Aktivieren von BitLocker mithilfe von MBAM als Teil einer Windows-Bereitstellung

  • Artikel

Wichtig

Diese Anweisungen gelten nicht für die Configuration Manager-BitLocker-Verwaltung. Das Invoke-MbamClientDeployment.ps1 PowerShell-Skript wird für die Verwendung mit der BitLocker-Verwaltung in Configuration Manager nicht unterstützt. Dies schließt das Escrowingen von BitLocker-Wiederherstellungsschlüsseln während einer Configuration Manager-Tasksequenz ein.

Ab Configuration Manager, Version 2103, verwendet die Configuration Manager-BitLocker-Verwaltung den MBAM-Schlüsselwiederherstellungsdienststandort nicht mehr zum Escrow-Schlüsselschlüssel. Der Versuch, das Invoke-MbamClientDeployment.ps1 PowerShell-Skript mit Configuration Manager, Version 2103 oder höher, zu verwenden, kann zu schwerwiegenden Problemen mit dem Configuration Manager-Standort führen. Bekannte Probleme sind die Erstellung einer großen Anzahl von Richtlinien, die auf alle Geräte ausgerichtet sind, was Richtlinienstürme verursachen kann. Dieses Verhalten führt zu einer starken Leistungsbeeinträchtigung in Configuration Manager, hauptsächlich in SQL und mit Verwaltungspunkten. Weitere Informationen finden Sie unter Verwenden des MBAM-Agents zur Verlegung von BitLocker-Wiederherstellungsschlüsseln generiert übermäßige Richtlinien in Configuration Manager, Version 2103.

BitLocker-Verwaltung ab Configuration Manager unterstützt Version 2203 nativ das Escrowingen des BitLocker-Schlüssels während einer Tasksequenz mit der Tasksequenz BitLocker aktivieren über die Option Wiederherstellungsschlüssel automatisch speichern in:>Die Configuration Manager-Datenbank. Weitere Informationen finden Sie unter Erstellen eines BitLocker-Wiederherstellungskennworts für den Standort während einer Tasksequenz.

Die eigenständige MBAM-Integration mit Configuration Manager wurde nur über Configuration Manager, Version 1902, unterstützt. Seit Configuration Manager wird Version 1902 nicht mehr unterstützt. Die Verwendung eigenständiger MBAM und des Invoke-MbamClientDeployment.ps1 PowerShell-Skripts mit derzeit unterstützten Versionen von Configuration Manager wird nicht mehr unterstützt. Weitere Informationen finden Sie unter Von MBAM unterstützte Versionen von Configuration Manager. Kunden, die eigenständiges MBAM mit Configuration Manager verwenden, sollten zur BitLocker-Verwaltung von Configuration Manager migrieren.

In diesem Artikel wird erläutert, wie Sie BitLocker auf dem Computer eines Benutzers mithilfe von Microsoft BitLocker Administration and Monitoring (MBAM) als Teil Ihres Windows-Imageerstellungs- und -Bereitstellungsprozesses aktivieren.

Hinweis

Wenn nach Abschluss der Installationsphase beim Neustart ein schwarzer Bildschirm angezeigt wird, der darauf hinweist, dass das Laufwerk nicht entsperrt werden kann, lesen Sie frühere Windows-Versionen starten nach dem Schritt "Setup Windows and Configuration Manager" nicht, wenn BitLocker vor der Bereitstellung mit Windows 10, Version 1511, verwendet wird.

Voraussetzungen

  • Ein vorhandener Windows-Imagebereitstellungsprozess – Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager oder ein anderes Imageerstellungstool oder -prozess – muss vorhanden sein.

  • TPM muss im BIOS aktiviert und für das Betriebssystem sichtbar sein.

  • Die MBAM-Serverinfrastruktur muss vorhanden und zugänglich sein.

  • Die für BitLocker erforderliche Systempartition muss erstellt werden.

  • Der Computer muss während der Imageerstellung in die Domäne eingebunden werden, bevor MBAM BitLocker vollständig aktiviert.

