft BitLocker Administration and Monitoring (MBAM) permite que os administradores apliquem e monitorem a criptografia de unidade de disco BitLocker em computadores na empresa. Em computadores com um chip do TPM (Trusted Platform Module), o cliente do BitLocker pode ser integrado a uma organização por meio da habilitação do gerenciamento e da criptografia do BitLocker em computadores clientes como parte da geração de imagens e do processo de implantação do Windows.
Dica
Para rever os requisitos de sistema para o Cliente do Microsoft BitLocker Administration and Monitoring, consulte Configurações com suporte do MBAM 2.0.
A criptografia de computadores clientes com BitLocker durante a fase inicial de geração de imagens de uma implantação do Windows pode reduzir a sobrecarga administrativa necessária para a implementação do MBAM em uma organização. Ela também garante que cada computador implantado já tenha o BitLocker em execução e configurado corretamente.
Dica
O procedimento neste tópico descreve a modificação do registro do Windows. O uso incorreto do Editor do Registro pode causar problemas sérios que talvez exijam a reinstalação do Windows. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua própria conta e risco.
Para criptografar um computador como parte da implantação do Windows
Se sua organização planeja usar as opções de protetor do TPM (Trusted Platform Module) ou de protetor do TPM + PIN no BitLocker, você deverá ativar o chip do TPM antes da implantação inicial do MBAM. Quando você ativa o chip do TPM, evita uma reinicialização posterior no processo e garante que os chips do TPM estão configurados corretamente de acordo com os requisitos da sua organização. Você deve ativar o chip do TPM manualmente no BIOS do computador.
Dica
Alguns fornecedores fornecem ferramentas para ativar o chip do TPM no BIOS a partir do sistema operacional. Consulte a documentação do fabricante para obter mais detalhes sobre como configurar o chip do TPM.
Instale o agente cliente do Microsoft BitLocker Administration and Monitoring .
Adicione o computador a um domínio (recomendado).
Se o computador não tiver sido adicionado ao domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chave do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra, a menos que a chave de recuperação seja armazenada.
Se um computador for iniciado no modo de recuperação antes de a chave de recuperação ser armazenada no Servidor do MBAM, será necessário criar outra imagem do computador. Nenhum método de recuperação está disponível.
Execute o prompt de comando como administrador, interrompa o serviço do MBAM e defina o serviço como manual ou sob demanda e comece digitando os seguintes comandos:
net stop mbamagent
sc config mbamagent start = demand
Defina as configurações do Registro para que o agente do MBAM ignore a Política de Grupo e execute o TPM para criptografia apenas do sistema operacional executando Regedit e importando o modelo de chave de registro de C:\Arquivos de Programas\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
No Regedit, vá para HKLM\SOFTWARE\Microsoft\MBAM e defina as configurações que estão listadas na tabela a seguir.
Entrada de registro Definições de configuração DeploymentTime
0 = DESATIVADO
1 = Usar as configurações da política do tempo de implantação (padrão)
UseKeyRecoveryService
0 = Não usar caução de chaves (as duas entradas seguintes do registro não são necessárias, neste caso)
1 = Usar caução de chave no sistema de recuperação de chave (padrão)
Recomendado: O computador deve poder se comunicar com o serviço de recuperação de chave. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.
KeyRecoveryOptions
0 = Carrega somente a chave de recuperação
1 = Carrega a chave de recuperação e o pacote de recuperação de chave (padrão)
KeyRecoveryServiceEndPoint
Defina este valor para a URL do servidor Web de recuperação de chave, por exemplo, http://<nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.
Dica
Os valores do registro ou a política do MBAM podem ser definidos aqui para substituir os valores definidos anteriormente.
O agente do MBAM reinicia o sistema durante a implantação do cliente do MBAM. Quando estiver pronto para essa reinicialização, execute o comando a seguir como administrador em um prompt de comando:
net start mbamagent
Quando o computador reinicializar e o BIOS solicitar que você aceite uma alteração do TPM, aceite a alteração.
Durante o processo de geração de imagem do sistema operacional do cliente Windows, quando você estiver pronto para começar a criptografia, reinicie o serviço do agente do MBAM e defina para iniciar como automático executando um prompt de comando como administrador e digitando os seguintes comandos:
sc config mbamagent start= auto
net start mbamagent
Remova os valores de registro de desvio executando Regedit e indo para a entrada de registro HKLM\SOFTWARE\Microsoft. Para excluir o nó do MBAM, clique com o botão direito do mouse no nó e clique em Excluir.
Consulte Também
Outros Recursos
Implantando o Cliente do MBAM 2.0
-----
Você pode saber mais sobre o MDOP na Biblioteca do TechNet, pesquisar por solução de problemas no TechNet Wiki ou nos seguir no Facebook ou Twitter.
-----