Tässä artikkelissa jatketaan MBAM palvelimen käyttöönottamista joka aloitettiin osissa 1, 2 ja 3
Microsoft Bitlocker Administration and Monitoring ohjelmiston asentaminen palvelimelle ja tarvittavien ryhmäkäytäntömääritysten asettaminen käyttöön
MBAM palvelinohjelmiston asentaminen
Palvelinohjelmiston asennus käynnistetään MDOP asennusmedialta \MBAM\MBAM 2.5 SP1\Installers\x64 kansiossa olevaa MbamServerSetup.exe tiedostoa käyttämällä.
Jatketaan ensimmäisestä asennusikkunasta eteenpäin ja hyväksytään llisenssiehdot
Päätetään Microsoftin MBAM kehitysohjelmaan liittymisestä ja aloitetaan varsinainen ohjelmiston asentaminen palvelimeen
Asentamisen jälkeen voidaan aloittaa järjestelmän käyttöön määrittäminen. Tämän voi tehdä myös myöhemmin, jos taustajärjestelmä ei ole vielä valmis.
Jatketaan määrittämistä seuraavasta ikkunasta Add New Features valinnan avulla. Asetetaan valinnat alla näkyvä kuvan mukaisesti (ns. stand alone mallin mukaisesti). Seuraavaksi tarkistetaan esiasennusvaatimukset, ja mikäli niissä esiintyy puutteita, näytetään puutteet. Kaikkia rooleja ei välttämättä tarvitse ottaa heti käyttöön, esim. Web applications roolin voisi jättää määrittämättä ja palata sen käyttöönottoon myöhemmin.
Esitellään SQL palvelin (MBAM-SRV) Browse painikkeen avulla ja määritellään tietokantayhteyksiin tarvittavat käyttäjät sekä käyttäjäryhmät. Määritä asetukset alla näkyvän kuvan mukaisesti ja siirrytään Next painikkeella määrittämään raportoinnin määrityksiä.
Määritellään Raportointiin liittyvät asetukset alla näkyvän kuvan mukaisiksi.
Määritellään MBAM järjestelmän Web-ohjelmiin liittyvät asetukset alla näkyvien kuvien mukaisesti HUOM: Jos SSL varmennetta ei käytetä järjestelmä huomauttaa siitä.
IIS-palvelimelle voitaisiin määritellä sivusto Helpdeskiä varten.
MBAM komponenttien määritys on valmis ja varsinainen toteutus voidaan aloittaa
Asennus on valmis. Asennus huomauttaa mahdollisista löytämistään puutteista.
Myöhemmin MBAM komponenttien määrityksiä ja asennuksen tilaa voi muuttaa MBAM Server Configuration ohjelman avulla.
Asennuksen onnistumista voi tarkastella mm. IIS:n admin konsolista. Asennuksen päätyttyä IIS Web-palvelimeen on lisätty MBAM saitti ja käyttöön määritetyt MBAM tarvittavat sivustot.
MBAM asennuksen “palvelinpään” onnistuminen voidaan tarkastaa avaamalla IIS hallintakonsoli Server Managerin kautta. Kunkin Microsoft BitLocker Administration and Monitoring alla olevan sivuston päällä napsautetaan hiiren 2-painiketta, ja valitaan pikavalikosta Manage Application - Browse. Sivuston tulisi avautua selaimeen (mahdollisen kirjautumisen jälkeen).
Tarvittavien ryhmäkäytäntömallien käyttöön ottaminen DC01 palvelimella
Ryhmäkäytäntömallit määrittävät sen mitä asetuksia ryhmäkäytäntöjen avulla voidaan ottaa käyttöön. MBAM:a varten on omat ryhmäkäytäntömallinsa, joiden avulla tarvittavat BitLocker asetukset saadaan asetettua työasemiin.
Oletusarvoisesti ryhmäkäytäntömalllit sijaitsevat kussakin palvelimessa (ja työasemassa) kansiossa C:\Windows\PolicyDefinitions. Mallit kannattaa kuitenkin sijoittaa keskitettyyn sijaintiin jolloin mallien päivittäminen on helpompaa (koska ne ovat yhdessä keskitetyssä sijainnissa).
