让我们来看看MBAM在跨多个系统加密的管理中发挥什么样的作用。在了解Windows BitLocker和MBAM 2.0的基本组件之后,你可以通过部署来执行桌面安全策略。
部署MBAM 2.0
在安装MBAM之前,你应该有一些计划。首先,你需要决定是执行独立的安装还是使用配置管理器进行安装。使用配置管理器安装的优点是,你可以在一个已经部署好的基础设施中安装MBAM。
另外,配置管理器可以允许或禁止某种特定的硬件类型。也就是说,如果你只是为了安装MBAM而运行配置管理器,倒不如执行独立安装。
不管你决定使用哪种安装类型,你可以将BitLocker作为Windows系统的一部分一起安装到客户端计算机上,或者在安装Windows以后再配置BitLocker。你也可以从各种各样的选项中进行选择,比如驱动的类型,或者是否要多次使用恢复密钥。
对于Windows 8电脑,你还可以利用其新的安全特性,如选择只加密使用空间,这样可以减少BitLocker加密所需的时间。
在安装MBAM之前,要确保企业网络包含支持MBAM安装的必要组件,包括活动目录域、IIS、SQL Server和其他硬件和软件需求。
整个MBAM安装过程有许多依赖关系,可能是一个耗时的过程。如果没有正确执行,还可能是危险的。在开始安装之前,一定要仔细阅读MBAM管理员指南。
除了安装MBAM,你还必须配置组策略设置,来定义BitLocker应该如何在客户端计算机上执行。你可以同时配置操作系统驱动和固定的数据驱动的选项。但是,你只能使用策略模版来配置这些选项。MBAM并不使用默认的BitLocker策略,可能发生设置冲突。
管理MBAM 2.0
在设置好MBAM和配置好组策略设置之后,你可以对系统进行管理了。Help Desk Portal是主要的管理工具,它可以运行你执行大量的管理任务。比如,你可以利用其Drive Recovery功能来访问一个加密的驱动器,前提是BitLocker处于恢复状态。而且可以采取必要的措施恢复驱动器。你还可以使用Help Desk Portal恢复移除或损坏的驱动器。
Help Desk Portal另外一个实用的功能是可以生成报告来监控使用情况和合规性。报告中的信息基于MBAM从活动目录和Windows客户端搜集来的数据。
你可以创建三种不同类型的报告。企业合规性报告包含组织内整体的BitLocker合规性信息。计算机合规性报告专门针对某个用户或计算机,包含计算机上每个加密驱动器的细节,如政策密码强度和合规状态。恢复审计报告显示用户请求访问恢复密钥的相关信息,包括每个请求的日期和时间,以及请求理由。
除了Help Desk Portal,MBAM还提供了自助服务门户,为最终用户检索自己的恢复密钥提供服务。如果BitLocker用户忘记了密码或PIN,也或者他们修改了操作系统文件,BIOS或可信平台模块,都可以从这里寻求帮助。
用户只需要输入恢复密钥ID的前八位就能检索恢复密钥。自助门户将返回实际的48位恢复密钥,然后用户会进入BitLocker恢复屏幕。
使用MBAM 2.0
除了以上所提到的,MBAM还包含许多其他特性。例如,如果管理员暂停BitLocker驱动器,MBAM可以在计算机重新启动时重新启动该驱动器。
此外,MBAM会定期检查Windows BitLocker驱动器的策略控制,将不适当的驱动器恢复到一个合适的状态。此外,用户不需要管理员的帮助就能将某个设备设置成合规状态。
显然,MBAM提供了许多帮助。如果你想要BitLocker来保护你的企业桌面,也应该将MBAM考虑在内