Сведения о программе MBAM 2.5 с пакетом обновления 1 (SP1)

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 с пакетом обновления 1 (SP1) предоставляет упрощенный интерфейс администрирования для шифрования дисков BitLocker. BitLocker обеспечивает расширенную защиту от кражи или раскрытия данных для потерянных или украденных компьютеров. BitLocker шифрует все данные, хранящиеся в операционной системе Windows, на дисках и настроенных дисках с данными.

Обзор MBAM

MBAM 2.5 с пакетом обновления 1 (SP1) имеет следующие возможности:

• позволяет администраторам автоматизировать процедуру шифрования томов на клиентских компьютерах в организации;

• позволяет специалистам по безопасности быстро определять состояние соответствия требованиям отдельных компьютеров или всей организации;

• обеспечивает возможность централизованного составления отчетности и управления оборудованием с использованием Microsoft System Center Configuration Manager;

• Сокращает рабочую нагрузку в службе поддержки, чтобы помочь конечным пользователям с ПИН-кодом BitLocker и запросами на ключи восстановления.

• позволяет конечным пользователям восстанавливать зашифрованные устройства независимо, используя портал самообслуживания;

• Позволяет сотрудникам службы безопасности легко выполнять аудит доступа к восстановлению информации о ключах.

• позволяет пользователям Windows Корпоративная продолжать работать в любом месте, не беспокоясь о защите данных организации;

MBAM применяет параметры политики шифрования BitLocker, заданные для предприятия, отслеживает соответствие клиентских компьютеров этим политикам и сообщает о состоянии шифрования компьютеров предприятия и отдельных пользователей. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления, когда пользователи забывают СВОЙ ПИН-код или пароль, а также при изменении bios или загрузочных записей.

Следующие группы могут быть заинтересованы в использовании MBAM для управления BitLocker:

• Администраторы, специалисты по ИТ-безопасности и сотрудники по соответствию требованиям, которые отвечают за обеспечение того, чтобы конфиденциальные данные не раскрывались без авторизации

• Администраторы, отвечающие за безопасность компьютеров в удаленных офисах или филиалах

• Администраторы, отвечающие за клиентские компьютеры под управлением Windows

Новые возможности MBAM 2.5 с пакетом обновления 1 (SP1)

В этом разделе описываются новые функции в MBAM 2.5 с пакетом обновления 1 (SP1).

Новые поддерживаемые языки для клиента MBAM 2.5 с пакетом обновления 1 (SP1)

Следующие языки теперь поддерживаются в MBAM 2.5 с пакетом обновления 1 (SP1) только для клиента MBAM, включая портал Self-Service:

• Чешский (Чехия) cs-CZ

• Датский (Дания) da-DK

• Голландский (Нидерланды) nl-NL

• Финская (Финляндия) fi-FI

• Греческий (Греция) el-GR

• Венгерский (Венгрия) hu-HU

• Норвежский, Букмол (Норвегия) nb-NO

• Польский (Польша) pl-PL

• Португальский (Португалия) pt-PT

• Словацкий (Словакия) sk-SK

• Словенский (Словения) sl-SI

• Шведский (Швеция) sv-SE

• Турецкий (Türkiye) tr-TR

Список всех языков, поддерживаемых для клиента и сервера в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1), см. в статье Поддерживаемые конфигурации MBAM 2.5.

Поддержка Windows 10

В MBAM 2.5 с пакетом обновления 1 (SP1) добавлена поддержка Windows 11, Windows 10 и Windows Server 2016 в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.

Windows 10 поддерживается в MBAM 2.5 и MBAM 2.5 с пакетом обновления 1 (SP1).

Поддержка Microsoft SQL Server 2014 с пакетом обновления 1 (SP1)

MBAM 2.5 с пакетом обновления 1 (SP1) добавляет поддержку Microsoft SQL Server 2014 с пакетом обновления 1 (SP1) в дополнение к тому же программному обеспечению, которое поддерживается в более ранних версиях MBAM.

MBAM больше не поставляется с отдельным MSI

Начиная с MBAM 2.5 с пакетом обновления 1 (SP1), отдельный MSI больше не входит в состав продукта MBAM. Однако вы можете извлечь MSI из исполняемого файла (.exe), входящего в состав продукта.

MBAM может депонирования паролей OwnerAuth без владельца доверенного платформенного модуля

Ранее, если MBAM не был владельцем доверенного платформенного модуля, невозможно было передать его в базу данных MBAM OwnerAuth. Чтобы настроить MBAM для владения TPM и хранения паролей, необходимо отключить автоматическую подготовку доверенного платформенного модуля и очистить TPM на клиентском компьютере.

