微软企业级加解密解决方案MBAM组策略模板配置-阿里云开发者社区

开发者社区> 余二五> 正文

微软企业级加解密解决方案MBAM组策略模板配置

简介:
+关注继续查看

若要部署 MBAM,您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置。若要完成此任务,必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM),然后编辑设置。

重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM (BitLocker 管理)节点中配置的组策略设置,当 MBAM 自动配置为您的BitLocker 驱动器加密设置。

在Windows Server 2008 R2的域控环境中,对Bitlocker和MBAM的组策略会比Windows 10中看到的策略数目少一些,为了补充确实的这一部份,因此需要先讲08R2的域控架构升级到2012R2,再把Windows 10的组策略模板信息复制一份进08R2域控的组策略集合中。就会看到如下新增的组策略:

clip_image001

复制 MBAM 2.5 组策略模板

安装 MBAM 客户端之前,您必须复制到管理工作站的 MBAM 特定组策略对象 (Gpo)。这些 Gpo 定义 MBAM BitLocker 驱动器加密实现设置。您可以将组策略模板复制到任何服务器或工作站支持的基于 Windows 的服务器或客户端计算机,并可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)。

有关详细信息,请参阅复制 MBAM 2.5 组策略模板

编辑 MBAM 2.5 GPO 设置

创建必要的 Gpo 后,您必须向您组织的客户端计算机部署 MBAM 组策略设置。若要查看和创建 Gpo,必须具有组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 安装。

有关的详细信息,请参阅编辑 MBAM 2.5 组策略设置规划 MBAM 2.5 组策略要求

clip_image002

常用的设置如下:

允许没有TPM芯片也可以操作系统盘加密:

clip_image003

clip_image004

启用上面这条操作系统加密设置以后,会自动启用下图红色框住部份,如果环境没有Vista那么可以改成未配置

clip_image005

clip_image006

clip_image007

clip_image008

clip_image009

clip_image010

clip_image011

clip_image012

可以强制执行加密策略

clip_image013

clip_image014

强制延迟时间没到期时是:

clip_image015

到期时是:

clip_image016

clip_image017

clip_image018

clip_image019

失败是因为我的环境是在Hyper-V上搭建的一台Windows 8.1采用的是动态磁盘格式,在下面的日志中可以看到:

clip_image020

虚拟机是不支持利用MBAM代理进行加密的。因此在虚拟机中测试需要自己手动启动bitlocker加密,启用后重启需要在进入Windows系统前验证一次Bitlocker密码,输入正确到桌面就开始加密了:

clip_image021

加密完成后用户也可以重置密码:

clip_image022

为没有TPM芯片启用Bitlocker

clip_image023

clip_image024

如果配置了请求例外,那么会在弹出加密框多出“请求例外”

clip_image025

clip_image026

如果我在组策略中启用了移动存储介质的安全加密访问策略那么会是怎样的呢?

clip_image027

那么当客户端插入U盘后会出现:

clip_image028

如果我们不对该U盘加密,那么该U盘的数据我们只能读取但不能写入和修改了

clip_image029

哪怕从U盘新建也是不行的,只能读取:

clip_image030

修改了文件保存会报错:

clip_image031










本文转自 ZJUNSEN 51CTO博客,原文链接:http://blog.51cto.com/rdsrv/1926611,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
让黑客无隙可乘——企业级Web网站安全解决方案揭秘
在3月10日举办的阿里云网站热点研讨会上,阿里云资深安全业务架构师蕴藉就网站Web应用的安全性及业务可用性进行了一系列细致的讲解和介绍,接下来我们就来共同了解一下他分享的内容。
12477 0
C#和Javascript间互转的Xxtea加解密
很有意思的一件事情,当我想要找 Xxtea 加解密算法的时候,发现了前同事(likui318)的代码,不妨分享出来。此代码满足: 1:Xxtea支持中文; 2:支持 JS 和 C# 加解密之间的互转;   一:C#部分 class XXTEA2 {     public stat...
667 0
RSACryptoServiceProvider加密解密签名验签和DESCryptoServiceProvider加解密
原文:RSACryptoServiceProvider加密解密签名验签和DESCryptoServiceProvider加解密 C#在using System.Security.Cryptography下有 DESCryptoServiceProvider RSACryptoServiceProvider  DESCryptoServiceProvider 是用于对称加密 RSACryptoServiceProvider是用于非对称加密  对称加密的意思:有一个密钥 相当于加密算法,加密用它来加密,解密也需要用到它。
771 0
+关注
20382
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载