Compartilhar via


Como habilitar o BitLocker usando o MBAM como parte de uma implantação do Windows

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Este tópico explica como habilitar o BitLocker no computador de um usuário final usando o MBAM como parte do seu processo de geração de imagens e implantação do Windows.

Pré-requisitos:

  • Um processo de implantação de imagens existente do Windows – Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager ou alguma outra ferramenta ou processo de geração de imagens – deve estar implementado

  • O TPM deve estar habilitado no BIOS e visível para o sistema operacional

  • A infraestrutura de servidor do MBAM deve estar implementada e acessível

  • A partição de sistema exigida pelo BitLocker deve ser criada.

  • O computador deve ter seu domínio associado durante a geração de imagens antes de o MBAM habilitar o BitLocker totalmente

Habilitar o BitLocker usando o MBAM 2.5 SP1 como parte de uma implantação do Windows

  • No MBAM 2.5 SP1, a abordagem recomendada para habilitar o BitLocker durante uma implantação do Windows é usar o script Invoke-MbamClientDeployment.ps1 do PowerShell.

    • O script Invoke-MbamClientDeployment.ps1 aplica o BitLocker durante o processo de geração de imagens. Quando exigido pela política do BitLocker, o agente MBAM imediatamente solicita que o usuário do domínio crie um PIN ou senha quando fizer logon pela primeira vez após a geração de imagens.

    • Fácil de usar com o MDT, com o System Center Configuration Manager ou com processos autônomos de geração de imagens

    • Compatível com o PowerShell 2.0 ou superior

    • Criptografe o volume do sistema operacional com o protetor de chave TPM

    • Suporte completo ao pré-provisionamento do BitLocker

    • Opcionalmente, criptografe FDDs

    • Faça a caução do OwnerAuth do TPM, mesmo no Windows 8 ou superior (o MBAM ainda deverá ser proprietário do TPM no Windows 7 para que a caução ocorra)

    • Faça a caução das chaves de recuperação e dos pacotes de chaves de recuperação

    • Relate o status da criptografia imediatamente

    • Novos provedores de WMI

    • Registro em log detalhado

    • Sólido tratamento de erro

    Você pode baixar o script Invoke-MbamClientDeployment.ps1 no Centro de Download da Microsoft.com. Este é o script principal que seu sistema de implantação chamará para configurar a criptografia de unidade de disco BitLocker e registrar as chaves de recuperação com o MBAM Server.

    Métodos de implantação de WMI para o MBAM: Os seguintes métodos de WMI foram adicionados ao MBAM 2.5 SP1 para dar suporte à habilitação do BitLocker usando o script Invoke-MbamClientDeployment.ps1 do PowerShell.

    • Classe MBAM_Machine de WMI
      PrepareTpmAndEscrowOwnerAuth: Lê o OwnerAuth de TPM e o envia para o banco de dados de recuperação do MBAM usando o serviço de recuperação do MBAM. Se o TPM não for atribuído e o provisionamento automático não estiver ligado, ele gera um OwnerAuth do TPM e assume a propriedade dele. Se ele falhar, um código de erro é exibido para solução de problemas.

      Parâmetro Descrição

      RecoveryServiceEndPoint

      Uma cadeia de caracteres que especifica o ponto de extremidade do serviço de recuperação do MBAM.

      Valores de exibição comuns Mensagem de erro

      S_OK

      0 (0x0)

      O método foi bem-sucedido

      MBAM_E_TPM_NOT_PRESENT

      2147746304 (0x80040200)

      O TPM não está presente no computador ou está desabilitado na configuração do BIOS.

      MBAM_E_TPM_INCORRECT_STATE

      2147746305 (0x80040201)

      O TPM não está no estado correto (habilitado, ativado e instalação do proprietário permitida).

      MBAM_E_TPM_AUTO_PROVISIONING_PENDING

      2147746306 (0x80040202)

      O MBAM não pode assumir a propriedade do TPM porque o provisionamento automático está pendente. Tente novamente após a conclusão do provisionamento automático.

      MBAM_E_TPM_OWNERAUTH_READFAIL

      2147746307 (0x80040203)

      O MBAM não pode ler o valor de autorização do proprietário do TPM. O valor pode ter sido removido após uma caução bem-sucedida. No Windows 7, o MBAM não pode ler o valor se o TPM for atribuído a outras pessoas.

