Januar 2012 – hschid

Bitlocker – MBAM Grundinstallation Teil 3

Die Installation der Serverdienste, Konfiguration der Gruppenrichtlinien und des Agent beschrieb ich bereits in Teil 1+2. Auf Clientseite gibt es einige Punkte zu beachten die evtl. für Frust sorgen.

Die Client Hardware erscheint im Webinterface und nichts weiter passiert. Eines vorab, die Steuerung des MBAM Agents erfolgt unter HKLM\Software\Microsoft\MBAM\.

Als ersten Punkt muss die Hardware, sofern natürlich geeignet, auf „Compatible“ gesetzt werden. Der Client selbst baut allerdings erst in 24 Std. erneut eine Verbindung zum Server auf. Existiert bereits identische Hardware entfällt natürlich dieser Schritt. Wer nun neue Hardware hat und diese schnell testen möchte hat zwei Möglichkeiten:

Deinstallation MBAM Agent – reboot – Installation MBAM Agent – reboot
Löschen des HWExemtionTimer – reboot

Entsprechend der Vorgabe in den Gruppenrichtlinien bei „Configure MBAM Services“ baut der Client nun die Verbindung zum Server auf. Wer es eilig hat kann einen neuen DWORD-32 Eintrag namens „NoStartupDelay“ erstellen. Die Ziffer gibt die Startverzögerung des Clients an.

Sobald der MBAM Client erneut die Verbindung zum Server aufbaute und den aktuellen Status abfragt, ändert sich der Eintrag HWExemptionType.
Der Wert 1 bedeutet „Incompatible“ und der Wert 2 „Compatible“.

Wer etwas mehr sehen möchte kann unter HKLM\Software\Policies\Microsoft\FVE\ stöbern.

Wie bereits geschrieben sind diese Einstellungen nur für die Testreihe sinnvoll.

Nun zu meinem persönlichem Fazit:

An für sich macht MBAM eine gute Figur. Alle wichtigen Punkte sind enthalten, übersichtliches Management Webinterface (ist ja nicht viel ;)) und Rechteverteilung.

Was mir persönlich nicht gefällt ist die schlechte Integration auf dem Client. Nach Installation des Agents existiert nun die Standalone Bitlocker Umgebung parallel zur MBAM Installation. Schlimmer dabei ist die Standalone Variante ignoriert MBAM Richtlinien. Somit kann ein Mitarbeiter seinen Rechner über die Standalone Bitlocker Umgebung verschlüsseln und die Wiederherstellungsinformationen werden nicht in der DB abgelegt. Der Mitarbeiter kann selbst entscheiden was er mit diesen Schlüsseln macht (Speichern, drucken, etc.). Der MBAM Agent prüft nämlich nur, ob eine Verschlüsselung vorliegt, aber nicht ob der richtige Key in die Datenbank geschrieben wurde! Im Ernstfall steht der Verantwortliche Mitarbeiter im Regen und hat keine Chance jemals wieder an die Daten ranzukommen!

Gleiches Problem besteht mit dem Kommandozeilenprogramm „manage-bde“. Für den Standalone Bitlocker ein starkes Tool. Für MBAM mit TPM Einschränkung empfehlenswert. Ein über manage-bde aktiviertes TPM legt seine Daten nicht in der MBAM
Datenbank ab. Wer es weiß hat einen deutlichen Vorteil und tritt hier nicht in die Falle J

Die sicherste Methode ist die Wiederherstellung zu trainieren und zu dokumentieren. Denke Microsoft wird nachbessern und einige Punkte ausmerzen. Ansonsten taugt das MBAM durchaus auch im Unternehmensnetzwerk da es sich problemlos in eine Softwareverteilung integrieren lässt. Wer SCCM verwendet hat damit keinen Stress. Wer Benutzer mit lokalen Administrator Rechten auf Clients hat sollte umfassend aufklären und die Unterschiede deutlich machen. In erster Linie geht es um die Sicherheit von Firmendaten.

Bitlocker – MBAM Grundinstallation Teil 2

So, weiter gehts mit der MBAM Installation.

