Microsoft BitLocker Administration and Monitoring 2.5 SP1(MBAM) – osa 2/4

Tässä artikkelissa jatketaan MBAM palvelimen käyttöönottamista joka aloitettiin osassa 1

Web-palvelimen (IIS) asentaminen ja käyttöönotto, SQL palvelimen ja SQL raportointipalvelun käyttöönottaminen.

---

Internet Information Server (IIS) käyttöönotto MBAM-SRV palvelimelle

MBAM järjestelmän hallinta- ja seurantapalvelut vaativat Web-palvelimen eli Internet Information Server (IIS) komponentin asentamista. Esimerkissä IIS rooli asennetaan samalle palvelimelle kuin myöhemmässä vaiheessa itse MBAM (esimerkissä MBAM-SRV) .

Ennen IIS palvelinroolin asentamista palvelimeen on asennettava ASP.NET MVC 4

Jos ASP.NET asennetaan vasta IIS-roolin asentamisen jälkeen, voidaan se ottaa käyttöön komentokehotteesta käsin komennolla: dism /online /enable-feature /featurename:IIS-ASPNET45 /all

Seuraavaksi käynnistetään IIS palvelimen asentaminen Server Managerista käsin Add roles and features valinnan avulla. Valitaan asennettavaksi rooliksi Web Server (IIS)

Web Server Role (IIS):Role Services ikkunassa määritetään asennettavaksi myös seuraavat komponentit:

Common HTTP Features	Static Content, Default Document
Security	Request Filtering, Windows Authentication
Application Development	.NET Extensibility 3.5, .NET Extensibility 4.6, .ASP, .ASP.NET 3.5, .ASP NET 4.6, ISAPI Extensions, ISAPI Filters
Management Tools	IIS Management Scripts and Tools

HUOM: Varmista myös että palvelimeen on asennettuna Features ikkunassa valittavissa olevat

Windows Process Activation Service	Process Model, .NET Enviroment 3.5 sekä Configuration Apis
.NET Framework 3.5 Features	.NET Framework (includes .NET 2.0 and 3.0), HTTP Activation sekä Non-HTTP Activation
.NET Framework 4.6
WCF Services	HTTP Activation, TCP Activation

 

Roolin asentamisen valmistuttua varmistetaan että IIS palvelimen paikallisista suojausasetuksista (Secpol.msc) että mbam-appool-user käyttäjällä (ja IIS_IUSRS ryhmällä) on IIS palvelimella oikeudet Impersonate a client after authentication ja Log on as a batch job asetettuna (Local Policies - User Right Assignments).

Lisää paikallisen käyttöoikeuseditorin avulla (secpol.msc) Log on as a batch job oikeus myös käyttäjälle mbam-db-connect. Aseta oikeus palvelimella johon SQL Raportointipalvelut on asennettu (tässä esimerkissä MBAM-SRV) .

 

SQL tietokantapalvelimen asentaminen

Seuraavaksi otetaan käyttöön Microsoft SQL palvelin. Tässä tapauksessa SQL palvelin asennetaan MBAM-SRV palvelimelle. MBAM tukee tällä hetkellä SQL versioita 2008, 2012 (SP1 ja SP2) 2014 (ja SP1). On huomattava että MBAM ei tue ilmaisen SQL Express tietokantapalvelimen käyttämistä.

HUOM: Jos MBAM tietokannat asennetaan olemassa olevalle palvelimelle on asentavalla käyttäjätunnuksella oltava asennettavaan SQL tietokantainstanssiin vähintään dbcreator ja processadmin oikeudet. SQL Reporting Services instanssiin on oltava Create Folder ja Publish Reports oikeudet.

SQL palvelimen asentamisen vaiheet (esimerkissä käytetään SQL 2014 versiota):

Esimerkissä SQL palvelin asennetaan 180 päivän kokeilujaksolle.

