微软企业级加解密解决方案MBAM组策略模板配置

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

若要部署 MBAM,您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置。若要完成此任务,必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM),然后编辑设置。

重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM (BitLocker 管理)节点中配置的组策略设置,当 MBAM 自动配置为您的BitLocker 驱动器加密设置。

在Windows Server 2008 R2的域控环境中,对Bitlocker和MBAM的组策略会比Windows 10中看到的策略数目少一些,为了补充确实的这一部份,因此需要先讲08R2的域控架构升级到2012R2,再把Windows 10的组策略模板信息复制一份进08R2域控的组策略集合中。就会看到如下新增的组策略:

clip_image001

复制 MBAM 2.5 组策略模板

安装 MBAM 客户端之前,您必须复制到管理工作站的 MBAM 特定组策略对象 (Gpo)。这些 Gpo 定义 MBAM BitLocker 驱动器加密实现设置。您可以将组策略模板复制到任何服务器或工作站支持的基于 Windows 的服务器或客户端计算机,并可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)。

有关详细信息,请参阅复制 MBAM 2.5 组策略模板

编辑 MBAM 2.5 GPO 设置

创建必要的 Gpo 后,您必须向您组织的客户端计算机部署 MBAM 组策略设置。若要查看和创建 Gpo,必须具有组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 安装。

有关的详细信息,请参阅编辑 MBAM 2.5 组策略设置规划 MBAM 2.5 组策略要求

clip_image002

常用的设置如下:

允许没有TPM芯片也可以操作系统盘加密:

clip_image003

clip_image004

启用上面这条操作系统加密设置以后,会自动启用下图红色框住部份,如果环境没有Vista那么可以改成未配置

clip_image005

clip_image006

clip_image007

clip_image008

clip_image009

clip_image010

clip_image011

clip_image012

可以强制执行加密策略

clip_image013

clip_image014

强制延迟时间没到期时是:

clip_image015

到期时是:

clip_image016

clip_image017

clip_image018

clip_image019

失败是因为我的环境是在Hyper-V上搭建的一台Windows 8.1采用的是动态磁盘格式,在下面的日志中可以看到:

clip_image020

虚拟机是不支持利用MBAM代理进行加密的。因此在虚拟机中测试需要自己手动启动bitlocker加密,启用后重启需要在进入Windows系统前验证一次Bitlocker密码,输入正确到桌面就开始加密了:

clip_image021

加密完成后用户也可以重置密码:

clip_image022

为没有TPM芯片启用Bitlocker

clip_image023

clip_image024

如果配置了请求例外,那么会在弹出加密框多出“请求例外”

clip_image025

clip_image026

如果我在组策略中启用了移动存储介质的安全加密访问策略那么会是怎样的呢?

clip_image027

那么当客户端插入U盘后会出现:

clip_image028

如果我们不对该U盘加密,那么该U盘的数据我们只能读取但不能写入和修改了

clip_image029

哪怕从U盘新建也是不行的,只能读取:

clip_image030

修改了文件保存会报错:

clip_image031










本文转自 ZJUNSEN 51CTO博客,原文链接:http://blog.51cto.com/rdsrv/1926611,如需转载请自行联系原作者
目录
相关文章
|
6月前
|
安全 Cloud Native 网络安全
如何使用SASE快速构建零信任架构
企业构建零信任架构已经成为近年热门的话题之一。本质都是保护企业核心数据安全,防止未经合法授权的数据的访问行为。阿里云SASE依托于阿里云的网络组网优势,为用户提供一个稳定、高效的SD-WAN组网及接入能力,与此同时叠加安全能力。
770 1
如何使用SASE快速构建零信任架构
|
数据安全/隐私保护 Windows 芯片
|
Windows 数据安全/隐私保护 虚拟化