【前言】
BitLocker驱动器加密是一项数据保护功能,它与操作系统集成,用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的问题。针对该技术,微软专门推出了MBAM(Microsoft BitLocker Administration and
Monitoring)产品,MBAM是微软MDOP解决方案中的套件,主要用于集中管理企业环境Bitlocker加密,提高IT人员工作效率,提供自助门户及IT管理门户,提供合规性报表等。
【正文】
一 环境规划与准备
1) 本实验采用简单部署,一台域控制器(同时作为证书服务器)、一台MBAM服务器(前后端均在同一台服务器)及一台测试客户端,其中域控服务器为2012 R2系统,MBAM服务器为server 2016系统,测试客户端为win7系统。
2) 准备相关用户和组
Ø 在AD中创建域管理员账号admin;
Ø 在AD中创建数据库服务运行账号sqlservice(注意设置为密码永不过期);
Ø 在AD中创建MBAM用户:MBAMAppPool及MBAMROUser;
Ø 在AD中创建MBAM全局安全组:MBAMAdvHelpDsk、MBAMHelpDsk、MBAMRUGrp。
二 安装组件
1) 勾选Web服务器(IIS)

2) 按下图勾选相关组件;




3) 确认组件无误后点击安装;

4) 等待安装完成;

2.3 安装安装ASP.NET MVC 4.0

三 安装及配置SQL server 2014 sp2
3.1 安装sql server 2014
1) 运行sql server 2014安装程序;

2) 选择全新安装;

3) 勾选以下功能;

4) 服务账号选择sqlservice并设置密码;

5) 排序规则选择SQL_Latin1_General_CP1_CI_AS;

6) 确认无误后点击安装;

7) 等待安装完成。

3.2 配置SQL server用户账号
3.2.1 配置SQL server实例角色
1) 打开SQL server管理工具;

2) 新建登录名;

3) 登录名选择MBAMAppPool账户;

4) 勾选dbcreator及processadmin角色;

3.2.2 配置实例的SQL Server报表服务权限
1) 在网页中打开http://sqlcluster/reports,点击文件夹设置;

2) 为MBAMAppPool添加全部角色;

四 安装SSL证书
4.1 在AD上部署CA证书服务器(部署过程略);
4.2 SSL证书申请及下载;
1) 打开IIS管理器,在主页中选择服务器证书;

2) 点击创建证书申请;

3) 证书通用名称输入MBAM服务器名称或IP地址;

4) 默认选择下一步;

5) 选择证书申请文件存放路径及名称,点击完成;

6) 在浏览器中打开http://192.168.10.1/certsrv(192.168.10.1是证书服务器IP),点击申请证书;

7) 选择高级证书申请;

8) 选择使用base64编码;

9) 保存的申请处输入刚申请的证书文件内容,证书模板选择Web服务器;

10) 选择下载证书,完成证书申请;

4.3 导入SSL证书
1) 点击完成证书申请;

2) 选择申请的证书;

3) 证书导入完成。

五 配置SPN账户
5.1 注册SPN账户
1) 以管理员身份打开powershell,输入setspa –s http/mbam.mk.com mk\mbamapppool;

5.2 设置SPN账户受约束的委派
1) 在域控上打开AD管理中心;

2) 选择MBAMAppPool账户,右键点击属性;

3) 切换到委派页面,选择“仅信任此用户作为制定服务器的委派”;

4) 点击添加,选择MBAMAppPool账号,在弹出的窗口中点击添加用户或计算机;

5) 添加完成后点击确定。

六 MBAM部署
6.1 安装MBAM安装向导;
1) 运行Mbamserversetup.exe;

2) 打开MBAM安装向导,点击下一步;

3) 接受许可协议;

4) 点击安装;

5) 等待安装完成。

6.2 安装MBAN数据库
1) 运行MBAM安装向导;

2) 勾选数据库和报告下面的选项;

3) 检查先决条件是否满足;

4) SQL Server名称处输入SQL服务器名称,读/写访问域用户组处输入MBAMAppPool用户,只读访问域用户组处输入MBAMROUser用户;


5) 报告角色域账户处输入MBAMRUGrp组,相容性和审核数据库域账户输入MBAMROUser并设置密码;


6) 摘要检查无误后,点击添加;

7) 等待安装完成。

6.3 安装MBAM WEB服务器
1) 打开MBAM安装向导;

2) 勾选Web应用程序下的选项;

3) 检查先决条件是否符合;

4) 选择安装的SSL证书,Web服务应用程序池域账户选择MBAMAppPool账户;

5) 输入SQL服务器名称;

6) 输入管理和监控网站的各账户;

7) 自定义自助服务门户;

8) 检查摘要无误后点击添加;

9) 等待安装完成。

七 客户端测试
7.1 组策略配置
1) 导入组策略模板,确保组策略设置中有MDOP
MBAM(BitLocker管理);

2) 在客户端管理中打开配置MBAM服务,分别在恢复服务和状态报告服务中输入:
https://mk-mbam.mk.com/MBAMRecoveryAndHardwareService/CoreService.svc
https://mk-mbam.mk.com/MBAMComplianceStatusService/StatusReportingService.svc

3) 由于虚拟机中添加的硬盘会被识别为移动驱动器,所以这里只需要启用可移动驱动器中的控制对可移动驱动器使用BitLocker即可。

7.2 客户端磁盘加密
1) 如果测试机没有安装MBAM client,则需要安装;
2) 运行客户端安装程序;

3) 接受许可条款;

4) 安装完成后对磁盘进行BitLocker加密;

5) 设置密码;

6) 选择保存到文件;

7) 选择仅加密已用空间,下一步;

8) 开始加密磁盘;

9) 等待加密完成。

10) 双击加密的磁盘,提示需要密码解锁,输入设置的密码;

11) 可以正常解锁。

7.3 找回密码
1) 假如密码忘记,我们可以通过MBAM服务器找回密码;
2) 双击加密磁盘,选择更多选项;

3) 选择输入恢复秘钥;

4) 该秘钥需要从MBAM服务器获得;

5) 在网页中打开https://mk-mbam.mk.com/selfservice,输入账号密码;

6) 勾选同意后点击继续;

7) 输入恢复秘钥ID并选择原因,之后点击获取秘钥;

8) 输入获取的恢复秘钥并解锁。
