BitLocker加密是保护桌面敏感数据的一种有效方式,然而在企业中实现微软BitLocker是一个不小的任务。管理多个系统的加密工作是个复杂的过程,容易令用户产生困惑和畏惧,导致各种各样的问题。
微软的BitLocker Administration and Monitoring(MBAM)旨在改变这一切。该工具简化了Windows 7和Windows 8电脑(包括Windows To Go客户端)上的BitLocker管理任务。它还可以帮助桌面管理员增强策略遵从性并减少支持BitLocker用户所需的资源。
BitLocker是Windows 7旗舰版和企业版、Windows 8企业版和专业版以及其他Windows版本中集成的一项全盘加密技术。BitLocker允许管理员加密Windows系统卷和任何配置状态的数据卷,以防止非法数据访问。
MBAM在2011年首次发布,其简化了BitLocker配置过程并交付BitLocker客户端合规性报告,简化了桌面的管理和监控工作。即便如此,MBAM的工作范围也是有限的。
为了解决这些局限性,微软发布了MBAM 2.0,为用户带来了一个自助服务门户,提供了改进的执行能力。MBAM 2.0还充分借用Windows 8新的安全特性,现在可集成到系统中心配置管理器。
最近,微软发布了首个MBAM 2.0服务包,进一步简化了BitLocker配置和管理。
MBAM 2.0是微软企业桌面优化套件(MDOP)的一部分。MDOP是用来帮助IT管理员管理和控制Windows桌面环境的一套工具。SA客户可订阅MDOP。
了解MBAM组件
你可以把MBAM看作单一的解决方案进行安装,也可以集成到Configuration Manager 2007或2012。无论哪种方式,组件的拓扑结构是相同的,虽然一些组件的位置不同。
MBAM安装的核心是管理和监视服务器。Help Desk Portal是一个管理和监控网站,在上面你可以执行一些管理任务。
服务器也有一个自助服务门户,用户可以检索自己的恢复密钥。此外,监视Web服务运行在该服务器上和客户端计算机进行交互。
在Configuration Manager安装中,硬件合规功能是托管在Configuration Manager主站点服务器上,而不是管理和监视服务器。主站点服务器将微软BitLocker客户端电脑硬件库存信息收集到MBAM集合中。
此外,服务器包含了配置基线,可评估这些电脑的合规管理状态。
MBAM拓扑中另一个重要组件是数据库服务器,是包含了恢复和审计数据库的SQL服务器实例。恢复数据库存储从MBAM客户收集来的恢复数据,审计数据库存储的是在客户端电脑访问恢复数据时收集的动态数据。
数据库服务器独立安装时,也托管客户端电脑的合规数据以及根据这些数据制作的Reporting Services报告。在Configuration Manager安装过程中,数据和报告会集成到Configuration Manager环境中。
MBAM还包含了一个管理工作站存放Policy Template。Policy Template是一组组策略设置的集合,可用于定义应用到BitLocker客户端的MBAM选项。该管理工作站不需要专门的电脑,也可以用来访问帮助台门户。
最后,MBAM拓扑包含BitLocker客户端本身。每个客户端是一个配置了MBAM代理的Windows桌面,可将BitLocker组策略设置应用于计算机,并且可以收集恢复和计算机信息,包括加密的磁盘驱动器的相关恢复密钥。