Die in MBAM (Microsoft BitLocker Administration and Monitoring) verwaltete Client-Anzahl wird weniger? Sie haben Fehler im Eventlog Ihrer Anwenderrechner? Sie wollen wissen, ob die korrekten Versionen von MBAM in allen relevanten Services von MBAM installiert sind und genutzt werden? Im Rahmen unserer praktischen Schritt-für-Schritt-Anleitung zur korrekten Installation von MBAM (Microsoft BitLocker Administration and Monitoring) lösen wir diese Fehler und helfen, den Betrieb von MBAM ein wenig stabiler zu machen.
Welche MBAM-Version wird aktuell eingesetzt?
Wenn Sie mit MBAM arbeiten, ist es wichtig zu wissen, welche Version des MBAM-Servers aktuell installiert ist. Das lässt sich ganz einfach mit unserem kostenlosen Tool MBAM TAP (Test Automation Package) herausfinden. Ist dieses installiert (Anleitung siehe hier), kann man mit dem Befehl “Get-MBAMServerVersion25” die aktuelle Versionsnummer des installierten MBAM-Pakets ermitteln.
Wichtig: MBAM TAP zeigt die Versionsnummer der Installationsdateien an, nicht die Versionsnummer der aktuell installierten Features wie beispielsweise des Administrationsportals oder des Agent-Service!
Je nachdem, auf welchem Versionsstand sich das System befindet, kann man das aktuelle Update direkt einspielen, oder das System muss auf eine ältere Fassung zurückgedreht werden. Dies ist zum Beispiel bei MBAM 2.5 SP1 der Fall: Wurde HF 01 eingespielt, ist die RTM Version 2.5.1100.0 erforderlich.
Tipp: In unserem Blogbeitrag “Microsoft Bitlocker Administration and Monitoring: Übersicht der MBAM-Versionen” listen wir alle wichtigen Releases auf.
Tipp: Die Microsoft-KB-Artikel der entsprechenden MBAM-Updates geben die passenden Vorbedingungen für die richtige Vorgehensweisen an.
Nicht vergessen: Aktualisierte Features installieren!
Haben Sie die MBAM-Installation auf die neueste Version aktualisiert, ist es damit aber noch nicht getan. Damit die neuen Features oder Bugfixes greifen, müssen alle MBAM-Features entfernt und wieder neu hinzugefügt werden. Am einfachsten geht das über PowerShell, zum Beispiel mit dem Befehl “Disable-MbamWebApplication -AdminstrationPortal” zum Entfernen des Administrationsportals. Die MBAM-Dokumentation (hier zu finden) gibt gute Tipps, wie Sie vorgehen sollten.
Für das Hinzufügen der Features sollten Sie ebenfalls die PowerShell-Befehle nutzen. Diese kann man beim nächsten Update gleich wieder verwenden und sich so viel Zeit oder Fehleingaben sparen.
Tipp: Beim Einrichten über die GUI können Sie am Ende das PowerShell-Skript speichern, welches die GUI im Hintergrund zur Installation nutzt.
Nächster Schritt: MBAM-Updates auf den Datenbanken einspielen
Neben den Features müssen auch die Datenbanken aktualisiert werden. Da in einer produktiven MBAM-Umgebung bereits Recovery- und Status-Daten in den Datenbanken vorhanden sind, welche Sie sicherlich nicht verlieren möchten, bleibt Ihnen der Weg über die GUI verwehrt. Hier ist es nur möglich, die vorhandenen Datenbanken zu entfernen und sie anschließend neu zu installieren.
Deshalb empfehlen wir den PowerShell-Befehl “Enable-MbamDatabase”, welcher mit der Angabe der Datenbank-, Report- und Service-Account-Parameter die vorhandenen Datenbanken auf den aktuellen Stand bringt. Dieser Befehl wird sowohl für die Compliance als auch für die Recovery-Datenbank benutzt, jeweils mit dem entsprechenden Parameter-Switch.
Ein Update des Report-Server ist ebenso erforderlich
Sie sollten auch nicht das Update für das Report-Feature vergessen. Sofern man MBAM nicht in einer Single-Server-Lösung betreibt (MBAM, Webserver und SQL-Server auf einem Gerät), ist ein Log-in auf dem jeweiligen Report-Server notwendig, da das Feature auf dem Server direkt installiert werden muss.
Zunächst sollten Sie – wie auch bei den anderen Features – das vorhandene Feature mittels des PowerShell-Befehls “Disable-MbamReport” entfernen. Anschließend kann die neue Version wieder mit “Enable-MbamReport” und mittels der Angabe der entsprechenden Parameter (Connectionstring der Compliance- und Audit-Datenbank, Service Account sowie Report Server Instanz) erneut installiert werden.
Gewissheit mit dem Report des MBAM TAP
Ob der gesamte Update-Vorgang von Erfolg gekrönt war, lässt sich wieder mit dem MBAM TAP ermitteln. Wie? Lassen Sie sich mit dem “Get-CompleteServerReport” einen aktuellen Status-Report generieren. So können Sie ganz schnell und einfach überprüfen, ob die Features aktiviert und in welcher Version sie vorhanden sind.
Ziel erreicht: Einwandfreier Betrieb sichergestellt
Ist MBAM insgesamt sauber auf den aktuellen Versionsstand gehoben, verschwinden auch diverse Fehler in den Eventlogs, die beispielsweise durch Inkompatibilitäten zwischen eingesetzter Client-Version und Verschlüsselungsalgorithmus und der im Backend eingesetzten Datenbank-Version entstehen können.
MBAM: Hilfe und Unterstützung für Ihr Unternehmen
Der Betrieb des Microsoft BitLocker Administration and Monitoring ist keine Tätigkeit, die “einfach so nebenher” von einer IT-Abteilung erledigt werden sollte. Richtig betrieben kann MBAM als Compliance-relevantes Produkt helfen, Ihre IT-Sicherheit und die Konformität zu vorhandenen Sicherheitsvorgaben einzuhalten.
Sie suchen Unterstützung beim Betrieb von MBAM in Ihrem Unternehmen? Unsere Berater unterstützen Sie gerne bei der MBAM-Administration und weiteren Tätigkeiten im Bereich der IT-Sicherheit und der IT-Compliance.