Otetaan käyttöön ns. Central Store/keskitetty ryhmäkäytäntösäilö ryhmäkäytäntöjen säilyttämistä varten. Central Store tarkoittaa ryhmäkäytäntömallien keskitettyä sijaintia jolloin ryhmäkäytännöissä asetetut asetukset haetaan keskitetystä sijainnista eikä kunkin tietokoneen omasta PolicyDefinitions kansiosta.
Keskitetyn PolicyDefinitions kansio luominen:
Luodaan ensin tarvittava PolicyDefinitions niminen kansio DC01 palvelimen SYSVOL jaossa olevaan toimialueennimi\Policies kansioon
HUOM esimerkissä toimialueen nimi on yritysoy.test
PolicyDefinitions kansion luomisen jälkeen kaikki olemassa olevat ryhmäkäytäntömallit kopiodaan em. kansioon. Kopioidaan siis DC01 palvelimen C:\Windows\PolicyDefinitons kansion koko sisältö (alikansioineen) edellä luotuun SYSVOL\yritysoy.test\Policies\PolicyDefinitons kansioon.
BitLocker.admx ja Bitlocker.adml tiedostojen kopioiminen keskitettyyn Policydefinitions kansioon:
Tämän jälkeen kopioidaan Policydefinitions kansioon varsinaiset MDOP ryhmäkäytäntömallit.
Kopioi ensin MBAM ryhmäkäytäntömallit TÄÄLTÄ . Pura lataamasi tiedosto johonkin kansioon. Puretussa kansiossa on ryhmäkäytäntömallit eriteltyinä käytettävän MBAM version mukaan. Mallit koostuvat sekä .adml että .admx tyyppistä tiedostoista.
Kopio kaikki BitLocker alkuiset ja .adml päätteiset tiedostot (kansiosta joka sisältää puretut MBAM mallit) \SYSVOL\domainnimi\Policies\PolicyDefinitions\en-US kansiooon.
Kopioi tämän jälkeen kaikki BitLocker alkuiset ja .admx päätteiset tiedostot (kansiosta joka sisältää puretut MBAM mallit) suoraan \SYSVOL\domainnimi\Policies\PolicyDefinitions kansioon.
Adml päätteiset tiedostot sisältävät kaiken kielilokalisoidun tiedon. Admx päätteiset tiedostot sisältävät varsinaiset ryhmäkäytäntöasetukset.
MBAM ryhmäkäytäntöasetusten määrittäminen
Kun MBAM järjestelmän edellyttämät ryhmäkäytäntömallit on otettu käyttöön voidaan alkaa määrittämään MBAM-asiakasohjelmiston toimintaan vaikuttavia ryhmäkäytäntöasetuksia.
Avataan DC01 palvelimen ryhmäkäytäntöjen hallinta (Group policy management) ohjelmisto ja luodaan uusi ryhmäkäytäntöobjekti halutulla nimellä Group Policy Object alle. Jos työasemiin on tarkoitus asettaa erilaisia BitLocker asetuksia, kannattaa jokaiselle eri tyyppiselle BitLocker asetuksille luoda omat ryhmäkäytäntönsä. Tässä esimerkissä luodaan ainoastaan yksi ryhmäkäytäntöobjekti johon tarvittavat asetukset määritetään.
MBAM 2.5 mahdollistaa BitLocker salauksen automaattisen ja pakotetun käyttöönottamisen työasemissa. Aiemmissa MBAM versioissa loppukäyttäjä pystyi viivästämään BitLockerin käyttöönottamista käytännössä loputtomiin.
Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM. On huomattava, että asetukset tulevat MBAM ryhmäkäytäntömallin mukana.
Määritellään yleiset MBAM asetukset ensin. Asetukset ovat kohdassa Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM
Yleisistä asetuksista otetaan käyttöön asetus Choose drive encryption method and cipher strenght. Asetetaan asetus määritykseen AES 128-bit (default). Vaikka asetusta ei otettaisikaan käyttöön, salaus suoritetaan AES 128 bit tyyppisenä. MBAM raportit eivät kuitenkaan näytä käytettävää salaustyyppiä (bugi) mikäli asetus jätetään ottamatta käyttöön.