So aktivieren Sie BitLocker mit MBAM 2.5 SP1 als Teil einer Windows-Bereitstellung

Aktivieren von BitLocker während der Windows-Bereitstellung mit dem Invoke-MbamClientDeployment.ps1 PowerShell-Skript

In MBAM 2.5 SP1 wird zum Aktivieren von BitLocker während einer Windows-Bereitstellung das Invoke-MbamClientDeployment.ps1 PowerShell-Skript empfohlen.

  • Das Invoke-MbamClientDeployment.ps1 Skript erzwingt BitLocker während des Imageerstellungsprozesses. Wenn die BitLocker-Richtlinie dies erfordert, fordert der MBAM-Agent den Domänenbenutzer sofort auf, eine PIN oder ein Kennwort zu erstellen, wenn sich der Domänenbenutzer nach der Imageerstellung zum ersten Mal anmeldet.

  • Einfache Verwendung mit MDT, System Center Configuration Manager oder eigenständigen Imaging-Prozessen

  • Kompatibel mit PowerShell 2.0 oder höher

  • Verschlüsseln des Betriebssystemvolumes mit TPM-Schlüsselschutz

  • Vollständige Unterstützung der BitLocker-Vorabbereitstellung

  • Optionales Verschlüsseln von FDDs

  • Escrow TPM OwnerAuth

    • Für Windows 7 muss MBAM besitzer des TPM sein, damit escrow erfolgt.
    • Für Windows 8.1, Windows 10 RTM und Windows 10 Version 1511 wird der Hinterlegung von TPM OwnerAuth unterstützt.
    • Für Windows 10, Version 1607 oder höher, kann nur Windows den Besitz des TPM übernehmen. Wenn das TPM bereitgestellt wird, behält Windows das TPM-Besitzerkennwort nicht bei. Weitere Informationen finden Sie unter TPM-Besitzerkennwort.

  • Escrow-Wiederherstellungsschlüssel und Wiederherstellungsschlüsselpakete

  • Sofortiges Melden des Verschlüsselungsstatus

  • Neue WMI-Anbieter

  • Detaillierte Protokollierung

  • Robuste Fehlerbehandlung

Sie können das Invoke-MbamClientDeployment.ps1 Skript von MBAM-Clientbereitstellungsskripts herunterladen. Dieser Download ist das Hauptskript, das Ihr Bereitstellungssystem aufruft, um die BitLocker-Laufwerkverschlüsselung zu konfigurieren und Wiederherstellungsschlüssel mit dem MBAM-Server aufzuzeichnen.

WMI-Bereitstellungsmethoden für MBAM

Um die Aktivierung von BitLocker mithilfe des Invoke-MbamClientDeployment.ps1 PowerShell-Skripts zu unterstützen, enthält MBAM 2.5 SP1 die folgenden WMI-Methoden:

MBAM_Machine WMI-Klasse

  • PrepareTpmAndEscrowOwnerAuth: Liest die TPM-OwnerAuth und sendet sie mithilfe des MBAM-Wiederherstellungsdiensts an die MBAM-Wiederherstellungsdatenbank. Wenn das TPM nicht im Besitz ist und die automatische Bereitstellung nicht aktiviert ist, generiert es eine TPM-Besitzerauthentifizierung und übernimmt den Besitz. Wenn ein Fehler auftritt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

    Hinweis

    Für Windows 10, Version 1607 oder höher, kann nur Windows den Besitz des TPM übernehmen. Darüber hinaus behält Windows das TPM-Besitzerkennwort bei der Bereitstellung des TPM nicht bei. Weitere Informationen finden Sie unter TPM-Besitzerkennwort.

    Parameter Beschreibung
    RecoveryServiceEndPoint Eine Zeichenfolge, die den MBAM-Wiederherstellungsdienstendpunkt angibt.

