Standalone oder mit System Center: MBAM 2.0 vereinfacht BitLocker-Bereitstellung

BitLocker bietet von Haus aus keine Möglichkeit zur zentralen Bereitstellung. Microsoft BitLocker Administration and Monitoring schafft Abhilfe.

BitLocker-Laufwerkverschlüsselung ist ein von Microsoft entwickeltes Feature zur Datenverschlüsselung von kompletten...

Festplatten und schützt Festplatten selbst dann vor dem Zugriff Unbefugter, wenn sie in einen anderen Computer eingebaut werden. BitLocker ist in Windows 8.1 weiterhin enthalten, funktioniert jedoch wesentlich schneller und effizienter als in Windows 7. Die Funktion ist aber nur in der Pro- und Enterprise-Edition von Windows 8/8.1 enthalten. Windows RT verwendet eine eigene Verschlüsselung, die Standard-Version von Windows 8/8.1 kennt dagegen keine Verschlüsselung.

In Windows 8/8.1 verschlüsselt BitLocker nicht mehr von Anfang an die komplette Festplatte, sondern nur den verwendeten Teil. Sobald Anwender weitere Teile beschreiben, verschlüsselt Windows 8/8.1 nach und nach auch diese Bereiche. BitLocker verschlüsselt bei der Aktivierung daher nur beschriebene Sektoren und fügt dann inkrementell weitere Sektoren hinzu, wenn diese beschrieben werden. Auf diese Weise läuft die Verschlüsselung sehr viel schneller ab als auf Systemen mit Windows 7. BitLocker arbeitet dabei in Windows 8/8.1 direkt mit Hardware-Verschlüsselungen von Festplatten oder RAID-Systemen zusammen.

Die BitLocker-Verschlüsselung ist also ein effektiver Weg, um sensible Daten auf einem Rechner zu schützen, doch die Implementierung von Microsoft BitLocker im Unternehmen ist kein kleines Projekt, sondern erfordert einiges an Wissen und Planung. Die Verschlüsselung auf mehreren Systemen zentral zu verwalten ist ein komplexer Prozess. Dazu kommt, dass  Benutzer oft nicht hinreichend geschult und informiert sind. Das wiederum führt zu einer Vielzahl von Problemen und damit zu einem großen Verwaltungs- und Support-Aufwand.

Einfachere BitLocker-Bereitstellung mit MBAM

Das von Microsoft zur Verfügung gestellte Tool BitLocker Administration and Monitoring (MBAM) verspricht all dies zu ändern. Das Tool vereinfacht die Verwaltung von Aufgaben, die mit BitLocker unter Windows 7 und Windows 8/8.1 einhergehen, und kann auch mit Windows To Go-Clients umgehen. Das MBAM-Tool kann aber auch Desktop-Administratoren dabei helfen, die Einhaltung von Richtlinien zu erzwingen und den Verwaltungsaufwand für BitLocker-Nutzer zu senken.

BitLocker ist eine Full-Disk-Verschlüsselung, die Bestandteil in den Editionen Ultimate und Enterprise von Windows 7 sowie in den Pro- und Enterprise-Versionen von Windows 8/8.1 ist. Auch in Windows Server 2008 R2/2012 und Windows Server 2012 R2 ist die Verschlüsselung integriert. Mit BitLocker verschlüsseln Administratoren die Windows-System-Partition und verhindern den unberechtigten Zugriff auf Rechner durch Unbefugte. Vor allem auf Notebooks kann diese Technologie also sinnvoll sein, da bei Verlust des Rechners keine Daten ausgelesen werden können.  

Dabei kann Bitlocker allerdings leider nicht zentral verwaltet werden, zumindest nicht mit den mitgelieferten Bordmitteln. Damit müssen Administratoren von größeren IT-Umgebungen also auf zusätzliche Werkzeuge wie das MBAM-Tool oder auf Microsoft System Center Configuration Manager zurückgreifen.

MBAM 1.0 wurde 2011 veröffentlicht und vereinfacht Management und Monitoring von BitLocker durch die einfachere Bereitstellung und Einrichtung sowie durch Reports zur Client-Compliance. Trotz dieses weitreichenden Funktionsumfangs ist die Bedienung von MBAM nicht sehr kompliziert, erfordert aber dennoch grundlegende Planung, da die Verschlüsselung sehr umfangreiche Auswirkungen hat.

