Сведения о программе MBAM 2.5 с пакетом обновления 1 (SP1)
MBAM 2.5 с пакетом обновления 1 (SP1) предоставляет упрощенный административный интерфейс для шифрования диска BitLocker. BitLocker обеспечивает расширенную защиту от кражи или раскрытия данных для потерянных или украденных компьютеров. BitLocker шифрует все данные, хранящиеся в операционной системе Windows, на дисках и настроенных дисках с данными.
Обзор MBAM
MBAM 2.5 с пакетом обновления 1 (SP1) имеет следующие возможности:
позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;
позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;
обеспечивает возможность централизованного составления отчетности и управления оборудованием с использованием Microsoft System Center Configuration Manager;
Сокращает рабочую нагрузку в службе поддержки, чтобы помочь конечным пользователям с ПИН-кодом BitLocker и запросами на ключи восстановления.
позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;
Позволяет сотрудникам службы безопасности легко выполнять аудит доступа к восстановлению информации о ключах.
позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;
MBAM применяет параметры политики шифрования BitLocker, заданные для предприятия, отслеживает соответствие клиентских компьютеров этим политикам и сообщает о состоянии шифрования компьютеров предприятия и отдельных пользователей. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления, когда пользователи забывают СВОЙ ПИН-код или пароль, а также при изменении bios или загрузочных записей.
Следующие группы могут быть заинтересованы в использовании MBAM для управления BitLocker:
Администраторы, специалисты по ИТ-безопасности и сотрудники по соответствию требованиям, которые отвечают за обеспечение того, чтобы конфиденциальные данные не раскрывались без авторизации
Администраторы, отвечающие за безопасность компьютеров в удаленных офисах или филиалах
Администраторы, отвечающие за клиентские компьютеры под управлением Windows
Примечание.
BitLocker подробно не описан в этой документации ПО MBAM. Дополнительные сведения см. в статье Общие сведения о шифровании дисков BitLocker.
Новые возможности MBAM 2.5 с пакетом обновления 1 (SP1)
В этом разделе описываются новые функции в MBAM 2.5 с пакетом обновления 1 (SP1).
Новые поддерживаемые языки для клиента MBAM 2.5 с пакетом обновления 1 (SP1)
Следующие дополнительные языки теперь поддерживаются в MBAM 2.5 с пакетом обновления 1 (SP1) только для клиента MBAM, включая портал Self-Service:
Чешский (Чехия) cs-CZ
Датский (Дания) da-DK
Голландский (Нидерланды) nl-NL
Финская (Финляндия) fi-FI
Греческий (Греция) el-GR
Венгерский (Венгрия) hu-HU
Норвежский, Букмол (Норвегия) nb-NO
Польский (Польша) pl-PL
Португальский (Португалия) pt-PT
Словацкий (Словакия) sk-SK
Словенский (Словения) sl-SI
Шведский (Швеция) sv-SE
Турецкий (Türkiye) tr-TR
Список всех языков, поддерживаемых для клиента и сервера в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1), см. в статье Поддерживаемые конфигурации MBAM 2.5.
Поддержка Windows 10
MBAM 2.5 с пакетом обновления 1 (SP1) добавляет поддержку Windows 11, Windows 10 и Windows Server 2016 в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.
Windows 10 поддерживается в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1).
Поддержка Microsoft SQL Server 2014 с пакетом обновления 1 (SP1)
MBAM 2.5 с пакетом обновления 1 (SP1) добавляет поддержку Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.
MBAM больше не поставляется с отдельным MSI
Начиная с MBAM 2.5 с пакетом обновления 1 (SP1), отдельный MSI больше не входит в состав продукта MBAM. Однако вы можете извлечь MSI из исполняемого файла (.exe), входящего в состав продукта.
MBAM может депонирования паролей OwnerAuth без владельца доверенного платформенного модуля
Ранее, если MBAM не был владельцем доверенного платформенного модуля, невозможно было передать его в базу данных MBAM OwnerAuth. Чтобы настроить MBAM для владения TPM и хранения паролей, необходимо отключить автоматическую подготовку доверенного платформенного модуля и очистить TPM на клиентском компьютере.
В Windows 8 и более поздних версиях MBAM 2.5 с пакетом обновления 1 (SP1) теперь может депонирование паролей OwnerAuth без владельца доверенного платформенного модуля. Во время запуска службы MBAM запрашивает, является ли доверенный платформенный модуль владельцем, и если да, он запрашивает пароли из операционной системы. Затем пароли передаются в базу данных MBAM. Кроме того, необходимо настроить групповая политика, чтобы предотвратить локальное удаление OwnerAuth.
