Sobre o MBAM 2.5 SP1
A Administração e Monitorização do Microsoft BitLocker (MBAM) 2.5 SP1 fornece uma interface administrativa simplificada para a Encriptação de Unidade BitLocker. O BitLocker oferece proteção melhorada contra roubo de dados ou exposição a dados para computadores perdidos ou roubados. O BitLocker encripta todos os dados armazenados no sistema operativo Windows, unidades e unidades de dados configuradas.
Descrição geral do MBAM
O MBAM 2.5 SP1 tem as seguintes funcionalidades:
Permite que os administradores automatizem o processo de criptografar volumes em computadores cliente em toda a empresa.
Permite que os agentes de segurança determinem rapidamente o estado de conformidade de computadores individuais ou até mesmo da empresa em si.
Fornece gerenciamento centralizado de relatório e de hardware com o Microsoft System Center Configuration Manager.
Reduz a carga de trabalho no Suporte Técnico para ajudar os utilizadores finais com o PIN do BitLocker e pedidos de chave de recuperação.
Permite aos usuários finais recuperar dispositivos criptografados de forma independente, usando o Portal de Autoatendimento.
Permite que os agentes de segurança auditem facilmente o acesso para recuperar informações importantes.
Permite que os usuários do Windows Enterprise continuem a trabalhar em qualquer lugar com a garantia de que seus dados corporativos estão protegidos.
O MBAM impõe as opções de política de encriptação do BitLocker que definiu para a sua empresa, monitoriza a conformidade dos computadores cliente com essas políticas e comunica o estado de encriptação dos computadores da empresa e individuais. Além disso, o MBAM permite-lhe aceder às informações da chave de recuperação quando os utilizadores se esquecem do PIN ou da palavra-passe, ou quando o BIOS ou os registos de arranque mudam.
Os seguintes grupos podem estar interessados em utilizar o MBAM para gerir o BitLocker:
Administradores, profissionais de segurança de TI e agentes de conformidade responsáveis por garantir que os dados confidenciais não são divulgados sem autorização
Administradores responsáveis pela segurança do computador em sucursais ou remotas
Administradores responsáveis por computadores cliente com o Windows
Observação
O BitLocker não é explicado em detalhe nesta documentação do MBAM. Para obter mais informações, veja Descrição Geral da Encriptação de Unidade BitLocker.
Novidades no MBAM 2.5 SP1
Esta secção descreve as novas funcionalidades no MBAM 2.5 SP1.
Idiomas recentemente suportados para o cliente MBAM 2.5 SP1
Os seguintes idiomas são agora suportados no MBAM 2.5 SP1 apenas para o cliente MBAM, incluindo o portal do Self-Service:
Checo (República Checa) cs-CZ
Dinamarquês (Dinamarca) da-DK
Neerlandês (Países Baixos) nl-NL
Fi-FI finlandês (Finlândia)
Grego (Grécia) el-GR
Hu-HU húngaro (Hungria)
Norueguês, Bokmål (Noruega) nb-NO
Polaco (Polónia) pl-PL
Português (Portugal) pt-PT
Sk-SK eslovaco (Eslováquia)
Esloveno (Eslovénia) sl-SI
Sueco (Suécia) sv-SE
Turco (Türkiye) tr-TR
Para obter uma lista de todos os idiomas suportados para cliente e servidor no MBAM 2.5 e MBAM 2.5 SP1, veja Configurações suportadas pelo MBAM 2.5.
Suporte para o Windows 10
O MBAM 2.5 SP1 adiciona suporte para o Windows 11, Windows 10 e Windows Server 2016, além do mesmo software suportado em versões anteriores do MBAM.
O Windows 10 é suportado no MBAM 2.5 e MBAM 2.5 SP1.
Suporte para o Microsoft SQL Server 2014 SP1
O MBAM 2.5 SP1 adiciona suporte para o Microsoft SQL Server 2014 SP1, além do mesmo software suportado em versões anteriores do MBAM.
O MBAM já não é fornecido com MSI separado
A partir do MBAM 2.5 SP1, um MSI separado já não está incluído no produto MBAM. No entanto, pode extrair o MSI do ficheiro executável (.exe) incluído no produto.
O MBAM pode criar palavras-passe ownerAuth sem ser proprietário do TPM
Anteriormente, se o MBAM não fosse o proprietário do TPM, o OwnerAuth do TPM não poderia ser adicionado à base de dados MBAM. Para configurar o MBAM para ser proprietário do TPM e armazenar as palavras-passe, teve de desativar o aprovisionamento automático do TPM e limpar o TPM no computador cliente.
No Windows 8 e superior, o MBAM 2.5 SP1 pode agora criar as palavras-passe ownerAuth sem ser proprietário do TPM. Durante o arranque do serviço, o MBAM consulta para ver se o TPM já pertence e, se for o caso, solicita as palavras-passe do sistema operativo. Em seguida, as palavras-passe são guardadas na base de dados MBAM. Além disso, a Política de Grupo tem de ser definida para impedir que o OwnerAuth seja eliminado localmente.