Hyväksytään lisenssiehdot

Haetaan viimeisimmät SQL palvelimelle tarkoitetut päivitykset ja asennetaan ne käyttöön

Asennusohjelma huomauttaa siitä että Windows palomuuri on päällä. Jos palomuuri halutaan pitää päällä, on siihen määritettävä tarvittava palomuuri poikkeukset. Palomuuri poikkeuksista voit lukea TÄÄLTÄ

Palomuuri voidaan poistaa käytöstä tai vaihtoehtoisesti määrittää siihen tarvittavat palomuuri poikkeukset esimerkiksi netsh komentoa käyttämällä.

netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

tai netsh advfirewall komentoa käyttämällä

netsh advfirewall firewall add rule name="SQL Port 1433" dir=in action=allow protocol=TCP localport=1433

Valitaan käytettäväksi SQL Server Feature Installation vaihtoehto jolloin päästään määrittämään käytettäviä SQL palvelin komponentteja.

Määritetään käyttöön tarvittavat SQL palvelin komponentit eli Database Engine Services, Reporting Services - Native (ei siis Sharepoint), Client Tools Connectivity, Management Tools – Complete

Esimerkissä SQL on asennettu C-asemalle mutta tuotantoympäristössä asennus suorittaa toiselle, ko. käyttöä varten tarkoitetulle kiintolevylle tai kiintolevyjärjestelmälle.

Määritetään SQL palvelin käyttämään oletus tietokantainstanssin nimeä (MSSQLSERVER)

Collation asetus määritetään käyttämään määritystä Microsoft SQL Server with SQL_Latin1_General_CP1_CI_AS

Service Accounts välilehdellä olevat palvelujen asetukset voidaan jättää oletusasetuksiin.

Määritetään SQL palvelimen ylläpitoon käytettävät käyttäjätunnukset tai ryhmät

Esimerkissä on lisätty kaikki toimialueen Admin-tason tunnukset ylläpitäjiksi. Asiaa kannattaa miettiä tarkemmin ns. tuotantoympäristössä. Tuotantoympäristössä kannattaa Data Directories välilehdellä olevien asetusten kautta ohjata lokit ja tietokantatiedostot halutulle kiintolevylle / osiolle. Esimerkissä ko. data on ohjattu C-asemalle mikä ei tietenkään ole lähimainkaan paras mahdollinen vaihtoehto.

Otetaan käyttöön Reporting Services rooli

Aloitetaan varsinainen asennusprosessi

Asennus on valmis

SPN asettaminen mbam-appool-user käyttäjälle

SPN asetusta tarvitaan Kerberos autentikoinnin takia. SPN määrityksen ansioista päätelaite pystyy autentikoitumaan MBAM Web-palveluihin. MBAM asennusohjelma yrittää tehdä SPN määritystä myös automaattisesti mutta sen onnistuminen riippuu MBAM asennusohjelmaa suorittavan käyttäjän omista oikeuksista AD:n (asentajalla täytyy olla Domain Admin oikeudet)

Anna DC01 palvelimella Järjestelmänvalvojan komentokehotteesta komennot:

setspn -s http/mbam-srv.yritysoy.test yritysoy.test\mbam-appool-user JA komento setspn -s http/mbam-srv yritysoy\mbam-appool-user

Määrityksen avulla voidaan myöhemmässä vaiheessa määrittää MBAM käyttämään täyttä LDAP nimeä (yritysoy.test). HUOM esimerkissä toimialueen nimi on yritysoy.test

Komennon antamisen jälkeen otetaan SPN rekisteröinti käyttöön mbam-appool-user käyttäjätilin ominaisuudet ikkunasta Delegation välilehdeltä asettamalla valinta kohtaan Trust this user for delegation to specified services only service - Use Kerberos only

Painetaan Add nappia ja aloitetaan määrittäminen Users or Computers painikkeen kautta. Lisää Enter the object names to select kenttään käyttäjä mbam-appool-user ja määritä käyttöön setspn komennon avulla määritetty palvelin mbam-srv.yritysoy.test. Palvelu-tyypeistä käytettäväksi valitaan http

 

Tarvittavien tietokantapalvelimen oikeuksien määrittäminen MBAM asennuksen suorittavalle käyttäjätunnukselle.

