Сведения о программе MBAM 2.5 с пакетом обновления 1 (SP1)

  • Статья

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1) предоставляет упрощенный интерфейс администрирования для шифрования дисков BitLocker. BitLocker обеспечивает расширенную защиту от кражи или раскрытия данных для потерянных или украденных компьютеров. BitLocker шифрует все данные, хранящиеся в операционной системе Windows, на дисках и настроенных дисках с данными.

Обзор MBAM

MBAM 2.5 с пакетом обновления 1 (SP1) имеет следующие возможности:

  • позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;

  • позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;

  • обеспечивает возможность централизованного составления отчетности и управления оборудованием с использованием Microsoft System Center Configuration Manager;

  • Сокращает рабочую нагрузку в службе поддержки, чтобы помочь конечным пользователям с ПИН-кодом BitLocker и запросами на ключи восстановления.

  • позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;

  • Позволяет сотрудникам службы безопасности легко выполнять аудит доступа к восстановлению информации о ключах.

  • позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;

MBAM применяет параметры политики шифрования BitLocker, заданные для предприятия, отслеживает соответствие клиентских компьютеров этим политикам и сообщает о состоянии шифрования компьютеров предприятия и отдельных пользователей. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления, когда пользователи забывают СВОЙ ПИН-код или пароль, а также при изменении bios или загрузочных записей.

Следующие группы могут быть заинтересованы в использовании MBAM для управления BitLocker:

  • Администраторы, специалисты по ИТ-безопасности и сотрудники по соответствию требованиям, которые отвечают за обеспечение того, чтобы конфиденциальные данные не раскрывались без авторизации

  • Администраторы, отвечающие за безопасность компьютеров в удаленных офисах или филиалах

  • Администраторы, отвечающие за клиентские компьютеры под управлением Windows

Примечание.

BitLocker подробно не описан в этой документации ПО MBAM. Дополнительные сведения см. в статье Общие сведения о шифровании дисков BitLocker.

Новые возможности MBAM 2.5 с пакетом обновления 1 (SP1)

В этом разделе описываются новые функции в MBAM 2.5 с пакетом обновления 1 (SP1).

Новые поддерживаемые языки для клиента MBAM 2.5 с пакетом обновления 1 (SP1)

Следующие языки теперь поддерживаются в MBAM 2.5 с пакетом обновления 1 (SP1) только для клиента MBAM, включая портал Self-Service:

  • Чешский (Чехия) cs-CZ

  • Датский (Дания) da-DK

  • Голландский (Нидерланды) nl-NL

  • Финская (Финляндия) fi-FI

  • Греческий (Греция) el-GR

  • Венгерский (Венгрия) hu-HU

  • Норвежский, Букмол (Норвегия) nb-NO

  • Польский (Польша) pl-PL

  • Португальский (Португалия) pt-PT

  • Словацкий (Словакия) sk-SK

  • Словенский (Словения) sl-SI

  • Шведский (Швеция) sv-SE

  • Турецкий (Türkiye) tr-TR

Список всех языков, поддерживаемых для клиента и сервера в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1), см. в статье Поддерживаемые конфигурации MBAM 2.5.

Поддержка Windows 10

MBAM 2.5 с пакетом обновления 1 (SP1) добавляет поддержку Windows 11, Windows 10 и Windows Server 2016 в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.

Windows 10 поддерживается в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1).

Поддержка Microsoft SQL Server 2014 с пакетом обновления 1 (SP1)

MBAM 2.5 с пакетом обновления 1 (SP1) добавляет поддержку Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.

MBAM больше не поставляется с отдельным MSI

Начиная с MBAM 2.5 с пакетом обновления 1 (SP1), отдельный MSI больше не входит в состав продукта MBAM. Однако вы можете извлечь MSI из исполняемого файла (.exe), входящего в состав продукта.

MBAM может депонирования паролей OwnerAuth без владельца доверенного платформенного модуля

Ранее, если MBAM не был владельцем доверенного платформенного модуля, невозможно было передать его в базу данных MBAM OwnerAuth. Чтобы настроить MBAM для владения TPM и хранения паролей, необходимо отключить автоматическую подготовку доверенного платформенного модуля и очистить TPM на клиентском компьютере.

