Es gibt eine Reihe von Unternehmen, die Implementierungen von Microsofts BitLocker Administration and Monitoring (MBAM) diskutieren oder derzeit testen. Die kürzlich veröffentlichte BitLocker-Verwaltung für Unternehmen bietet eine Reihe von Vorteilen, z. B. Compliance-Berichte, die Wiederherstellung von Einmalschlüsseln und die Verwaltung von Trusted Platform Modules (TPM). Die Bereitstellung von MBAM verursacht jedoch für viele einige Probleme, und ich werde in diesem Blog einige Themen erörtern, die hoffentlich denjenigen, die derzeit testen oder bereitstellen, eine Hilfe sein werden.
Die Online-Hilfeseite des Microsoft Desktop Optimization Pack (MDOP) enthält einige wichtige Informationen, die bei der Bereitstellung helfen sollen. Wir hoffen, dass Sie einige dieser Informationen nützlich finden.
Netzwerk-Verschlüsselungszertifikate
Wenn Sie, wie ich, kein Zertifikatsguru sind, aber genug wissen, um das allgemeine Konzept der Anforderungen zu verstehen, werden Sie vielleicht feststellen, dass bei der Durchsicht der MBAM-Informationen auf den MDOP-Online-Hilfeseiten keine Zertifikatsanforderungen aufgeführt sind. Um Ihnen die Installation zu erleichtern, werde ich Ihnen einige Informationen geben, die sich bei der Durchführung von MBAM-Projekten bewährt haben.
Grundlegende Anforderungen
Die Anforderungen für die Zertifikate im Zusammenhang mit MBAM sind einfach und erfordern in der Regel keine wesentlichen Änderungen an der PKI einer Organisation. Die Extended Key Usage (EKU)-Anforderungen der Zertifikate lauten wie folgt:
Client-Authentifizierung (1.3.6.1.5.5.7.3.2)
Server-Authentifizierung (1.3.6.1.5.5.7.3.1)
Diese beiden EKUs sind in der Regel zusammen in der Standard-Computerzertifikatsvorlage einer Enterprise CA zu finden, können aber problemlos zu jeder beliebigen Computervorlage hinzugefügt werden.
Für die Verwendung mit MBAM sollten zwei Zertifikate ausgestellt werden. Das erste Zertifikat wird für die Verschlüsselung der Kommunikation zwischen dem SQL-Server, auf dem die Datenbanken liegen, und dem Administrations- und Überwachungsserver verwendet. Das zweite Zertifikat wird für die Verschlüsselung der Kommunikation zwischen dem Administrations- und Überwachungsserver und dem MBAM-Client-Agenten verwendet.
Bitte beachten Sie: Damit diese beiden Zertifikate nützlich sind, müssen sie mit einer CA verknüpft sein, der Ihr Computer vertraut. Wenn Windows7- oder Server2008-Systeme der Zertifizierungsstelle, die diese Zertifikate ausgestellt hat, nicht vertrauen, müssen Sie diese Zertifizierungsstelle oder ihre Stammzertifizierungsstelle möglicherweise zum Zertifikatspeicher der vertrauenswürdigen Herausgeber des Systems hinzufügen.
Die Zertifikate werden nicht angezeigt...?
Einige von Ihnen haben bei der Installation der MBAM-Komponenten auf der Seite "Wählen Sie das Zertifikat für die Verschlüsselung der Netzwerkkommunikation aus" nichts als leeren Raum in der Pull-Down-Box für Zertifikate gesehen. Möglicherweise haben Sie Ihre Zertifikate erfolgreich erstellt, aber damit sie während der Installation verfügbar sind, müssen sie manuell in den persönlichen Zertifikatspeicher des lokalen Computers installiert werden.
Wenn Sie eine Fehlermeldung erhalten, die darauf hinweist, dass das Zertifikat nicht den erforderlichen Anforderungen entspricht, vergewissern Sie sich, dass Sie die im oben genannten Hinweis aufgeführten Maßnahmen durchgeführt haben.