On huomattava että MBAM järjestelmän asennuksen suorittavalla käyttäjätunnuksella on oltava tietokantapalvelimeen dbreator ja processadmin oikeudet.

Edellä mainittujen lisäksi ko. käyttäjätunnuksella on oltava MBAM raportointijärjestelmän käyttämän tietokantainstanssiin (SQLSERVER) Create Folders ja Publish Reports oikeudet.

Tässä esimerkissä MBAM asennus suoritetaan myöhemmin toimialueen admininistrator tunnuksella jolle edellä on SQL asennuksen yhteydessä annettu jo SQL-palvelimen admin oikeudet.

Tarvittaessa tietokantapalvelimen käyttöoikeudet voidaan kuitenkin määritellä SQL Server Management Studio ohjelmaa käyttämällä.

Avaa em. ohjelma ja siirry kohtaan Security. Napsauta Security alla olevaa Logins kohtaa hiiren 2-painikkeella ja valitse avautuvasta pikavalikosta New Login

New Login ikkunassa valitaan Search jonka jälkeen MBAM asennukseen käytettävä käyttäjätunnus etsitään Enter the Object name to search kenttää käyttämällä. Palataan tämän jälkeen OK napilla Login-New ikkunaan.

Login - New ikkunassa valitaan Server Roles ja lisätään valinnat kohtiin dbcreator ja processadmin.

 

Raportointipalvelun käyttöoikeudet voidaan määritellä raportointipalvelu sivuston kautta (http://mbam-srv/Reports) tai (http://mbam-server.yritysoy.test/reports/Pages/Folder.aspx)

Valitse Folder Settings - New Role Assignement

Group or name kenttään kirjoitetaan käyttäjätunnus joka suorittaa MBAM asennuksen. Esimerkissä käytetään ryhmää YRITYSOY\mbam-report

Asetetaan valinnat alla näkyvän kuvan mukaisesti

Tässä esimerkissä MBAM asennetaan kuitenkin toimialueen Administrator tunnusta käyttäen joten em. muutokselle ei ole tarvetta.

Lisätään kuitenkin Domain Admins ryhmä myös raportointi palvelujen yllä pitäjiksi. Edellä mainitussa sivussa napsautetaan Site Settings linkkiä

Siirrytään Security osaan ja napsautetaan New Role Assignement linkkiä

Annetaan yritysoy\domain admins ryhmälle System Administrator ja System User oikeudet.

Laitteistossa olevan ongelman selvittelyä (Code 39)

Jokin aika sitten vastaani tuli ongelma jossa web-kamera lakkasi yllättäen toimimasta. Tarkoituksena oli liittyä Skype kokoukseen mutta laitteeseen liitetty web-kamera ei vain suostunut toimimaan…Skype ei suostunut tunnistamaan kameraa. Vilkaisu laitehallintaan näytti web-kameran osalta virhettä 39 joka tarkoittaa Microsoftin mukaan tilannetta jossa laiteistoajuria ei voida ladata. Todennäköisesti se on jostain syystä vioittunut/korruptoitunut. (Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)) Laitehallinnan antamien virhekoodien selitykset voi lukea täältä.

Windowsissa voi nykyisin kokeilla ratkaista laitteisiin liittyviä ongelmia varsin mukavasti toimivalla Vianmääritys ohjelmalla. Tällä kertaa se ei kuitenkaan tepsinyt.

Edellä mainittu ohjelma yritti ratkaista web-kameraan liittyvän ongelman poistamalla ongelmallisen laitteen laitteisto-ajurin käytöstä. Tämän jälkeen se asennetaan automaattisesti uudelleen driver storesta. Tämä ei kuitenkaan ratkaissut ongelmaa. Tästä päätelleen ongelman juurisyy oli todennäköisesti driver storessa olevassa ajuripaketissa. Driver store on käytännössä kansio sijainnissa %SYSTEMDRIVE%\Windows\System32\DriverStore. Kansioon kopioidaan käyttöjärjestelmän asentamisen jälkeen kaikki Windowsin inbox laiteajurit (eli laiteajurit jotka tulevat Windowsin mukana) sekä muut luotettavat 3-osapuolen laiteajurit jotka otetaan muulla tavoin käyttöön käyttöjärjestelmän asennuksen päätyttyä. Tilanteessa jossa driver storessa oleva laiteajuri on valmiiksi viallinen, tulee viallinen laiteajuri asennetuksi yhä uudelleen. Tämä johtuu siitä että jos Windows sattuu löytämään driver storesta laitteelle sopivan laiteajurin se otetaan automaattisesti käyttöön…tällä kertaa driver storessa oleva ajuripaketti vain oli vioittunut.

