安全性是大家最关心的话题之一，尤其是企业用户。通过Windows 7，微软提供内置式安全功能，例如BitLocker，这是一种完全加密操作系统的功能，可帮助保护企业机构中的PC。

MBAM是MDOP 2011 R2中的新组件，并且在Windows 7中BitLocker功能的基础之上进行构建，并帮助简化BitLocker 配置和部署，降低成本的同时改进BitLocker的法规遵从和报告功能。

MBAM的工作原理架构如下图：

下面给大家介绍下安装过程：（我这是把所有角色安装在1台服务器上）

首选需要是域成员服务器，并安装如下功能组件：

并安装好IIS角色

接着再安装好SQL2008并打好SP2补丁，因为最近发布了SP3，所以我这直接打SP3了！

在安装之前建议在这服务器上安装英文语言包！

在服务器上我们安装MBAM的服务器端，在客户端就安装对应的客户端：

默认勾选get the latest updates是说寻找最新的MBAM更新，我们开始安装就点击start吧

接受许可协议

安装那些角色，我这是把所有角色安装在一台上

提示SQL的错误，是需要我们创建一个SQL的加密密钥

打开SQL管理器，新建查询，输入如我上图写的命令后执行，我设置了我的SQL密钥为password@1

use master

create master key encryption by PASSWORD = 'password@1'

再次运行检查全部通过。

选择网络密钥

可以查看到密钥证书信息

配置恢复硬件数据库信息

配置我的审计数据库信息

输入可以访问SQL数据的权限帐户

配置我的监控服务器

选择帮助微软提高产品质量

确认安装信息

开始安装

1. 安装完成后，访问MBAM管理控制台中的功能之前，你必须添加用户的角色。 将用户添加到本地组，让他们具备打开管理控制台的功能。

   • MBAM Hardware Users 这个本地组的成员将有权限打开在管理控制台的硬件功能。
   • MBAM Helpdesk Users 这个本地组的成员将有权限获得驱动器恢复和管理在管理控制台中的TPM功能。
   • MBAM Advanced Helpdesk Users 这个本地组的成员将拥有更高级的访问驱动器恢复和管理在管理控制台中的TPM功能。 高级服务台用户中，只有“密钥ID”字段是驱动器中恢复??必需的。在TPM的管理，只有“计算机域”和“计算机名”字段是必需的。

2. 在的管理和监控，合规性状态数据库，合规和审计报告服务器，将用户添加到本地组，以使他们获得在管理控制台中的“报告”功能。

   • MBAM Report Users:这个本地组的成员将有权限打开在管理控制台中的报告功能。

默认我们的安装权限已经在MBAM的 System Administrators里了，这是MBAM的最高管理权限，我们也可以打开管理页面：

 

 到此安装完毕！