Infos zu MBAM 2.5 SP1

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 bietet eine vereinfachte Verwaltungsschnittstelle für die BitLocker-Laufwerkverschlüsselung. BitLocker bietet erweiterten Schutz vor Datendiebstahl oder Datenexposition für Computer, die verloren gehen oder gestohlen werden. BitLocker verschlüsselt alle Daten, die auf dem Windows-Betriebssystem und auf laufwerken und konfigurierten Datenlaufwerken gespeichert sind.

Übersicht über MBAM

MBAM 2.5 SP1 verfügt über die folgenden Features:

• Administratoren können die Verschlüsselung von Volumes auf Clientcomputern unternehmensweit automatisieren.

• Sicherheitsbeauftragte können den Kompatibilitätszustand einzelner Computer oder sogar des ganzen Unternehmens schnell ermitteln.

• Berichterstellung und Hardwareverwaltung können zentral mit Microsoft System Center Configuration Manager erfolgen.

• Reduziert die Arbeitsauslastung des Helpdesks, um Endbenutzer bei BitLocker-PIN- und Wiederherstellungsschlüsselanforderungen zu unterstützen.

• Endbenutzer können verschlüsselte Geräte mithilfe des Self-Service-Portals eigenständig wiederherstellen.

• Ermöglicht es Sicherheitsbeauftragten, den Zugriff einfach zu überwachen, um wichtige Informationen wiederherzustellen.

• Windows Enterprise-Benutzer können standortunabhängig arbeiten und sich dabei darauf verlassen, dass ihre Unternehmensdaten geschützt sind.

MBAM erzwingt die BitLocker-Verschlüsselungsrichtlinienoptionen, die Sie für Ihr Unternehmen festlegen, überwacht die Konformität von Clientcomputern mit diesen Richtlinien und meldet den Verschlüsselungsstatus der Computer des Unternehmens und der Einzelperson. Darüber hinaus können Sie mit MBAM auf die Wiederherstellungsschlüsselinformationen zugreifen, wenn Benutzer ihre PIN oder ihr Kennwort vergessen oder wenn sich ihre BIOS- oder Startdatensätze ändern.

Die folgenden Gruppen sind möglicherweise an der Verwendung von MBAM zum Verwalten von BitLocker interessiert:

• Administratoren, IT-Sicherheitsexperten und Compliance Officer, die dafür verantwortlich sind, dass vertrauliche Daten nicht ohne Autorisierung offengelegt werden

• Administratoren, die für die Computersicherheit in Remote- oder Zweigstellen zuständig sind

• Administratoren, die für Clientcomputer mit Windows verantwortlich sind

Neuerungen in MBAM 2.5 SP1

In diesem Abschnitt werden die neuen Features in MBAM 2.5 SP1 beschrieben.

Neu unterstützte Sprachen für den MBAM 2.5 SP1-Client

Die folgenden Sprachen werden jetzt in MBAM 2.5 SP1 nur für den MBAM-Client unterstützt, einschließlich des Self-Service-Portals:

• Tschechisch (Tschechische Republik) cs-CZ

• Dänisch (Dänemark) da-DK

• Niederländisch (Niederlande) nl-NL

• Fi-FI finnisch (Finnland)

• Griechisch (Griechenland) el-GR

• Ungarisch (Ungarn) hu-HU

• Norwegisch, Bokmål (Norwegen) nb-NO

• Polnisch (Polen) pl-PL

• Portugiesisch (Portugal) pt-PT

• Slowakisch (Slowakei) sk-SK

• Slowenisch (Slowenien) sl-SI

• Schwedisch (Schweden) sv-SE

• Türkisch (Türkiye) tr-TR

Eine Liste aller Sprachen, die für Client und Server in MBAM 2.5 und MBAM 2.5 SP1 unterstützt werden, finden Sie unter Von MBAM 2.5 unterstützte Konfigurationen.

Unterstützung für Windows 10

MBAM 2.5 SP1 fügt Unterstützung für Windows 11, Windows 10 und Windows Server 2016 hinzu, zusätzlich zu derselben Software, die in früheren Versionen von MBAM unterstützt wurde.