No Windows 7, o MBAM tem de ser proprietário do TPM para enviar automaticamente informações de Proprietário do TPMAuth na base de dados MBAM. Se o MBAM não for proprietário da cópia de segurança do TPM e do Active Directory (AD) do TPM estiver configurado através da Política de Grupo, tem de utilizar os cmdlets de Importação de Dados do MBAM Active Directory (AD) para copiar o Proprietário do TPMAuth do AD para a base de dados MBAM. Estes são cinco novos cmdlets do PowerShell que pré-preenchem bases de dados MBAM com as informações de proprietário do TPM e recuperação de volumes armazenadas no Active Directory.
Para obter mais informações, veja Considerações de segurança do MBAM 2.5.
O MBAM pode desbloquear automaticamente o TPM após um bloqueio
Em computadores com o TPM 1.2, agora pode configurar o MBAM para desbloquear automaticamente o TPM, caso esteja bloqueado. Se a funcionalidade de reposição automática do bloqueio do TPM estiver ativada, o MBAM pode detetar que um utilizador está bloqueado e, em seguida, obter a palavra-passe OwnerAuth da base de dados MBAM para desbloquear automaticamente o TPM para o utilizador.
Esta funcionalidade tem de estar ativada no lado do servidor e na Política de Grupo do lado do cliente. Para obter mais informações, veja Considerações de segurança do MBAM 2.5.
Suporte para protetores de palavras-passe numéricos do BitLocker compatíveis com FIPS
No MBAM 2.5, foi adicionado suporte para chaves de recuperação BitLocker compatíveis com o Federal Information Processing Standard (FIPS) em dispositivos com o sistema operativo Windows 8.1. No entanto, o Windows não implementou chaves de recuperação compatíveis com FIPS no Windows 7. Por conseguinte, os dispositivos Windows 7 e Windows 8 ainda exigiam um protetor do Agente de Recuperação de Dados (DRA) para recuperação.
A equipa do Windows suporta as chaves de recuperação compatíveis com FIPS com uma correção e o MBAM 2.5 SP1 também adicionou suporte às mesmas.
Observação
Os computadores cliente que executam o Windows 8 ainda necessitam de um protetor DRA, uma vez que a correção não foi suportada para esse SO. Consulte Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 (Pacote de Correções 2 para Administração e Monitorização do BitLocker 2.5 ) para transferir e instalar a correção bitLocker para computadores com o Windows 7 e Windows 8. Para obter informações sobre o DRA, veja Utilizar agentes de recuperação de dados com o BitLocker.
Para ativar a conformidade FIPS na sua organização, tem de configurar as definições da Política de Grupo do Federal Information Processing Standard (FIPS). Para obter instruções de configuração, veja Definições de política de grupo do BitLocker.
Personalizar a mensagem de recuperação pré-inicial e o URL com a nova definição de Política de Grupo
Uma nova definição de Política de Grupo, Configurar mensagem de recuperação pré-arranque e URL, permite-lhe configurar uma mensagem de recuperação personalizada ou especificar um URL que é depois apresentado no ecrã de recuperação do BitLocker de pré-arranque quando a unidade do SO está bloqueada. Esta definição só está disponível em computadores cliente com o Windows 11 e o Windows 10.
Se ativar esta definição de política, pode selecionar uma destas opções para a mensagem de recuperação pré-arranque:
Utilizar mensagem de recuperação personalizada: selecione esta opção para incluir uma mensagem personalizada no ecrã de recuperação pré-inicial do BitLocker.
Utilizar o URL de recuperação personalizado: selecione esta opção para substituir o URL predefinido apresentado no ecrã de recuperação do BitLocker pré-inicial.
Utilizar a mensagem de recuperação predefinida e o URL: selecione esta opção para apresentar a mensagem de recuperação bitLocker predefinida e o URL no ecrã de recuperação do BitLocker predefinido. Se tiver configurado anteriormente uma mensagem ou URL de recuperação personalizado e quiser reverter para a mensagem predefinida, tem de ativar esta política e selecionar esta opção.
A nova definição de Política de Grupo está localizada no seguinte nó GPO: Políticas de Configuração> do ComputadorModelos>Administrativos Componentes>> doWindowsMDOP MBAM (Gestão do BitLocker)>Unidade do Sistema Operativo. Para obter mais informações, veja Planning for MBAM 2.5 group policy requirements (Planear os requisitos de política de grupo do MBAM 2.5).
O MBAM adicionou suporte para a Encriptação de Espaço Utilizado
No MBAM 2.5 SP1, se ativar a Encriptação de Espaço Utilizado através da Política de Grupo do BitLocker, o Cliente MBAM honra-o.
Esta definição de Política de Grupo é denominada Impor tipo de encriptação de unidade em unidades do sistema operativo e está localizada no seguinte nó GPO: Configuração> do ComputadorModelos Administrativos Componentes> doWindows Componentes>bitLocker Unidade>Operating System Drives. Se ativar esta política e selecionar o tipo de encriptação como encriptação Apenas Espaço Utilizado, o MBAM honra a política e o BitLocker encripta apenas o espaço em disco utilizado no volume.
