Mbam Chip

Mbam-Chip

Der CHIP-Experte empfiehlt die folgende Software. Der MBAM läuft nicht als Echtzeitschutz in HG (Freeware-Version). Den MBAM-Client während der Windows-Bereitstellung einsetzen Für Computer mit einem Trusted Plattform Module (TPM)-Chip kann der BitLocker-Client in eine Firma eingebunden werden, indem er die Verwaltung und Chiffrierung von BitLocker als Teil der Image-Erstellung und der Windows-Bereitstellung auf Client-Computern ermöglicht. Wenn Client-Computer während der ersten Image-Erstellungsphase einer Windows-Bereitstellung mit BitLocker verschlüsselt werden, kann der administrative Aufwand für die Implementierung von MBAM in einem Betrieb reduziert werden.

Es stellt auch sicher, dass alle gehosteten Rechner richtig eingestellt sind und dass BitLocker bereits auf ihnen läuft. Wenn Sie den Registrierungseditor falsch verwenden, kann dies zu ernsthaften Schwierigkeiten bei der Installation von Windows kommen. Falls Ihr Unternehmen plant, das BitLocker Trusted Plattformmodul (TPM) oder TPM- und PIN-Schutzoptionen zu verwenden, müssen Sie den TPM-Chip vor der ersten Implementierung von MBAM einschalten.

Mit der Aktivierung des TPM-Chips wird ein späterer Restart vermieden und sichergestellt, dass die TPM-Chips entsprechend den Erfordernissen Ihres Unternehmens richtig eingestellt sind. Der TPM-Chip muss im BIOS des Rechners aktiviert werden. Manche Hersteller bieten Werkzeuge an, um den TPM-Chip im BIOS vom Betriebsystem aus zu starten. Nähere Angaben zur Konfiguration des TPM-Chips entnehmen Sie bitte der Dokumentation des Herstellers.

Hinzufügen des Rechners zu einer Domain (empfohlen). Falls der Rechner nicht zu einer Domain gehört, wird das Recovery-Passwort nicht im MBAM Key Recovery Service abgelegt. MBAM erlaubt per Voreinstellung nur dann eine Datenverschlüsselung, wenn der Recovery-Schlüssel abgespeichert werden kann. Wird ein Rechner im Recovery-Modus vor dem Speichern des Recovery-Schlüssels auf dem MBAM-Server im Recovery-Modus ausgeführt, muss das Abbild des Rechners erneut erzeugt werden.

Starten Sie eine Befehlseingabe als Verwalter, stoppen Sie den MBAM-Service, stellen Sie den Service auf Manual oder On-demand und geben Sie dann die nachfolgenden Kommandos ein: In den Registry-Einstellungen für den MBAM-Agenten setzen Sie auf Gruppenrichtlinien nicht beachten und TPM ausführen, um nur das Betriebssystem zu verschlüsseln.

Die Kommunikation mit dem Key Recovery Service muss möglich sein. Geben Sie für diesen Parameter die URL des Key Recovery Webservers an, z.B. "http:///MBAMRecoveryAndHardwareService/CoreService.svc". Der MBAM-Agent startet das Programm während der MBAM-Client-Bereitstellung wieder. Wenn Sie für diesen Reboot vorbereitet sind, starten Sie den nachfolgenden Aufruf als Admin: Ausführen des Befehls an der Eingabeaufforderung:

Nach dem Neustart des Computers und der Aufforderung des BIOS, eine TPM-Änderung zu übernehmen, müssen Sie diese annehmen. Während des Image-Erstellungsprozesses für Windows-Client-Betriebssysteme müssen Sie den MBAM Agent-Dienst nach der Fertigstellung erneut aufrufen und den Anfangswert auf Automatik setzen, indem Sie als Verwalter eine Kommandozeile aufrufen und die nachfolgenden Kommandos eingeben: