Microsoft Bitlocker Administration and Monitoring

25. Februar 201927. Februar 2019

Zahlen, Daten, Fakten: MBAM-Upgrade, Migration und DB-Verschlüsselung

Im Rahmen eines Kundenprojekts haben wir für die vorhandene MBAM/Bitlocker-Installation mehrere Aufräumarbeiten durchgeführt. Kurz und knapp – die MBAM-Umgebung ist nun abgesichert, voll funktionsfähig und wir haben wieder einen zufriedenen Kunden. Ein paar Zahlen, Daten und Fakten hierzu.

Die Ausgangssituation beim Kunden

Bei einem kundeninternen Audit verbunden mit einem Schwachstellen-Scan wurde festgestellt, dass die MBAM-Server sowie die installierte MBAM-Version veraltet waren. Damit lag aus Sicht der Informationssicherheit eine Schwachstelle mit einem möglichen Risiko vor.

Des Weiteren war die Vertraulichkeit der sensiblen Recovery-Keys nicht gegeben. Der Grund: Der Kunde hatte seine Recovery-Datenbank nicht verschlüsselt. Da auch die Compliance-Datenbank ebenfalls unverschlüsselt war, waren die sensiblen Informationen über den Compliance-Status der gesamten Client-Plattform ebenfalls ungeschützt.

Unsere Aufgabe

Die an uns gerichtete Aufgabenstellung wurde daher folgendermaßen formuliert:

- Update auf die aktuellste Version von MBAM, bestehend aus
  - dem Client-Agent unter Berücksichtigung der client-seitigen, vorhandenen Release-Prozesse,
  - der Web-Server-Komponente,
  - der Datenbank-Komponente (Recovery- und Compliance-Datenbank) und
  - der Reporting-komponente unter Berücksichtigung der vorhandenen Change-Prozesse
- Verschlüsselung der zentralen MBAM-Datenbanken via MS SQL TDE gemeinsam mit dem Datenbank-Team des Kunden
- Einführung der TLS-Verschlüsselung auf dem Transportweg
- Bereinigung der verschiedenen Service-Accounts auf zentral verwaltete Group Managed Service Accounts (wo möglich)
- Bereinigung der verwendeten Berechtigungsgruppen
- Stage-konforme Benennung nach einem einheitlichen Namenskonzept
- Durchführung der Abschlusstests auf Server- und Client-Seite inkl. formale Dokumentation

Ein paar Zahlen, Daten und Fakten

Hier eine Zusammenfassung der Projektdaten:

Umgebungen des Kunden:	3 (Dev, Test, Prod)
Anzahl MBAM-Server:	6
Anzahl Datenbanken:	9
Abhängigkeiten mit Kommmunikations- und Koordinierungsaufwand:	6 (AD-Team, PKI-Team, Datenbanken-Team, DNS-Team, externer Managed Service Provider, …)
Durchgeführte Testfälle auf Server-Seite:	rund 400
Durchgeführte Testfälle auf Client-Seite:	rund 7.500
Getestete Hardware-Betriebssystem-Kombinationen (Hersteller, Modell, Windows 10 / Windows7):	9 (diverse Notebooks, Desktops, Tablets, etc.)
Verwendete Basistechnologien:	Microsoft Windows Server, MS SQL Server 2016, Microsoft BitLocker Administration and Monitoring, MBAM TAP

Was uns auszeichnet im Bereich MBAM und BitLocker!

MBAM- und Bitlocker-Erfahrung:	> 10 Jahre
Durchgeführte Migrationen:	> 25
Automationsgrad:	> 95%

Warum erreichen wir keine 100% Automation?

Um die volle Funktionsfähigkeit eines Systems zu erhalten und es prüfen zu können, muss man eben auch mal “von Hand” arbeiten. Das bedeutet: einen USB-Stick einstecken und prüfen, ob die Verschlüsselungs- und Recovery-Funktion gegeben ist. Bislang haben wir noch keinen Weg gefunden, das zu automatisieren 😉

Warum erreichen wir 95% Automation?

Weil wir Hunderte Testfälle in unser MBAM Test Automation Package gegossen haben. Dieses Paket manifestiert einen Teil unseres Wissens und unserer Erfahrung.

Sie haben eine Migration vor sich oder wollen weitere Informationen?

Kontaktieren Sie uns gerne.
Kontakt aufnehmen

18. September 201819. September 2018

MBAM 2.5 July 2018 Servicing Release: Lösung für das SQL-Berechtigungsproblem

Wie man ein Update der Microsoft BitLocker Administration und Monitoring (MBAM)-Software korrekt installiert, haben wir in unserem Artikel “MBAM-Updates korrekt einspielen: So geht’s” bereits erklärt. Etwas kniffliger wird das mit der aktuell veröffentlichten Version 2.5.1143.0. Lesen Sie, wie wir das Problem gelöst haben.
„MBAM 2.5 July 2018 Servicing Release: Lösung für das SQL-Berechtigungsproblem“ weiterlesen

13. Dezember 201715. Dezember 2017

MBAM-Updates korrekt einspielen: So geht’s

Die in MBAM (Microsoft BitLocker Administration and Monitoring) verwaltete Client-Anzahl wird weniger? Sie haben Fehler im Eventlog Ihrer Anwenderrechner? Sie wollen wissen, ob die korrekten Versionen von MBAM in allen relevanten Services von MBAM installiert sind und genutzt werden? Im Rahmen unserer praktischen Schritt-für-Schritt-Anleitung zur korrekten Installation von MBAM (Microsoft BitLocker Administration and Monitoring) lösen wir diese Fehler und helfen, den Betrieb von MBAM ein wenig stabiler zu machen.

„MBAM-Updates korrekt einspielen: So geht’s“ weiterlesen

3. Juli 201729. August 2018

Update: Microsoft BitLocker Administration and Monitoring: Übersicht der MBAM-Versionen

Update: Das July 2018 Servicing Release ist erschienen.

So finden Sie heraus, welche MBAM-Version genau auf ihrem Server oder beim Client installiert sind.

„Update: Microsoft BitLocker Administration and Monitoring: Übersicht der MBAM-Versionen“ weiterlesen

29. Juni 20174. Juli 2017

Neues Update: MBAM 2.5 SP1 HF05 erschienen

Microsoft hat am 27. Juni eine Aktualisierung seines Microsoft Desktop Optimization Packs (MDOP) veröffentlicht. Der MDOP Juni 2017 Service Release enthält unter anderem einige Verbesserungen für das Tool Microsoft BitLocker Administration and Monitoring.

„Neues Update: MBAM 2.5 SP1 HF05 erschienen“ weiterlesen

21. Mai 201727. Mai 2017

MBAM Gruppenrichtlinien mit PowerShell auf dem Client überprüfen

Wir erklären, wo sich die MBAM-Registry-Schlüssel verstecken und wie wir sie in unseren Tests für einen stabilen MBAM-Betrieb nutzen können.

„MBAM Gruppenrichtlinien mit PowerShell auf dem Client überprüfen“ weiterlesen

5. Mai 201717. Mai 2017

So gelingt eine Testautomatisierung von MBAM

Automatisierung des Microsoft Bitlocker Administration and Monitoring Tool (MBAM): So funktioniert ein tägliches Reporting über verschiedene Dimensionen hinweg.

„So gelingt eine Testautomatisierung von MBAM“ weiterlesen

22. April 20174. Juli 2017