Bereitstellung und Verwaltung der Windows BitLocker-Verschlüsselung mit MBAM 2.0

MBAM ist ein wichtiges Tool für den Einsatz von Bitlocker in Unternehmen. Wir zeigen Ihnen, was es bei Bereitstellung und Verwaltung zu beachten gilt.

In meinem letzten Artikel über das MBAM-Tool (Microsoft BitLocker Administration und Monitoring) haben wir uns...

angesehen, wie MBAM bei der Verwaltung der Bitlocker Laufwerks-Verschlüsselung in großen IT-Umgebungen und über mehrere Systeme hinweg helfen kann. Sobald Sie die grundlegenden Komponenten von Windows BitLocker und MBAM 2.0 verstehen, können Sie sich an den Einsatz des Produktes machen und es dazu nutzen, Desktop-Sicherheitsrichtlinien durchzusetzen.

MBAM 2.0 unterstützt auch die Verschlüsselung von Windows-To-Go-Laufwerken, BitLocker-Verschlüsselung von Windows PE oder das Verschlüsseln des Betriebssystems mit einem Kennwort. Außerdem lässt sich die aktuelle Version problemlos in System Center Configuration Manager 2012/2012 R2 integrieren.

Mit MBAM verwalten Sie zentral die mit Bitlocker verschlüsselten Rechner im Netzwerk und können zudem Berichte über die Nutzung erstellen. Bestandteil des MBAM ist ein MBAM-Server, den Sie über die MDOP-CD installieren. Die Clients verbinden sich daraufhin mit dem Server zur zentralen Verwaltung von Bitlocker, dem Erstellen von Berichten oder der Wiederherstellung von Daten.  Dazu ist ein Agent auf den verwalteten Clients notwendig, den Sie manuell, über System Center Configuration Manager oder mit Gruppenrichtlinien installieren können.

Dieser Agent ist der zentrale Bereich von MBAM und setzt auf den Client-Computern die Einstellungen um, die Sie in den Gruppenrichtlinien für MBAM festgelegt haben. Ebenfalls enthalten ist eine Webkonsole, mit der Anwender ihre eigenen Kennwörter ändern oder einen Wiederherstellungsvorgang starten können, wenn der eigene verschlüsselte Computer nicht mehr startet. MBAM unterstützt dazu ein rollenbasiertes Verwaltungsmodell.

Bereitstellung von MBAM 2.0

Die Bereitstellung von MBAM sollte auf jeden Fall gründlich geplant werden. Trotzdem das Tool relativ leicht bedienbar ist, kann die Verwaltung mehrerer Rechner nämlich durchaus komplex werden.  Zunächst müssen Sie entscheiden, ob Sie eine eigenständige Installation durchführen wollen oder das Tool lieber in System Center Configuration Manager integrieren. Der Vorteil beim Einsatz von MBAM innerhalb von Configuration Manager liegt darin, dass Sie das Tool dann innerhalb einer bereits etablierten und ausgereiften Infrastruktur installieren.

Die Voraussetzung dafür ist natürlich, dass Sie Microsoft System Center bereits in Ihrem Unternehmen nutzen. Nur wegen einer MBAM-Bereitstellung auch noch System Center auszurollen erscheint dagegen wenig sinnvoll. Wenn Sie System Center Configuration Manager aber sowieso bereits in Ihrer Infrastruktur einsetzen und auch MBAM nutzen wollen, dann sollten Sie in jedem Fall auch die beiden Tools miteinander verbinden. Das erleichtert die Verwaltung enorm.

Unabhängig von der Installations-Art von MBAM können Sie die BitLocker-Bereitstellung entweder bereits als Teil der Windows-Installation auf einem Client-Computer durchführen und Bitlocker von Anfang an konfigurieren oder aber BitLocker auch auf bereits bestehenden Windows-Installationen einsetzen. Zudem stehen Ihnen zahlreiche weitere Optionen zur Verfügung, beispielsweise die Art der Verschlüsselung und wie oft ein Wiederherstellungsschlüssel verwendet werden kann.

Für Windows 8/8.1-Computer können Sie auch die Vorteile der neuen Sicherheitsfunktionen wie beispielsweise die Verschlüsselung lediglich des belegten Speicherplatzes nutzen. Das beschleunigt die Verschlüsselung enorm, da Windows 8/8.1 nicht  mehr die ganze Festplatte verschlüsseln muss, sondern nur den beschrieben Bereich. Jeder weitere beschriebene Bereich wird dann automatisch sukzessive ebenfalls verschlüsselt.

Vor der Installation von MBAM sollten Sie in jedem Fall sicherstellen, dass Ihr Unternehmensnetzwerk die Voraussetzungen für die Installation erfüllt. MBAM benötigt zum Beispiel eine etablierte Active-Directory-Domäne, Internet Information Services (IIS), einen SQL Server sowie weitere Hardware-und Softwareanforderungen. Zudem müssen natürlich auch die Client-Rechner Bitlocker unterstützen.