    Im Folgenden finden Sie eine Liste häufig auftretender Fehlermeldungen:

    Allgemeine Rückgabewerte Fehlermeldung
    S_OK
    0 (0x0)    		 Die Methode war erfolgreich.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 TPM ist auf dem Computer nicht vorhanden oder in der BIOS-Konfiguration deaktiviert.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 TPM befindet sich nicht im richtigen Zustand (aktiviert, aktiviert und Besitzerinstallation zulässig).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 MBAM kann den Besitz von TPM nicht übernehmen, da die automatische Bereitstellung aussteht. Versuchen Sie es nach Abschluss der automatischen Bereitstellung erneut.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 MBAM kann den TPM-Besitzerautorisierungswert nicht lesen. Der Wert kann nach einem erfolgreichen Treuhand-Vorgang entfernt werden. Wenn unter Windows 7 andere Besitzer des TPM sind, kann MBAM den Wert nicht lesen.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 Der Computer muss neu gestartet werden, um TPM auf den richtigen Zustand festzulegen. Möglicherweise müssen Sie den Computer manuell neu starten.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 Der Computer muss heruntergefahren und wieder eingeschaltet werden, um TPM auf den richtigen Zustand festzulegen. Möglicherweise müssen Sie den Computer manuell neu starten.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Der Remoteendpunkt hat den Zugriff verweigert.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Der Remoteendpunkt war nicht erreichbar.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) Die Endpunktadressen-URL ist ungültig. Die URL muss mit http oder httpsbeginnen.

  • ReportStatus: Liest den Konformitätsstatus des Volumes und sendet ihn mithilfe des MBAM-Statusberichtsdiensts an die MBAM-Konformitätsstatusdatenbank. Der Status umfasst Verschlüsselungsstärke, Schutzvorrichtungstyp, Schutzvorrichtungsstatus und Verschlüsselungsstatus. Wenn ein Fehler auftritt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

    Parameter Beschreibung
    ReportingServiceEndPoint Eine Zeichenfolge, die den MBAM-Statusberichtsdienstendpunkt angibt.

    Im Folgenden finden Sie eine Liste häufig auftretender Fehlermeldungen:

    Allgemeine Rückgabewerte Fehlermeldung
    S_OK
    0 (0x0)    		 Die Methode war erfolgreich.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Der Remoteendpunkt hat den Zugriff verweigert.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Der Remoteendpunkt war nicht erreichbar.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 Die Endpunktadressen-URL ist ungültig. Die URL muss mit http oder httpsbeginnen.

MBAM_Volume WMI-Klasse

  • EscrowRecoveryKey: Liest das numerische Wiederherstellungskennwort und das Schlüsselpaket des Volumes und sendet sie mithilfe des MBAM-Wiederherstellungsdiensts an die MBAM-Wiederherstellungsdatenbank. Wenn ein Fehler auftritt, wird ein Fehlercode zur Problembehandlung zurückgegeben.

    Parameter Beschreibung
    RecoveryServiceEndPoint Eine Zeichenfolge, die den MBAM-Wiederherstellungsdienstendpunkt angibt.

    Im Folgenden finden Sie eine Liste häufig auftretender Fehlermeldungen:

    Allgemeine Rückgabewerte Fehlermeldung
    S_OK
    0 (0x0)    		 Die Methode war erfolgreich.
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 Das Volume ist gesperrt.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 Für das Volume wurde keine numerische Kennwortschutzvorrichtung gefunden.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 Der Remoteendpunkt hat den Zugriff verweigert.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 Der Remoteendpunkt ist nicht vorhanden oder konnte nicht gefunden werden.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 Der Remoteendpunkt konnte die Anforderung nicht verarbeiten.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 Der Remoteendpunkt war nicht erreichbar.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Eine Nachricht, die einen Fehler enthält, wurde vom Remoteendpunkt empfangen. Stellen Sie sicher, dass Sie eine Verbindung mit dem richtigen Dienstendpunkt herstellen.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 Die Endpunktadressen-URL ist ungültig. Die URL muss mit http oder httpsbeginnen.