Laitteistoajuri tuli siis poistaa driver storesta. Tämä aiheuttaa tilanteen jossa laiteajuria ryhdytään ensin etsimään DevicePath rekisterimerkinnän osoittamasta sijainnista. (HKLM\Software\Microsoft\Wndows\CurrentVersion) joka oletusarvoisesti on C:\Windows\INF kansio. Jos ajuria ei löydy täältäkään sitä etsitään Windows Updatesta.

Ennen poistamista tulee selvittää sen .inf tiedoston nimi jota ongelmallinen laite käyttää. Inf- tiedosto pitää sisällään siihen liittyvän laitteistoajurin sisältämät tiedosto, kansiot ja rekisterimerkinnät ja muun olennaisen tiedon. Tiedon voi selvittää laitehallinasta käsin siirtymällä ongelmallisen laitteen ominaisuudet ikkunaan Tiedot välilehdelle. Tiedot välilehdellä Avataan Ominaisuus pudotusvalikosta INF-nimi kohta. Arvo kentästä voidaan nyt lukea inf-tiedoston nimi.

Asian voisi periaatteessa selvittää myös järjestelmänvalvojan komentokehotteesta pnputil /enum-drivers komennolla mutta asian selvittäminen vaatii hieman enemmän tutkimista.

Driver storesta laitteistoajurin voi .inf tiedoston nimen selvittyä poistaa  pnputil /delete-driver ajuri.inf /force komennolla. On huomattava että komento tulee antaa järjestelmänvalvojan komentokehotteesta käsin

Myös PowerShelliä voisi käyttää inf tiedoston nimen selvittämiseen. Pnputil komennosta poiketen PowerShellissä on helppo suodattaa tuloste laiteajurin valmistajan mukaan.

Helpoin tapa selvittää laitteistoajurin poistamiseen tarvittava tieto lienee kuitenkin laitehallintaikkuna.

Kun poistamiseen tarvittavan .inf tiedoston nimi on selvillä, voidaan viallinen laitteistoajuri poistaa driver storesta pnputil /delete-driver tiedosto.inf /force komennon avulla.

Ennen komennon suorittamista laitteen voi kytkeä irti (jos tämä on mahdollista)

Komennon antamisen jälkeen ongelmallisen laitteen laitteistoajurin päivitetään laitehallinasta käsin (Search automatically for updated software) jolloin Windows etsii laitteistoajuria ensin driver storesta. Ennen tätä on tietenkin laite kytkettävä takaisin päätelaitteeseen.

Koska laiteistoajuria ei löydy driver storesta, haetaan se Windows Updatesta josta se otetaan käyttöön (olettaen että laitevalmistaja on sen sinne tarjonnut). Tällä kertaa käytössä on toimiva ajuri.

---

Microsoft BitLocker Administration and Monitoring 2.5 SP1(MBAM)– osa 1/4

  

Yleistä, käyttäjätunnukset ja ryhmät sekä Active Directory Certificate Services

Microsoft BitLocker mahdollistaa kokonaisten levyasemien salakirjoittamisen käyttäen AES tai XTS salausta. BitLocker sisältyy  Windows7 (Enterprise ja Ultimate), Windows 8 ja 8.1 (Pro ja Enterprise), Windows 10 (Pro, Enterprise, Education) sekä Wndows Server 2008 ja myöhemmät käyttöjärjestelmiin.