Der Funktionsumfang von MBAM 1.0 unterlag allerdings noch gewissen Beschränkungen, die Microsoft mit Version 2 adressierte. Die neue Version bietet Nutzern jetzt ein Self-Service-Portal und bessere Möglichkeiten zur Durchsetzung von Policies. MBAM 2.0 nutzt zudem auch die neuen Sicherheitsfunktionen in Windows 8/8.1 und kann in System Center Configuration Manager 2012/2012 R2 integriert werden.

Vor kurzem veröffentlichte Microsoft das erste Service Pack für  MBAM 2.0, das die BitLocker-Bereitstellung weiter optimiert und die Verwaltung weiter vereinfacht. MBAM 2.0 ist Teil des Microsoft Desktop Optimization Pack (MDOP), einer Suite von Tools, mit denen IT-Administratoren Windows-Desktop-Umgebungen steuern und überwachen können. MDOP steht allerdings nur Software Assurance-Kunden zur Verfügung.

BitLocker über MBAM: Standalone oder mit System Center Configuration Manager

Sie können das MBAM-Tool entweder als Standalone-Lösung oder integriert in Configuration Manager 2007/2012 installieren. Unabhängig von der Art der Installation sind die Komponenten sehr ähnlich, auch wenn der Speicherort einzelner Komponenten variiert. Im Herzen einer MBAM-Installation steht der Management-Server. Hier wird das Help Desk-Portal sowie die Webseite für Management und Monitoring der Umgebung gehostet.

Der Server beherbergt auch ein Self-Service-Portal, mit dem Nutzer ihre eigenen Wiederherstellungsschlüssel abrufen können. Darüber hinaus sind die Web-Services für die Überwachung der Client-Computer auf diesem Server positioniert.

In einer SCOM-Installation werden die Hardware-Compliance-Funktionen statt auf dem zentralen Management-Server auf einem primären Server des Configuration Manager gehostet. Hier sammelt Configuration Manager also Hardware-Informationen der Client-Computer, auf denen BitLocker über MBAM bereitgestellt wird. Außerdem enthält der Server die Grundanforderungen zur Bewertung der Client-Compliance.

Eine weitere wichtige Komponente in der MBAM-Topologie ist der Datenbankserver. Hierbei handelt es sich um eine SQL Server-Instanz, welche die Wiederherstellungs- und Audit-Datenbanken enthält. Die Wiederherstellungsdatenbank speichert die Recovery-Daten der MBAM-Clients, während die Audit-Datenbank Aktivitätsdaten von Client-Computern vorhält, die Zugriff auf die Wiederherstellungsdaten genommen haben.

In einer Standalone-Installation beherbergt der Datenbankserver auch Compliance-Daten der Client-Computer, zusammen mit Reporting Services, die auf diese Daten zugreifen. In einer Configuration Manager-Installation dagegen werden die Daten und Berichte in die Configuration Manager- Umgebung integriert.

MBAM enthält auch eine Management-Workstation, auf der die Policy-Templates gehostet werden. Hierbei handelt es sich um eine Sammlung von Gruppenrichtlinieneinstellungen, mit der die MBAM-Optionen definiert werden, die wiederum auf die BitLocker Clients angewendet werden. Die Management-Workstation muss dabei kein dedizierter Computer sein, Sie können diesen also zum Beispiel auch dafür verwenden, auf das Help-Desk-Portal zuzugreifen.

Schließlich umfasst die MBAM-Topologie noch die BitLocker-Clients selbst. Jeder Client ist ein Windows-Desktop mit einem MBAM-Agent, welcher die BitLocker-Gruppenrichtlinieneinstellungen auf dem Computer umsetzt und verschiedene PC- und Recovery-Informationen sammelt, beispielsweise den Wiederherstellungsschlüssel der verschlüsselten Festplatte.

In meinem nächsten Artikel zu Microsoft BitLocker werden wir uns dann Bereitstellung und Verwaltung von MBAM ansehen.

Artikel wurde zuletzt im April 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datei- und Laufwerks-Verschlüsselung

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close