Bereitstellen von MBAM mithilfe von Microsoft Deployment Toolkit (MDT) und PowerShell

  1. Erstellen Sie in MDT eine neue Bereitstellungsfreigabe, oder öffnen Sie eine vorhandene Bereitstellungsfreigabe.

    Hinweis

    Sie können das Invoke-MbamClientDeployment.ps1 PowerShell-Skript mit jedem Imageerstellungsprozess oder -tool verwenden. In diesem Abschnitt wird gezeigt, wie sie mithilfe von MDT integriert wird, aber die Schritte ähneln denen der Integration in andere Prozesse oder Tools.

    Achtung

    Wenn Sie die BitLocker-Vorabbereitstellung in Windows PE verwenden und den Tpm-Besitzerautorisierungswert beibehalten möchten, müssen Sie das SaveWinPETpmOwnerAuth.wsf Skript in Windows PE unmittelbar hinzufügen, bevor die Installation im vollständigen Betriebssystem neu gestartet wird. Wenn Sie dieses Skript nicht verwenden, verlieren Sie beim Neustart den Autorisierungswert des TPM-Besitzers.

  2. Kopieren Sie Invoke-MbamClientDeployment.ps1 in <DeploymentShare>\Scripts. Wenn Sie die Vorabbereitstellung verwenden, kopieren Sie die SaveWinPETpmOwnerAuth.wsf Datei in <DeploymentShare>\Scripts.

  3. Fügen Sie die MBAM 2.5 SP1-Clientanwendung dem Knoten Anwendungen in der Bereitstellungsfreigabe hinzu.

    1. Wählen Sie unter dem Knoten Anwendungen die Option Neue Anwendung aus.
    2. Wählen Sie Anwendung mit Quelldateien aus. Wählen Sie Weiter aus.
    3. Geben Sie unter Anwendungsname "MBAM 2.5 SP1 Client" ein. Wählen Sie Weiter aus.
    4. Navigieren Sie zu dem Verzeichnis, das enthält MBAMClientSetup-<Version>.msi. Wählen Sie Weiter aus.
    5. Geben Sie "MBAM 2.5 SP1 Client" als zu erstellende Verzeichnis ein. Wählen Sie Weiter aus.
    6. Geben Sie msiexec /i MBAMClientSetup-<Version>.msi /quiet in der Befehlszeile ein. Wählen Sie Weiter aus.
    7. Übernehmen Sie die verbleibenden Standardwerte, um den Assistenten für neue Anwendungen abzuschließen.

  4. Klicken Sie in MDT mit der rechten Maustaste auf den Namen der Bereitstellungsfreigabe, und wählen Sie Eigenschaften aus. Wählen Sie die Registerkarte Regeln aus. Fügen Sie die folgenden Zeilen hinzu:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Wählen Sie OK aus, um das Fenster zu schließen.

  5. Bearbeiten Sie unter dem Knoten Tasksequenzen eine vorhandene Tasksequenz, die für die Windows-Bereitstellung verwendet wird. Wenn Sie möchten, können Sie eine neue Tasksequenz erstellen, indem Sie mit der rechten Maustaste auf den Knoten Tasksequenzen klicken, neue Tasksequenz auswählen und den Assistenten abschließen.

    Führen Sie auf der Registerkarte Tasksequenz der ausgewählten Tasksequenz die folgenden Schritte aus:

    1. Aktivieren Sie unter dem Ordner Preinstall (Preinstall ) die optionale Aufgabe Enable BitLocker (Offline), wenn BitLocker in WinPE aktiviert sein soll, wodurch nur belegter Speicherplatz verschlüsselt wird.