      MBAM_E_REBOOT_REQUIRED

      2147746308 (0x80040204)

      O computador deve ser reiniciado para configurar o TPM para o estado correto. Talvez seja necessário reinicializar o computador manualmente.

      MBAM_E_SHUTDOWN_REQUIRED

      2147746309 (0x80040205)

      O computador deve ser desligado e religado para configurar o TPM para o estado correto. Talvez seja necessário reinicializar o computador manualmente.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      O acesso foi negado pelo ponto de extremidade remoto.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      O ponto de extremidade remoto não existe ou não pôde ser localizado.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      O ponto de extremidade remoto não pôde processar a solicitação.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      O ponto de extremidade remoto não estava acessível.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Foi recebida uma mensagem que contém uma falha do ponto de extremidade remoto. Verifique se que você está se conectando ao ponto de extremidade de serviço correto.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      A URL do endereço do ponto de extremidade não é válida. A URL deve começar com "http" ou "https".

      ReportStatus: Lê o status de conformidade do volume e o envia para o banco de dados de status de conformidade do MBAM usando o serviço de relatórios de status do MBAM. O status inclui a força da criptografia, o tipo de protetor, o estado do protetor e o estado da criptografia. Se ele falhar, um código de erro é exibido para solução de problemas.

      Parâmetro Descrição

      ReportingServiceEndPoint

      Uma cadeia de caracteres que especifica o ponto de extremidade de serviço de relatórios de status do MBAM.

      Valores de exibição comuns Mensagem de erro

      S_OK

      0 (0x0)

      O método foi bem-sucedido

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      O acesso foi negado pelo ponto de extremidade remoto.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      O ponto de extremidade remoto não existe ou não pôde ser localizado.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      O ponto de extremidade remoto não pôde processar a solicitação.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      O ponto de extremidade remoto não estava acessível.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Foi recebida uma mensagem que contém uma falha do ponto de extremidade remoto. Verifique se que você está se conectando ao ponto de extremidade de serviço correto.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      A URL do endereço do ponto de extremidade não é válida. A URL deve começar com "http" ou "https".

    • Classe MBAM_Volume de WMI
      EscrowRecoveryKey: Lê a senha numérica de recuperação e o pacote de chaves do volume e os envia ao banco de dados de recuperação do MBAM usando o serviço de recuperação do MBAM. Se ele falhar, um código de erro é exibido para solução de problemas.

      Parâmetro Descrição

      RecoveryServiceEndPoint

      Uma cadeia de caracteres que especifica o ponto de extremidade do serviço de recuperação do MBAM.

      Valores de exibição comuns Mensagem de erro

      S_OK

      0 (0x0)

      O método foi bem-sucedido

      FVE_E_LOCKED_VOLUME

      2150694912 (0x80310000)

      O volume está bloqueado.

      FVE_E_PROTECTOR_NOT_FOUND

      2150694963 (0x80310033)

      Um protetor de senha numérica não foi encontrado para o volume.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      O acesso foi negado pelo ponto de extremidade remoto.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      O ponto de extremidade remoto não existe ou não pôde ser localizado.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      O ponto de extremidade remoto não pôde processar a solicitação.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      O ponto de extremidade remoto não estava acessível.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Foi recebida uma mensagem que contém uma falha do ponto de extremidade remoto. Verifique se que você está se conectando ao ponto de extremidade de serviço correto.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      A URL do endereço do ponto de extremidade não é válida. A URL deve começar com "http" ou "https".

  • Implantar o MBAM usando o Microsoft Deployment Toolkit (MDT) e o PowerShell

    1. No MDT, crie um novo compartilhamento de implantação ou abra um compartilhamento de implantação existente.

      Dica

      O script Invoke-MbamClientDeployment.ps1 do PowerShell pode ser usado com qualquer processo ou ferramenta de geração de imagens. Esta seção mostra como integrá-lo usando o MDT, mas as etapas são semelhantes à integração dele com qualquer outro processo ou ferramenta.

      Aviso

      Se você estiver usando o pré-provisionamento BitLocker (WinPE) e quiser manter o valor de autorização de proprietário do TPM, deve adicionar o script SaveWinPETpmOwnerAuth.wsf ao WinPE imediatamente que a instalação seja reinicializada ao sistema operacional completo. Se você não usar esse script, perderá o valor de autorização do proprietário do TPM na reinicialização.

