MBAM Update Prozess von v1.0 zu v2.0

9 07 2013

Aufgrund einiger Fragen zum Update von MBAM v1 zu v2.0 fasse ich die wesentlichen Punkte zusammen. Diese beziehen sich allerdings auf die Standalone Installation, also ohne SCCM Integration.

1. Server:

– Deinstalliere die vorherige MBAM Version.
– Die Datenbanken bleiben erhalten. Bei der Neuinstallation unbedingt die DB Namen beibehalten! Somit besteht weiterhin Zugriff auf die Recovery Keys und Compliance DBs!
– Bei verschlüsseltem Netzwerkverkehr unbedingt ein automatisch registrierendes Zertifikat auswählen.
– Gemischter Betrieb zwischen MBAM v1 und v2 ist möglich.
– Update ist im laufenden Betrieb möglich.

2. Client:

– Neuer MBAM Client ausrollen.

3. AD:

– neue ADMX Template ausrollen. Die vorherige Konfiguration notieren da diese überschrieben wird.

Ähnlich aller Projekte ist der Aufbau einer Testumgebung sinnvoll. Vor allem wer bereits Windows 8 Betriebssystem im Einsatz hat sollte genauer hinsehen. Diese bieten mehr Funktionsumfang als Windows 7.
Alles in allem ziemlich easy machbar und die Installationsagenten sind intelligenter als bei der vorherigen Version.
Wer bereits Erfahrungen mit MBAM machte, egal ob positiv oder negativ, darf mir gerne schreiben.

Soviel dazu, vielen Dank und bis demnächst…





Bitlocker – MBAM v2 Grundinstallation Teil 3

25 06 2013

Weiter geht es mit dem letzten und vermutlich einfachsten Installationsteil. Es fehlen noch die Gruppenrichtlinien. Leider unterstützen die neuen MBAM Templates kein Windows Server 2008. Daher bleibt nur der Weg über Server 2008R2 und für die Konfiguration die Installation des RSAT Paketes.

Die Installationsroutine beim MBAM ist hingegen schnell durchgeklickt. Es gibt keine Abhängigkeiten für die Templates. Zu finden sind diese nach der Installation unter %WINDIR%\PolicyTemplates

Ablage MBAM Templates

Ablage MBAM Templates

Templates im Ordner US

Templates im Ordner US

Ich werde das SSP noch in den Sharepoint integrieren. Somit können die Mitarbeiter selbst Ihre Recoverykeys generieren. Vielleicht auch über TMG nach extern publizieren… mal sehen was noch kommt.

Damit sind wir bereits am Ende angelangt. Viel Spaß mit MBAM v2





Bitlocker – MBAM v2 Grundinstallation Teil 2

9 06 2013

Heute führen wir das Upgrade des MBAM v1 auf MBAM v2 auf dem Frontend Server durch. Im ersten Teil wurden die Datenbanken entsprechend für die neue Version angepasst. Das Frontend kam damit problemlos klar. Wir wollen natürlich alle Features und installieren den Frontend und das Selfservice Portal auf den bestehenden Frontend Server. Hardwareseitig gibt es keine Änderungen. In einer produktiv Umgebung ist mit einer gewissen Downtime zu rechnen. Sprich, Wiederherstellungskeys können während dem Upgrade nicht durch das Webfrontend angefordert werden.

Der erste Schritt auf dem Frontend Server ist die Deinstallation der vorherigen MBAM Version. Sollte es hierbei zu Problemen kommen, liegt dies zumeist am Zertifikat. Das Entfernen erfolgt analog zum beschriebenen Weg im ersten Teil. Nach der Deinstallation ist der Server ziemlich clean. Auch die Webseite wurde ordentlich entfernt.

Bevor wir starten, installieren wir das Selfservice Portal das ASP.NET MVC 2.0 Paket. Download ist unter: http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=22079  möglich.

Nach Starten des Installers begrüßt uns der Willkommensbildschirm, Klick auf Start um zur EULA zu gelangen.

MBAM v2 Willkommensseite

MBAM v2 Willkommensseite

Die EULA, nicht sonderlich spannend 🙂

02MBAM v2 - Eula

MBAM v2 – Eula

Wählt wiederum Eure Topologie aus. Bei mir aufgrund des fehlenden SCCM 2012 „Standalone“.

MBAM v2- Topologie

MBAM v2- Topologie

In der Feature Liste aktivieren wir das Self Service Server und den Frontend Server.