В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически передавать сведения владельца доверенного платформенного модуляAuth в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, а резервная копия Active Directory (AD) доверенного платформенного модуля настроена с помощью групповая политика, необходимо использовать командлеты MBAM Active Directory (AD) Data Import, чтобы скопировать TPM OwnerAuth из AD в базу данных MBAM. Это пять новых командлетов PowerShell, которые предварительно заполняют базы данных MBAM сведениями о восстановлении тома и владельце доверенного платформенного модуля, хранящимися в Active Directory.
Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.
MBAM может автоматически разблокировать TPM после блокировки
На компьютерах с TPM 1.2 теперь можно настроить MBAM для автоматической разблокировки доверенного платформенного модуля в случае блокировки. Если включена функция автоматического сброса блокировки доверенного платформенного модуля, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM, чтобы автоматически разблокировать TPM для пользователя.
Эта функция должна быть включена как на стороне сервера, так и в групповая политика на стороне клиента. Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.
Поддержка fips-совместимых цифровых предохранителей BitLocker
В MBAM 2.5 добавлена поддержка ключей восстановления BitLocker, соответствующих стандарту FIPS, на устройствах с операционной системой Windows 8.1. Однако Windows не реализовала ключи восстановления, совместимые с FIPS, в Windows 7. Поэтому устройствам Windows 7 и Windows 8 по-прежнему требуется средство защиты агента восстановления данных (DRA) для восстановления.
Команда Windows имеет backport-совместимые с FIPS ключи восстановления с исправлением, и MBAM 2.5 с пакетом обновления 1 (SP1) также добавил поддержку для них.
Примечание.
Клиентским компьютерам под управлением операционной системы Windows 8 по-прежнему требуется предохранитель DRA, так как исправление не было возвращено в этой ОС. См. статью Пакет исправлений 2 для администрирования и мониторинга BitLocker 2.5 , чтобы скачать и установить исправление BitLocker для компьютеров с Windows 7 и Windows 8. Сведения о DRA см. в разделе Использование агентов восстановления данных с BitLocker.
Чтобы включить соответствие FIPS в организации, необходимо настроить параметры федерального стандарта обработки информации (FIPS) групповая политика. Инструкции по настройке см. в разделе Параметры групповая политика BitLocker.
Настройка сообщения о восстановлении перед загрузкой и URL-адреса с помощью нового параметра групповая политика
Новый параметр групповая политика Настройка сообщения о восстановлении перед загрузкой и URL-адрес позволяет настроить пользовательское сообщение восстановления или указать URL-адрес, который затем отображается на экране восстановления BitLocker перед загрузкой, когда диск ОС заблокирован. Этот параметр доступен только на клиентских компьютерах под управлением Windows 11 и Windows 10.
Если этот параметр политики включен, можно выбрать один из следующих параметров для сообщения о восстановлении перед загрузкой:
Использовать пользовательское сообщение восстановления. Выберите этот параметр, чтобы включить пользовательское сообщение на экран восстановления BitLocker перед загрузкой.
Использовать пользовательский URL-адрес восстановления. Выберите этот параметр, чтобы заменить URL-адрес по умолчанию, отображаемый на экране восстановления BitLocker перед загрузкой.
Использовать сообщение и URL-адрес восстановления по умолчанию. Выберите этот параметр, чтобы отобразить сообщение и URL-адрес восстановления BitLocker по умолчанию на экране восстановления BitLocker перед загрузкой. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите отменить изменения к сообщению по умолчанию, необходимо включить эту политику и выбрать этот параметр.
Новый параметр групповая политика находится в следующем узле объекта групповой политики:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker)>Диск операционной системы. Дополнительные сведения см. в разделе Planning for MBAM 2.5 групповая политика Requirements.
В MBAM добавлена поддержка шифрования используемого пространства
В MBAM 2.5 с пакетом обновления 1 (SP1) при включении шифрования использованного пространства с помощью BitLocker групповая политика клиент MBAM учитывает его.
Этот параметр групповая политика называется Принудительно применять тип шифрования диска на дисках операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера>Административные шаблоны>Компоненты> WindowsBitLocker Дискиоперационной системы шифрования > дисков. Если эта политика включена и выбран тип шифрования только для используемого пространства, MBAM будет учитывать политику, а BitLocker будет шифровать только дисковое пространство, используемое на томе.
Дополнительные сведения см. в разделе Planning for MBAM 2.5 групповая политика Requirements.