В Windows 8 и более поздних версиях MBAM 2.5 с пакетом обновления 1 (SP1) теперь может депонирование паролей OwnerAuth без владельца доверенного платформенного модуля. Во время запуска службы MBAM запрашивает, является ли доверенный платформенный модуль владельцем, и если да, он запрашивает пароли из операционной системы. Затем пароли передаются в базу данных MBAM. Кроме того, необходимо настроить групповую политику, чтобы предотвратить локальное удаление OwnerAuth.

В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически передавать сведения владельца доверенного платформенного модуляAuth в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, а резервная копия Active Directory (AD) доверенного платформенного модуля настроена с помощью групповой политики, необходимо использовать командлеты MBAM Active Directory (AD) Data Import для копирования TPM OwnerAuth из AD в базу данных MBAM. Это пять новых командлетов PowerShell, которые предварительно заполняют базы данных MBAM сведениями о восстановлении тома и владельце доверенного платформенного модуля, хранящимися в Active Directory.

Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.

MBAM может автоматически разблокировать TPM после блокировки

На компьютерах с TPM 1.2 теперь можно настроить MBAM для автоматической разблокировки доверенного платформенного модуля, если он заблокирован. Если включена функция автоматического сброса блокировки доверенного платформенного модуля, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM, чтобы автоматически разблокировать TPM для пользователя.

Эта функция должна быть включена как на стороне сервера, так и в групповой политике на стороне клиента. Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.

Поддержка fips-совместимых цифровых предохранителей BitLocker

В MBAM 2.5 добавлена поддержка ключей восстановления BitLocker, соответствующих стандарту FIPS, на устройствах с операционной системой Windows 8.1. Однако Windows не реализовала ключи восстановления, совместимые с FIPS, в Windows 7. Поэтому устройствам Windows 7 и Windows 8 по-прежнему требуется средство защиты агента восстановления данных (DRA) для восстановления.

Команда Windows добавила ключи восстановления, совместимые с FIPS, с исправлением, и MBAM 2.5 с пакетом обновления 1 (SP1) также добавил поддержку для них.

Примечание.

На клиентских компьютерах под управлением Windows 8 по-прежнему требуется предохранитель DRA, так как исправление не было возвращено в операционную систему. См. статью Пакет исправлений 2 для администрирования и мониторинга BitLocker 2.5 , чтобы скачать и установить исправление BitLocker для компьютеров с Windows 7 и Windows 8. Дополнительные сведения о DRA см. в статье Использование агентов восстановления данных с Помощью BitLocker.

Чтобы включить соответствие FIPS в организации, необходимо настроить параметры групповой политики FIPS. Инструкции по настройке см. в разделе Параметры групповой политики BitLocker.

Настройка сообщения и URL-адреса восстановления перед загрузкой с помощью нового параметра групповой политики

Новый параметр групповой политики , Настройка сообщения и URL-адреса восстановления перед загрузкой, позволяет настроить пользовательское сообщение восстановления или указать URL-адрес, который затем отображается на экране восстановления BitLocker перед загрузкой, когда диск ОС заблокирован. Этот параметр доступен только на клиентских компьютерах под управлением Windows 11 и Windows 10.

Если этот параметр политики включен, можно выбрать один из следующих параметров для сообщения о восстановлении перед загрузки:

  • Использование настраиваемого сообщения восстановления. Выберите этот параметр, чтобы включить пользовательское сообщение на экран восстановления BitLocker перед загрузкой.

  • Использовать пользовательский URL-адрес восстановления. Выберите этот параметр, чтобы заменить URL-адрес по умолчанию, отображаемый на экране восстановления BitLocker перед загрузки.

  • Использовать сообщение и URL-адрес восстановления по умолчанию. Выберите этот параметр, чтобы отобразить сообщение о восстановлении BitLocker и URL-адрес по умолчанию на экране восстановления BitLocker, предварительно загрузив его. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите вернуться к сообщению по умолчанию, необходимо включить эту политику и выбрать этот параметр.

Новый параметр групповой политики находится в следующем узле групповой политики:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker)>Диск операционной системы. Дополнительные сведения см. в статье Планирование требований групповой политики MBAM 2.5.

В MBAM добавлена поддержка шифрования используемого пространства

В MBAM 2.5 с пакетом обновления 1 (SP1) при включении шифрования использованного пространства с помощью групповой политики BitLocker клиент MBAM учитывает его.

Этот параметр групповой политики называется Принудительно применять тип шифрования диска на дисках операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера>Административные шаблоны>Компоненты> Windows BitLocker Дискиоперационной системышифрования> дисков BitLocker. Если эта политика включена и выбран тип шифрования только для используемого пространства, MBAM учитывает политику, а BitLocker шифрует только дисковое пространство, используемое на томе.

