Die Installation der Serverdienste, Konfiguration der Gruppenrichtlinien und des Agent beschrieb ich bereits in Teil 1+2. Auf Clientseite gibt es einige Punkte zu beachten die evtl. für Frust sorgen.
Die Client Hardware erscheint im Webinterface und nichts weiter passiert. Eines vorab, die Steuerung des MBAM Agents erfolgt unter HKLM\Software\Microsoft\MBAM\.
Als ersten Punkt muss die Hardware, sofern natürlich geeignet, auf „Compatible“ gesetzt werden. Der Client selbst baut allerdings erst in 24 Std. erneut eine Verbindung zum Server auf. Existiert bereits identische Hardware entfällt natürlich dieser Schritt. Wer nun neue Hardware hat und diese schnell testen möchte hat zwei Möglichkeiten:
- Deinstallation MBAM Agent – reboot – Installation MBAM Agent – reboot
- Löschen des HWExemtionTimer – reboot
Entsprechend der Vorgabe in den Gruppenrichtlinien bei „Configure MBAM Services“ baut der Client nun die Verbindung zum Server auf. Wer es eilig hat kann einen neuen DWORD-32 Eintrag namens „NoStartupDelay“ erstellen. Die Ziffer gibt die Startverzögerung des Clients an.
Sobald der MBAM Client erneut die Verbindung zum Server aufbaute und den aktuellen Status abfragt, ändert sich der Eintrag HWExemptionType.
Der Wert 1 bedeutet „Incompatible“ und der Wert 2 „Compatible“.
Wer etwas mehr sehen möchte kann unter HKLM\Software\Policies\Microsoft\FVE\ stöbern.
Wie bereits geschrieben sind diese Einstellungen nur für die Testreihe sinnvoll.
Nun zu meinem persönlichem Fazit:
An für sich macht MBAM eine gute Figur. Alle wichtigen Punkte sind enthalten, übersichtliches Management Webinterface (ist ja nicht viel ;)) und Rechteverteilung.
Was mir persönlich nicht gefällt ist die schlechte Integration auf dem Client. Nach Installation des Agents existiert nun die Standalone Bitlocker Umgebung parallel zur MBAM Installation. Schlimmer dabei ist die Standalone Variante ignoriert MBAM Richtlinien. Somit kann ein Mitarbeiter seinen Rechner über die Standalone Bitlocker Umgebung verschlüsseln und die Wiederherstellungsinformationen werden nicht in der DB abgelegt. Der Mitarbeiter kann selbst entscheiden was er mit diesen Schlüsseln macht (Speichern, drucken, etc.). Der MBAM Agent prüft nämlich nur, ob eine Verschlüsselung vorliegt, aber nicht ob der richtige Key in die Datenbank geschrieben wurde! Im Ernstfall steht der Verantwortliche Mitarbeiter im Regen und hat keine Chance jemals wieder an die Daten ranzukommen!
Gleiches Problem besteht mit dem Kommandozeilenprogramm „manage-bde“. Für den Standalone Bitlocker ein starkes Tool. Für MBAM mit TPM Einschränkung empfehlenswert. Ein über manage-bde aktiviertes TPM legt seine Daten nicht in der MBAM
Datenbank ab. Wer es weiß hat einen deutlichen Vorteil und tritt hier nicht in die Falle J
Die sicherste Methode ist die Wiederherstellung zu trainieren und zu dokumentieren. Denke Microsoft wird nachbessern und einige Punkte ausmerzen. Ansonsten taugt das MBAM durchaus auch im Unternehmensnetzwerk da es sich problemlos in eine Softwareverteilung integrieren lässt. Wer SCCM verwendet hat damit keinen Stress. Wer Benutzer mit lokalen Administrator Rechten auf Clients hat sollte umfassend aufklären und die Unterschiede deutlich machen. In erster Linie geht es um die Sicherheit von Firmendaten.