Поддержка клиента MBAM для зашифрованных жестких дисков
MBAM поддерживает BitLocker на зашифрованных жестких дисках, которые соответствуют требованиям спецификации TCG для Opal, а также стандартов IEEE 1667. Если bitLocker включен на этих устройствах, он будет создавать ключи и выполнять функции управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск .
Настройка делегирования больше не требуется при регистрации имен субъектов-служб
Требование для настройки ограниченного делегирования для имен субъектов-служб, зарегистрированных для учетной записи пула приложений, больше не требуется в MBAM 2.5 с пакетом обновления 1 (SP1). Тем не менее, это по-прежнему является обязательным требованием для MBAM 2.5.
Включение BitLocker с помощью MBAM в рамках развертывания Windows
В MBAM 2.5 с пакетом обновления 1 (SP1) можно использовать сценарий PowerShell для настройки шифрования диска BitLocker и депонирования ключей восстановления на сервере MBAM.
Дополнительные сведения см. в статье Включение BitLocker с помощью MBAM в рамках развертывания Windows.
Self-Service портал можно настроить с помощью PowerShell или мастера настройки SSP.
С версии MBAM 2.5 с пакетом обновления 1 (SP1) портал Self-Service можно настроить с помощью мастера настройки, а также с помощью PowerShell. См . раздел Настройка веб-приложений MBAM 2.5.
Веб-браузер больше не выполняется от имени администратора
Проблема в MBAM 2.5 приводила к тому, что ссылки на справку в средстве настройки сервера приводили к открытию окон браузера с правами администратора. Эта проблема устранена в MBAM 2.5 с пакетом обновления 1 (SP1).
Больше не нужно скачивать файлы JavaScript для настройки портала Self-Service, если сеть CDN недоступна
В MBAM 2.5 и более ранних версиях файлы jQuery, используемые для настройки портала Self-Service, необходимо было скачать из сети CDN заранее, если у клиентов, обращаювшихся к порталу Self-Service, не было доступа к Интернету. В MBAM 2.5 с пакетом обновления 1 (SP1) все файлы JavaScript включены в продукт, поэтому скачивание их не требуется.
Отчеты можно открывать в Report Builder 3.0
В MBAM 2.5 с пакетом обновления 1 (SP1) отчеты были обновлены до последней схемы языка определения отчетов, что позволяет пользователям открывать и настраивать отчеты в Report Builder 3.0 и сохранять их немедленно, не повреждая файл отчета.
Новые командлеты PowerShell
Новые командлеты PowerShell для MBAM 2.5 с пакетом обновления 1 (SP1) позволяют настраивать различные функции MBAM, включая базы данных, отчеты и веб-приложения, а также управлять ими. У каждого компонента есть соответствующий командлет PowerShell, который можно использовать для включения или отключения функций, а также для получения сведений о них.
Для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие командлеты:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
В командлетах Enable-MbamWebApplication и Test-MbamWebApplication для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие параметры:
DataMigrationAccessGroup
TpmAutoUnlock
Сведения о командлетах см. в разделах Вопросы безопасности MBAM 2.5 и Справка по командлетам администрирования и мониторинга Microsoft BitLocker.
Агент MBAM обнаруживает режим презентации
Агент MBAM может обнаруживать, когда компьютер находится в режиме презентации, и в это время не вызывать пользовательский интерфейс MBAM.
Служба агента MBAM теперь настроена для использования отложенного запуска
После установки служба теперь настроит службу агента MBAM для использования отложенного запуска, уменьшая время, затрачиваемое на запуск Windows.
Заблокированные фиксированные тома данных теперь сообщают о соответствии
Логика вычисления соответствия для томов "Заблокированные фиксированные данные" была изменена, чтобы сообщить о томах как "Совместимые", но с состоянием защиты и состоянием шифрования "Неизвестно" и с подробным значением состояния соответствия "Том заблокирован". Ранее заблокированные тома сообщались как "Несоответствующие", состояние предохранителя — "Зашифровано", состояние шифрования " Неизвестно" и состояние соответствия "Неизвестная ошибка".
Получение технологий MDOP
MBAM входит в состав пакета оптимизации microsoft Desktop Optimization Pack (MDOP). MDOP является частью программы Microsoft Software Assurance. Дополнительные сведения о программе Microsoft Software Assurance и о том, как приобрести MDOP, см. в статье How Do I Get MDOP?.
Заметки о выпуске MBAM 2.5 с пакетом обновления 1 (SP1)
Дополнительные сведения и последние новости, которые не включены в эту документацию, см. в заметках о выпуске для MBAM 2.5 с пакетом обновления 1 (SP1).
Есть предложение для MBAM?
Для устранения проблем с MBAM используйте MBAM TechNet Forum.