    2. Copie Invoke-MbamClientDeployment.ps1 para <DeploymentShare>\Scripts. Se estiver usando o pré-provisionamento, copie o arquivo SaveWinPETpmOwnerAuth.wsf em <DeploymentShare>\Scripts.

    3. Adicione o aplicativo cliente MBAM 2.5 SP1 ao nó de aplicativos do compartilhamento de implantação.

      1. No nó Aplicativos, clique em Novo Aplicativo.

      2. Selecione Aplicativo com Arquivos de Origem. Clique em Avançar.

      3. Em Nome do Aplicativo, digite "Cliente MBAM 2.5 SP1". Clique em Avançar.

      4. Navegue até o diretório que contém MBAMClientSetup-<Version>.msi. Clique em Avançar.

      5. Digite "Cliente MBAM 2.5 SP1" como o diretório que será criado. Clique em Avançar.

      6. Digite msiexec /i MBAMClientSetup-<Version>.msi /quiet na linha de comando. Clique em Avançar.

      7. Aceite os padrões restantes para concluir o assistente de Novo Aplicativo.

    4. No MDT, clique com o botão direito do mouse no nome do compartilhamento de implantação e clique em Properties. Clique na guia Rules. Adicione as seguintes linhas:

      SkipBitLocker=YES
      BDEInstall=TPM
      BDEInstallSuppress=NO
      BDEWaitForEncryption=YES

      Clique em OK para fechar a janela.

    5. No nó Sequências de Tarefas, edite uma sequência de tarefas existente usada para a implantação do Windows. Se desejar, você pode criar uma nova sequência de tarefas clicando com o botão direito no nó Sequências de Tarefas, selecionando Nova Sequência de Tarefas e concluindo o assistente.

      Na guia Sequência de Tarefas da sequência de tarefas selecionada, execute estas etapas:

      1. Na pasta Pré-instalação, habilite a tarefa opcional Habilitar BitLocker (Offline) se desejar que o BitLocker seja habilitado no WinPE, que criptografa apenas o espaço usado.

      2. Para manter o OwnerAuth do TPM ao usar o pré-provisionamento, permitindo que o MBAM faça a caução dele mais tarde, faça o seguinte:

        1. Encontre a etapa Instalar o Sistema Operacional

        2. Adicione uma nova etapa Executar Linha de Comando depois dela

        3. Nomeie a etapa como Persistir o OwnerAuth do TPM

        4. Defina a linha de comando como cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

      3. Na pasta Restauração de Estado, exclua a tarefa Habilitar BitLocker.

      4. Na pasta Restauração de Estado em Tarefas Personalizadas, crie uma nova tarefa Instalar Aplicativo e nomeie-a como Instalar o Agente do MBAM. Clique no botão de opção Instalar Aplicativo Único e navegue até o aplicativo cliente MBAM 2.5 SP1 criado anteriormente.

      5. Na pasta Restauração de Estado em Tarefas Personalizadas, crie uma nova tarefa Executar Script do PowerShell (após a etapa do aplicativo cliente do MBAM 2.5 SP1) com as seguintes configurações (atualize os parâmetros conforme adequado para seu ambiente):

        • Nome                      : Configurar o BitLocker para o MBAM

        • Script do PowerShell: Invoke-MbamClientDeployment.ps1

        • Parâmetros:

          -RecoveryServiceEndpoint

          Obrigatório

          Ponto de extremidade de serviço de recuperação do MBAM

          -StatusReportingServiceEndpoint

          Opcional

          Ponto de extremidade de serviço de relatórios de status do MBAM

          -EncryptionMethod

          Opcional

          Método de criptografia (padrão: AES 128)

          -EncryptAndEscrowDataVolume

          Opção

          Especifique para criptografar o(s) volume(s) de dados e fazer a caução da(s) chave(s) de recuperação dos volumes de dados

          -WaitForEncryptionToComplete

          Opção

          Especifique para aguardar a conclusão da criptografia

          -DoNotResumeSuspendedEncryption

          Opção

          Especifique que o script de implantação não será retomará a criptografia suspensa

          -IgnoreEscrowOwnerAuthFailure

          Opção

          Especifique para ignorar a falha de caução de autenticação de proprietário do TPM. Deve ser usado nos cenários em que o MBAM não pode ler a autenticação de proprietário do TPM, por exemplo, se o provisionamento automático do TPM estiver habilitado

