3 minutes reading time (656 words)

Gastreihe: SCCM Technical Preview 1909: So ist die MBAM-Integration gelöst

FBPro

Microsoft BitLocker Administration and Monitoring (MBAM) wird zukünftig unter anderem in den System Configuration Manager (SCCM) integriert. So sieht der aktuelle Stand der Dinge aus.

Autor-Intro:

Bei MBAM wird sich in den nächsten Jahren einiges verändern. Jemand, der sich mit dem Thema sehr gut auskennt, ist Max Schmidt, Consultant bei der FB Pro GmbH. Max hat sich die Technical Preview 1909 des SCCM genau angeschaut und berichtet in diesem Gastbeitrag über seine Erkenntnisse im Bezug auf MBAM.

Die FB Pro ist ein Partner von Teal Consulting. Das Experten-Team bietet IT-Sicherheit als strategisches und messbares Ziel auf technischer und prozessualer Ebene an. 

Wie Microsoft kürzlich mitteilte, endet in ein paar Jahren der Support für das MDOP-Paket inkl. MBAM. Damit einher gehen auch ein paar Veränderungen. So wird Microsoft MBAM in die On-Premises Service-Center-Produktreihe (SCCM) und mittels Intune-Suite in die Azure Cloud integrieren.

Was bringt die MBAM-Integration ins SCCM? Was ist hieran besonders? Um diese und weitere Fragen zu klären, haben wir einen Blick auf die Technical Preview 1909 geworfen.

MBAM-Integration in SCCM: die Vorteile

Durch die Umstellung wird das Verwalten von MBAM einfacher und die IT-Umgebung weniger komplex. Denn:

  • Der MBAM-Client ist nun Teil der SCCM-Infrastruktur. Ein separates Verteilen entfällt, denn es werden die vorhandenen und bekannten SCCM-Mechanismen genutzt. Das bedeutet, der MBAM-Agent wird automatisch im Hintergrund verteilt.
  • Es wird keine zusätzliche Infrastruktur benötigt, da im SCCM der MBAM Recovery and Hardware Service integriert ist
  • Man benötigt keine zusätzlichen Lizenzen für Server und SQL

Zudem bleibt eine gute Sache erhalten: MBAM punktet immer noch gegenüber der Speicherung der Recovery Keys im Active Directory (AD). Denn löscht man versehentlich ein Objekt im AD, so sind auch die dazu passenden Recovery Keys weg. Administratoren des AD-Teams haben keinen Zugriff auf die Schlüssel, mit deren Management meistens ein anderes Team betraut ist. Mit den MBAM-Features in SCCM werden daher derlei Probleme immer noch vermieden.

Noch ist nicht alles verfügbar

Wie sich bei unserem Test zeigte, fehlen in der Technical Preview 1909 noch wichtige Features. Zum Beispiel die Verschlüsselungs-Verwaltung von:

  • USB-Datenträgern
  • Wechselfestplatten
  • und weiteren integrierten Laufwerken

Wir sind daher sehr gespannt auf die kommende Version!

So wird MBAM über SCCM installiert

Damit die Schlüssel nicht unverschlüsselt übertragen werden, muss zuerst der Configuration Manager mit den Clients über HTTPS kommunizieren. Momentan - das heißt, in der Technical Preview 1909 - können nur Zertifikate erstellt werden, die eine CA generiert. Ob zukünftig auch selbst-signierte Zertifikate nutzbar sind, zeigt sich bei späteren Versionen.

Die MBAM-Policies werden im Configuration Manger unter "Assets and Compliance" > "Endpoint Protection" > "Bitlocker Management" erstellt.

Eine Client-Installation läuft dann SCCM-typisch im Hintergrund ab. Im Ordner "Logs" sieht man, ob die Installation erfolgreich war. Oder - wie im Fall des folgenden Screenshots - nicht, da MBAM immer noch lediglich für Workstations geeignet ist.

Webseiten-Installation mit MBAM in SCCM

Eine Neuerung in der SCCM Technical Preview 1909 gegenüber den vorherigen Releases ist die Integration des Helpdesk- und des Selfservice-Portals. Zudem ist nun auch die aus MBAM bekannte Report-Funktion zur Überwachung des Compliance-Status integriert und verfügbar.

Wichtig: Die Report-Funktion ist erst nach diesem Fix verfügbar.

Erst nach Ausführung dieser SQL-Query sind die einzelnen Reports unter "Monitoring" > "Reporting" > "Reports" > "Bitlocker Management" einsehbar.

Die Helpdesk- und SelfService-Webseiten installiert man über ein Powershell-Skript und der dazugehörigen CAB-Datei. Die beiden Dateien befinden sich im Ordner "\Microsoft Configuration Manager\bin\X64".  

 Ein paar Sachen gegenüber der "alten" Version von MBAM haben sich nicht verändert:

  • Die Installation des ASP-NET MVC 4.0 ist immer noch eine Grundvoraussetzung
  • Die folgenden User-Gruppen müssen im AD angelegt werden:
    • MBAMHelpDsk
    • MBAMAdvHelpDsk
    • MBAMRUGrp

Dann kann die Installation mithilfe des folgenden Befehls ausgeführt werden:

  • .\mbamwebsiteinstaller.ps1 -SqlServerName (Servername) -SqlDatabaseName (Datenbankname) -ReportWebServiceUrl (URL-des Report-Servers) -HelpdeskUsersGroupName mydomain\MBAMHelpDsk -HelpdeskAdminsGroupName mydomain\MBAMAdvHelpDsk -MbamReportUsersGroupName mydomain\MBAMRUGrp -SiteInstall Both

Das Skript erstellt die Webseiten. Diese tauchen im IIS auf und sind dann auch aufrufbar. Die Keys werden wie vorgesehen in der Datenbank des SCCM-Servers abgelegt.

Troubleshooting Bitlocker on Server 2019 Core
Schritt 1 zum Secure Administration Environment (S...

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Guest
Sonntag, 08. Dezember 2019