Auswahl der zu installierenden Komponenten

Auswahl der zu installierenden Komponenten

Es folgt eine Prüfung des Systems ob alle benötigten Komponenten installiert sind.

Alles für Installation vorhanden?

Alles für Installation vorhanden?

Aus dem ersten Teil bekannt ist die Netzwerkverschlüsselung mittels Zertifikat. Achtet darauf, dass das Zertifikat automatisch erneuert wird.  Bei einem abgelaufenen Zertifikat stellt der MBAM Writer Dienst auf dem Server seinen Dienst ein.

Zertifikat für Netzwerkverschlüsselung

Zertifikat für Netzwerkverschlüsselung

Wählt den Datenbank Server aus.

Auswahl des Datenbankservers

Auswahl des Datenbankservers

Auswahl des Datenbankservers

Auswahl des Datenbankservers

Gebt nun die URL zum Report Server ein. Für einen verschlüsselten Zugriff muss ein Zertifikat im Report Server hinterlegt sein.

Auswahl des Datenbankservers

Auswahl des Datenbankservers

Im nächsten Schritt gilt es die Konfiguration des Selfservice abzuschließen. Wer bereits eine IIS Struktur hat kann hier ggf. Änderungen vornehmen. Die Registrierung des SPN kann auch manuell erfolgen falls der Benutzer hierzu keine Berechtigung hätte.

Pfad für SelfService Portal

Pfad für SelfService Portal

Gleiche in grün nur für den Monitoring Server.

Pfad für Helpdesk

Pfad für Helpdesk

Sollen Microsoft Updates verwendet werden.

Windows Updates verwenden

Windows Updates verwenden

Zusammenfassung…

Zusammenfassung über alle getroffenen Einstellungen

Zusammenfassung über alle getroffenen Einstellungen

Geschafft…

Job done

Job done

Ob die Installation erfolgreich war zeigt ein Zugriff auf das Selfservice Portal.  Im Internetexplorer trage ich in die URL https://MEIN-SERVERNAME (wer ein SSL Zertifikat verwendet)!
Wichtig: Das SelfService Portal benötigt für den ersten Zugriff eine Internetverbindung um einige Script Dateien herunterzuladen.

Aufruf Selfservice Portal

Aufruf Selfservice Portal

Aufruf Selfservice Portal für Mitarbeiter

Aufruf Selfservice Portal für Mitarbeiter

 

Der Zugriff auf die Helpdesk Seite erfolgt unter: https://MEIN-SERVERNAME/HelpDesk

Aufruf Helpdesk

Aufruf Helpdesk

Soweit so gut, nächstes Mal machen wir das Upgrade komplett. Bis die Tage…






MBAM – Zertifikats Probleme!

9 05 2013

Im Oktober 2012 hat Microsoft die neue MDOP 2012 Version und somit MBAM v2 freigegeben. Inzwischen sind andere Punkte abgearbeitet und es ist Zeit sich mit der neuen Version zu beschäftigen. Aufgrund der Vorinstallation erscheint mir ein Update von 1.0 auf 2.0 sinnvoll. Nach dem Starten meiner Entwicklungsumgebungen musste ich feststellen, die ursprünglich installierte Version funktioniert nicht. Ein Blick in das Ereignislog zeigte ein Fehler im Zertifikat an. Es war abgelaufen… grummel.

Server VSS Writer was unable to connect to the SQL data store

Server VSS Writer was unable to connect to the SQL data store

Die Fehlermeldung im Detail:

Error Caught in Application_Error event

Error in: https://mbam.schmid.local/Hardware.aspx

Error Message: Das Remotezertifikat ist laut Validierungsverfahren ungültig.

Stack Trace:    bei System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncRequest, Exception exception)

bei System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)

bei System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)

bei System.Threading.ExecutionContext.runTryCode(Object userData)

bei System.Runtime.CompilerServices.RuntimeHelpers.ExecuteCodeWithGuaranteedCleanup(TryCode code, CleanupCode backoutCode, Object userData)

bei System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)

bei System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)

bei System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)

bei System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)

bei System.Net.ConnectStream.WriteHeaders(Boolean async)