4. Installation der Templates
Der nächste Schritt beinhaltet die Installation der Gruppenrichtlinien Templates. Die Installation dieser erfolgt unter C:\Windows\PolicyDefinitions\ und die Dateien sind die beiden Bitlocker*.admx und im Unterordner en-US sind die Beschreibungen enthalten. Wer möchte kann diese direkt so auf einem AD Controller bzw. auf den zentralen Richtlinienspeicher kopieren.

Öffnet den Gruppenrichtlinieneditor und navigiert zu Computerrichtlinien -> Administrative Richtlinien -> Windows Komponenten und wenn ihr alles richtig gemacht habt, erscheint dort der Ordner MDOP MBAM.
Für die Grundkonfiguration sind folgende GPO notwendig:
1. Client Management -> Configure MBAM Services
2. Operating System Drive -> Operating System Drive Encryption settings
Wie man sieht, erlaubt MBAM nur noch die Verwendung von TPM und TPM + PIN. Also ohne TPM kein MBAM 😦

5. Clientseitige Anpassungen
Somit wäre dieser Part auf den Servern abgeschlossen. Installiert den MBAM Client auf Eurer Windows 7 Betriebssystem. Nach der Installation passiert erstmals gar nichts, weder Bitlocker noch der MBAM Client machen irgendwas. Dummerweise hat Microsoft versäumt einen Assistenten einzubauen der den Rechner auf die Bitlocker Tauglichkeit prüft. Bei der normalen Bitlocker Installation erzeugt der Assistent automatisch die neue Bootpartition. Bei MBAM muss sich der Admin selbst darum kümmern.
Gebt als Administrator folgenden Befehl ein:
BdeHdCfg.exe -target default -size 300 -quiet
Nach Beendigung des Befehls ist die Festplatte für die Bitlocker Verwendung vorbereitet.
Startet am besten den Rechner neu damit alle Änderungen übernommen werden. Prüft unter Dienste ob die beiden Bitlocker Dienste aktiv sind.

Sind beide aktiv erscheint innerhalb der nächsten 90 Minuten der MBAM Assistent. Wer dies verkürzen möchten, kann einen Registry Key setzen unter: HKLM\Software\Policies\Microsoft\FVE\MDOPBitlockerManagement\
Dort ein DWORD-32 hinzufügen NoStartupDelay. Der Wert enthält die Minuten in denen sich der MBAM Client rührt. Ein guter Wert hierfür ist die 5 (also 5 Minuten). Sobald der Wert, bei mir jedenfalls, darunter lag, startete der Client nicht und ich musste den Dienst neu starten. Hat der Client die Gruppenrichtlinie übernommen müssen hier bereits zwei Einträge stehen die auf den MBAM Management Server zeigen. Falls dies nicht der Fall sein sollte die Aktualisierung der Richtlinien mit gpupdate /force erzwingen.
Sofern alles richtig konfiguriert ist erscheint nun innerhalb der oben genannten Zeitspanne der MBAM Client. Der erste Schritt für diesen ist die Aktivierung des TPM.

Achtung: Wenn das TPM bereits aktiv sein sollte, evtl. durch ein anderes Programm beispielsweise durch Fingerprintsensor, kann der Assistent die TPM Information nicht in die Datenbank speichern!
Normalerweise ist das TPM im BIOS inaktiv und der MBAM Client kann das TPM aktivieren, den Besitz übernehmen und den Hash in die Datenbank schreiben.

Nach der Besitzübernahme forder der Assistent zum Neustart des Rechners auf. Kurz bevor das Betriebssystem geladen wird, bleibt es stehen mit der Aufforderung um Bestätigung, für das aktivieren des TPM. Den Text durchlesen und die Taste zur Bestätigung drücken (zumeist eine F-Taste). Windows startet nun normal hoch und nach der Anmeldung erscheint automatisch der MBAM Assistent wieder

um die restlichen Laufwerke zu verschlüsseln.

