微软企业级加解密解决方案MBAM组策略模板配置

Posted 2020-09-18

若要部署 MBAM，您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置。若要完成此任务，必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)，然后编辑设置。

重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM （BitLocker 管理）节点中配置的组策略设置，当 MBAM 自动配置为您的BitLocker 驱动器加密设置。

在Windows Server 2008 R2的域控环境中，对Bitlocker和MBAM的组策略会比Windows 10中看到的策略数目少一些，为了补充确实的这一部份，因此需要先讲08R2的域控架构升级到2012R2，再把Windows 10的组策略模板信息复制一份进08R2域控的组策略集合中。就会看到如下新增的组策略：

复制 MBAM 2.5 组策略模板

安装 MBAM 客户端之前，您必须复制到管理工作站的 MBAM 特定组策略对象 (Gpo)。这些 Gpo 定义 MBAM BitLocker 驱动器加密实现设置。您可以将组策略模板复制到任何服务器或工作站支持的基于 Windows 的服务器或客户端计算机，并可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM)。

有关详细信息，请参阅复制 MBAM 2.5 组策略模板。

编辑 MBAM 2.5 GPO 设置

创建必要的 Gpo 后，您必须向您组织的客户端计算机部署 MBAM 组策略设置。若要查看和创建 Gpo，必须具有组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM) 安装。

有关的详细信息，请参阅编辑 MBAM 2.5 组策略设置和规划 MBAM 2.5 组策略要求。

常用的设置如下：

允许没有TPM芯片也可以操作系统盘加密：

启用上面这条操作系统加密设置以后，会自动启用下图红色框住部份,如果环境没有Vista那么可以改成未配置

可以强制执行加密策略

强制延迟时间没到期时是：

到期时是：

失败是因为我的环境是在Hyper-V上搭建的一台Windows 8.1采用的是动态磁盘格式，在下面的日志中可以看到：

虚拟机是不支持利用MBAM代理进行加密的。因此在虚拟机中测试需要自己手动启动bitlocker加密，启用后重启需要在进入Windows系统前验证一次Bitlocker密码，输入正确到桌面就开始加密了：

加密完成后用户也可以重置密码：

为没有TPM芯片启用Bitlocker

如果配置了请求例外，那么会在弹出加密框多出“请求例外”

如果我在组策略中启用了移动存储介质的安全加密访问策略那么会是怎样的呢？

那么当客户端插入U盘后会出现：

如果我们不对该U盘加密，那么该U盘的数据我们只能读取但不能写入和修改了

哪怕从U盘新建也是不行的，只能读取：

修改了文件保存会报错：

本文出自 “ZJUNSEN的微软虚拟化” 博客，请务必保留此出处http://rdsrv.blog.51cto.com/2996778/1926611