Para obter mais informações, veja Planning for MBAM 2.5 group policy requirements (Planear os requisitos de política de grupo do MBAM 2.5).
Suporte do Cliente MBAM para Discos Rígidos Encriptados
O MBAM suporta o BitLocker em Discos Rígidos Encriptados que cumprem os requisitos de especificação do TCG para as normas Opal e IEEE 1667. Quando o BitLocker está ativado nestes dispositivos, gera chaves e executa funções de gestão na unidade encriptada. Veja Disco Rígido Encriptado para obter mais informações.
A configuração da delegação já não é necessária ao registar SPNs
O requisito para configurar a delegação restrita para SPNs que registar na conta do conjunto aplicacional já não é necessário no MBAM 2.5 SP1. No entanto, continua a ser um requisito para o MBAM 2.5.
Ativar o BitLocker com o MBAM como Parte de uma Implementação do Windows
No MBAM 2.5 SP1, pode utilizar um script do PowerShell para configurar a encriptação de unidade BitLocker e as chaves de recuperação de segurança para o Servidor MBAM.
Para obter mais informações, veja Como ativar o BitLocker com o MBAM como parte de uma implementação do Windows.
Self-Service Portal pode ser personalizado com o PowerShell ou o assistente de personalização SSP
A partir do MBAM 2.5 SP1, o Portal do Self-Service pode ser configurado com o assistente de personalização e com o PowerShell. Veja Como configurar as aplicações Web MBAM 2.5.
O browser já não é executado involuntariamente como administrador
Um problema no MBAM 2.5 causou ligações de ajuda na ferramenta de Configuração do Servidor para fazer com que as janelas do browser abrissem com direitos de administrador. Este problema foi corrigido no MBAM 2.5 SP1.
Já não precisa de transferir os ficheiros JavaScript para configurar o Portal do Self-Service quando a CDN estiver inacessível
No MBAM 2.5 e anterior, os ficheiros jQuery utilizados para a configuração do Portal do Self-Service tiveram de ser transferidos da CDN com antecedência se os clientes que acedem ao Portal do Self-Service não tivessem acesso à Internet. No MBAM 2.5 SP1, todos os ficheiros JavaScript estão incluídos no produto, pelo que é desnecessário transferi-los.
Os relatórios podem ser abertos no Report Builder 3.0
No MBAM 2.5 SP1, os relatórios são atualizados para o esquema de linguagem de definição de relatório mais recente, permitindo aos utilizadores abrir e personalizar os relatórios no Report Builder 3.0 e guardá-los imediatamente sem danificar o ficheiro de relatório.
Novos cmdlets do PowerShell
Os novos cmdlets do PowerShell para MBAM 2.5 SP1 permitem-lhe configurar e gerir diferentes funcionalidades de MBAM, incluindo bases de dados, relatórios e aplicações Web. Cada funcionalidade tem um cmdlet do PowerShell correspondente que pode utilizar para ativar ou desativar funcionalidades ou para obter informações sobre a funcionalidade.
Os seguintes cmdlets são implementados para MBAM 2.5 SP1:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
Os parâmetros seguintes são implementados nos cmdlets Enable-MbamWebApplication e Test-MbamWebApplication para MBAM 2.5 SP1:
DataMigrationAccessGroup
TpmAutoUnlock
Para obter informações sobre os cmdlets, consulte MBAM 2.5 security considerations and Microsoft BitLocker Administration and Monitoring cmdlet help (Considerações de segurança do MBAM 2.5 e Ajuda do cmdlet de Administração e Monitorização do Microsoft BitLocker).
Agente MBAM deteta o modo de apresentação
O agente MBAM pode detetar quando o computador está no modo de apresentação e evitar invocar a IU do MBAM nesse momento.
O serviço do agente MBAM está agora configurado para utilizar o início atrasado
Após a instalação, o serviço irá agora definir o serviço do agente MBAM para utilizar o início atrasado, diminuindo o tempo que demora a iniciar o Windows.
Os volumes de Dados Fixos Bloqueados são agora apresentados como Conformes
A lógica de cálculo de compatibilidade dos volumes "Dados Fixos Bloqueados" foi alterada para comunicar os volumes como "Conforme", mas com um Estado de Proteção e Estado de Encriptação de "Desconhecido" e com um Detalhe do Estado de Compatibilidade de "O volume está bloqueado". Anteriormente, os volumes bloqueados eram reportados como "Não Conformes", um Estado de Proteção de "Encriptado", um Estado de Encriptação de "Desconhecido" e um Detalhe do Estado de Conformidade de "Um erro desconhecido".
Notas de Versão do MBAM 2.5 SP1
Para obter mais informações e notícias de última hora que não estão incluídas nesta documentação, consulte Notas de Versão do MBAM 2.5 SP1.