Teil 23b: MBAM konfigurieren

MBAM konfigurieren – Schritte:

  • Self-Service Portal konfigurieren
  • Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

Als Grundlage für die Konfiguration verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx

Self-Service Portal konfigurieren

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
  3. SERVER02\Sites\Microsoft BitLocker Administration and Monitoring erweitern
  4. SelfService markieren
  5. Im mittleren Bereich Application Settings doppelklicken
    MBAM_CONF-001
  6. Folgende Einstellungen erstellen bzw. anpassen:
    1. CompanyName: Ein einfaches Netzwerk
    2. HelpdeskText_de-de: Kontaktieren Sie den Servicedesk oder Ihre IT-Abteilung
    3. HelpdeskUrl_de-de: http://servicedesk.haimann.local/
      MBAM_CONF-002
  7. IIS-Manager schließen
  8. Im Windows Explorer den Ordner C:\inetpub\Microsoft BitLocker Management Solution\Self Service Website öffnen
  9. Den Ordner de-de und darin die Datei Notice.txt mit folgendem Inhalt erstellen:
    Das ist ein Beispieltext.
    
    Freundliche Grüße
    Ihr IT-Team
  10. Alle Fenster schließen
    MBAM_CONF-003
  11. Im Internet Explorer https://mbam.haimann.local/SelfService aufrufen
    1. Ich habe die Mitteilung gelesen und verstanden aktivieren > Fortsetzen
      MBAM_CONF-004
  12. Internet Explorer schließen
    MBAM_CONF-005

Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

  1. Server Manager > Local Server > Tools > Group Policy Management
  2. haimann.local\Group Policy Objects erweitern
  3. Ein neues Group Policy Object erstellen
    1. Name: MBAM Settings
      MBAM_CONF-006
  4. MBAM Settings rechts anklicken und im Kontextmenü Edit… anklicken
    MBAM_CONF-007
  5. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management) erweitern
  6. Folgende Einstellungen vornehmen:
    1. Provide the unique identifiers for your organization
      MBAM_CONF-008
  7. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Client Management erweitern
  8. Folgende Einstellungen vornehmen:
    1. Configure customer experience improvement program
      MBAM_CONF-009
    2. Configure MBAM Services
      1. MBAM Recovery service endpoint: https://mbam.haimann.local:443/MBAMRecoveryAndHardwareService/CoreService.svc
      2. MBAM Status reporting endpoint: https://mbam.haimann.local:443/MBAMComplianceStatusService/StatusReportingService.svc
        MBAM_CONF-010
  9. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Operating System Drive erweitern
  10. Folgende Einstellungen vornehmen:
    1. Choose how BitLocker-protected operating system drives can be recovered
      MBAM_CONF-040
    2. Configure TPM platform validation profile (aktivieren und Standard übernehmen)
      MBAM_CONF-011
    3. Configure TPM platform validation profile for BIOS-based firmware configurations (aktivieren und Standard übernehmen)
      MBAM_CONF-012
    4. Configure TPM platform validation profile for native UEFI firmware configurations (aktivieren und Standard übernehmen)
      MBAM_CONF-036
    5. Encryption Policy Enforcement Settings
      MBAM_CONF-013
    6. Operating System drive encryption settings
      MBAM_CONF-014
  11. Computer Configuration\Policies\Administrative Templates\System\Power Management\Sleep Settings erweitern
  12. Folgende Einstellungen vornehmen:
    1. Allow standby states (S1-S3) when sleeping (on battery)
      MBAM_CONF-016
    2. Allow standby states (S1-S3) when sleeping (plugged in)
      MBAM_CONF-017
  13. Computer Configuration\Policies\Administrative Templates\System\Trusted Platfom Module Services erweitern
  14. Folgende Einstellungen vornehmen:
    1. Turn on TPM backup to Active Directory Domain Services
      MBAM_CONF-039
  15. User Configuration\Policies\Administrative Templates\Control Panel erweitern
  16. Folgende Einstellungen vornehmen:
    1. Hide specified Control Panel items
      1. Show…
        MBAM_CONF-018

        1. Microsoft.BitLockerDriveEncryption > OK
          MBAM_CONF-019
  17. Group Policy Editor schließen
  18. MBAM Settings auf Arbeitsstationen und Benutzer verknüpfen
    MBAM_CONF-020
  19. Group Policy Management schließen

CC BY-NC-SA 4.0 Teil 23b: MBAM konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.