Microsoft BitLocker Administration und Monitoring

Wie oft stehen wir im Kunden Projekt vor der Aufgabe BitLocker zu implementieren und eine "runde" Lösung zu bauen?! Diese Anforderung kommt seit Windows 7 ziemlich oft und besonders bei mobilen Geräten vor. Nur leider ist das Management (Tagesgeschäft) mit BitLocker verschlüsselten Geräten nicht wirklich einfach und intuitiv . Aber zum Glück wird es hierzu im nächsten „Microsoft Desktop Optimization Pack (MDOP)“ eine neue Komponente mit dem Namen „Microsoft BitLocker Administration and Monitoring (MBAM)“ geben. Durch dieses Tool soll es möglich sein, im Enterprise Umfeld BitLocker Geräte zu managen. Folgende Funktionen sind geplant:

Integration in die vorhandenen Win7 Verteilprozesse Somit wird es möglich den MBAM Client per SCCM 2007 /MDT 2010 zu verteilen. Auch wird es möglich sein diesen Agent z.B. per NetInstall zu verteilen und zu konfigurieren. Mit diesem Agent kann die Verschlüsselung dann automatisiert werden. Hierzu muss man sich heute noch ein paar Skripten bedienen.

Zieldefinition für Hardware Die Administratoren können per Regel festlegen welche Hardwaretypen verschlüsselt werden müssen und welche nicht.

Neuer sicherer Recovery Key Speicherort Bis jetzt hatte man nur die Möglichkeit den Recovery Key von BitLocker im ADDS speichern  zu können oder zusätzlich auszudrucken. Um dem Helpdesk eine Oberfläche zu präsentieren, war der Entwicklungsaufwand bis jetzt ziemlich hoch. Da die Daten nun in einer SQL Datenbank liegen werden, könnte die Erstellung von der Oberfläche einfacher werden.  Im Standard wird es schon eine Webseite hierzu geben. Man wird sich die Beta ansehen müssen um zu entscheiden ob diese an die Anforderungen der Kunden angepasst werden kann.

Status der Organisation überprüfen Mit dem Tool wird es möglich sein sich den Compliance Stand (Regelkonformität) des Unternehmens anzuzeigen. Man kann sich Reports erstellen um zu sehen auf welchen Maschinen BitLocker aktiv ist und auf welchen nicht. Diese Informationen kann man dann gegen die Unternehmensregeln prüfen und ebenfalls als Report anzeigen lassen.

Einmal Passwörter für den Recovery Key Diese Funktion finde ich persönlich die spannendste Neuerung. Es wird einen automatischen Prozess im MBAM Client geben, welcher den Recovery Prozess von BitLocker überwacht. Somit wird automatisch nach dem Wiederherstellen der BitLocker Partition mit dem Recovery Key ein neuer Recovery Key erstellt und im ADDS (und auch in der SQL DB?) gespeichert. Somit kann dieser Key nicht zweimal benutzt werden und die Sicherheit wird erhöht. Diese Anforderung haben wir schon sehr oft von unsern Kunden gehört und diese konnte bis jetzt nur per Scripts umgesetzt werden.

Auskopplung der Standardaktionen von BitLocker Ein großer Nachteil in der jetzigen BitLocker Version ist, dass alle Funktionen von BitLocker mir erhöhten Rechten (lokalen Administrationsrechten) ausgeführt werden mussten. D.h. ein Standard User musste immer den Helpdesk bemühen oder es musste z.B. ein Programm per SCCM 2007 mit erhöhten Rechten zur Verfügung gestellt werden um Standardaufgaben durchzuführen. Nun ist es für den normalen Benutzer möglich ein neues Passwort zu generieren und auch kann der Ver-/Entschlüsselungsprozess vom Benutzer initiiert werden .

Folgende Punkte sind bis jetzt noch nicht beschrieben und gehören für mich auf jeden Fall noch in das Tool:

  • Eine Passwort Policy muss anwendbar sein. D.h. wenn z.B. das Domänenpasswort alle 90 Tage geändert werden muss, so muss dies genauso für BitLocker gelten.
  • Ein zweiter Zugang für den Helpdesk muss konfigurierbar sein. Egal ob die Authentifizierung PIN oder USB ist.

Den originalen Artikel könnt Ihr Euch hier durchlesen. Wer an der öffentlichen Beta (Start März 2011) teilnehmen möchte, kann sich auf der Connect Seite anmelden. Sobald die Beta draußen ist werde ich die neuen Funktionen testen und hier posten. Wenn diese Funktionen wirklich in das MDOP Paket kommen, ist es das dritte Tool in der Suite welche den Kauf des MDOP Paketes rechtfertigen. Die beiden anderen sind App-V und AGPM! ;-)