Microsoft BitLocker Administration and Monitoring (MBAM) ohjelmisto mahdollistaa BitLocker levyasemasalauksen käyttöönottamisen käyttöönoton työasemissa. Lisäksi se mahdollistaa salauksen käyttöönoton ja  toiminnan seuraamisen palvelimessa olevien MBAM hallintapalvelujen avulla. Lisäksi sen avulla voidaan pakottaa halutut parametrit (PIN ja sen pituus sekä kompleksisuus, salaukseen käytettävä algoritmi, yms) käyttöön.

MBAM ei ole ilmainen ohjelmisto vaan se sisältyy Microsoft Desktop Optimazation Pack (MDOP) ohjelmistopakettiin. MDOP sisältyy yleensä volyymikäyttöoikeus (VLS) sopimukseen, mutta sen voi hankkia myös erikseen.

MBAM mahdollistaa mm. BitLocker levyasema salauksen automaattisen ja pakotetun aloittamisen työasemissa. Ilman MBAM:a salauksen automaattinen aloittaminen on käynnistettävä esim. ryhmäkäytännön avulla jaettavalla .wmi tai .ps1 skriptillä.

HUOM tätä kirjoitettaessa päivitys KB3206632 estää Windows 10 Client-Hyper V ympäristöön luotuja virtuaalisia työasemia käynnistymästä jos joiden suojausasetuksissa on TPM otettu käyttöön. Ratkaisuna on päivityksen poistaminen isäntä (host) työasemasta.

---

Tässä esimerkissä käytetty taustajärjestelmä, palvelimet ja palvelinroolit

Tässä esimerkissä käytetty kahden palvelimen järjestelmä on seuraava:

Aktiivikansiotoimialue nimeltä yritysoy.test

Toimialueella on yksi ohjaustietokone DC01.yritysoy.test: jossa roolit Active Directory, Active Directory Certificate Services johon on asennettu palvelinroolit Certificaiton Authority ja Certification Authority Web Ennrollment

HUOM: PKI ympäristön käyttäminen Active Directory Certificate Services roolin avulla ei ole pakollista mutta suositeltavaa. 

MBAM palvelin MBAM-SRV.yritysoy.test joka on liitetty yritysoy.test toimialueelle (member server).

Molemmat palvelimet ovat Windows Server 2016 palvelimia.

MBAM järjestelmää ei suositella asennettavaksi vain yhteen palvelimeen perustuvaksi vaan yleensä käytetään kahta tai useampaa palvelinta.

Taustajärjestelmän vaatimukset voi lukea TÄÄLTÄ

 

---

Taustajärjestelmän käyttöönottaminen

Tässä esimerkissä oletetaan että toimialue yritysoy.test ja edellä kuvatut palvelimet on jo asennettu. Toimialueen ohjaustietokoneeseen DC01.yritysoy.test on asennettu edellä kuvatut palvelinroolit. Lisäksi molempiin Windows Server 2016 palvelimiin on asennettu kaikki uusimmat päivitykset.

MBAM-SRV.yritysoy.test palvelimessa otetaan  .NET Framework 3.5 käyttöön jos ominaisuus ei ole vielä käytössä. Vanhempia Windows palvelimia (joissa .NET pakettia ei voida ottaa käyttää ominaisuutena) varten .NET paketin voi ladata TÄÄLTÄ

Tarvittavien käyttäjätunnusten luominen MBAM järjestelmää varten

MBAM järjestelmä käyttää käyttäjätunnuksia ja ryhmiä SQL, raportointia, yms. varten. Ennen varsinaista MBAM ohjelmiston asentamista kannattaa luoda tarvittavat käyttäjätunnukset ja ryhmät. Käyttäjät ja ryhmät tulee olla tehtynä viimeistään ennen MBAM järjestelmän asennusta.

On huomattava että palveluiden käyttöön tarkoitettujen käyttäjien (esimerkissä. mbam-db-connect ja mbam-appool-user ) salasana ei saa vanheta.

Alla näkyvät käyttäjät ja käyttäjäryhmät voi luoda käsin tai TÄMÄN PowerShell-skriptin avulla.