Vorlagen für Richtlinien
Die letzte Komponente in der Liste der MBAM-Komponenteninstallation sind die Richtlinienvorlagen. Dieses Element wird zwar als eine Komponente aufgeführt, die installiert wird, führt aber in Wirklichkeit keinerlei Systemänderungen durch. Wenn dieser Schritt aktiviert ist, werden lediglich die ADMX- und ADML-Dateien in den lokalen Ordner für Richtliniendefinitionen des Servers kopiert, auf dem die Funktion "installiert" wurde. Die fraglichen Dateien und ihre jeweiligen Dateipfade sind unten aufgeführt:
| Speicherort des Dateipfads | Dateiname |
| %windir%\PolicyDefinitions | BitLockerManagement.admx |
| BitLockerUserManagement.admx | |
| %windir%\PolicyDefinitions\en-US | BitLockerManagment.adml |
| BitLockerUserManagement.adml |
Wenn Ihr Unternehmen über einen oder mehrere Server verfügt, die für die Verwaltung von Gruppenrichtlinien verwendet werden, müssen diese Dateien in die lokalen Ordner für Richtliniendefinitionen auf jedem Server kopiert werden. Wenn Sie jedoch einen zentralen Richtlinienspeicher innerhalb von SYSVOL für die Richtlinienverwaltung haben, kopieren Sie alle Dateien an die entsprechenden Speicherorte, um die Verwaltung der MBAM-Richtlinien zu ermöglichen.
Wenn beim Bearbeiten eines GPO alles an die richtigen Stellen kopiert wurde, sollten Sie Folgendes sehen:
MBAM-Client-Registrierungsinformationen
Es gibt mehrere Registrierungsschlüssel, die mit dem MBAM-Client verknüpft sind und die Sie manipulieren können, um den Client in Aktion zu setzen. Diese Elemente sind im Folgenden kategorisiert, um als Referenz zu dienen.
Hardware Kompatibilitätsprüfungspolitik
Wenn Sie die Hardware Kompatibilitätsprüfung mit MBAM-Systemen verwenden, überprüfen Sie deren hardware Profil anhand der Richtlinien in MBAM. Auf diese Weise können Sie die Verschlüsselung von Systemen kontrollieren, die möglicherweise nicht den Verschlüsselungsstandards Ihrer Organisation hardware entsprechen. Der Nachteil dabei ist, dass das System 24 Stunden wartet, bevor es sich erneut anmeldet, wenn das hardware Profil als unbekannt eingestuft wird. Die hier aufgeführten Registrierungsschlüssel sind für diese Aktionen verantwortlich.
| Pfad des Registrierungsschlüssels | Schlüssel Name | Wert | Beschreibung |
| HKLM\Software\Microsoft\MBAM | HWExemptionTimer | Variabel | Diese Einstellung legt das Intervall fest, in dem der MBAM-Client seinen hardware Ausnahmestatus erneut überprüft. |
| HKLM\Software\Microsoft\MBAM | HWExpemtionType | 0 = unbekannt1 = inkompatibel2 = kompatibel | Diese Einstellung bestimmt den Freistellungsstatus, der durch das zugewiesene hardware Profil festgelegt ist. |
Der Client kann gezwungen werden, sich vor der 24-Stunden-Marke einzuloggen, indem die oben genannten Registrierungsschlüssel gelöscht werden und ein Neustart des MBAM-Clients durchgeführt wird.
Startup-Verzögerung
Standardmäßig hat der MBAM-Client beim Start eine zufällige Verzögerung von 90 Minuten, bevor er mit dem Administrations- und Überwachungsserver kommuniziert. Dies wurde entwickelt, um die Belastung des MBAM-Servers während der Erstinstallation des MBAM-Clients zu verringern. Diese Verzögerung kann jedoch durch Hinzufügen des folgenden Registrierungsschlüssels umgangen werden.
| Pfad des Registrierungsschlüssels | Schlüssel Name | Wert | Beschreibung |
| HKLM\Software\Microsoft\MBAM | NoStartUpDelay | 1 | Gibt das Intervall an, in dem der Client beim Starten mit dem MBAM-Server kommuniziert. |
Wenn diese Einstellung temporär sein soll, muss der Registrierungsschlüssel nachträglich entfernt werden, da keine der MBAM-Gruppenrichtlinieneinstellungen diesen Schlüssel überschreibt.
