23 Okt Gastreihe: SCCM Technical Preview 1909: So ist die MBAM-Integration gelöst
Microsoft BitLocker Administration and Monitoring (MBAM) wird zukünftig unter anderem in den System Configuration Manager (SCCM) integriert. So sieht der aktuelle Stand der Dinge aus.
Autor-Intro:
Bei MBAM wird sich in den nächsten Jahren einiges verändern. Jemand, der sich mit dem Thema sehr gut auskennt, ist Max Schmidt, Consultant bei der FB Pro GmbH. Max hat sich die Technical Preview 1909 des SCCM genau angeschaut und berichtet in diesem Gastbeitrag über seine Erkenntnisse im Bezug auf MBAM.
Die FB Pro ist ein Partner von Teal Consulting. Das Experten-Team bietet IT-Sicherheit als strategisches und messbares Ziel auf technischer und prozessualer Ebene an.
Wie Microsoft kürzlich mitteilte, endet in ein paar Jahren der Support für das MDOP-Paket inkl. MBAM. Damit einher gehen auch ein paar Veränderungen. So wird Microsoft MBAM in die On-Premises Service-Center-Produktreihe (SCCM) und mittels Intune-Suite in die Azure Cloud integrieren.
Was bringt die MBAM-Integration ins SCCM? Was ist hieran besonders? Um diese und weitere Fragen zu klären, haben wir einen Blick auf die Technical Preview 1909 geworfen.
MBAM-Integration in SCCM: die Vorteile
Durch die Umstellung wird das Verwalten von MBAM einfacher und die IT-Umgebung weniger komplex. Denn:
- Der MBAM-Client ist nun Teil der SCCM-Infrastruktur. Ein separates Verteilen entfällt, denn es werden die vorhandenen und bekannten SCCM-Mechanismen genutzt. Das bedeutet, der MBAM-Agent wird automatisch im Hintergrund verteilt.
- Es wird keine zusätzliche Infrastruktur benötigt, da im SCCM der MBAM Recovery and Hardware Service integriert ist
- Man benötigt keine zusätzlichen Lizenzen für Server und SQL
Zudem bleibt eine gute Sache erhalten: MBAM punktet immer noch gegenüber der Speicherung der Recovery Keys im Active Directory (AD). Denn löscht man versehentlich ein Objekt im AD, so sind auch die dazu passenden Recovery Keys weg. Administratoren des AD-Teams haben keinen Zugriff auf die Schlüssel, mit deren Management meistens ein anderes Team betraut ist. Mit den MBAM-Features in SCCM werden daher derlei Probleme immer noch vermieden.
Noch ist nicht alles verfügbar
Wie sich bei unserem Test zeigte, fehlen in der Technical Preview 1909 noch wichtige Features. Zum Beispiel die Verschlüsselungs-Verwaltung von:
- USB-Datenträgern
- Wechselfestplatten
- und weiteren integrierten Laufwerken
Wir sind daher sehr gespannt auf die kommende Version!
So wird MBAM über SCCM installiert
Damit die Schlüssel nicht unverschlüsselt übertragen werden, muss zuerst der Configuration Manager mit den Clients über HTTPS kommunizieren. Momentan – das heißt, in der Technical Preview 1909 – können nur Zertifikate erstellt werden, die eine CA generiert. Ob zukünftig auch selbst-signierte Zertifikate nutzbar sind, zeigt sich bei späteren Versionen.
Die MBAM-Policies werden im Configuration Manger unter “Assets and Compliance” > “Endpoint Protection” > “Bitlocker Management” erstellt.
Eine Client-Installation läuft dann SCCM-typisch im Hintergrund ab. Im Ordner “Logs” sieht man, ob die Installation erfolgreich war. Oder – wie im Fall des folgenden Screenshots – nicht, da MBAM immer noch lediglich für Workstations geeignet ist.
Webseiten-Installation mit MBAM in SCCM
Eine Neuerung in der SCCM Technical Preview 1909 gegenüber den vorherigen Releases ist die Integration des Helpdesk- und des Selfservice-Portals. Zudem ist nun auch die aus MBAM bekannte Report-Funktion zur Überwachung des Compliance-Status integriert und verfügbar.
Wichtig: Die Report-Funktion ist erst nach diesem Fix verfügbar.
Erst nach Ausführung dieser SQL-Query sind die einzelnen Reports unter “Monitoring” > “Reporting” > “Reports” > “Bitlocker Management” einsehbar.
Die Helpdesk- und SelfService-Webseiten installiert man über ein Powershell-Skript und der dazugehörigen CAB-Datei. Die beiden Dateien befinden sich im Ordner “\Microsoft Configuration Manager\bin\X64”.
Ein paar Sachen gegenüber der “alten” Version von MBAM haben sich nicht verändert:
- Die Installation des ASP-NET MVC 4.0 ist immer noch eine Grundvoraussetzung
- Die folgenden User-Gruppen müssen im AD angelegt werden:
- MBAMHelpDsk
- MBAMAdvHelpDsk
- MBAMRUGrp
Dann kann die Installation mithilfe des folgenden Befehls ausgeführt werden:
- .\mbamwebsiteinstaller.ps1 -SqlServerName (Servername) -SqlDatabaseName (Datenbankname) -ReportWebServiceUrl (URL-des Report-Servers) -HelpdeskUsersGroupName mydomain\MBAMHelpDsk -HelpdeskAdminsGroupName mydomain\MBAMAdvHelpDsk -MbamReportUsersGroupName mydomain\MBAMRUGrp -SiteInstall Both
Das Skript erstellt die Webseiten. Diese tauchen im IIS auf und sind dann auch aufrufbar. Die Keys werden wie vorgesehen in der Datenbank des SCCM-Servers abgelegt.
Bildquelle: Shahadat Rahman, Unsplash.com
LATEST POSTS
-
ChatGPT 1/3: Revolution in der KI-Technologie? – Wir stellen Cybersecurity-Fragen an eine Chat-KI
Die Künstliche Intelligenz (KI) ist ein faszinierendes und immer wieder viel diskutiertes Thema in der heutigen Technologie- und Informationsgesellschaft. Egal ob in der Wissenschaft, der Industrie oder im Alltag, die Möglichkeiten...
16 Januar, 2023 -
ChatGPT 2/3: Die Krux mit der KI
Nein, im zweiten Teil werden wir nicht noch ein Interview mit ChatGPT führen und über dessen Fähigkeiten staunen. Diesmal betrachten wir die Entwicklung und Möglichkeiten von KI im Allgemeinen und wagen einen Ausblick in die Zukunft, die in der IT-Welt...
16 März, 2023 -
ChatGPT 3/3: KI for IT Security
Die Geschwindigkeit der Weiterentwicklung und Ausbreitung von KI-Technologie ist inzwischen enorm gestiegen. Allein in den wenigen Wochen seit dem letzten Blog zu diesem Thema...
15 Juni, 2023
We are hiring!
Ihr Whitepaper mit Infos zum monatlichen TEAL Security Check!
