Сервер управления Microsoft BitLocker Administration and Monitoring 2.0

Сервер управления Microsoft BitLocker Administration and Monitoring 2.0

Сервер управления Microsoft BitLocker Administration and Monitoring 2.0

BitLocker Administration and Monitoring 2.0 обеспечивает применение параметров политики шифрования BitLocker, настроенных для предприятия, отслеживает соответствие клиентских компьютеров данным политикам и предоставляет отчеты о состоянии шифрования как для всего предприятия, так и для отдельных компьютеров. Кроме того, MBAM позволяет получить доступ к сведениям о ключе восстановления в случае, если пользователь забыл свой ПИН-код или пароль либо если изменилась загрузочная запись или параметры BIOS.
Требования к ПО:

1.       Windows Server 2008 R2

2.       Microsoft SQL Server 2008 R2 SP2

3.       Microsoft Desktop Optimization Pack for Software Assurance 2013

Компоненты серверной инфраструктуры MBAM:

1.       Administration and Monitoring Server (Сервер администрирования и наблюдения).

2.       Self-Service Portal (Портал самообслуживания).

3.       Recovery Database (База данных восстановления).

4.       Compliance and Audit Database (База данных соответствия и аудита).

5.       Compliance and Audit Reports (Отчеты о соответствии и аудите).

6.       Policy Template (Шаблон политики).

Рисунок 1 Топология MBAM

Установка сервера управления Microsoft BitLocker Administration and Monitoring 2.0.

1.       Требуется установить роль и компоненты для Web Server Role: Web Server (IIS) Management Tools, IIS Management Scripts and Tools, Web Server Role Services.

Common HTTP Features: Static Content, Default Document.

Application Development: ASP.NET, .NET Extensibility, ISAPI Extensions, ISAPI Filters,

Security: Windows Authentication, Request Filtering.

2.       Требуется установить компоненты Microsoft .NET Framework 3.5.1 features: .NET Framework 3.5.1, WCF Activation, HTTP Activation, Non-HTTP Activation, Windows Process Activation Service, Process Model, .NET Environment, Configuration APIs.

3.       Запустить установку SQL Server 2008 R2. Выбрать следующие компоненты: Database Engine Services, SQL Server Reporting Services, Management Tools.

4.       С помощью центра сертификации выпустить сертификат используя шаблон Web Server Certificate Template, указав DNS-имя MBAM сервера.

5.       Установить сертификат на MBAM сервер.

6.       Запустить MBAMSetup.exe.

7.       Выбрать Start.

8.       Согласиться с условиями нажав Accept.

9.       Выбрать топологию Stand-Alone и перейти на следующий шаг.

10.   На странице Select features to install требуется указать следующие компоненты: Recovery Database, Compliance and Audit Database, Compliance and Audit Reports, Self-Service Portal, Administration and Monitoring Server.

11.   На странице Configure network communication security выбрать созданный сертификат WebServer для сервера MBAM.



12.   Указать сервер отчетов для MBAM Compliance and Audit Reports.

13.   Указать сервер Recovery Database.

14.   Указать базу отчетов для MBAM Compliance and Audit Reports.

15.   Указать веб-сервер для сайта Self-Service Portal и Administration and Monitoring Server.

16.   Закончить установку MBAM Server.





 

Настройка сервера Microsoft BitLocker Administration and Monitoring 2.0.

1.       Для создание новой групповой политики которая будет содержать путь сервера MBAM, требуется установить MBAM Group Policy Template на домен-контроллере.

2.       На домен-контроллере запустить MBAMSetup.exe и выбрать в компонент MBAM Group Policy Template.

3.       Создать новую групповую политику “MBAM Client”.

4.       Путь настройки политики Policies\Computer Configuration\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Client Management.

5.       Указать в поле MBAM Recovery and Hardware service endpoint. - https://shmbam.sh.local/MBAMRecoveryAndHardwareService/CoreService.svc

6.       Указать в поле Select BitLocker recovery information to store. - Recovery Password and key package.

7.       Указать в поле MBAM Status reporting service endpoint. - https://shmbam.sh.local/MBAMComplianceStatusService/StatusReportingService.svc

8.       Чтобы настроить принудительное шифрование ОС нужно перейти по пути Computer Configuration\Administrative Templates\Windows Components\MDOP MBAM (BitLocker Management)\Operating System Drive.

9.       Указать в поле Operating system drive encryption settings - Enabled и указать Allow BitLocker without a compatible TPM.

Настройка клиента и проверка работоспособности сервера Microsoft BitLocker Administration and Monitoring 2.0.

1.       Установить MBAM Client MbamClientSetup.exe на компьютер, который должен быть зашифрован.

2.       Во время шифрования ключи будут переданы на сервер MBAM. Проверить передачу ключей нужно зайдя на сервер MBAM.

3.       Чтобы проверить передачу ключей требуется открыть SQL Management Studio на сервере SHMBAM.SH.LOCAL.

4.       Раскрыть базу MBAM Recovery And Hardware. Выбрать таблицу RecoveryAndHardwareCore.Keys нажать правой клавишей и выбрать Select Top 1000 Rows. Выполнить запрос нажав Execute.

5.       В результатах будут указаны добавленные ключи и их время создания.





 

Получение ключа восстановления диска используя портал Microsoft BitLocker Administration and Monitoring 2.0.

1.       Разблокировка диска BitLocker основана из двух этапов. Первый этап получение ИД ключа восстановления диска. Второй ввод ИД ключа восстановления на портале и получение ключа восстановления.

2.       Требование для получения ключа разблокировки ввести первые восемь символов ИД ключа. ИД ключа указывается системой в режиме восстановления диска.

3.       По адресу https://shmbam.sh.local/ расположен портал самообслуживания MBAM.

4.       В поле Recovery KeyId требуется указать метку диска BitLocker. В поле Reason укажите причину, например Lost PIN/Passphrase.

5.       После правильного ввода метки тома нам предоставиться ключ восстановления. Который мы можем скопировать или распечатать.

6.       Портал сотрудника поддержки расположен по адресу https://shmbam.sh.local/HelpDesk.

7.       Получение ключа восстановления здесь немного отличается от портала самообслуживания. Ключ восстановления могут получить только сотрудники входящие в локальную группу MBAM Advanced Helpdesk Users на сервере SHMBAM.

8.       Выберите меню Drive Recovery, в поле KeyId требуется указать метку диска BitLocker. В поле Reason for Drive Unlock укажите причину, например Lost Passphrase.

9.       После правильного ввода метки тома нам предоставиться ключ восстановления. Который мы можем скопировать и распечатать.

Сортировать по: Дата публикации | Последние | Самый полезный
Комментарии
  • картинки с адресом ""file:///C:/Users/DMYTRO~1.KLI/AppData/Local/Temp/msohtmlclip1/01/clip_image021.png" явно не откроются. подредактируйте статью

  • R.Levchenko Исправил

Страница 1 из 1 (элементов: 2)