    2. Gehen Sie wie folgt vor, um TPM OwnerAuth bei der Verwendung der Vorbereitstellung beizubehalten und MBAM die Spätere Befüllung zu ermöglichen:

      1. Suchen des Schritts "Betriebssystem installieren "

      2. Hinzufügen eines neuen Schritts "Befehlszeile ausführen " danach

      3. Nennen Sie den Schritt Persist TPM OwnerAuth

      4. Legen Sie die Befehlszeile auf fest. cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Hinweis

        Für Windows 10, Version 1607 oder höher, kann nur Windows den Besitz des TPM übernehmen. Bei der Bereitstellung des TPM behält Windows das TPM-Besitzerkennwort nicht bei. Weitere Informationen finden Sie unter TPM-Besitzerkennwort.

    3. Löschen Sie im Ordner Zustandswiederherstellung die Aufgabe BitLocker aktivieren .

    4. Erstellen Sie im Ordner Zustandswiederherstellung unter Benutzerdefinierte Aufgaben eine neue Aufgabe Anwendung installieren , und nennen Sie sie Install MBAM Agent. Wählen Sie das Optionsfeld Einzelne Anwendung installieren aus, und navigieren Sie zur zuvor erstellten MBAM 2.5 SP1-Clientanwendung.

    5. Erstellen Sie im Ordner Zustandswiederherstellung unter Benutzerdefinierte Aufgaben eine neue Aufgabe PowerShell-Skript ausführen (nach dem Schritt MBAM 2.5 SP1-Clientanwendung) mit den folgenden Einstellungen (aktualisieren Sie die Parameter entsprechend Ihrer Umgebung):

      • Name: Konfigurieren von BitLocker für MBAM

      • PowerShell-Skript: Invoke-MbamClientDeployment.ps1

      • Parameter:

        Parameter Anforderung Beschreibung
        -RecoveryServiceEndpoint Erforderlich MBAM-Wiederherstellungsdienstendpunkt.
        -StatusReportingServiceEndpoint Optional MBAM-Statusberichtsdienstendpunkt.
        -EncryptionMethod Optional Verschlüsselungsmethode (Standard: AES 128).
        -EncryptAndEscrowDataVolume Schalter Geben Sie an, um Datenvolumes zu verschlüsseln und Wiederherstellungsschlüssel für Das Datenvolume zu erstellen.
        -WaitForEncryptionToComplete Schalter Geben Sie an, dass auf den Abschluss der Verschlüsselung gewartet werden soll.
        -DoNotResumeSuspendedEncryption Schalter Geben Sie an, dass das Bereitstellungsskript die angehaltene Verschlüsselung nicht fortsetzen wird.
        -IgnoreEscrowOwnerAuthFailure Schalter Geben Sie an, dass ein TPM-Fehler beim Besitzer-Authentifizierungs-Escrow ignoriert werden soll. Es sollte in Szenarien verwendet werden, in denen MBAM die TPM-Besitzerauthentifizierung nicht lesen kann. Beispielsweise, wenn die automatische TPM-Bereitstellung aktiviert ist.
        -IgnoreEscrowRecoveryKeyFailure Schalter Geben Sie an, um einen Fehler des Volumewiederherstellungsschlüssels zu ignorieren.
        -IgnoreReportStatusFailure Schalter Geben Sie an, um statusberichterstattungsfehler zu ignorieren.

So aktivieren Sie BitLocker mit MBAM 2.5 oder früher als Teil einer Windows-Bereitstellung

  1. Installieren Sie den MBAM-Client. Anweisungen finden Sie unter Bereitstellen des MBAM-Clients über eine Befehlszeile.

  2. Einbinden des Computers zu einer Domäne (empfohlen).

    • Wenn der Computer nicht mit einer Domäne verknüpft ist, wird das Wiederherstellungskennwort nicht im MBAM Key Recovery-Dienst gespeichert. Standardmäßig lässt MBAM die Verschlüsselung nur zu, wenn der Wiederherstellungsschlüssel gespeichert werden kann.

    • Wenn ein Computer im Wiederherstellungsmodus gestartet wird, bevor der Wiederherstellungsschlüssel auf dem MBAM-Server gespeichert wird, ist keine Wiederherstellungsmethode verfügbar, und für den Computer muss ein Reimaging durchgeführt werden.

