Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
Microsoft BitLocker Administration and Monitoring, zkráceně MBAM. Oblíbené řešení pro správu obnovovacích klíčů pro šifrované disky. Aktuálně ve verzi 2.5 SP1 společně s jednotlivými aktualizaci balíčku MDOP.
Tak přesně tomuto nástroji končí mainstream support v červenci 2019, rozšířená technická podpora pak v červenci 2024.
Šifrování pevných a výměnných disků je určitě důležitou součástí obrany proti off-line útokům na data uložená na pevném disku, ale i na samotný operační systém. A to nejen kvůli GDPR.
Zařízení připojené k lokální Active Directory
Nejjednodušší cestou ke konfiguraci je použití instalační sekvence v SCCM, která se může postarat o vše potřebné hned při instalaci systému. Též lze využít GPO politik, které jsou v doméně k dispozici. A poslední cesta, rozšíření prostředí o MBAM, zůstává podporována právě až do roku 2024.
Obnovovací klíče je tedy možné zálohovat jak do samotné AD, tak právě do MBAM databáze. Alternativním řešením je použití PowerShell skriptu a uložení klíče taktéž do Azure AD. V objektu počítače je možné najít záznamy obnovovacích klíčů ze strany IT. Pro koncové uživatele (a technickou podporu) právě MBAM nabízel možnost je auditovaně vyzvedávat z vlastní databáze. Taktéž nabízel průvodce, který uživatele provedl procesem konfigurace případné dodatečné PIN ochrany především pro přenosné notebooky.
Pro serverové operační systémy lze docílit téhož a to i na virtualizované stroje, kde může krásně zafungovat automatické odemykání po síti, takzvaný Network Unlock. Více o celé problematice najdete v článku BitLocker Management for Enterprises.
Zařízení připojené k Azure AD
S pomocí MDM, například Microsoft Intune, lze řídit konfiguraci BitLocker přes konfigurační politiky (Configuration), které mohou nastavit všechny potřebné vlastnosti ochrany. Navíc lze aktuální status šifrování zjistit pomocí kontroly souladu (Compliance). O její výsledky lze opřít politiky podmíněného přístupu (Conditional Access) a například odmítnout takovým zařízením přístup k Office 365.
Takováto zařízení zálohují svoje obnovovací klíče přímo do Azure AD. Zde je může v přehledu zařízení dohledat jak IT, tak uživatel ve svém profilu v seznamu používaných zařízení.
- Petr Vlk (MVP, KPCS CZ, WUG)
Comments
- Anonymous
May 06, 2019
Aktualizace: Nová alternativa k řešení bude brzy k dispozici. MBAM bude plně integrován do SCCM. Kdo tedy má v prostředí nasazen System Center Configuration Manager v aktuální verzi a integrován jej s MBAM, tak má budoucnost stále otevřenu.