В Windows 8 и более поздних версиях MBAM 2.5 с пакетом обновления 1 (SP1) теперь может депонирование паролей OwnerAuth без владельца доверенного платформенного модуля. Во время запуска службы MBAM запрашивает, является ли доверенный платформенный модуль владельцем, и если да, он запрашивает пароли из операционной системы. Затем пароли передаются в базу данных MBAM. Кроме того, необходимо настроить групповая политика, чтобы предотвратить локальное удаление OwnerAuth.

В Windows 7 MBAM должен быть владельцем доверенного платформенного модуля, чтобы автоматически передавать сведения владельца доверенного платформенного модуляAuth в базе данных MBAM. Если MBAM не является владельцем доверенного платформенного модуля, а резервная копия Active Directory (AD) доверенного платформенного модуля настроена с помощью групповая политика, необходимо использовать командлеты MBAM Active Directory (AD) Data Import, чтобы скопировать TPM OwnerAuth из AD в базу данных MBAM. Это пять новых командлетов PowerShell, которые предварительно заполняют базы данных MBAM сведениями о восстановлении тома и владельце доверенного платформенного модуля, хранящимися в Active Directory.

Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.

MBAM может автоматически разблокировать TPM после блокировки

На компьютерах с TPM 1.2 теперь можно настроить MBAM для автоматической разблокировки доверенного платформенного модуля, если он заблокирован. Если включена функция автоматического сброса блокировки доверенного платформенного модуля, MBAM может обнаружить, что пользователь заблокирован, а затем получить пароль OwnerAuth из базы данных MBAM, чтобы автоматически разблокировать TPM для пользователя.

Эта функция должна быть включена как на стороне сервера, так и в групповая политика на стороне клиента. Дополнительные сведения см. в статье Рекомендации по безопасности MBAM 2.5.

Поддержка fips-совместимых цифровых предохранителей BitLocker

В MBAM 2.5 добавлена поддержка ключей восстановления BitLocker, соответствующих требованиям Standard FIPS, на устройствах с операционной системой Windows 8.1. Однако Windows не реализовала ключи восстановления, совместимые с FIPS, в Windows 7. Поэтому для восстановления устройств Windows 7 и Windows 8 по-прежнему требуется средство защиты агента восстановления данных (DRA).

Команда Windows добавила ключи восстановления, совместимые с FIPS, с исправлением, и MBAM 2.5 с пакетом обновления 1 (SP1) также добавил поддержку для них.

Чтобы включить соответствие FIPS в организации, необходимо настроить параметры групповая политика Федерального Standard обработки информации (FIPS). Инструкции по настройке см. в разделе Параметры групповой политики BitLocker.

Настройка сообщения и URL-адреса восстановления перед загрузкой с помощью нового параметра групповая политика

Новый параметр групповая политика настройка сообщения и URL-адреса восстановления перед загрузкой позволяет настроить пользовательское сообщение восстановления или указать URL-адрес, который затем отображается на экране восстановления BitLocker перед загрузкой, когда диск ОС заблокирован. Этот параметр доступен только на клиентских компьютерах под управлением Windows 11 и Windows 10.

Если этот параметр политики включен, можно выбрать один из следующих параметров для сообщения о восстановлении перед загрузки:

• Использование настраиваемого сообщения восстановления. Выберите этот параметр, чтобы включить пользовательское сообщение на экран восстановления BitLocker перед загрузкой.

• Использовать пользовательский URL-адрес восстановления. Выберите этот параметр, чтобы заменить URL-адрес по умолчанию, отображаемый на экране восстановления BitLocker перед загрузки.

• Использовать сообщение и URL-адрес восстановления по умолчанию. Выберите этот параметр, чтобы отобразить сообщение о восстановлении BitLocker и URL-адрес по умолчанию на экране восстановления BitLocker, предварительно загрузив его. Если вы ранее настроили пользовательское сообщение восстановления или URL-адрес и хотите отменить изменения к сообщению по умолчанию, необходимо включить эту политику и выбрать этот параметр.

Новый параметр групповая политика находится в следующем узле объекта групповой политики:Политики>конфигурации> компьютераАдминистративные шаблоны>Компоненты> WindowsMDOP MBAM (Управление BitLocker)>Диск операционной системы. Дополнительные сведения см. в статье Планирование требований групповой политики MBAM 2.5.

В MBAM добавлена поддержка шифрования используемого пространства

В MBAM 2.5 с пакетом обновления 1 (SP1) при включении шифрования использованного пространства с помощью BitLocker групповая политика клиент MBAM учитывает его.

Этот параметр групповая политика называется Принудительно применять тип шифрования диска на дисках операционной системы и находится в следующем узле объекта групповой политики: Конфигурация компьютера>Административные шаблоны>Компоненты> WindowsBitLocker Дискиоперационной системы шифрования > дисков. Если эта политика включена и выбран тип шифрования только для используемого пространства, MBAM учитывает политику, а BitLocker шифрует только дисковое пространство, используемое на томе.