          -IgnoreEscrowRecoveryKeyFailure

          Opção

          Especifique para ignorar a falha de caução da chave de recuperação do volume

          -IgnoreReportStatusFailure

          Opção

          Especifique para ignorar a falha dos relatórios de status

Habilitar o BitLocker usando o MBAM 2.5 ou versão anterior como parte de uma implantação do Windows

  1. Instale o Cliente MBAM. Para obter instruções, consulte Como implantar o cliente MBAM usando uma linha de comando.

  2. Adicione o computador a um domínio (recomendado).

    • Se o computador não tiver ingressado em um domínio, a senha de recuperação não será armazenada no serviço de Recuperação de Chave do MBAM. Por padrão, o MBAM não permite que a criptografia ocorra, a menos que a chave de recuperação seja armazenada.

    • Se um computador for iniciado no modo de recuperação antes de a chave de recuperação ser armazenada no Servidor do MBAM, não estará disponível um método de recuperação e será necessário criar outra imagem do computador.

  3. Abra um prompt de comando como administrador e interrompa o serviço do MBAM.

  4. Defina o serviço para Manual ou Sob demanda digitando os seguintes comandos:

    net stop mbamagent

    sc config mbamagent start = demand

  5. Defina os valores de registro para que o Cliente MBAM possa ignorar as definições da Política de Grupo e, em vez disso, possa definir o início da criptografia ao mesmo tempo da implantação do Windows nesse computador cliente.

    Aviso

    Esta etapa descreve como modificar o Registro do Windows. O uso incorreto do Editor do Registro pode causar problemas sérios que talvez exijam a reinstalação do Windows. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua própria conta e risco.

    1. Defina o TPM para Sistema operacional somente para criptografia, execute Regedit.exe e, em seguida, importe o modelo de chave de registro a partir de C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. Em Regedit.exe, vá para HKLM\SOFTWARE\Microsoft\MBAM e defina as configurações que estão listadas na tabela a seguir.

      Dica

      Você pode definir as configurações da Política de Grupo ou valores de registro relacionados com o MBAM aqui. Estas configurações substituirão os valores estabelecidos anteriormente.

    Entrada de registro Definições de configuração

    DeploymentTime

    0 = Desligado

    1 = Use as configurações da política do tempo de implantação (padrão) - use esta configuração para permitir a criptografia quando o Windows for implantando no computador cliente.

    UseKeyRecoveryService

    0 = Não usar caução de chaves (as duas entradas seguintes do registro não são necessárias, neste caso)

    1 = Usar caução de chave no sistema de recuperação de chave (padrão)

    Esta é uma configuração recomendada, que permite que o MBAM armazene as chaves de recuperação. O computador deve poder comunicar com o serviço de recuperação de chaves do MBAM. Verifique se o computador pode se comunicar com o serviço antes de prosseguir.

    KeyRecoveryOptions

    0 = Carrega apenas a chave de recuperação

    1 = Carrega a chave de recuperação e o pacote de recuperação de chave (padrão)

    KeyRecoveryServiceEndPoint

    Defina este valor para a URL do servidor que está executando o serviço de Recuperação de Chave, por exemplo, http://<nome do computador>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. O Cliente MBAM reiniciará o sistema durante a implantação do Cliente MBAM. Quando você estiver pronto para esta reiniciação, execute o seguinte comando em um prompt de comando como administrador:

    net start mbamagent

  7. Quando o computadores reiniciar e o BIOS solicitar, aceite a alteração do TPM.

  8. Durante o processo de geração de imagem do sistema operacional do cliente Windows, quando você estiver pronto para começar a criptografia, abra o prompt de comando como administrador e digite os seguintes comandos para definir o início como Automático e para reiniciar o agente do Cliente MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Para excluir os valores de registro de desvio, execute Regedit.exe e vá para a entrada de registro HKLM\SOFTWARE\Microsoft. Clique com o botão direito no nó MBAM e em seguida clique em Excluir.

    Você tem uma sugestão para o MBAM? Adicione ou vote em sugestões aqui.
    Você tem um problema com o MBAM? Utilize o Fórum do MBAM TechNet.

Consulte também

Conceitos

Planejar implantação de cliente MBAM 2.5

Outros recursos

Implantando o Cliente do MBAM 2.5