HUOM: Käyttäjien ja käyttäjäryhmien nimien EI tarvitse olla alla näkyvän taulukon mukaisia. Taulukossa kuvatut käyttäjiin ja käytättäjäryhmiin kohdistut toimenpiteet tehdään myöhemmässä vaiheessa.

Ryhmä ja sen oikeudet	Käyttäjätunnus	Rooli
mbam-caddb-rw Ryhmällä on luku- ja kirjoitusoikeus sekä Compliance and Audit sekä myös Recovery tietokantoihin	mbam-cadb-rw-user	Mahdollistaa MBAM web-sovellusten yhteydet tarvittaviin tietokantoihin
mbam-caddb-rw	mbam-appool-user	Web-sovellusten käyttämä käyttäjätunnus HUOM: käyttäjälle on suoritettava Service Provider Name rekisteröinti Setspn komennon avulla. HUOM: tälle käyttäjälle on annettava Log on as a batch job ja Impersonate a client after authentication oikeus sille palvelimelle johon IIS palvelin on asennettu. Oikeus annetaan paikallisen käyttöoikeus editorin avulla (secpol.msc )
mbam-cadb-r Luku-oikeus Audit and Compliance tietokantaan	mbam-cadb-r-user	Käytetään raporteissa olevien tietojen hakemiseen.
mbam-cadb-r	mbam-db-connect	Tunnus jota SQL palvelimen Raportointipalvelut käyttävät yhteyden muodostamiseen Compliance and Audit tietokantaan. HUOM: tälle käyttäjälle on annettava Log on as a batch job oikeus sille palvelimelle johon SQL palvelimen Raportointipalvelut on asennettu. Oikeus annetaan paikallisen käyttöoikeus editorin avulla (secpol.msc )
mbam-report Luku-oikeus Administration and Monitoring sivuston raportteihin	mbam-report-user	Käytetään tiedon hakemiseen Administration and Monitoring sivuston kautta.
mbam-adv-helpdesk Ryhmän jäsenillä on oikeus kaikkeen tietoon Administration and Monitoring sivustolla. BitLocker tietojen hakeminen onnistuu pelkän Recovery Key:n avulla.	mbam-adv-helpdesk-user	Käytetään kaiken BitLocker palautustiedon hakemiseen Administration and Monitoring sivuston kautta.
mbam-helpdesk Ryhmän jäsenillä on oikeus hakea TPM ja Drive Recovery tietoja Administration and Monitoring sivuston avulla.	mbam-helpdesk-user	Käytetään TPM ja Driver Recovery tietojen hakemiseen Administration and Monitoring sivuston kautta. Tietoa haettaessa joudutaan käyttämään palautettavan käyttäjän toimialue ja käyttäjätunnus tietoja.

MBAM palvelimen lisääminen mbam-cadb-rw ryhmään

MBAM.yritysoy.test palvelimen tietokonetili lisätään käyttäjäryhmään mbam-cadb-rw. Ryhmällä on jatkossa luku- ja kirjoitusoikeudet SQL tietokantaan MBAM asennusohjelma tulee asettamaan tietokantoihin liittyvät oikeudet automaattisesti MBAM:n asennuksen aikana.

ADCS varmennepalvelimen määrittäminen

Kun varmennepalvelin Active Directory Certificate Services (jossa Certificaiton Authority ja Certification Authority Web Ennrollment roolit) rooli on asennettu DC01.yritysoy.test toimialueen ohjauskoneelle, lisäävät työasemat sen automaattisesti luotettujen varmenteiden päämyöntäjien listalle.

Työasemat eivät kuitenkaan automaattisesti saa omaa varmennetta, vaan työasemille tulevia varmenteita varten on luotava uusi varmennepohja tarvittavin määrityksin. Lisäksi on varmistettava sen automaattinen jakelu työasemiin ryhmäkäytännön avulla. Myös MBAM.yritysoy.test palvelimella olevia MBAM web-sivustoja varten on luotava uusi palvelinvarmenne

Luodaan ensin Active Directory Certicate Services roolin kautta työasemia varten uusi varmennepohja.