Dummerweise hatte ich Vergessen den Computer in die Gruppe aufzunehmen die das Zertifikat automatisch neu registrieren darf! Also Computer in die AD Gruppe aufgenommen und kurze Zeit später war das Zertifikat für die Serverauthentifizierung da. Dieses im IIS hinterlegt und der Fehler war erledigt. Beim Versuch Recoverykey zu erstellen kam das nächste Problem. Die Verbindung zum SQL Server war nicht möglich. Natürlich fehlte auf dem SQL Server das Zertifikat! Also SQL Server in die entsprechende Gruppe aufgenommen, kurz gewartet und Zertifikat ist da also alles gut! Blöderweise nicht, den MBAM wählt bei der Installation ein Zertifikat für die Verschlüsselung der Kommunikation aus bzw. bietet dem Administrator diese Möglichkeit. Das große Problem ist nun, wo speichert das System diese Information ab? Mein Zertifikat ist abgelaufen und somit wertlos.
In der Datenbank scheidet aus da die Kommunikation zum Frontend Server verschlüsselt ist. Bleibt also nur noch die Registry. Da es sich um eine Computereinstellung handelt kann es nur unter HKLM liegen. Kurz gesucht… Bingo!
Unter HKLM -> Software -> Microsoft -> Microsoft BitLocker Administration and Monitoring -> Setup liegt die Zeichenfolge NetCert.  Über die MMC das neue Zertifikat öffnen und dort den Inhalt des Fingerabdrucks kopieren. Schnell die Leerzeichen entfernen und in NetCert einfügen. Wer eine 2. Tier  oder 3. Tier Installation hat muss dies auf allen Servern nachholen. Den Report Server, falls dort ebenfalls mit SSL gearbeitet wird, nicht vergessen.

MBAM Zertifikat für verschlüsselte Kommunikation ersetzen

MBAM Zertifikat für verschlüsselte Kommunikation ersetzen

Sind die Änderungen erledigt erfolgt der Neustart der Server. Ab diesem Zeitpunkt stand das System wieder voll im Saft und ich konnte den Recovery Key aus der Datenbank wiederherstellen.

Wer MBAM Produktiv einsetzt sollte den Zertifikatsstatus prüfen. Wer eine automatische Registrierung verwendet ist auf der sicheren Seite. Ohne gültige Zertifikate keine MBAM Verschlüsselung der Clients und keine Möglichkeit zur Durchführung eines Recovery!!!

Yeah, Recovery funktioniert wieder!

Yeah, Recovery funktioniert wieder!





MBAM/Bitlocker im Serverumfeld

6 06 2012

Einige Blogleser fragten nach ob Bitlocker im Servereinsatz sinnvoll ist.

Pauschal ist dies nicht zu beantworten denn es gibt zu viele Faktoren die es zu berücksichtigen gilt. Schauen wir uns zuerst den Standort des Servers an. Bei den meisten Firmen stellt der Serverraum das Herzstück des Unternehmens dar und wird daher vor unbefugten Zutritt gesichert. Das „Wie“ ist hierbei nicht entscheidend! Wichtig ist dies anhand einer Unternehmensrichtlinie eindeutig zu definieren. Hier macht meiner Ansicht die Bitlocker Verwendungen keinen Sinn.

Angenommen Ihr Serverraum entspricht nicht der obigen Ansicht und die Server stehen evtl. nur in einer Besenkammer.  Prüfen Sie ob Ihr Server ein TPM Modul besitzt. Falls nein, können Sie MBAM nicht verwenden und müssen auf Bitlocker zurückgreifen. Bewahren Sie daher den Wiederherstellungsschlüssel an einem sicheren Ort auf der nicht nur sicher, sondern im Ernstfall schnell erreichbar ist. Für die Erhöhung der Sicherheit ist es anzuraten Bitlocker mit einer Pre-Authentifizierung zu verwenden. Hierbei ist eine PIN, USB Stick oder beides bei Verwendung eines TPM und ohne TPM nur die Verwendung mit USB Stick möglich. Die Verwendung eines TPM only Systems schützt Ihr System nicht. Ein Dieb wird den kompletten Rechner einkassieren und nicht zuvor die Festplatten entfernen.
Die Krux an der Sache ist nun folgende.  Bei einer Pre-Authentifizierung muss der USB Stick im Server stecken bzw. Sie müssen vor der Konsole sitzen und das Passwort eintippen. Beides nicht wirklich prickelnde und Alltagstaugliche Szenarios. Zwar ist seit Windows Server 2008 die Reboot Orgie bei jedem Windows Update größtenteils dahin doch ganz ausschließen lässt es sich nicht. Es ist zudem ärgerlich wenn Sie daheim sitzen und kurz noch etwas auf dem Server einstellen  und wegen Einstellungen den Server neu booten. Wohl dem der eine Management Konsole hat 🙂
Desweiterem liegt es schwer im Magen wenn bei einem Server ein Problem mit der Verschlüsselung auftritt. Versuchen Sie mal einen Server mit mehreren TB an Daten mittels repair-bde zu transferieren! Da kommt ihr definitiv ins Schwitzen wenn hunderte User anrufen und der Vorgesetzte im Genick sitzt!

