locked
Bitlocker (MBAM) und eine weitere interne HDD RRS feed

  • Frage

  • Schönen guten Tag an die Kollegen der Community,

    ich hätte zum Thema "Bitlocker mit MBAM Integration" folgende Frage und erhoffe mir eine Antwort, am besten noch aus der Praxis mit eigener Erfahrung.

    Folgende Ausgangssituation:

    MBAM Version: 2.0 durch MDOP 2012 R2

    Clientbetriebssystem: Windows 7 Enterprise

    Alles was Bitlocker gern zum Funktionieren hätte, ist gegeben. TPM ist aktiviert, Besitz ist nicht übernommen, 2te Partition für Bitlocker ist da, alles wie es sein soll.

    Da ich Bitlocker mit MBAM schon implementiert habe, weiß ich was meine Voraussetzungen sind und kann diese bereitstellen.

    Nun zur Frage:

    Wenn der Client kontakt mit dem Server aufnimmt, und dann das MBAM Fenster die nahende Verschlüsselung ankündigt (PIN muss noch eingegeben werden), wie kann sichergestellt werden das beim verschlüsseln von C auch gleich andere Partitionen auf dem Client (D, E usw.) verschlüsselt werden? Ich rede nicht von USB Sticks, SD-Cards oder sonstigen Wechseldatenträgern (auch nicht USB-HDD). Ich möchte meine zweite DISK (D) im selben Atemzug wie meine Systempartition verschlüsseln.

    Bisher habe ich, wenn es um Bitlockerimplementierung für Notebooks im Aussendienst geht, nur die "1 HDD, 1 Partition" angetroffen, wüsste aber gern wie ich, wenn ich z.B. Bitlocker auch im LAN betreiben möchte, ein solches Problem der 2ten HDD lösen könnte.

    Oder geht das nur wenn ich den Schreibzugriff auf Laufwerke unterbinde die nicht via Bitlocker verschlüsselt sind und muss dann quasi "durch die Brust in´s Auge" die Partition auf diesem Wege verschlüsseln?

    Fragen über Fragen. Wie gesagt, ich bin mit MBAM gut vertraut, allerdings nicht mit der 2 HDD Fragestellung, hierfür würde ich mir gern eure Meinungen und (wenn vorhanden) auch Lösungsvorschläge anhören.

    Vielen Dank für die Zeit, ich hoffe es hilft auch anderen die sich mal diese Frage stellen....

    Liebe Grüße

    Robert

    Freitag, 28. März 2014 08:46

Alle Antworten

  • Hallo,

    nachdem jetzt knapp 30 Tage vergangen sind und es meine Zeit erlaubt hat alles genau nachzustellen, möchte ich meine gestellten Fragen gern selbst beantworten und hoffe das jemand, der evtl. mal zukünftig auf dieses Thema stößt, sich keinen Wolf suchen muss und hier die Antwort findet.

    Nun zu der gestellten Frage, ich zitiere: "Wenn der Client kontakt mit dem Server aufnimmt, und dann das MBAM Fenster die nahende Verschlüsselung ankündigt (PIN muss noch eingegeben werden), wie kann sichergestellt werden das beim verschlüsseln von C auch gleich andere Partitionen auf dem Client (D, E usw.) verschlüsselt werden?"

    Nun zur Antwort: Es meldet sich jemand am Client an. MBAM-Agent reagiert und fordert zur Initialverschlüsselung von C: auf. Diese findet wie gewohnt/gewollt auch statt. Desweiteren hab ich via GPO das schreiben auf "Festplattenlaufwerke" unterbunden, die automatische Entsperrung aktiviert und siehe da, nach einer erneuten Wartezeit fängt der MBAM-Agent an erneut zu initiieren und möchte (wieder mit dem gewohnten Fenster) gern die zweite Partition der HDD verschlüsseln. Der Dialog ist hier allerdings ohne "PIN eingeben", lediglich "Bitlocker hat erkannt das etwas verschlüsselt werden muss.... weiter" ist zu sehen.

    Das parallele Verschlüsseln beider Partitionen ist wohl nicht möglich, jedenfalls habe ich keinen Weg gefunden diesen Vorgang via GPO zu initiieren (ja, via CMD ist das möglich.

    Das erneute Auftreten des MBAM-Agents ist abhängig von folgenden Faktoren:

    - Neustart des Computers (somit auch neustart von mbamagent-Service).

    - Neustart des mbamagent durch "net stop mbamagent && net start mbamagent"

    - abwarten des Policyrefreshintervalls von (default) 90 Minuten

    Das Refreshintervall kann via Registryeintrag verändert werden, folgende Keys sind hierfür zu modifizieren:

    "HKLM\Software\Policies\Microsoft\FVE\MDOPBitlockerManagement"

    ClientWakeUpFrequency = 1

    StatusReportingFrequency = 1

    Um eine Startverzögerung des MBAM-Agents zu unterbinden (wir erinnern uns, der Agent ruht die ersten 24h auf der Maschine bevor er aktiv wird) ist folgender Registryeintrag zu erstellen:

    "HKLM\Software\Microsoft\MBAM"

    NoStartupDelay (DWORD) = 1

    Ok, das soll es gewesen sein. Ich würde mich über Feedback sehr freuen, egal wie es ausfallen wird. Eventuell konnte ich für zukünftige Recherchen/Teststellungen den richtigen Anstoß geben.

    Donnerstag, 24. April 2014 14:13