  3. Öffnen Sie eine Eingabeaufforderung als Administrator, und beenden Sie den MBAM-Dienst.

  4. Legen Sie den Dienst auf Manuell oder Bei Bedarf fest, indem Sie die folgenden Befehle eingeben:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Legen Sie die Registrierungswerte so fest, dass der MBAM-Client die Gruppenrichtlinieneinstellungen ignoriert und stattdessen die Verschlüsselung so festlegt, dass die Windows-Bereitstellung auf diesem Clientcomputer gestartet wird.

    Achtung

    In diesem Schritt wird beschrieben, wie Sie die Windows-Registrierung ändern. Die falsche Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation von Windows erfordern können. Wir können nicht garantieren, dass Probleme, die sich aus der falschen Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

    1. Legen Sie das TPM für die reine Betriebssystemverschlüsselung fest, führen Sie Regedit.exe aus, und importieren Sie dann die Registrierungsschlüsselvorlage aus C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. Wechseln Sie Regedit.exe zu HKLM\SOFTWARE\Microsoft\MBAM, und konfigurieren Sie die Einstellungen, die in der folgenden Tabelle aufgeführt sind.

      Hinweis

      Hier können Sie Gruppenrichtlinieneinstellungen oder Registrierungswerte für MBAM festlegen. Diese Einstellungen setzen zuvor festgelegte Werte außer Kraft.

      Registrierungseintrag Konfigurationseinstellungen
      DeploymentTime 0 = Aus
      1 = Richtlinieneinstellungen für die Bereitstellungszeit verwenden (Standard): Verwenden Sie diese Einstellung, um die Verschlüsselung zu dem Zeitpunkt zu aktivieren, zu dem Windows auf dem Clientcomputer bereitgestellt wird.
      UseKeyRecoveryService 0 = Kein Schlüsseltresor verwenden. Die nächsten beiden Registrierungseinträge sind in diesem Fall nicht erforderlich.
      1 = Schlüsseltresor im Schlüsselwiederherstellungssystem verwenden (Standard)
      Diese Einstellung wird empfohlen, sodass MBAM die Wiederherstellungsschlüssel speichern kann. Der Computer muss mit dem MBAM Key Recovery-Dienst kommunizieren können. Vergewissern Sie sich, dass der Computer mit dem Dienst kommunizieren kann, bevor Sie fortfahren.
      KeyRecoveryOptions 0 = Nur Wiederherstellungsschlüssel hochgeladen
      1 = Wiederherstellungsschlüssel und Wiederherstellungspaket für Schlüssel hochgeladen (Standard)
      KeyRecoveryServiceEndPoint Legen Sie diesen Wert auf die URL für den Server fest, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svcauf dem der Key Recovery-Dienst ausgeführt wird, z. B. .

  6. Der MBAM-Client startet das System während der MBAM-Clientbereitstellung neu. Wenn Sie für diesen Neustart bereit sind, führen Sie den folgenden Befehl an einer Eingabeaufforderung als Administrator aus:

    net start mbamagent

  7. Wenn die Computer neu gestartet werden und sie vom BIOS aufgefordert werden, akzeptieren Sie die TPM-Änderung.

  8. Wenn Sie bereit sind, die Verschlüsselung zu starten, öffnen Sie während der Imageerstellung für das Windows-Clientbetriebssystem eine Eingabeaufforderung als Administrator, und geben Sie die folgenden Befehle ein, um den Start auf Automatisch festzulegen und den MBAM-Client-Agent neu zu starten:

    sc config mbamagent start= auto

    net start mbamagent

  9. Um die Werte der Umgehungsregistrierung zu löschen, führen Sie Regedit.exe aus, und wechseln Sie zum HKLM\SOFTWARE\Microsoft Registrierungseintrag. Klicken Sie mit der rechten Maustaste auf den MBAM-Knoten , und wählen Sie dann Löschen aus.

Bereitstellen des MBAM 2.5-Clients

Planen der Bereitstellung von MBAM 2.5-Clients