Es gibt an dieser Stelle nicht viel zu tun außer den Anweisungen am Bildschirm zu folgen. Lasst den Rechner nun seine Arbeit tun und ihr könnt Euch Euren Aufgaben widmen. 🙂

Das Wulffsche Gesetz – Lüge + Lüge = Schweigen

Tja, jeden Tag gibt es Wulff’sche Neuigkeiten die immer mehr und neue Informationen über diese Schlacht der Medien gegen das deutschen Staatsoberhaupt.
Die Aufgaben eines Bundespräsidenten sind, sofern keine außergewöhnliche Situation besteht, recht überschaubar. Es bleibt häufig beim Hände schütteln, Orden anheften und Reden halten. Also ein wirklich stressiger Job der einfach nicht hoch genug honoriert werden kann! Doch nach Kaiser und Führer blicken nun mal viele Menschen zu dieser Person auf. Er soll mit mahnendem Finger die Politiker zurecht weißen und sichert die steile Höhe der Demokratie. Kurzum gesagt, er ist die weiße Weste der deutschen Politik.

Die einen fordern die Abdankung von Christian Wulff während andere es als Lappalie ansehen. Hier muss sich jeder selbst eine Meinung bilden. Für mich persönlich überwiegt die Enttäuschung und der Vertrauensverlust. Vor allem CDU/CSU und FDP Politiker fordern eine Beendigung der Diskussion damit das Amt des Bundespräsidenten nicht geschädigt werde. Auch in dieser schweren Zeit mit Euro- und Finanzkrise sei es wichtig keine Personaldebatte zu führen und einen starken Bundespräsidenten zu haben *pffff*.
Der einzige, der das Amt schädigt ist Herr Wulff selbst mit seinen Aussagen, Interviews und Drohungen. Wer nichts zu verbergen hat kann ruhig die Tatsachen auf den Tisch legen. Somit hören die Diskussionen über seine Person automatisch auf. Auf gut deutsch, den Kritiker den Wind aus den Segeln nehmen. Tut er aber nicht, er macht die gleichen Fehler wie der Kopierkünstler aus Bayern vor gut einem Jahr.
Ich sprach auch mit meinen Bekannten in England und Frankreich. Der Name Wulff sagte denen gar nichts und im Fernsehen wurde über die Situation nichts berichtet. Somit wäre es ein wichtiges Signal an den Rest der Welt, die deutschen lassen keine Korruption in den eigenen Reihen zu. Sondern bekämpfen diese bis in höchster Stelle. Naja, eine Krähe hackt der anderen kein Auge aus 😉
Die Frage ist doch wie kann dagegen angegangen werden? Ganz einfach, gar nicht! Es heißt also, runterschlucken und akzeptieren was im Land vorgeht. Wie Herr Wulff selbst andeutete, aussitzen und in einem Jahr fragt niemand mehr danach.
Ich für meinen Part jedenfalls sehe Herrn Christian Wulff nicht als mein Staatsoberhaupt und Bundespräsidenten an sondern als feiner Pinkel der sich hinter seinem Amt versteckt!
Wer einmal Lügt, dem glaubt man nicht!

In diesem Sinne…

Bitlocker – MBAM Grundinstallation

Hallo zusammen, heute installieren wir Microsoft Bitlocker Administration and Monitoring, kurz MBAM genannt und umschiffen dabei einige Hürden.
Ein paar Worte noch zu MBAM. Bitlocker ist bereits seit Winows Vista Enterprise bzw. Ultimate integriert. Bisher musste für die Offline Verschlüsselung seiner Daten immer ein Fremdprodukt herangezogen werden wie beispielsweise TrueCrypt oder auch PGP Desktop. Mit Windows 7 und auch Windows Server 2008R2 wiederum deutliche Verbesserung eingebracht. Allerdings trübte eine Sache den Admin alltag gewaltig, es gab keine grafische Oberfläche mit Auswertungsmöglichkeiten, Statistiken, etc.! Nun bietet Microsoft mit MBAM solch ein Feature an. Allerdings nur wer das Microsoft Desktop Optimization Pack R2, kurz MDOP, besitzt. Leider ist bei MBAM nicht alles Gold aber kein schlechtes Produkt!
Genug gebabbelt, nun zur Installation…

Komponentenwahl:
Für meine Umgebung wähle ich einen bestehenden SQL2008 R2 Enterprise Server aus. Die Standard Edition unterstützt leider nicht das „Encrypt Recovery Data“ Feature. Der einfachheitshalber installiere ich die Datenbanken:

– Recovery and Hardware
– Compliance and Audit
– Report

auf einen Datenbankserver. Wer möchte kann natürlich für jede Datenbank einen eigenen Server verwenden oder auch alle Rollen auf einem Server installieren.
Als Server-Betriebssystem verwende ich jeweils Windows Server 2008R2 mit aktuellem Patchstand. Das Client Betriebssystem ist ein Windows 7 als 32 Bit Version.