Дополнительные сведения см. в статье Планирование требований групповой политики MBAM 2.5.

Поддержка клиента MBAM для зашифрованных жестких дисков

MBAM поддерживает BitLocker на зашифрованных жестких дисках, которые соответствуют требованиям спецификации TCG для стандартов Opal и IEEE 1667. Если bitLocker включен на этих устройствах, он создает ключи и выполняет функции управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск .

Настройка делегирования больше не требуется при регистрации имен субъектов-служб

Требование для настройки ограниченного делегирования для имен субъектов-служб, зарегистрированных для учетной записи пула приложений, больше не требуется в MBAM 2.5 с пакетом обновления 1 (SP1). Тем не менее, это по-прежнему является обязательным требованием для MBAM 2.5.

Включение BitLocker с помощью MBAM в рамках развертывания Windows

В MBAM 2.5 с пакетом обновления 1 (SP1) можно использовать сценарий PowerShell для настройки шифрования диска BitLocker и депонирования ключей восстановления на сервере MBAM.

Дополнительные сведения см. в статье Включение BitLocker с помощью MBAM в рамках развертывания Windows.

Self-Service портал можно настроить с помощью PowerShell или мастера настройки SSP.

С версии MBAM 2.5 с пакетом обновления 1 (SP1) портал Self-Service можно настроить с помощью мастера настройки и PowerShell. См . статью Настройка веб-приложений MBAM 2.5.

Веб-браузер больше не выполняется от имени администратора

Проблема в MBAM 2.5 приводила к тому, что ссылки на справку в средстве настройки сервера приводили к открытию окон браузера с правами администратора. Эта проблема устранена в MBAM 2.5 с пакетом обновления 1 (SP1).

Больше не нужно скачивать файлы JavaScript для настройки портала Self-Service, если сеть CDN недоступна

В MBAM 2.5 и более ранних версиях файлы jQuery, используемые для настройки портала Self-Service, необходимо было скачать из сети CDN заранее, если у клиентов, обращаювшихся к порталу Self-Service, не было доступа к Интернету. В MBAM 2.5 с пакетом обновления 1 (SP1) все файлы JavaScript включены в продукт, поэтому скачивание их не требуется.

Отчеты можно открывать в построителе отчетов 3.0

В MBAM 2.5 с пакетом обновления 1 (SP1) отчеты обновляются до последней схемы языка определения отчетов, что позволяет пользователям открывать и настраивать отчеты в построителе отчетов 3.0 и сохранять их немедленно без повреждения файла отчета.

Новые командлеты PowerShell

Новые командлеты PowerShell для MBAM 2.5 с пакетом обновления 1 (SP1) позволяют настраивать различные функции MBAM, включая базы данных, отчеты и веб-приложения, а также управлять ими. У каждого компонента есть соответствующий командлет PowerShell, который можно использовать для включения или отключения функций, а также для получения сведений о них.

Для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие командлеты:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

В командлетах Enable-MbamWebApplication и Test-MbamWebApplication для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие параметры:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Сведения о командлетах см. в разделах Рекомендации по безопасности MBAM 2.5 и Справка по командлетам администрирования и мониторинга Microsoft BitLocker.

Агент MBAM обнаруживает режим презентации

Агент MBAM может обнаруживать, когда компьютер находится в режиме презентации, и в это время не вызывать пользовательский интерфейс MBAM.

Служба агента MBAM теперь настроена для использования отложенного запуска

После установки служба теперь настроит службу агента MBAM для использования отложенного запуска, уменьшая время, затрачиваемое на запуск Windows.

Заблокированные фиксированные тома данных теперь сообщают о соответствии

Логика вычисления соответствия для томов "Заблокированные фиксированные данные" изменена, чтобы сообщить о томах как "Совместимые", но с состоянием защиты и состоянием шифрования "Неизвестно" и с подробным значением состояния соответствия "Том заблокирован". Ранее заблокированные тома сообщались как "Несоответствующие", состояние предохранителя — "Зашифровано", состояние шифрования " Неизвестно" и состояние соответствия "Неизвестная ошибка".

Заметки о выпуске MBAM 2.5 с пакетом обновления 1 (SP1)

Дополнительные сведения и последние новости, которые не включены в эту документацию, см. в заметках о выпуске для MBAM 2.5 с пакетом обновления 1 (SP1).