Дополнительные сведения см. в статье Планирование требований групповой политики MBAM 2.5.

Поддержка клиента MBAM для зашифрованных жестких дисков

MBAM поддерживает BitLocker на зашифрованных жестких дисках, которые соответствуют требованиям спецификации TCG для стандартов Opal и IEEE 1667. Если bitLocker включен на этих устройствах, он создает ключи и выполняет функции управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск .

Настройка делегирования больше не требуется при регистрации имен субъектов-служб

Требование для настройки ограниченного делегирования для имен субъектов-служб, зарегистрированных для учетной записи пула приложений, больше не требуется в MBAM 2.5 с пакетом обновления 1 (SP1). Тем не менее, это по-прежнему является обязательным требованием для MBAM 2.5.

Включение BitLocker с помощью MBAM в рамках развертывания Windows

В MBAM 2.5 с пакетом обновления 1 (SP1) можно использовать сценарий PowerShell для настройки шифрования диска BitLocker и депонирования ключей восстановления на сервере MBAM.

Дополнительные сведения см. в статье Включение BitLocker с помощью MBAM в рамках развертывания Windows.

Self-Service портал можно настроить с помощью PowerShell или мастера настройки SSP.

С версии MBAM 2.5 с пакетом обновления 1 (SP1) портал Self-Service можно настроить с помощью мастера настройки и PowerShell. См . статью Настройка веб-приложений MBAM 2.5.

Веб-браузер больше не выполняется от имени администратора

Проблема в MBAM 2.5 приводила к тому, что ссылки на справку в средстве настройки сервера приводили к открытию окон браузера с правами администратора. Эта проблема устранена в MBAM 2.5 с пакетом обновления 1 (SP1).

Больше не нужно скачивать файлы JavaScript для настройки портала Self-Service, если сеть CDN недоступна

В MBAM 2.5 и более ранних версиях файлы jQuery, используемые для настройки портала Self-Service, необходимо было скачать из сети CDN заранее, если у клиентов, обращаювшихся к порталу Self-Service, не было доступа к Интернету. В MBAM 2.5 с пакетом обновления 1 (SP1) все файлы JavaScript включены в продукт, поэтому скачивание их не требуется.

Отчеты можно открывать в Report Builder 3.0

В MBAM 2.5 с пакетом обновления 1 (SP1) отчеты обновляются до последней схемы языка определения отчетов, что позволяет пользователям открывать и настраивать отчеты в Report Builder 3.0 и сохранять их немедленно, не повреждая файл отчета.

Новые командлеты PowerShell

Новые командлеты PowerShell для MBAM 2.5 с пакетом обновления 1 (SP1) позволяют настраивать различные функции MBAM, включая базы данных, отчеты и веб-приложения, а также управлять ими. У каждого компонента есть соответствующий командлет PowerShell, который можно использовать для включения или отключения функций, а также для получения сведений о них.

Для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие командлеты:

• Write-MbamTpmInformation

• Write-MbamRecoveryInformation

• Read-ADTpmInformation

• Read-ADRecoveryInformation

• Write-MbamComputerUser

В командлетах Enable-MbamWebApplication и Test-MbamWebApplication для MBAM 2.5 с пакетом обновления 1 (SP1) реализованы следующие параметры:

• DataMigrationAccessGroup

• TpmAutoUnlock

Сведения о командлетах см. в разделах Рекомендации по безопасности MBAM 2.5 и Справка по командлетам администрирования и мониторинга Microsoft BitLocker.

Агент MBAM обнаруживает режим презентации

Агент MBAM может обнаруживать, когда компьютер находится в режиме презентации, и в это время не вызывать пользовательский интерфейс MBAM.

Служба агента MBAM теперь настроена для использования отложенного запуска

После установки служба теперь настроит службу агента MBAM для использования отложенного запуска, уменьшая время, затрачиваемое на запуск Windows.

Заблокированные фиксированные тома данных теперь сообщают о соответствии

Логика вычисления соответствия для томов "Заблокированные фиксированные данные" изменена, чтобы сообщить о томах как "Совместимые", но с состоянием защиты и состоянием шифрования "Неизвестно" и с подробным значением состояния соответствия "Том заблокирован". Ранее заблокированные тома сообщались как "Несоответствующие", состояние предохранителя — "Зашифровано", состояние шифрования " Неизвестно" и состояние соответствия "Неизвестная ошибка".

Заметки о выпуске MBAM 2.5 с пакетом обновления 1 (SP1)

Дополнительные сведения и последние новости, которые не включены в эту документацию, см. в заметках о выпуске для MBAM 2.5 с пакетом обновления 1 (SP1).