Installationsvorgehensweise:
1. SQL Server vorbereiten
2. SQL Datenbanken installieren
3. Administration and Monitoring Server installieren
4. Gruppenrichtlinien installieren
5. MBAM Agent/Client installieren

1. SQL Server vorbereiten:
Damit die MBAM Installation durchläuft ist unten stehende Query auszuführen. In rot geschriebene Passwort kann jeder selbst ändern. Ich verwendete hier Passwort anstatt ein Zertifikat.

2. SQL Datenbanken installieren:
2.1 Der Begrüßungsschirm

2.2 Die EULA 🙂

2.3 Datenbank Auswahl
Nun die Features Auswählen die Installiert werden sollen. Bei mir kommen alle drei Datenbanken auf einen SQL Server daher wähle ich nur die oberen 3 Menüpunkte aus.

2.4 Zertifikat
Wer eine PKI verwendet hat hier nun die Möglichkeit die Kommunikation über ein Zertifikat abzusichern. Es ist ein Computer/Client Zertifikat notwendig. Denke dieser Typ wird bei den meisten über Gruppenrichtlinien automatisch ausgerollt und erneuert. Daher ruhig aus Standardeinstellung belassen und über Details das Zertifikat prüfen ob es gültig ist.

Zertifikat für Kommunikation SQL mit Applikation Server

2.5 Zugriff auf Datenbanken:
Dieser Punkt ist nun ganz wichtig. Wählt hier Euren Administrationsserver aus (man beachte das $ am Ende des Namens). Es geht nur um das Computerkonto, ob dort bereits etwas außer dem Betriebssystem installiert ist, ist unerheblich.

2.6 Datenbanken installieren
Diese Punkte passt Ihr einfach Euren Gegebenheiten an.

Damit wäre die Installation SQL seitig beendet. Wer den Zugriff auf den Report Server über HTTPS realisieren möchte, der muss dort ein Webserver Zertifikat erstellen. Über die eigene PKI ist das kein Problem.

3. Installation Administration Server
3.1 Webserver
Der Zugriff auf den Administration Server erfolgt über eine Weboberfläche. Wählt die hier installierten Komponenten aus.

Webserver Komponenten auf dem Applikationsserver

3.2 Administration Server installieren
Nun startet man erneut den MBAM Installer und es genügt die Checkbox bei Administration und Monitoring Server zu setzen.

3.3 Zertifikat
Wie bereits beim SQL Server ist es sinnvoll über ein Zertifikat zu arbeiten bzw. muss, wenn er es beim SQL entsprechend vorgab!

Zertifikat für Kommunikation zwischen SQL und Administration Server

3.4 Nacharbeiten
Der Webserver (IIS) ist installiert. Damit der Zugriff über HTTPS erfolgt muss manuell die Bindung an „Microsoft Bitlocker Administration“ erfolgen. Falls noch kein Webserver Zertifikat vorhanden sein sollte, müsst Ihr über die PKI eines erstellen.
Nun könnt Ihr über Browser die Seite mittels HTTPS aufrufen.

Bindung Zertifikat an neu erstellte Webseite

Tritt bei einem Menüpunkt eine Fehlermeldung über „http://localhost/…“ auf, so stimmt etwas mit der Webseite nicht. Öffnet daher in der „Microsoft Bitlocker Administrator“ Dateistruktur jede web.conf Datei und prüft, ob dort wirklich Euer Servername steht!

Öffnet nun die lokalen Benutzer- und Gruppen Ansicht. Der Installationsassistent hat neue Gruppen für die Verwaltung angelegt. Anstatt Berechtigungen zentral am Administrationsserver zu vergeben, ist es meiner Ansicht nach bequemer, diese Gruppen im AD anzulegen. Anschließend werden diese AD Gruppen Mitglied in den jeweiligen lokalen Gruppen. Somit muss der Administrator nur noch die AD Gruppen entsprechend pflegen.