Benutzeraufforderung
Bei der Konfiguration der MBAM-Dienste über Gruppenrichtlinien werden zwei Zeitgeber für Richtlinien konfiguriert.
Häufigkeit der Client-Statusüberprüfung (Standard: 90 Min.)
Häufigkeit der Statusmeldung (Standard: 720 Min.)
Diese Timer verfügen über entsprechende Registrierungseinstellungen, die manuell geändert werden können, um ihre Prüfungen sofort zu starten, wenn der MBAM-Client neu gestartet wird. Dies wird im Allgemeinen durchgeführt, um die Benutzeraufforderung zum Starten des Verschlüsselungsprozesses schneller zu starten und die Aktualisierung der Statusberichte zu erzwingen. Diese Schlüssel und die Werte, auf die sie geändert werden sollten, um ihre Prüfungen zu initiieren, sind unten aufgeführt.
| Pfad des Registrierungsschlüssels | Schlüssel Name | Wert | Beschreibung |
| HKLM\Software\Policies\Microsoft\FVE
\MDOPBitLockerManagement |
ClientWakeupFrequency | 1 | Diese Richtlinieneinstellung steuert, wie oft der Client die BitLocker-Schutzrichtlinien und den Status auf dem Clientcomputer überprüft. |
| StatusReportingFrequency | 1 | Mit dieser Richtlinieneinstellung können Sie die Häufigkeit der an den Berichtsdienst zu meldenden Konformitäts- und Statusinformationen verwalten. |
Verschlüsselung bei der Bereitstellung des Betriebssystems
Die folgenden Registrierungsschlüssel werden verwendet, um MBAM so zu konfigurieren, dass die Verschlüsselung während der Bereitstellung des Windows 7-Betriebssystems initiiert wird. Diese Informationen können in der Originalquelle referenziert werden.
| Pfad des Registrierungsschlüssels | Schlüssel Name | Wert | Beschreibung |
| HKLM\Software\Microsoft\MBAM | Bereitstellungszeit | 0 | AUS |
| 1 | Einstellungen der Bereitstellungszeitrichtlinie verwenden (Standard) | ||
| UseKeyRecoveryService | 0 | Verwenden Sie keine Schlüsselhinterlegung (die nächsten beiden Registrierungseinträge sind in diesem Fall nicht erforderlich) | |
| 1 | Schlüsselhinterlegung im Schlüsselwiederherstellungssystem verwenden (Standard)Empfohlen: Der Computer muss in der Lage sein, mit dem Schlüsselwiederherstellungsdienst zu kommunizieren. Vergewissern Sie sich, dass der Computer mit dem Dienst kommunizieren kann, bevor Sie fortfahren. | ||
| KeyRecoveryOptions | 0 | Lädt nur den Wiederherstellungsschlüssel hoch | |
| 1 | Hochladen des Wiederherstellungsschlüssels und des Schlüsselwiederherstellungspakets (Standard) | ||
| KeyRecoveryServiceEndPoint | URL | Set this value to the URL for the Key Recovery web server, for example, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc. |
Weitere Informationen zur Verschlüsselung über MBAM bei der Betriebssystembereitstellung finden Sie hier: https://onlinehelp.microsoft.com/en-us/mdop/hh285657.aspx
Ich hoffe, dass einige oder alle dieser Informationen beim Testen oder Bereitstellen von Microsoft BitLocker Administration and Monitoring nützlich sind.
Auf der Windows 7 Accelerate with System Center-Website unter www.css-security.com/countdown finden Sie Installations- und Lernvideos zu MBAM. Sie finden dort auch weitere Ressourcen, Videos und Datenblätter zur Migration von Windows XP und zur Bereitstellung von Windows 7.
