MBAM konfigurieren – Schritte:

• Self-Service Portal konfigurieren
• Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

Als Grundlage für die Konfiguration verwende ich http://technet.microsoft.com/en-us/library/dn645379.aspx

Self-Service Portal konfigurieren

1. Als Administrator an SERVER02 anmelden
2. Server Manager > Local Server > Tools > Internet Information Services (IIS) Manager
3. SERVER02\Sites\Microsoft BitLocker Administration and Monitoring erweitern
4. SelfService markieren
5. Im mittleren Bereich Application Settings doppelklicken
   
6. Folgende Einstellungen erstellen bzw. anpassen:
   1. CompanyName: Ein einfaches Netzwerk
   2. HelpdeskText_de-de: Kontaktieren Sie den Servicedesk oder Ihre IT-Abteilung
   3. HelpdeskUrl_de-de: http://servicedesk.haimann.local/
      
7. IIS-Manager schließen
8. Im Windows Explorer den Ordner C:\inetpub\Microsoft BitLocker Management Solution\Self Service Website öffnen
9. Den Ordner de-de und darin die Datei Notice.txt mit folgendem Inhalt erstellen:

   Das ist ein Beispieltext.
   
   Freundliche Grüße
   Ihr IT-Team

10. Alle Fenster schließen
    
11. Im Internet Explorer https://mbam.haimann.local/SelfService aufrufen
    1. Ich habe die Mitteilung gelesen und verstanden aktivieren > Fortsetzen
       
12. Internet Explorer schließen
    

Gruppenrichtlinienobjekt (GPO) erstellen und konfigurieren

1. Server Manager > Local Server > Tools > Group Policy Management
2. haimann.local\Group Policy Objects erweitern
3. Ein neues Group Policy Object erstellen
   1. Name: MBAM Settings
      
4. MBAM Settings rechts anklicken und im Kontextmenü Edit… anklicken
   
5. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management) erweitern
6. Folgende Einstellungen vornehmen:
   1. Provide the unique identifiers for your organization
      
7. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Client Management erweitern
8. Folgende Einstellungen vornehmen:
   1. Configure customer experience improvement program
      
   2. Configure MBAM Services
      1. MBAM Recovery service endpoint: https://mbam.haimann.local:443/MBAMRecoveryAndHardwareService/CoreService.svc
      2. MBAM Status reporting endpoint: https://mbam.haimann.local:443/MBAMComplianceStatusService/StatusReportingService.svc
         
9. Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Operating System Drive erweitern
10. Folgende Einstellungen vornehmen:
    1. Choose how BitLocker-protected operating system drives can be recovered
       
    2. Configure TPM platform validation profile (aktivieren und Standard übernehmen)
       
    3. Configure TPM platform validation profile for BIOS-based firmware configurations (aktivieren und Standard übernehmen)
       
    4. Configure TPM platform validation profile for native UEFI firmware configurations (aktivieren und Standard übernehmen)
       
    5. Encryption Policy Enforcement Settings
       
    6. Operating System drive encryption settings
       
11. Computer Configuration\Policies\Administrative Templates\System\Power Management\Sleep Settings erweitern
12. Folgende Einstellungen vornehmen:
    1. Allow standby states (S1-S3) when sleeping (on battery)
       
    2. Allow standby states (S1-S3) when sleeping (plugged in)
       
13. Computer Configuration\Policies\Administrative Templates\System\Trusted Platfom Module Services erweitern
14. Folgende Einstellungen vornehmen:
    1. Turn on TPM backup to Active Directory Domain Services
       
15. User Configuration\Policies\Administrative Templates\Control Panel erweitern
16. Folgende Einstellungen vornehmen:
    1. Hide specified Control Panel items
       1. Show…
          
          1. Microsoft.BitLockerDriveEncryption > OK
             
17. Group Policy Editor schließen
18. MBAM Settings auf Arbeitsstationen und Benutzer verknüpfen
    
19. Group Policy Management schließen