MBAM asiakasohjelmiston asetukset ovat kohdassa:
Computer Configuration\Policies\Administrative Templates\Windows Components\MDOP MBAM\Client Management
Edellä mainitusta kohdasta otetaan käyttöön asetus Configure MBAM services
Määritetään ainakin kohdat MBAM Recovery service endpoint ja MBAM Status reporting service endpoint. Asetukset määritetään vastaamaan omaa MBAM ympäristöä. MBAM Recovery service endpoint määrityksen avulla kerrotaan palvelin joka on vastuussa BitLocker palautusinformaation tallentamisesta. MBAM Status Reporting service endpoint määrityksen avulla puolestaan määritetään palvelin joka hoitaa BitLocker raportointipalvelua.
Tässä esimerkissä MBAM asetukset määritetään seuraavasti:
MBAM Recovery service endpoint:
http://MBAM-SRV.yritysoy.test:80/MBAMRecoveryAndHardwareService/CoreService.svc
MBAM Status reporting service endpoint.
http://MBAM-SRV.yritysoy.test:80/MBAMComplianceStatusService/StatusReportingService.svc
HUOM: harjoituksessa kohta Enter client checking status frequency in (minutes) voidaan asettaa alhaisempaan arvoon kuin 720 joka on normaali arvo. Tällöin työasemat raportoivat tilastaan raportointipalvelimelle nopeammin. On huomattava että tuotantoympäristössä raportointiajan lyhentäminen kasvattaa verkon kuormaa. Testiympäristössä Enter client checking status frequency in arvo voi olla esim.30 ja Enter status report frequency in arvo esim. 60.
Asetuksen Provide the URL for the Security Policy link avulla voidaan loppukäyttäjille tarjota URL-osoite josta he voivat lukea yrityksen tietoturvakäytännöistä ja siitä miksi salaus halutaan tehdä. HUOM asetus ei ole pakollinen MBAM järjestelmän toiminnan kannalta.
MBAM-asiakasohjelmiston ja yleisten määritysten jälkeen määritetään BitLocker asetukset tarpeen mukaan dataa sisältävälle levyasemille (Fixed Drive), käyttöjärjestelmän sisältävälle levyasemalle (Operating System Drive) sekä siirrettäville levyasemille (Removable Drive)
Otetaan seuraavaksi salaus käyttöön dataa sisältäville levyosioille (Fixed Drive). Asetus joka määrittää salauksen käyttöön data- levyille on Fixed data drive encryption settings.
Asetetaan asetus tilaan Allow Auto-Unlock
Asetetaan määräaika, jonka sisällä data-aseman salaus on viimeistään suoritettava. Tämä määritetään asetukset Encryption Policy Enforcement Settings avulla. Oletusasetus 0 tarkoittaa että salaaminen on aloitettava välittömästi sen jälkeen kun asema todetaan salaamattomaksi. Käyttäjä ei voi viivyttää salaamista. Jos arvoa nostetaan, käyttäjä pystyy viivyttämään salaamista määritetyn aikarajan sisällä.
Tässä esimerkissä BitLocker asetukset on määritetty käyttöön myös käyttöjärjestelmän sisältävälle levyosiolle (Operating system drive).
Otetaan käyttöön asetus, Operating system drive encryption settings joka määritetään TPM + PIN. Asetuksen määrittäminen ottaa käyttöön salauksen levyasemalle johon käyttöjärjestelmä on asennettu. Jos asetus on asetettu valintaan TPM only on salaus käyttäjälle “läpinkyvää”. Jos käytetään valintaa TPM and PIN, täytyy käyttäjän määrittää PIN numero jota kysytään aina tietokonetta käynnistettäessä.
Tässä esimerkissä asetus on määritetty vaihtoehtoon TPM+PIN
HUOM: On huomattava että mikäli suojattavassa työasemassa ei ole yhteensopivaa TPM piiriä, asetus Allow BitLocker without a compatible TPM (requires a password) mahdollistaa käyttöjärjestelmälevyn salaamisen salasanan avulla (ei siis PIN).
Asetus Operating system drive encryption settings - Select protector for operating system drive määrittää sen miten käyttöjärjestelmälevyn BitLocker suojaus avataan. Vaihtoehdot ovat TPM ja TPM+PIN. Jos käytössä on TPM+PIN, kysytään suojaukseen tarvittaa PIN numeroa käyttäjältä ennen salauksen aloittamista.