Im zweiten Teil machen wir den Rest fertig. Tschüssi bis dahin… 🙂

Amiga Netzteil – Elko austausch

Diese Woche hatte ich das Bedürfnis meinen Amiga 1200 raus zu kramen und ein paar Runden Banshee, Battle Squadron und Populous zu spielen. Also ausgepackt, angeschlossen und die Kiste gestartet. Der Rechner bootete normal in die Workbench und Banshee gestartet. Nach ca. 10 Minuten kam ein WHDload Fehler mit Vector Exception in $10. So ein Mist, gerade Warmgespielt und nun solch ein blöder Fehler. Also Rechner ausgeschaltet und die ganze Prozedur von vorne. Nach ca. 20 Minuten war erneut Schluss mit der gleichen Fehlermeldung. Also, irgendwas stimmt offensichtlich nicht. Denn bevor der Rechner eingepackt wurde lief dieser mit der Banshee Demo über 10 Stunden stabil. Es fand keine Änderung in der Hard- und Software statt. Als einzige Idee blieb mir nur die Spannungen zu messen. Also Multimeter heraus gezückt und am Floppystromstecker gemessen. Komischerweise lagen dort etwa nur 4,92V anstatt der benötigten 5V an. Da der Amiga für den Betrieb eigentlich nur die 5V benötigt, ersparte ich mir weitere Messungen. Es lag also eine Unterversorgung auf der 5V Schiene an und evtl. verursachte dies mein Problem mit Banshee!
Der nächste Schritt war der Blick in das Netzteil. An dieser Stelle möchte ich eine Warnung aussprechen. Arbeiten an jeder Art von Netzteil ist gefährlich, auch wenn das Gerät einige Minuten vom Stromnetz getrennt ist, können weiterhin gefährliche Spannungen für Leib und Leben anliegen! Die Warnhinweise an Netzteilen sind nicht ohne Grund aufgedruckt und ein öffnen sollte nur von geschulten und ausgebildeten Personen erfolgen!

Nachdem das Netzteil geöffnet war schweifte mein Blick erstmals über die Kondensatoren. Bei zweien viel mir sofort der gewölbte Deckel auf. Bei diesen beiden war es nur eine Frage der Zeit bis diese mit dem Auslaufen beginnen. Ein Becher Elko läuft nur nach oben oder nach unten aus. Häufig sind es die kleinen Elkos die vom Auslaufen bedroht sind, die größeren Typen trocknen mit der Zeit innerlich aus und können somit die notwendigen Spannungen nicht liefern bzw. kommen deren Glättefunktion nicht nach.
Aufgrund des Netzteilalters entschloss ich mich für einen komplett Ersatz der Elkos. Wegen der blöden Lage der Elkos, teilweise hintereinander konnte ich die Werte nicht ablesen, also lötete ich alle aus und markierte mir auf einem Zettel die Positionen und deren Werte. Glücklicherweise war auf der Platine der Minus-Pol mit einem schwarzen Strich markiert.

Die benötigten Typen hatte Reichelt alle auf Lager und somit folgte noch am gleichen Abend eine Bestellung. Blöd ist hier der Mindestbestellwert von 10€ Euro bei Reichelt. Für die Handvoll Elkos blieb ich unter 4 Euro. Also noch etwas Lot und PCB Reiniger mitbestellt.
Zwei Tage später klingelte der Postzusteller und übergab das überdimensionierte Paket. Oh cool, schon wieder ein Katalog drin… 🙂

Das einlöten war aufgrund der Vorarbeit ein Kinderspiel und keine große Herausforderung. Nachdem das Werk vollbracht war noch mit dem Multimeter die neu eingelöteten Bauteile durchpiepen ob sich evtl. irgendwo eine Brücke entstand.

War nicht der Fall und somit Deckel rauf, zugeschraubt und an den Amiga gestartet. Die Blizzard zeigte wie erwartet ihr blaues Streifenmuster und Sekunden später war die Workbench da. Nochmals am Floppystromanschluss gemessen und nun lag dort die richtige Spannung an. Also wiederum Banshee gestartet und nach ca. 3 Std. zufrieden zurückgelehnt und die Augen gerieben. Meine Güte, was flimmert der alte 1084er Monitor 😀
Das Netzteil verrichtet brav seinen Dienst und bis in 20 Jahren wenn der nächste Austausch fällig ist.