关于 MBAM 2.5 SP1

  • 项目

Microsoft BitLocker 管理和监视 (MBAM) 2.5 SP1 为 BitLocker 驱动器加密提供了简化的管理界面。 BitLocker 为丢失或被盗的计算机提供增强的数据盗窃或数据泄露保护。 BitLocker 会加密存储在 Windows 操作系统和驱动器以及配置的数据驱动器上的所有数据。

MBAM 概述

MBAM 2.5 SP1 具有以下功能:

  • 使管理员能够自动执行在整个企业中的客户端计算机上加密卷的过程。

  • 使安全人员能够快速确定单个计算机甚至企业本身的符合性状态。

  • 使用 Microsoft System Center Configuration Manager 提供集中式报告和硬件管理。

  • 减少技术支持的工作负荷,以协助最终用户处理 BitLocker PIN 和恢复密钥请求。

  • 使最终用户能够使用 Self-Service 门户独立恢复加密设备。

  • 使安全人员能够轻松审核恢复密钥信息的访问权限。

  • 使 Windows 企业版用户能够在任何地方继续工作,确保其公司数据受到保护。

MBAM 强制实施为企业设置的 BitLocker 加密策略选项,监视客户端计算机使用这些策略的符合性,并报告企业和个人计算机的加密状态。 此外,MBAM 还允许在用户忘记其 PIN 或密码,或者其 BIOS 或启动记录发生更改时访问恢复密钥信息。

以下组可能有兴趣使用 MBAM 来管理 BitLocker:

  • 负责确保机密数据未经授权披露的管理员、IT 安全专业人员和合规性官员

  • 负责远程或分支机构中计算机安全的管理员

  • 负责运行 Windows 的客户端计算机的管理员

注意

本 MBAM 文档中没有详细说明 BitLocker。 有关详细信息,请参阅 BitLocker 驱动器加密概述

MBAM 2.5 SP1 中的新增功能

本部分介绍 MBAM 2.5 SP1 中的新功能。

MBAM 2.5 SP1 客户端新支持的语言

MBAM 2.5 SP1 现在仅支持 MBAM 客户端的以下语言,包括 Self-Service 门户:

  • 捷克 (捷克共和国) cs-CZ

  • 丹麦 (丹麦) da-DK

  • 荷兰 (荷兰) nl-NL

  • 芬兰 (芬兰) fi-FI

  • 希腊 (希腊) el-GR

  • 匈牙利语 (匈牙利) 胡-胡

  • 挪威语、博克马尔 (挪威) nb-NO

  • 波兰 (波兰) pl-PL

  • 葡萄牙语 (葡萄牙) pt-PT

  • 斯洛伐克 (斯洛伐克) sk-SK

  • 斯洛文尼亚语 (斯洛文尼亚) sl-SI

  • 瑞典 (瑞典) sv-SE

  • 土耳其 (türkiye) tr-TR

有关 MBAM 2.5 和 MBAM 2.5 SP1 中客户端和服务器支持的所有语言的列表,请参阅 MBAM 2.5 支持的配置

对 Windows 10 的支持

MBAM 2.5 SP1 增加了对 Windows 11、Windows 10 和 Windows Server 2016 的支持,以及早期版本的 MBAM 中支持的相同软件。

MBAM 2.5 和 MBAM 2.5 SP1 都支持 Windows 10。

支持Microsoft SQL Server 2014 SP1

MBAM 2.5 SP1 添加了对 Microsoft SQL Server 2014 SP1 的支持,以及早期版本的 MBAM 中支持的相同软件。

MBAM 不再附带单独的 MSI

从 MBAM 2.5 SP1 开始,MBAM 产品不再包含单独的 MSI。 但是,可以从产品附带的可执行文件 (.exe) 中提取 MSI。

MBAM 可以在不拥有 TPM 的情况下托管 OwnerAuth 密码

以前,如果 MBAM 不拥有 TPM,则 TPM OwnerAuth 无法托管到 MBAM 数据库。 若要将 MBAM 配置为拥有 TPM 并存储密码,必须在客户端计算机上禁用 TPM 自动预配并清除 TPM。