Eine MBAM-Installation weist zahlreiche Abhängigkeiten auf und kann ein zeitaufwendiger Prozess sein, zudem kann es bei einer falschen Vorgehensweise auch zu schwerwiegenden Fehlern kommen. Bevor Sie loslegen sollten Sie also einen gründlichen Blick auf das Administrationshandbuch zu MBAM 2 werfen. Bei Fehlern droht sonst schnell die Gefahr, dass Anwender nicht mehr an ihre Rechner kommen, da diese nicht korrekt verschlüsselt wurden oder die verschlüsselten Daten nicht stimmen.

Neben der Installation von MBAM müssen Sie auch die Gruppenrichtlinieneinstellungen konfigurieren um festzulegen, wie BitLocker auf Client-Computern ausgeführt werden soll. Sie sollten für die Konfiguration allerdings nur die Richtlinienvorlagen von MBAM verwenden, da Microsoft BitLocker Administration und Monitoring nicht die Standard-Richtlinien von BitLocker verwendet und es bei der zusätzlichen Verwendung der BitLocker-Richtlinien ebenfalls zu Problemen kommen kann. Auch in diesem Punkt müssen Sie also sehr gezielt und geplant vorgehen.

Verwaltung von MBAM 2.0

Sobald Sie MBAM und  die Gruppenrichtlinieneinstellungen eingerichtet und konfiguriert haben, können Sie das System damit verwalten. Das wichtigste Instrument dafür ist das Help-Desk-Portal, mit dem Sie eine Reihe von Verwaltungsaufgaben durchführen können. Hier können Sie zum Beispiel die Laufwerks-Wiederherstellung verwenden, um auf ein verschlüsseltes Laufwerk zuzugreifen, wenn BitLocker im Wiederherstellungsmodus startet. Sie können das Help-Desk-Portal aber auch dazu nutzen, verschobene oder beschädigte Laufwerke wiederherzustellen.

Das Help-Desk-Portal bietet Ihnen aber auch die Möglichkeit, Berichte zur BitLocker-Nutzung und –Compliance zu erstellen. Die Informationen zu den Berichten kommen dabei aus dem Active Directory und von den Windows-Clients.

Insgesamt stehen Ihnen drei verschiedene Bericht-Arten zur Verfügung. Der Enterprise Compliance Report bietet Ihnen Informationen zur BitLocker-Compliance in Ihrem gesamten Unternehmen. Der Computer Compliance Report dagegen bezieht sich speziell auf einen Nutzer oder Computer und stellt Ihnen Informationen über einzelne verschlüsselte Laufwerke zur Verfügung. Der Recovery Audit Report schließlich zeigt Ihnen, welche Nutzer an welchem Datum und aus welchem Grund Wiederherstellungsschlüssel angefragt haben.

Neben dem Help-Desk-Portal für Administratoren bietet MBAM auch ein Self-Service-Portal, mit dem Endbenutzer schnell und unkompliziert Wiederherstellungsschlüssel anfordern können, ohne dabei auf die IT-Abteilung angewiesen zu sein. Dies kann zum Beispiel dann nützlich sein, wenn BitLocker Nutzer von Windows aussperrt, weil sie ihre Passwörter oder PINs vergessen haben oder sich Dateien des Betriebssystems, des BIOS oder des Trusted Platform Module geändert haben.

Um einen Wiederherstellungsschlüssel abzurufen muss der Anwender nur die ersten acht Zeichen seiner Wiederherstellungsschlüssel-ID eingeben. Das Self-Service-Portal wird dann den eigentlichen 48-stelligen Wiederherstellungsschlüssel zuweisen. Mit diesem gelangt der Anwender dann in den BitLocker-Wiederherstellungsbildschirm und kann seinen Rechner wiederherstellen.

Zusätzlich dazu enthält MBAM natürlich noch eine Vielzahl weiterer Funktionen. Wenn zum Beispiel ein Administrator ein BitLocker-Laufwerk pausiert, aktiviert MBAM das Laufwerk wieder automatisch, wenn der Computer neu gestartet wird.

Außerdem überprüft MBAM regelmäßig die Richtlinieneinstellungen auf einem Windows BitLocker-Laufwerk und überführt das Gerät in einen ordnungsgemäßen Zustand, wenn es nicht mehr compliant ist. Microsoft BitLocker Administration and Management hat Administratoren also viel zu bieten, und wenn Sie für den Schutz von Unternehmens-Rechnern auf BitLocker setzen wollen, dann sollten Sie auch über einen Einsatz von MBAM nachdenken.

Folgen Sie SearchSecurity auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close