Windows 10 wird in MBAM 2.5 und MBAM 2.5 SP1 unterstützt.

Unterstützung für Microsoft SQL Server 2014 SP1

MBAM 2.5 SP1 fügt Unterstützung für Microsoft SQL Server 2014 SP1 hinzu, zusätzlich zu derselben Software, die in früheren Versionen von MBAM unterstützt wurde.

MBAM wird nicht mehr mit separater MSI ausgeliefert

Ab MBAM 2.5 SP1 ist eine separate MSI nicht mehr im MBAM-Produkt enthalten. Sie können die MSI jedoch aus der ausführbaren Datei (.exe) extrahieren, die im Produkt enthalten ist.

MBAM kann OwnerAuth-Kennwörter erstellen, ohne das TPM zu besitzen.

Wenn MBAM das TPM bisher nicht besitzt, konnte die TPM-Besitzerauthentifizierung nicht der MBAM-Datenbank zugeordnet werden. Um MBAM für das TPM zu konfigurieren und die Kennwörter zu speichern, mussten Sie die automatische TPM-Bereitstellung deaktivieren und das TPM auf dem Clientcomputer löschen.

In Windows 8 und höher kann MBAM 2.5 SP1 jetzt die OwnerAuth-Kennwörter verwalten, ohne das TPM zu besitzen. Während des Dienststarts fragt MBAM ab, um festzustellen, ob das TPM bereits im Besitz ist, und wenn ja, werden die Kennwörter vom Betriebssystem angefordert. Die Kennwörter werden dann der MBAM-Datenbank zugeordnet. Darüber hinaus muss die Gruppenrichtlinie festgelegt werden, um zu verhindern, dass ownerAuth lokal gelöscht wird.

Unter Windows 7 muss MBAM das TPM besitzen, um tpm OwnerAuth-Informationen in der MBAM-Datenbank automatisch zu verwalten. Wenn MBAM nicht im Besitz des TPM ist und die Active Directory-Sicherung (AD) des TPM über die Gruppenrichtlinie konfiguriert ist, müssen Sie die MBAM Active Directory -Datenimport-Cmdlets (AD) verwenden, um TPM OwnerAuth aus AD in die MBAM-Datenbank zu kopieren. Dies sind fünf neue PowerShell-Cmdlets, die MBAM-Datenbanken vorab mit den in Active Directory gespeicherten Informationen zur Volumewiederherstellung und TPM-Besitzer auffüllen.

Weitere Informationen finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

MBAM kann das TPM nach einer Sperre automatisch entsperren.

Auf Computern, auf denen TPM 1.2 ausgeführt wird, können Sie MBAM jetzt so konfigurieren, dass das TPM automatisch entsperrt wird, wenn es gesperrt ist. Wenn das Feature für automatisches Zurücksetzen des TPM-Sperrens aktiviert ist, kann MBAM erkennen, dass ein Benutzer gesperrt ist, und dann das OwnerAuth-Kennwort aus der MBAM-Datenbank abrufen, um das TPM automatisch für den Benutzer zu entsperren.

Dieses Feature muss sowohl auf serverseitiger Seite als auch auf clientseitiger Gruppenrichtlinie aktiviert sein. Weitere Informationen finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5.

Unterstützung für FIPS-kompatible BitLocker-Schutzvorrichtungen für numerische Kennwörter

In MBAM 2.5 wurde Unterstützung für FIPS-kompatible BitLocker-Wiederherstellungsschlüssel (Federal Information Processing Standard) auf Geräten mit dem Windows 8.1 Betriebssystem hinzugefügt. Windows hat jedoch keine FIPS-kompatiblen Wiederherstellungsschlüssel in Windows 7 implementiert. Daher erforderten Windows 7- und Windows 8-Geräte weiterhin eine DRA-Schutzvorrichtung (Data Recovery Agent) für die Wiederherstellung.

Das Windows-Team hat FIPS-kompatible Wiederherstellungsschlüssel mit einem Hotfix zurückportiert, und MBAM 2.5 SP1 hat auch Unterstützung für sie hinzugefügt.