Avataan Active Directory Certiicate Services konsoli ja napsautetaan Certificates päällä hiiren 2-painiketta. Valitaan Manage.

Luodaan seuraavaksi olemassa olevasta Computer varmennepohjasta uusi kopio hiiren 2-painikkeen pikavalikossa olevan Duplicate Template komennon avulla.

Uudelle varmennepohjalle annetaan General välilehden kautta kuvaavampi nimi ja merkitään uusi varmennepohja julkaistavaksi Active Directoryssä:a asettamalla valinta kohtaan Publish certificate in Active Directory

Siirrytään Security välilehdelle ja myönnetään Domain Computers ryhmälle Read, Enroll ja Autorenroll oikeudet.

Varmenne on tarkoitettu oletusarvoisesti käytettäväksi sekä palvelimissa että työasemissa. Tämä riittää myös MBAM järjestelmän avulla hallittaville työasemille. MBAM vaatii että varmenteella on Enchanced Key Usage OID´s (1.3.6.1.5.5.7.3.1) ja (1.3.6.1.5.5.7.3.2). OID identifioi varmenteen tiettyyn käyttötarkoitukseen. Edellä luodulla varmenteella on oletusarvoisesti nämä käyttötarkoitukset.

Hyväksytään uusi varmennepohja muutoksineen OK napilla

Aloitetaan seuraavaksi varmennepohjan jakelu Active Directory Certiicate Services konsolista käsin napsauttamalla hiiren 2-painikkeella Certificates Templates päällä. Pikavalikosta valitaan New - Certificate to Issue ja valitaan esille avautuneesta Enable Certificate Templates ikkunasta edellä luotu varmennepohja.

Lopuksi varmenteen jakelu automaattinen jakelu työasemiin varmistetaan ryhmäkäytännön avulla. Ryhmäkäytäntöjen hallintakonsolissa luodaan tätä varten uusi ryhmäkäytäntö eli GPO tai tai asetetaan tarvittavat määritykset jo olemassa olevaan ryhmäkäytäntöön. Tässä esimerkissä luodaan uusi GPO nimeltä Yritysoy.test varmenteet ja asetetaan tarvittavat asetukset sinne.

Napsautetaan Group Policy Management konsolissa hiiren 2-painikkeella Group Policy Objects päällä ja valitaan pikavalikosta New. Annetaan uudelle GPO:e haluttu nimi joka tässä esimerkissä on YritysOy.test varmenteet

Avataan GPO muokkaustilaan napsauttamalla hiiren 2-painiketta sen päällä ja valitaan pikavalikosta Edit. Siirrytään GPO editorissa kohtaan Computer Configuration - Windows Settings - Security Settings - Public Key Policies ja avataan hiiren tuplanapsautuksella asetus Certificate Services Client - Auto – Enrollment.

Asetetaan asetukset alla näkyvän kuvan mukaisiksi.

Lopuksi em. GPO otetaan käyttöön halutussa OU:a tai koko toimialueella napsauttamalla kohteen päällä hiiren 2-painiketta. Avautuvasta pikavalikosta valitaan Link an existing GPO jonka jälkeen Select GPO ikkunasta valitaan edellä luotu GPO.

Työaseman päässä asetuksen voimaan asettumista voi nopeuttaa komentokehotteesta käsin komennolla gpupdate /force

Varmenteen tulisi olla nyt asennettuna työasemaan. Työaseman päästä asian voi tarkastaa avaamalla Käynnistä - Suorita kautta tyhjän MMC-konsolin järjestelmänvalvojana. Tyhjään MMC konsoliin lisätään Varmenteet laajennus siten että laajennus näyttää Tietokonetilin varmenteet. Työasemaan myönnetty varmenne näkyy Varmenteet - Henkilökohtainen - Varmenteet sijainnissa.

DC01.yritysoy.test (ADCS) myöntämät varmenteet näkyvät Certification Authority konsolissa kohdassa Issued Certificates

Seuraavassa osassa MBAM järjestelmän määrittäminen jatkuu Microsoft SQL palvelimen käyttöönotolla.

---