Asetus Encryption Policy Enforcement Setting määrittää määräajan jonka jälkeen levyasema salataan automaattisesti. Määräajan sisällä loppukäyttäjä voi viivyttää salaamista. Encryption Policy Enforcement Settings.
HUOM esimerkissä asetus kannattaa asettaa 0:n (tai jättää kokonaan määrittämättä) salauksen aloittamisen nopeuttamiseksi.
HUOM: Mikäli asetus Fixed data drive encryption settings asetus määritetään asetukseen Do not allow Auto-unlock, täytyy asetus Configure use of passwords for fixed data drives ottaa käyttöön.
Koonti esimerkissä käytetyistä ryhmäkäytäntöasetuksista
HUOM: Microsoftin ohjesivusto käyttöön asetettavista MBAM määrityksistä
MBAM asiakasohjelmiston jakelu työasemiin
Jotta MBAM järjestelmä asetuksineen voi toimia työasemissa, tulee niihin ensin asentaa MBAM asiakasohjelmisto (MBAM client). Asiakasohjelmisto kannattaa yleensä asentaa jotakin automatisoitua jakelujärjestelmää (SCCM, PDQ, yms) käyttämällä. MBAM 2.5 SP1 versiossa asiakasohjelmisto on ainoastaan .exe tyyppisenä tiedostona. Edellisissä MBAM versioissa asiakasohjelmistosta on myös .msi tyyppiset asennuspaketit. Myös 2.5SP1 versiosta on kuitenkin mahdollista hankkia .msi tyyppinen asennusohjelma siten että .exe tiedosto puretaan /extract “polku kansioon jonne puretaan” parametrilla
MBAM asiakasohjelmiston asentaminen ryhmäkäytännön avulla (.msi)
Jos asennettava MBAM versio on 2.5SP1 täytyy asennuspaketti ensin hankkia purkamalla .exe tyyppinen asennuspaketti. Ryhmäkäytännön avulla ei voi asentaa muita kuin .msi tyyppisiä asennuspaketteja.
MBAM asiakasohjelmiston asennustiedostot ovat MDOP asennusmedialla version ja arkkitehtuurin (x64 vs. x86) mukaan kansioituna. Purkaminen .msi tiedostoksi suoritetaan komennolla:
MbamClientSetup.exe /extract "polku kansioon jonne asennuspaketti puretaan" /acceptEula=Yes
Edellä purettu asennuspaketti tulee sijoittaa jaettuun kansioon josta asennus voi tapahtua. Seuraavaksi luodaan siis jaettu kansio, josta asennus suoritetaan.
Luodaan jaettu kansio jonka ntfs oikeudet on määritetty muotoon, Administrators: Full Control, Authenticated Users: Read & Execute. Kansion jako-oikeudet on määritetty muotoon Autenticated Users: Read
Kopioidaan .msi muotoinen asiakasohjelmiston asennuspaketti (MbamClientSetup-2.5.1100.0.msi) edellä luotuun kansioon. Esimerkissä on käytetty mbam-client nimistä kansiota.
Kun .msi paketti on nyt jaetun kansion kautta käytettävissä käytettävissä, voidaan luoda ryhmäkäytäntöobjekti joka suorittaa asiakasohjelmiston jakelun työasemiin.
Avataan DC01 palvelimen ryhmäkäytäntöjen hallinta (Group policy management) ohjelmisto ja luodaan uusi ryhmäkäytäntöobjekti halutulla nimellä Group Policy Object alle. Esimerkissä on GPO nimenä käytetty MBAM Client install
Avataan em. GPO muokkaustilaan ja siirrytään kohtaan Computer Configuration - Policies - Software settings - Software Installation.
Napsauttamalla Software installation riviä hiiren 2-painikkeella, saadaan esille pikavalikko jonka New Package komennolla voidaan määrittää asennettava .msi tiedosto.
HUOM: Kun asennettavaa tiedostoa määritellään New Package komennon avulla on File name: kenttään määritettä täydellinen UNC-polku asennettavaan tiedostoon (esim. \\DC-01\mbam-client\MbamClientSetup-2.5.1100.0.msi) Absoluuttista kansiopolkua ei siis voi käyttää (esim. C:\Shares\mbam-client\MbamClientSetup-2.5.1100.0.msi)
Määrityksen jälkeen GPO näyttää alla olevan kuvan mukaiselta.