Um die FIPS-Konformität in Ihrer Organisation zu aktivieren, müssen Sie die Gruppenrichtlinieneinstellungen des Federal Information Processing Standard (FIPS) konfigurieren. Konfigurationsanweisungen finden Sie unter BitLocker-Gruppenrichtlinieneinstellungen.

Anpassen der Wiederherstellungsnachricht vor dem Start und der URL mit neuer Gruppenrichtlinieneinstellung

Mit der neuen Gruppenrichtlinieneinstellung Configure pre-boot recovery message and URL (Wiederherstellungsnachricht und URL vor dem Start konfigurieren) können Sie eine benutzerdefinierte Wiederherstellungsnachricht konfigurieren oder eine URL angeben, die dann auf dem BitLocker-Wiederherstellungsbildschirm vor dem Starten angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist. Diese Einstellung ist nur auf Clientcomputern mit Windows 11 und Windows 10 verfügbar.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie eine der folgenden Optionen für die Preboot-Wiederherstellungsnachricht auswählen:

• Benutzerdefinierte Wiederherstellungsnachricht verwenden: Wählen Sie diese Option aus, um eine benutzerdefinierte Nachricht in den BitLocker-Wiederherstellungsbildschirm vor dem Start einzuschließen.

• Benutzerdefinierte Wiederherstellungs-URL verwenden: Wählen Sie diese Option aus, um die Standard-URL zu ersetzen, die auf dem BitLocker-Wiederherstellungsbildschirm vor dem Start angezeigt wird.

• Standardwiederherstellungsmeldung und -URL verwenden: Wählen Sie diese Option aus, um die BitLocker-Standardwiederherstellungsnachricht und -URL im BitLocker-Wiederherstellungsbildschirm vor dem Start anzuzeigen. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und die Standardnachricht wiederherstellen möchten, müssen Sie diese Richtlinie aktivieren und diese Option auswählen.

Die neue Gruppenrichtlinieneinstellung befindet sich im folgenden GPO-Knoten: Computerkonfigurationsrichtlinien>>Administrative Vorlagen>Windows-Komponenten>MDOP MBAM (BitLocker-Verwaltung)>Betriebssystemlaufwerk. Weitere Informationen finden Sie unter Planen der Gruppenrichtlinienanforderungen für MBAM 2.5.

MBAM hat Unterstützung für die Verschlüsselung von verwendeten Speicherplatz hinzugefügt.

Wenn Sie in MBAM 2.5 SP1 die Verschlüsselung von verwendetem Speicherplatz über die BitLocker-Gruppenrichtlinie aktivieren, wird dies vom MBAM-Client berücksichtigt.

Diese Gruppenrichtlinieneinstellung heißt Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen und befindet sich im folgenden GPO-Knoten: Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssystemlaufwerke. Wenn Sie diese Richtlinie aktivieren und als Verschlüsselungstyp Nur verwendeter Speicherplatz auswählen, berücksichtigt MBAM die Richtlinie, und BitLocker verschlüsselt nur speicherplatz, der auf dem Volume verwendet wird.

Weitere Informationen finden Sie unter Planen der Gruppenrichtlinienanforderungen für MBAM 2.5.

MBAM-Clientunterstützung für verschlüsselte Festplatten

MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die die TCG-Spezifikationsanforderungen für Opal- und IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter Verschlüsselte Festplatte .

Delegierungskonfiguration beim Registrieren von SPNs nicht mehr erforderlich

Die Anforderung zum Konfigurieren der eingeschränkten Delegierung für SPNs, die Sie für das Anwendungspoolkonto registrieren, ist in MBAM 2.5 SP1 nicht mehr erforderlich. Es ist jedoch weiterhin eine Voraussetzung für MBAM 2.5.

Aktivieren von BitLocker mit MBAM als Teil einer Windows-Bereitstellung

In MBAM 2.5 SP1 können Sie ein PowerShell-Skript verwenden, um die BitLocker-Laufwerkverschlüsselung und die Escrow-Wiederherstellungsschlüssel für den MBAM-Server zu konfigurieren.

Weitere Informationen finden Sie unter Aktivieren von BitLocker mithilfe von MBAM als Teil einer Windows-Bereitstellung.

Self-Service Portal kann mithilfe von PowerShell oder dem SSP-Anpassungs-Assistenten angepasst werden.