在 Windows 8 及更高版本中,MBAM 2.5 SP1 现在可以托管所有者身份验证密码,而无需拥有 TPM。 在服务启动期间,MBAM 会查询以查看 TPM 是否已拥有;如果是,则从操作系统请求密码。 然后将密码托管到 MBAM 数据库。 此外,必须设置组策略以防止在本地删除 OwnerAuth。

在 Windows 7 中,MBAM 必须拥有 TPM,才能在 MBAM 数据库中自动托管 TPM 所有者身份验证信息。 如果 MBAM 不拥有 TPM 和 Active Directory (AD) 通过组策略配置 TPM 的备份,则必须使用 MBAM Active Directory (AD) 数据导入 cmdlet 将 TPM OwnerAuth 从 AD 复制到 MBAM 数据库。 这是五个新的 PowerShell cmdlet,它们使用存储在 Active Directory 中的卷恢复和 TPM 所有者信息预填充 MBAM 数据库。

有关详细信息,请参阅 MBAM 2.5 安全注意事项

MBAM 可以在锁定后自动解锁 TPM

在运行 TPM 1.2 的计算机上,现在可以将 MBAM 配置为在 TPM 被锁定时自动解锁。如果启用了 TPM 锁定自动重置功能,MBAM 可以检测到用户被锁定,然后从 MBAM 数据库中获取 OwnerAuth 密码,以自动为用户解锁 TPM。

必须在服务器端和客户端的组策略中启用此功能。 有关详细信息,请参阅 MBAM 2.5 安全注意事项

支持符合 FIPS 的 BitLocker 数字密码保护程序

在 MBAM 2.5 中,在运行 Windows 8.1 操作系统的设备上添加了对联邦信息处理标准 (FIPS) 兼容 BitLocker 恢复密钥的支持。 但是,Windows 未在 Windows 7 中实现符合 FIPS 的恢复密钥。 因此,Windows 7 和 Windows 8 设备仍然需要数据恢复代理 (DRA) 保护程序进行恢复。

Windows 团队使用修补程序向后移植符合 FIPS 的恢复密钥,MBAM 2.5 SP1 也添加了对它们的支持。

注意

运行 Windows 8 的客户端计算机仍需要 DRA 保护程序,因为修补程序未向后移植到该 OS。 若要下载并安装适用于 Windows 7 和 Windows 8 计算机的 BitLocker 修补程序 ,请参阅适用于 BitLocker Administration and Monitoring 2.5 的修补程序包 2 。 有关 DRA 的信息,请参阅 将数据恢复代理与 BitLocker 配合使用

若要在组织中启用 FIPS 合规性,必须配置联邦信息处理标准 (FIPS) 组策略设置。 有关配置说明,请参阅 BitLocker 组策略设置

使用新的组策略设置自定义预启动恢复消息和 URL

新的组策略设置 “配置预启动恢复消息和 URL”允许配置自定义恢复消息或指定 URL,该 URL 随后在 OS 驱动器锁定时显示在预启动 BitLocker 恢复屏幕上。 此设置仅适用于运行 Windows 11 和 Windows 10 的客户端计算机。

如果启用此策略设置,可以为预启动恢复消息选择以下选项之一:

  • 使用自定义恢复消息:选择此选项可在预启动 BitLocker 恢复屏幕中包含自定义消息。

  • 使用自定义恢复 URL:选择此选项可替换预启动 BitLocker 恢复屏幕中显示的默认 URL。

  • 使用默认恢复消息和 URL:选择此选项可在预启动 BitLocker 恢复屏幕中显示默认 BitLocker 恢复消息和 URL。 如果以前配置了自定义恢复消息或 URL,并且想要还原为默认消息,则必须启用此策略并选择此选项。

新的组策略设置位于以下 GPO 节点中: 计算机配置>策略>管理模板>Windows 组件>MDOP MBAM (BitLocker Management) >操作系统驱动器。 有关详细信息,请参阅 规划 MBAM 2.5 组策略要求