Wie man sieht handelt es sich um eine schwierige Entscheidung. Ich persönlich empfinde einen gut gesicherten Serverraum als dienlicher als eine Softwareverschlüsselung!





MBAM/Bitlocker – wenn nichts mehr geht!

15 05 2012

Im Normalfall gibt es mit dem MBAM bzw. Bitlocker Gespann keine Softwareprobleme. Allerdings gilt es auch die Hardwareseite zu beachten! Vor allem Festplatten neigen dazu mit vorangeschrittener Zeit zu verschleißen. Wohl dem der immer eine aktuelle Sicherung hat. Doch zumeist fehlt eine Sicherung und die Mitarbeiter werden ganz hibbelig weil dort wichtige, nicht abgelegte, Kundendaten oder Präsentationen auf der lokalen Festplatte liegen.
Ohne Verschlüsselung schloss der Administrator die Platte an einem anderen Rechner an und versuchte möglichst alle Benutzerdateien auf einen anderen Datenträger zu kopieren. Hier macht nun Bitlocker einen Strich durch diese Vorgehensweise! Denn die Daten sind zu diesem Zeitpunkt noch verschlüsselt. Häufig schmiert die Bitlocker Anwendung bei Eingabe der Passwortes oder des Wiederherstellungsschlüssels ab und lässt sich nur über den Task Manager beenden. Das Laufwerk selbst behält den verschlüsselt Status bei!

Microsoft bietet hierfür ein Tool an. Es wird ein leerer Datenträger mit mindestens gleicher Größe als der verschlüsselte Datenträger benötigt.  Außerdem wird der Wiederherstellungsschlüssel oder die Schlüsseldatei oder bei Wechseldatenträgern auch möglich, das Passwort benötigt.

Doch woher bekommt man nun die notwendige 8-stellige ID? Öffnen Sie die Eingabeaufforderung als Administrator und tragen den Befehl ein:

Manage-BDE Verschlüsselungs-ID auslesen

Manage-BDE Verschlüsselungs-ID auslesen

Bei mir hat das Laufwerk den Buchstaben F: erhalten. Diesen müssen Sie entsprechend Ihrem Laufwerk anpassen. Der Wiederherstellungsschlüssel kann über die 8-stellige ID des „Numerisches Kennwort“ hergestellt werden. Dazu wechseln Sie nun in die MBAM Verwaltung und tragen bei Recovery Drive die 8-stellige ID ein. Wenn alles passt, erhalten Sie den Wiederherstellungsschlüssel.

Drive Recovery Key auslesen

Drive Recovery Key auslesen

Bisher waren die Schritte bekannt denn diese unterscheiden sich nicht von einem normalen Wiederherstellungsvorgang. Läge kein Hardwaredefekt vor, könnte der Mitarbeiter sofort weiterarbeiten.

Der nächste Schritt ist möglichst viele Daten aus der verschlüsselte Festplatte wiederherzustellen. Schließen Sie dazu nun den leeren USB Wechseldatenträger an und wechseln erneut in die Eingabeaufforderung.  Tippen Sie „repair-bde -?“ ein um eine Übersicht über die möglichen Parameter zu erhalten. Das defekte, verschlüsselte Laufwerk hat bei mir den Laufwerksbuchstaben F: während meine leere Festplatte den Buchstaben J: hat.

Datenwiederherstellung starten

Datenwiederherstellung starten

Das Reparaturtool versucht nun die Daten auf F: zu J: zu übertragen. Dieser Vorgang dauert je nach Plattengröße wirklich sehr, sehr lange. Bei einer gut gefüllten 250GB Festplatte ca. 7 Stunden. Der Parameter „NoOutputVolume“ ist mit Vorsicht zu genießen. Bei meinen Tests war das Tool nie in der Lage, Dateien wirklich zu rekonstruieren. Die Dateien waren zwar als Dateinamen vorhanden, doch alle hatten 0 bzw. 1 KByte Größe. Daher meine Empfehlung, immer zuerst versuchen die Daten auf einen anderen Datenträger zu übernehmen!