Napsautetaan ryhmäkäytäntöjen hallinta (GroupPolicy editor) ohjelmassa halutun OU:n päällä hiiren 2-painiketta ja valitaan esille tulevasta pikavalikosta Link an existing GPO… jonka jälkeen valitaan linkitettäväksi molemmat edellä luodut MBAM ryhmäkäytännöt (asiakasohjelmiston asentava ja BitLocker määritykset suorittava ryhmäkäytäntö)
Esimerkissä on käytetty Työasemat nimistä organisaatioyksikköä johon em. MBAM ryhmäkäytännöt asetuksineen on linkitetty. BitLockerilla suojattavien työasemien tietokonekonetilit on sijoitettava tähän samaan OU:n
Testiympäristössä ryhmäkäytäntöjen käyttöön asettumista voi nopeuttaa komentokehotteesta käsin gpupdate /force komennon avulla
Asetusten asettumisen ja uudelleenkäynnistyksen jälkeen MDOP asiakasohjelmiston tulisi olla asennettuna asennettu työasemaan.
Salaukseen kehottava velho käynnistyy viiveellä. Asiaa voi nopeuttaa käynnistämällä sen käsin käsin (Program Files\Microsoft\MDOP MBAM\MBAMClientUI.exe)
MBAM asiakasohjelmiston asennuttua ja ryhmäkäytännöissä olevien määritysten käyttöönoton jälkeen työasemaan tulisi ilmestyä alla näkyvä MBAM ilmoitus.
PIN-koodin asettamisen jälkeen aloitetaan varsinainen salaaminen.
Tietyissä tilanteissa salausta ei aloiteta.
Hyper-V koneissa MBAM asiakasohjelmisto luulee virtuaalikonetta ThinClient koneeksi eikä suostu aloittamaan salaamista. Salaaminen on siis suoritettava itse ohjauspaneelista käsin
C-aseman salaamisen jälkeen työaseman käynnistäminen vaatii asetun PIN-avaimen syöttämisen.
BitLocker levyasemasalaus voidaan ottaa käyttöön myös PowerShellistä käsin:
https://technet.microsoft.com/en-us/library/jj649837%28v=wps.640%29.aspx?f=255&MSPPError=-2147217396
MBAM Web-palvelut
SelfService palvelu
Käyttäjät voivat hakea BitLocker-palautusavaimen itsenäisesti Web-sivuston kautta. Tässä esimerkissä sivusto on osoitteessa http://mbam-srv.yritysoy.test/SelfService
Ylläpitäjät voivat käyttää MBAM:n liittyvää ylläpito (HelpDesk) sivusto osoitteesta http://mbam-server.yritysoy.test/helpdesk
Loppukäyttäjä voi hakea salatun aseman palautusavaimen MBAM Selfservice-portaalista. Tässä esimerkissä portaali on osoitteessa mbam-server.yritysoy.test/selfservice
MBAM raportointipalvelu
MBAM liittyvät raportit löytyvät tässä esimerkissä Web-palvelusta joka sijaitsee osoitteessa mbam-server.yritysoy.test/helpdesk On huomattava että raportit näytetään vain käyttäjille joilla on oikeudet raportointipalvelimeen (tässä esimerkissä mbam-report-user ja administrator)
MBAM ongelmat
https://support.microsoft.com/en-us/help/3049652/troubleshooting-mbam-2.5-installation-problems
Työaseman päässä MBAM lokit voidaan lukea Tapahtumienvalvonta ohjelmasta Sovellus- ja palvelulokit - Microsoft - Windows - MBAM (Admin and Operational)
MBAM järjestelmän vaatimat rekisteriasetukset voi lukea rekisteriavaimesta HKLM\Software\Policies\Microsoft\FVE\MDOPBitLockerManagement
MBAM asiakasohjelmisto asentuu alla olevan kuvan osoittamaan polkuun (Program Files\Microsoft\MDOP MBAM\MBAMClientUI.exe) voi täältä käynnistää käsin.
PKI ympäristössä organisaation ADCS tulisi olla lueteltuna luotettuna varmenteiden päämyöntäjänä.
Ei kommentteja:
Lähetä kommentti