MBAM 添加了对已用空间加密的支持

在 MBAM 2.5 SP1 中,如果通过 BitLocker 组策略启用已用空间加密,则 MBAM 客户端会遵循它。

此组策略设置称为 在操作系统驱动器上强制实施驱动器加密类型 ,位于以下 GPO 节点中: 计算机配置>管理模板>Windows 组件>BitLocker 驱动器加密>操作系统驱动器。 如果启用此策略并选择“ 仅使用空间加密”加密类型,则 MBAM 将遵循该策略,BitLocker 仅加密卷上使用的磁盘空间。

有关详细信息,请参阅 规划 MBAM 2.5 组策略要求

MBAM 客户端对加密硬盘驱动器的支持

MBAM 支持满足 Opal 和 IEEE 1667 标准的 TCG 规范要求的加密硬盘驱动器上的 BitLocker。 在这些设备上启用 BitLocker 时,它会生成密钥并在加密驱动器上执行管理功能。 有关详细信息 ,请参阅加密硬盘驱动器

注册 SPN 时不再需要委派配置

在 MBAM 2.5 SP1 中,不再需要为应用程序池帐户注册的 SPN 配置约束委派。 但是,它仍然是 MBAM 2.5 的要求。

使用 MBAM 作为 Windows 部署的一部分启用 BitLocker

在 MBAM 2.5 SP1 中,可以使用 PowerShell 脚本配置 BitLocker 驱动器加密和托管恢复密钥到 MBAM 服务器。

有关详细信息,请参阅 如何在 Windows 部署中使用 MBAM 启用 BitLocker

可以使用 PowerShell 或 SSP 自定义向导自定义 Self-Service 门户

从 MBAM 2.5 SP1 开始,可以使用自定义向导和 PowerShell 配置 Self-Service 门户。 请参阅 如何配置 MBAM 2.5 Web 应用程序

Web 浏览器不再无意中以管理员身份运行

MBAM 2.5 中的一个问题导致服务器配置工具中的帮助链接导致浏览器窗口以管理员权限打开。 此问题已在 MBAM 2.5 SP1 中修复。

无法访问 CDN 时,不再需要下载 JavaScript 文件来配置 Self-Service 门户

在 MBAM 2.5 及更低版本中,如果访问 Self-Service 门户的客户端无法访问 Internet,则必须提前从 CDN 下载用于配置 Self-Service 门户的 jQuery 文件。 在 MBAM 2.5 SP1 中,所有 JavaScript 文件都包含在产品中,因此不需要下载它们。

可以在报表生成器 3.0 中打开报表

在 MBAM 2.5 SP1 中,报表更新为最新的报表定义语言架构,允许用户在报表生成器 3.0 中打开和自定义报表,并立即保存报表,而不会损坏报表文件。

新的 PowerShell cmdlet

MBAM 2.5 SP1 的新 PowerShell cmdlet 使你能够配置和管理不同的 MBAM 功能,包括数据库、报表和 Web 应用程序。 每个功能都有相应的 PowerShell cmdlet,可用于启用或禁用功能,或获取有关该功能的信息。

为 MBAM 2.5 SP1 实现以下 cmdlet:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

以下参数在 MBAM 2.5 SP1 的 Enable-MbamWebApplication 和 Test-MbamWebApplication cmdlet 中实现:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

有关 cmdlet 的信息,请参阅 MBAM 2.5 安全注意事项Microsoft BitLocker 管理和监视 cmdlet 帮助

MBAM 代理检测演示模式

MBAM 代理可以检测计算机何时处于演示模式,并避免在此时调用 MBAM UI。

MBAM 代理服务现在配置为使用延迟启动

安装后,该服务现在会将 MBAM 代理服务设置为使用延迟启动,从而减少启动 Windows 所需的时间。

锁定的固定数据卷现在报告为“合规”

“锁定的固定数据”卷的符合性计算逻辑已更改为“符合”,但保护程序状态和加密状态为“未知”,合规性状态详细信息为“卷已锁定”。 以前,锁定的卷报告为“不符合”,保护程序状态为“已加密”,加密状态为“未知”,符合性状态详细信息报告为“未知错误”。

MBAM 2.5 SP1 发行说明

有关本文档中未包含的详细信息和最新新闻,请参阅 MBAM 2.5 SP1 发行说明