Ab MBAM 2.5 SP1 kann das Self-Service Portal mithilfe des Anpassungs-Assistenten und mithilfe von PowerShell konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren der MBAM 2.5-Webanwendungen.

Webbrowser wird nicht mehr unbeabsichtigt als Administrator ausgeführt

Ein Problem in MBAM 2.5 hat dazu geführt, dass Hilfelinks im Serverkonfigurationstool Browserfenster mit Administratorrechten geöffnet haben. Dieses Problem wurde in MBAM 2.5 SP1 behoben.

Die JavaScript-Dateien müssen nicht mehr heruntergeladen werden, um das Self-Service-Portal zu konfigurieren, wenn auf das CDN nicht zugegriffen werden kann

In MBAM 2.5 und früher mussten die jQuery-Dateien, die für die Konfiguration des Self-Service-Portals verwendet wurden, vorab aus dem CDN heruntergeladen werden, wenn Clients, die auf das Self-Service Portal zugreifen, keinen Internetzugang hatten. In MBAM 2.5 SP1 sind alle JavaScript-Dateien im Produkt enthalten, sodass das Herunterladen nicht erforderlich ist.

Berichte können in Berichts-Generator 3.0 geöffnet werden.

In MBAM 2.5 SP1 werden die Berichte auf das neueste Schema der Berichtsdefinitionssprache aktualisiert, sodass Benutzer die Berichte in Berichts-Generator 3.0 öffnen und anpassen und sofort speichern können, ohne die Berichtsdatei zu beschädigen.

Neue PowerShell-Cmdlets

Mit neuen PowerShell-Cmdlets für MBAM 2.5 SP1 können Sie verschiedene MBAM-Features konfigurieren und verwalten, einschließlich Datenbanken, Berichte und Webanwendungen. Jedes Feature verfügt über ein entsprechendes PowerShell-Cmdlet, mit dem Sie Features aktivieren oder deaktivieren oder Informationen zum Feature abrufen können.

Die folgenden Cmdlets sind für MBAM 2.5 SP1 implementiert:

• Write-MbamTpmInformation

• Write-MbamRecoveryInformation

• Read-ADTpmInformation

• Read-ADRecoveryInformation

• Write-MbamComputerUser

Die folgenden Parameter werden in den Cmdlets Enable-MbamWebApplication und Test-MbamWebApplication für MBAM 2.5 SP1 implementiert:

• DataMigrationAccessGroup

• TpmAutoUnlock

Informationen zu den Cmdlets finden Sie unter Sicherheitsüberlegungen zu MBAM 2.5 und Hilfe zum Cmdlet "Microsoft BitLocker Administration and Monitoring".

MBAM-Agent erkennt den Präsentationsmodus

Der MBAM-Agent kann erkennen, wenn sich der Computer im Präsentationsmodus befindet, und vermeiden, dass zu diesem Zeitpunkt die MBAM-Benutzeroberfläche aufgerufen wird.

MBAM-Agent-Dienst jetzt für die Verwendung des verzögerten Starts konfiguriert

Nach der Installation legt der Dienst den MBAM-Agent-Dienst jetzt so fest, dass er verzögerten Start verwendet, wodurch die Zeit verringert wird, die zum Starten von Windows benötigt wird.

Gesperrte feste Datenvolumes melden jetzt als Konform.

Die Konformitätsberechnungslogik für "Gesperrte feste Daten"-Volumes wurde geändert, um die Volumes als "Konform" zu melden, jedoch mit dem Schutzstatus und dem Verschlüsselungsstatusstatus "Unbekannt" und dem Konformitätsstatusdetail "Volume ist gesperrt". Zuvor wurden gesperrte Volumes als "Nicht konform", als Schutzstatus "Verschlüsselt", als Verschlüsselungsstatus "Unbekannt" und als Konformitätsstatusdetail "Unbekannter Fehler" gemeldet.

Versionshinweise zu MBAM 2.5 SP1

Weitere Informationen und aktuelle Neuigkeiten, die in dieser Dokumentation nicht enthalten sind, finden Sie unter Versionshinweise für MBAM 2.5 SP1.